Este documento presenta una propuesta para cumplir con la Circular 052-07 sobre seguridad de la información. Incluye una lista de los requisitos de seguridad de acuerdo a la norma y sugiere el uso de productos de seguridad de SUN como firewalls, IPS, gestión de identidades y escritorios virtuales para cumplir con los requisitos. También propone una metodología de dos fases que incluye definir el alcance y objetivos del sistema de gestión de seguridad, evaluar riesgos y situación actual, y desar
10. Por dónde empezar?
Sw PGP - Cifrado de mensajes y ar
Cifrado
de HD
VPN logs
Firewall logs
Windows
logs Client & file
server logs
Windows
domain
logins
Oracle
Financial Logs
San
File
Access
Logs
VLAN
Access &
Control
logs
Linux,Unix,
Windows
OS logs
Mainfram
e logs
Database
Logs
Web
server
activity
logs
Procesos de Admón de Carpetas Compartidas
Respaldos de Equipos Móviles
DRM
Respaldos Centrales
Tokens
Biométricos
Cifrado de mails
Transferencia de archivos cifrada
Sanitización
otección de Hojas de Cálculo
Control de Medios Desmontables
Monitoreo de Transacciones en Bases d
Cifrado de Bases de Datos
Control Automatizado de Registros
Content
management logsWeb cache &
proxy logs
$$ $
12. Tecnología Sugerida para el Cumplimiento
de la 052-07
Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Interfaz Sistema Central 3.1.16, 3.1.18
3.1.1, 3.1.6,
3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Backbone 3.1.16, 3.1.18
3.1.3, 3.1.6,
3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Plataforma Medio de Entrega 3.1.16, 3.1.18
3.1.3, 3.1.6,
3.1.7, 3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Base de Datos Medio de Entrega 3.1.16, 3.1.18
3.1.6, 3.1.7,
3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Aplicación Medio de Entrega
3.1.16, 3.1.18,
3.4,5.6
3.1.6,
3.1.9,3.1.10,
3.1.12,3.1.1,
3.3.1.14, 5.3,5.5
3.1.15, 3.3.1,
3.3.5, 3.3.6,5.1,
5.2,5.4
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Red de Distribución Medio de Entrega 3.1.16, 3.1.18
3.1.6,
3.1.7,3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Acceso por parte del Usuario 3.1.16, 3.1.18
3.1.1, 3.1.6,
3.1.7,3.1.11
3.1.15, 3.3.1,
3.3.5, 3.3.6,3.3.7
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Requisitos Generales
Firewalls, IPS en Alta Disponibilidad
Control de Acceso, IPS
Monitoreo de Accesos a BD, Cifrado de Datos
Control de Configuración,
Gestión de Identidad
Firewalls, IPS en Alta Disponibilidad
Monitoreo de Patrones de Uso, ILP
GestióndeVulnerabilidades,
PruebasdePenetración
Virtualización de Escritorio
13. Tecnología SUN para el cumplimiento
Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Interfaz Sistema Central 3.1.16, 3.1.18
3.1.1, 3.1.6,
3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Backbone 3.1.16, 3.1.18
3.1.3, 3.1.6,
3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Plataforma Medio de Entrega 3.1.16, 3.1.18
3.1.3, 3.1.6,
3.1.7, 3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Base de Datos Medio de Entrega 3.1.16, 3.1.18
3.1.6, 3.1.7,
3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Aplicación Medio de Entrega
3.1.16, 3.1.18,
3.4,5.6
3.1.6,
3.1.9,3.1.10,
3.1.12,3.1.1,
3.3.1.14, 5.3,5.5
3.1.15, 3.3.1,
3.3.5, 3.3.6,5.1,
5.2,5.4
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Red de Distribución Medio de Entrega 3.1.16, 3.1.18
3.1.6,
3.1.7,3.1.14
3.1.15, 3.3.1,
3.3.5, 3.3.6
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Acceso por parte del Usuario 3.1.16, 3.1.18
3.1.1, 3.1.6,
3.1.7,3.1.11
3.1.15, 3.3.1,
3.3.5, 3.3.6,3.3.7
3.1.19, 3.3.2,
3.3.3,
3.3.4,3.3.10
3.1.8,
3.1.17,3.3.9
Requisitos Generales
Firewalls, IPS en Alta Disponibilidad
Control de Acceso, IPS
Monitoreo de Accesos a BD, Cifrado de Datos
Sun Identity Management
Sun Virtual Desktop
GestióndeVulnerabilidades,
PruebasdePenetración
Firewalls, IPS en Alta Disponibilidad,
Monitoreo de Patrones de Uso, ILP
Productos SUN
14. Metodología Propuesta
Cumplimiento de la Norma
Estrategia de Gobierno
de Seguridad de
Información
1
– Definición de Alcance y Objetivos
del SGSI
– Definición del Modelo de
Gobierno
– Identificación de Prioridades de
Riesgo de Negocio
– Evaluación de Instrumentos
Legales
– Enfoque y Procedimientos para
Clasificación de Información
Fase 1
Gobierno
• 4.11
• 4.1.6
• 3.1.2
• 3.1.20
• 6.1
• 4.10
• 5.6
• 6.5 6.8
• 7.5
• 7.6
15. Metodología Propuesta
Cumplimiento de la Norma
Análisis de la Situación
Actual y Evaluación de
Riesgos2
– Mapeo de Procesos vs. Riesgos de Negocio
– Árbol de Activos por medio de entrega
– Evaluación de Vulnerabilidades y Riesgos por
medio de entrega
– Estrategia de Tratamiento de Riesgo por
medio de entrega
• Identidad y Control de Acceso
• Gestión de Riesgos y Vulnerabilidades
• Protección de Activos de Información
• Operaciones de Seguridad
• Continuidad de Negocio
• Cultura de Seguridad
– Arquitectura de Seguridad
Fase 2
Gobierno
• 3.4.2
• 3.1.20
• 4.1.7
• 4.4.1
• 6.1
• 6.10
• 6.7
• 6.9
• 4.5.4
• 4.9.4
• 4.10
• 5.4
• 5.6
• 6.8
• 7.2
16. Metodología Propuesta
Cumplimiento de la Norma
Ejecución del Plan de
Tratamiento de Riesgos
3 – Gestión de Proyectos de Reducción de
Riesgo
– Diseño de Instrumentos Legales
– Implantación de Tratamiento de Riesgo
• Identidad y Control de Acceso
• Gestión de Riesgos y Vulnerabilidades
• Protección de Activos de Información
• Operaciones de Seguridad
• Continuidad de Negocio
• Cultura de Seguridad
– Procedimientos de Investigación y
Seguimiento de Casos
– Servicios Administrados de Seguridad
– Entrenamiento, Formación y
concientización
Fase 3
Mejora
Continua
• 4.3.2
• 4.3.4
• 4.4.2
• 4.6.1
• 6.1
• 6.10
• 4.5.4
• 4.10
• 5.4
• 5.6
• 6.4
• 6.8
• 7.4
17. Metodología Propuesta
Cumplimiento de la Norma
Cumplimiento
y
Certificación4 – Evaluación de Madurez
– Preauditorías
– Acompañamiento
Fase 4
Cumplimiento
• 4.1.6
• 4.4.4
• 4.6.2
• 6.1
• 4.10
• 6.4
• 7.3
18. Basado en mejores prácticas internacionales (ISO 27001, COBIT,
ITIL)
Enfoca el proyecto desde no solo desde la perspectiva de cumplir
con la Circular, sino que permite establecer un modelo de Gobierno
de la Seguridad efectivo
Busca tomar ventaja de los controles existentes en el banco,
integrándolos en un cuerpo coherente de medidas para control del
riesgo
Busca racionalizar la inversión necesaria para cumplir con los
requerimientos de la Circular
Beneficios de Nuestro Enfoque
Porqué SUN?
19. Mayor visión y profundidad en la ejecución de los proyectos
Aplicación de la norma aplicados a los objetivos estratégicos y de negocio.
Mayor capacidad para ejecutar exitosamente el proyecto y generar alto impacto en
el negocio.
Inversión mejor aprovechada
Mayor certeza y menor tiempo en la ejecución de los proyectos
Aplicación concreta de los estándares y las metodologías al entorno real
Sostenibilidad de los proyectos en el tiempo
Disponibilidad de profesionales especializados a un menor costo
Opciones flexibles de implantación de soluciones tecnológicas de avanzada a
menor costo.
Cumplimiento de regulaciones y normativas, con la asesoría y el acompañamiento
de especialistas
Beneficios para Nuestros Clientes
Porqué Sun?