1. La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones Pink Elephant Iberoamérica
2. "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones." Seguridad de la Información
3. Seguridad de la Información La Seguridad de la información se define como la preservación de las siguientes características: Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
4.
5.
6.
7. Visibilidad limitada de información clasificadas81% de compañías afectadas no cumplían con estándares (PCI) $6.7 costo de incidentes
8. Anatomía de un Incidente Crimen organizado Usuarios bien intencionados Ataques internos
9. Entorno del Manejo de Información EMPRESASSIN MUROS EXPLOSIÓN DE DATOS EL PAPELDE LA SEGURIDAD Un perímetro que se desvanece La oficina se encuentra “en cualquier lugar” Tercerización y relocalización Los datos se encuentran en todas partes Datos estructurados, contenido no estructurado PI, cliente y datos clasificados Riesgos y cumplimiento Presupuestolimitado Habilitador de negocio
19. Propósito fundamental de la Seguridad. Alto Evitar Transferir El propósito fundamental de la seguridad es: “Administrar el riesgo al cual la organización se encuentra expuesta con respecto a la información” Nivel de riesgo inaceptable Impacto al negocio Nivel de riesgo aceptable Aceptar Reducir Alto Bajo Probabilidad de que se aprovechen las brechas de seguridad
20. Visión de los Sistemas de Gestión de Seguridad de la Información (SGSI). Factor Humano Compromiso Directivo SGSI Riesgos Tecnología Gestión
21. Modelo de Madurez Nivel 5 Sistema Optimizado Procesos inconsistentes Nivel 4 Sistema Administrado Procesos desorganizados Nivel 3 Sistema Definido Mejores prácticas Procesos inexistentes Nivel 2 Sistema Intuitivo Procesos medidos y monitoreados Nivel 1 Sistema Intermitente Procesos documentados y comunicados Nivel 0 Sistema Inexistente
22.
23. ¿Cuál es el valor real de mis activos de información?
24. ¿Qué tipo de amenazas se encuentran presentes al día de hoy en nuestra organización?
25. ¿Qué nivel de riesgo se presenta actualmente en la organización?
26.
27. ¿Cuáles son los costos y gastos asociados a la falta de gestión de la seguridad de información?
28. ¿Cómo estructuramos el liderazgo de seguridad de información a manera de garantizar la aceptación de nuevos controles y prácticas?
29. De acuerdo al nivel de seguridad y riesgo, ¿Cuáles deben ser nuestras prioridades de implementación de controles?Mecanismos de implementación
30. "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones." 3.- Marcos de Referencia, Requerimientos y Regulaciones
31. Definiciones Básicas Define una estructura básica de controles utilizados para resolver cuestiones complejas como el lograr el cumplimiento de ciertas regulaciones u objetivos o realizar auditorías sobre procesos específicos. Se basa en técnicas, métodos, controles, etc., probadas en la industria que provocan esperados resultados y medibles al implementar controles y procesos. Estándar/ Norma Marcos de Referencia Regulaciones Mejores Prácticas Consiste en una serie de requerimientos y reglas impuestos ya sea por el gobierno o la industria para la utilización de ciertos mecanismos y que en caso de no cumplirse pueden ocasionar multas o la prohibición de realizar ciertas actividades. Las regulaciones pretenden controlar salidas y/o entradas. Establece una serie de especificaciones y controles independientes de fabricantes. Además cuenta con reconocimiento internacional mediante procesos certificados.
32. Esquemas referenciables Especifico Tecnología / Reqs. adicionales Sistemas de reporte financiero Desarrollo de sistemas Entrega de serv. TI / Operaciones Seguridad de la Información Controles a nivel compañía COSO/COSO 2/COBIT Guías de Mejores prácticas ITIL ISO 20000-2 CMM ISO21827 RUP, ASL ITGI SOX *COBIT, COSO SOX 404 COSO COSO 2 (ERM) ISO27002 ISO27005 X ISO X ANSI Normas o estándares certificables ISO 20000-1 ISO 27001 CNBV, SHCP PCI, FFIEC HIPAA, CNBV HL7, SHCP PCI, FFIEC HIPAA, CNBV HL7, SHCP PCI, FFIEC HIPAA, CNBV HL7, SHCP Regulatorio, Requerimientos de Industria PCAOB SOX SAS 70 TRUST SERVICES Webtrust For CAs Marcos de referencia PCAOB
33. Mapa de relación de marcos Desempeño Metas de negocio Cumplimiento SOX, BASILEA II, PCI, ETC Motivadores BSC Val IT COSO PRINCE 2 / PMBOK GobiernoCorporativo COBIT Gobierno de TI ISO 9001 ISO 20000 ISO 27005 CMMI Estándares y normas SSE - CMM ISO 27001 BS 25999 Procedimientos de desarrollo y mantenimiento Procedimientos de seguridad ITIL Principios de Seguridad (OECD) DRII Procesos y procedimientos
35. Composición de Cobit 4 Dominios 34 Procesos Controles 215 Actividades Objetivos de Control
36. Basilea II (Generalidades) El comité de Basilea es un grupo compuesto por representantes de los principales actores financieros del mundo, que se reunen de manera periódica para generar normativas internacionales. Entre estas se encuentra la normativa conocida como Basilea II, la cual define el riesgo operativo y la forma en que el mismo deberá de ser medido y tratado. Basilea II define el riesgo operativo como “el riesgo de la pérdida resultante de procesos internos inadecuados o fallidos, personas o sistemas vulnerables o por eventos externos. Esta definición incluye el riesgo legal y tecnológico pero excluye el riesgo estratégico y reputacional. Así mismo, define 8 líneas de negocio básicas y 7 tipos de riesgo operativo.
52. Existen 3 problemas típicos que incrementan complejidad en las implementaciones y crean barreras para el logro de los beneficios esperados Falta de objetivos claros de negocio Dificultades primarias experimentadas por los líderes de los esfuerzos de implementación “Exhaustividad” en el enfoque de implementación Minimización del factor humano (cultural) Dificultad experimentada por toda la organización Fuente: Análisis Dicta
53.
54. Sistema Estratégico de Seguridad de la Información (SESI) Un Plan Estratégico de Seguridad permite definir la estrategia y el plan para la implantación de un buen Gobierno de Seguridad alineado con los objetivos estratégicos de la organización basado en el valor y el riesgo presente de la información protegida. Proporciona además un modelo de procesos para enmarcar las necesidades de Gobierno de Seguridad y sobre el cual se definan los componentes tácticos y operativos, así como las políticas, metodologías, estándares, procedimientos y controles asociados a cada componente.
57. Integración Negocio-Tecnología Identificación de procesos de negocio Definición de Criticidad de Procesos Plataforma Habilitadora de los Procesos Identificación de información por procesos Análisis de Riesgo Procesos-Personas-Tecnología Definición y Desarrollo de Estrategia Controles y Gestión Procesos-Personas-Tecnología
58. Ciclo del SESI Estrategia Cumplimiento Política Prevención Detección Monitoreo (Nivel de Riesgo) Conciencia Corrección Implementación
60. Ciclo de Mejora Continua Partes interesadas: Clientes Proveedores Usuarios Accionistas Otros Partes interesadas: Clientes Proveedores Usuarios Accionistas Otros Establecimiento del SGSI PLAN Implementación del SGSI DO Mejora del SGSI ACT Requerimientos y Expectativas de Seguridad de Información Requerimientos y Expectativas de Seguridad de Información Monitoreo y revisión del SGSI CHECK