Presentación de un Plan de Seguridad que define el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información, que se aplica a todo el Sistema de Gestión de Seguridad de la Información (SGSI).
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Plan de seguridad FD2013
1. PLAN DE SEGURIDAD DE LA
INFORMACIÓN
FABIÁN DESCALZO
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
2. Presentación – Principales puntos de la agenda
Objetivo y Alcance
Tecnología y Seguridad como servicio a los Objetivos
Estratégicos del Negocio
Dominios de la Seguridad de la Información
Comité de Seguridad
Análisis de Madurez de la Organización – Cumplimiento
actual
Regulaciones y Riesgos que condicionan la gestión de
Negocio
Marco documental que norma los Dominios de la
Seguridad de la Información
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
3. Objetivo
Define el objetivo, dirección, principios y
reglas básicas para la gestión de la
seguridad de la información, que se aplica a
todo el Sistema de Gestión de Seguridad
de la Información (SGSI).
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
4. Alcance
Alcance del Plan
Establece las reglas y controles que se reflejarán en los diferentes
procedimientos de la Organización, para asegurar la Confidencialidad,
Integridad y Disponibilidad de la información previniendo y manejando los
riesgos de seguridad en diversas circunstancias.
A quienes alcanza el Plan
Toda persona (empleado o tercera parte) que interactúe con la
información de la empresa contenida en cualquier medio (magnético o
físico) o que la divulgue de cualquier forma (por medios informatizados, de
telecomunicaciones o por voz personalmente)
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
5. Objetivo y Alcance
Cambio de valor
de lo físico al valor
de la información
(intangibles)
Alinear la
Seguridad con
los Objetivos de
la Empresa
Nuevos
regímenes
regulatorios
Presión
continua
para la
reducción
de costos
Nuevas
tecnologías
aplicadas al
resultado del
Negocio
Interacción más
dinámica entre
los diferentes
procesos de
negocios
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
6. Estrategia de Negocio
y Servicios Tecnológicos
Calidad + Seguridad + Gobernabilidad
27000
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
7. Estrategia de Negocio
y Servicios Tecnológicos
OBJETIVOS ESTRATÉGICOS
DEL NEGOCIO
PLAN DE
NEGOCIO
Objetivo
de servicio
de SI
Objetivo
de servicio
de IT
Confidencialidad,
Integridad y
Disponibilidad
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
Operatividad y
Gobernabilidad
CALIDAD
8. Estrategia de Negocio
y Servicios Tecnológicos
Plan
Estratégico de
la Empresa
Marca
PLAN DE
NEGOCIO
Reputación
Plan
Estratégico de
Seguridad
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
10. Dominios identificados
ORGANIZACIONAL
Establece el marco formal de seguridad
que debe sustentar la Organización,
incluyendo servicios o contrataciones
externas a la infraestructura de seguridad,
Integrando el recurso humano con la
tecnología
LÓGICA
Establece e integra los mecanismos y
procedimientos, que permitan monitorear
el acceso informatizado a los activos de
información
FÍSICA
Identifica los límites mínimos que se deben
cumplir en cuanto a perímetros de
seguridad y acceso físico con base en la
importancia de los activos.
LEGAL
Integra los requerimientos de seguridad
que deben cumplir todos los empleados,
socios y usuarios de la red corporativa
bajo la reglamentación de la normativa
interna de políticas y manuales de
procedimientos de la Organización
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
11. Organización – Entorno Corporativo
Marco
Normativo
Recursos
Humanos
Recursos
de
Hardware
Recursos
de
Software
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
12. Organización - Comité de Seguridad
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
CSO
Chief Security Officer
Responsable máximo de la Seguridad de la Información, de todos los procesos que
integran el SGSI y de la Política de Seguridad de la Información y su Marco
Normativo de la Organización.
Gerente de Tecnología y
Sistemas
Responsable de disponibilizar y gestionar los sistemas de tratamiento y
procesamiento de información, así como los recursos tecnológicos asociados y
comunicaciones.
Gerente de
Administración y
Finanzas
Responsable de velar por la gestión financiera y económica, tanto en lo preventivo
como correctivo relacionado a cualquier actividad del SGSI.
Gerente de Recursos
Humanos
Responsable de velar por el cumplimiento del código de ética de la Organización, y
de brindar asesoramiento en el alcance de medidas relacionadas con lo laboral
acorde a la regulación impuesta por el Ministerio de Trabajo
Gerente de
Mantenimiento e
Intendencia
Responsable de velar por el cumplimiento de las condiciones físicas del entorno de
la información, tanto en su infraestructura como en los controles físicos de acceso y
ambientales, y de brindar asesoramiento en el alcance de acciones relacionadas con
medidas preventivas o correctivas edilicias relacionadas con la seguridad de la
información y las personas acorde a la regulación de las entidades Municipales y
Nacionales que corresponda.
Representante Legal Representante del Directorio y responsable de velar por el cumplimiento legal y
regulatorio, a nivel Nacional e Internacional, en cada una de las actividades
desarrolladas en el marco del SGSI, y de brindar asesoramiento en el alcance de
medidas relacionadas con la realización de contratos de todo tipo, mediaciones,
juicios y definiciones técnico-legales relacionadas a cualquier actividad del SGSI.
13. Organización – Tecnología y Funcionales
PROYECTOS - OPERACIÓN
REVISIÓN DE
CONTROLES Y
REGISTROS
APLICACBLES
PLANIFICACIÓN EN EQUIPO
• Líder Funcional
• Líder Tecnológico
• Líder de Seguridad Informática
ALCANCES DE COMPLIANCE
• Estándares de seguridad
• Certificación de cuentas
• Privilegios / Permisos
ASPECTOS Y REQUISITOS ADICIONALES
• Cuentas asociadas a las aplicaciones
• Excepciones a parámetros de seguridad
• Condicionamiento a la activación de
auditoría
• Interfaces y carpetas compartidas
IMPLEMENTACIÓN
Incluye revisión de
parámetros de
seguridad y revisión de
cuentas de usuario
DOCUMENTAR
Obtención de
registros
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
14. Regulaciones y cumplimiento
ISO 9001:2008
• Alcanza a las bases de datos de
Clientes, Proveedores y Empleados, y
el Spam que es ilegal bajo el art. 27
Ley N° 26.388 Delitos
Informáticos
• Distribución y tenencia con fines de distribución de
Ley N° 25.326 Protección de
Datos Personales
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
pornografía infantil
• Violación de correo electrónico
• Acceso ilegítimo a sistemas informáticos
• Daño informático y distribución de virus
• Daño informático agravado
• Interrupción de comunicaciones y envío masivo de
correos que obstruya un sistema informático
• Sistema de Gestión de Calidad,
adquirido por el Negocio como
estándar de aseguramiento de calidad
de sus servicios
15. Regulaciones y cumplimiento
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
16. Regulaciones y cumplimiento
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
17. Riesgos asociados al Negocio
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
Nivel de Impacto
Probabilidad de
Ocurrencia
NEGOCIO
• Pérdida de rendimiento
• Daños materiales (elevación
de costos, pérdida
monetaria, entre otros,
daños físicos)
SERVICIOS DE TI y SI
• El porcentaje de objetivos de TI y SI que dan
soporte al plan estratégico del Negocio
• Cantidad de escalamientos o problemas sin
resolver debido a la carencia o insuficiencia
de asignaciones de responsabilidad
• Cantidad de ocasiones en que se puso en
riesgo la información confidencial
• Cantidad de interrupciones al negocio
debidas a interrupciones en el servicio de TI
• Cantidad y tipo de modificaciones de
emergencia a componentes de la
infraestructura
• Porcentaje de plataformas que no están de
acuerdo con los estándares de seguridad,
arquitectura y tecnología, etc
18. Riesgos asociados al Negocio
RIESGOS
NEGOCIO
• Definir tipos de riesgos
• Identificar riesgos asociados
• Establecer parámetros de medición
• Elegir una metodología de tratamiento
• Analizar y evaluar riesgos
• Crear un Plan de Mitigación
• Identificar procesos
• Analizar entorno regulatorio
• Analizar cultura interna
• Analizar madurez operativa
• Analizar entorno documental
MATRIZ DE RIESGO
DIRECTORIO
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
19. Riesgos asociados al Negocio
Evaluación y tratamiento de riesgos de seguridad
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
Planificación de
Administración
de Riesgos
•Alcance
•Metodología
Identificación de
Riesgos
•Activos
•Amenazas
•Vulnerabilidades
Análisis de
Riesgos
•Riesgos
•Costos / Beneficios
Plan de Acción
•Tratamiento
•Aceptar riesgo residual
Monitoreo de los
Riesgos
Mitigar
• Controles
Transferir
• Seguros
• Proveedores
Aceptar
• No hacer nada
Evitar
• Cesar la actividad que
lo origina
20. Riesgos asociados al Negocio
“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el
cual se presentan la totalidad de los riesgos.
“Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se detallan
todos aquellos riesgos para los cuales la respuesta al riesgo residual es
distinta de “se asume” y por consiguiente se ha especificado un plan de
acción con los controles/actividades tendientes a mitigar el riesgo.
“Administración de Riesgos (Actualización al DD/MM/AAAA)”,
• Detalle de nuevos riesgos y factores incorporados
• Detalle de riesgos y factores dados de baja, con la correspondiente
justificación de esta acción
• Detalle de riesgos para los cuales se registran cambios en la
evaluación, incluyendo la evaluación anterior, la evaluación actual y la
justificación del cambio realizado
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
21. Controles asociados al Negocio
Principales objetivos de control
Control Alcance
1,00 Auditoría, evidencias y monitoreo
2,00 Autenticación y control de acceso
3,00 Confidencialidad y No-Repudiación
4,00 Personal externo y contratistas
5,00 Tolerancia a fallas, backup y recuperación
6,00 Respuesta y reporte de incidentes
7,00 Mantenimiento y operaciones
8,00 Red de datos
9,00 Acceso físico
10,00 Documentación electrónica y en papel
11,00 Accesos remotos
12,00 Concientización y entrenamiento en Seguridad
13,00 Política de administración de la seguridad
14,00 Configuración del sistema
15,00 Desarrollo de sistemas y control de cambios
16,00 Proveedores, profesionales y prestadores
Interpretación
Unidades
Administrativas
Interpretación
Unidades de
Servicio
Interpretación
Tecnología
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
22. Marco Documental
Disponer de un marco
documental asegura el
tratamiento de los datos
propios o de terceros y los
procesos de negocio para
dar cumplimiento a:
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
Requerimientos
legales y
reglamentarios del
negocio
Habeas Data
Frameworks que
aportan valor
agregado al negocio
23. Marco Documental
Seguridad Física Comportamiento en el
VISION
lugar de trabajo
Desarrollar y fomentar una cultura y
comportamiento que debe aplicarse en la
protección de la información en todas las
actividades relacionadas con los procesos de
Negocio de la Organización
Comportamiento
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
público
Seguridad Lógica
24. Marco Documental
La Información ofrecida desde las Áreas Usuarias ayudan a establecer y
documentar medidas preventivas y obtener un Plan de la Seguridad de la
Información, que incluye:
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
Identificación del riesgo
potencial y de
exposición por objetivo
de control
Clasificación de la información,
estableciendo su importancia
de acuerdo a su nivel de
Confidencialidad, Integridad y
Disponibilidad necesaria
Otros documentos
Análisis de procesos del área, Mapa de interacción con otras áreas, Nómina
de Proveedores Críticos, Nómina de personal en contingencia, Lista de
requerimientos mínimos del área, etc.
25. Marco Documental
Seguridad y Gobernabilidad Asociadas
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
Política General y
Normas de Seguridad
Familia ISO 27000
Normas,
procedimientos
Estándares Registros
Procesos de Negocio
Norma ISO 9001 / Norma ISO 20000
Documentación
asociada a las áreas
administrativas
Procedimientos Formularios
Documentación de
los sistemas y
operaciones
Manuales Instructivos
26. Marco Documental
Un Marco Normativo sobre estas bases permite contar con la certeza sobre la
Información de respaldo y pruebas objetivas para el control y desarrollo de la Seguridad
de la Información.
Nivel 1 = MANUAL DE SEGURIDAD
Políticas, alcance, evaluación de riesgos, declaración de aplicabilidad
Nivel 2 = PROCEDIMIENTOS
Describe procesos (qué, quien, cuando, donde)
Nivel 3 = INSTRUCTIVOS / CHECKLIST / FORMULARIOS
Describe las actividades y tareas específicas , indicando como se realizan
Nivel 4 = REGISTROS
Proporciona las pruebas objetivas del cumplimiento
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE
27. Marco Documental
Incrementar la conciencia de la necesidad de proteger la información y a
entrenar a los usuarios en la utilización de la misma para que ellos puedan
llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de
errores y pérdidas.
Conocer su responsabilidad en cuanto a
la Seguridad de la Información y lo que se
espera de él.
Entrenamiento inicial y continuo a sus
colegas de área, y aporte en el
mantenimiento activo de la
documentación y los controles
Conocer las políticas organizacionales,
haciendo hincapié en el cumplimiento de
la Política de Seguridad.
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013
Trabajo Final – Organización CAECE