Seguridad integrada como respuesta al negocio
Download
Report
Transcript Seguridad integrada como respuesta al negocio
Uruguay - Argentina
Seguridad integrada como
respuesta al Negocio
Fabián Descalzo, CISO
www.isaca.org.uy
Agenda
Requerimientos del Negocio
¿Donde encontrar las respuestas?
Conociendo el interior
La seguridad del lado del Negocio
Seguridad integrada como respuesta
al Negocio
2
www.isaca.org.uy
Requerimientos del Negocio
3
www.isaca.org.uy
Requerimientos del Negocio
Establecer objetivos es
esencial para el éxito
de una empresa
• Permiten enfocar esfuerzos hacia una
misma dirección.
• Sirven de guía para la formulación de
estrategias.
• Sirven de guía para la asignación de
recursos.
• Sirven de base para la realización de
tareas o actividades.
• Generan coordinación, organización y
control.
• Generan participación, compromiso y
motivación; y, al alcanzarlos, generan
un grado de satisfacción.
• Revelan prioridades.
• Producen sinergia.
• Disminuyen la incertidumbre.
Establece un único
resultado a lograr y es
coherente con la misión
de la empresa
4
www.isaca.org.uy
Requerimientos del Negocio
Cambio de
valor de lo
físico al valor
de la
información
(intangibles)
Interacción
más dinámica
entre los
diferentes
procesos de
negocios
Cambios en el
entorno de nuestro
Negocio
Nuevas
tecnologías
aplicadas al
resultado del
Negocio
Cambios del
Mercado
5
www.isaca.org.uy
Nuevos
regímenes
regulatorios
Requerimientos del Negocio
Requerimientos
legales y
reglamentarios
Disponer de una gestión
que asegure los
procesos de negocio y
el tratamiento de los
datos propios o de
terceros alineados a:
6
www.isaca.org.uy
Frameworks que
aportan valor
agregado
Requerimientos del Negocio
SEGURIDAD
OBJETOS DE
INFORMACIÓN
7
www.isaca.org.uy
Requerimientos del Negocio
Identificar funciones, obligaciones del
personal y establecer un marco operativo
acorde a las Requerimientos del Negocio.
Conformar grupos interdisciplinarios (Legales
/ Desarrollo / Seguridad Informática, y
representante del área involucrada) con el fin
de analizar los requerimientos del Negocio.
8
www.isaca.org.uy
¿Dónde encontrar las respuestas?
9
www.isaca.org.uy
¿Dónde encontrar las respuestas?
Aporte de soluciones de y a cada Sector
Seguridad en el Negocio
Calidad de Servicio
10
www.isaca.org.uy
¿Dónde encontrar las respuestas?
Dirección
Cada nivel de la Organización hace a la seguridad y
calidad en el Negocio
Usuarios
Gerencia
11
www.isaca.org.uy
¿Dónde encontrar las respuestas?
VISION
Desarrollar y fomentar una cultura de la organización y el
comportamiento que debe aplicarse en todas las actividades
empresariales
12
www.isaca.org.uy
Conociendo el interior
13
www.isaca.org.uy
Conociendo el interior
Cultura Operativa y
Funcional
Leyes y
Regulaciones
Cultura
de los
Recursos
Humanos
14
www.isaca.org.uy
Conociendo el interior
Objetivos e
imagen de la
empresa
Dirección
Objetivos
funcionales y
resultados
operativos
Gerencia
Hacen que una
función cumpla
con todos sus
procesos de
negocio
Usuarios
15
www.isaca.org.uy
Conociendo el interior
Asegurar objetivos
corporativos, ya sea
tangible (económico)
como intangible
(imagen en el mercado)
Dirección
Asegurar objetivos
funcionales y resguardo
de los activos de la
Organización
Gerencia
Trato sobre los activos
de la empresa, valor de
su información,
funciones y cada uno
de los procesos en los
que participa.
Usuarios
16
www.isaca.org.uy
Conociendo el interior
Físico: Documentos en papel, incluyendo faxes y copias
fotostáticas. Puede ser almacenada en archivos físicos,
carpetas o gabinetes.
Electrónico: Documentos electrónicos en procesador de
texto, hojas de cálculo, etc. Puede ser almacenada en
varios medios electrónicos, incluyendo CD ROM cintas de
audio, memorias USB, discos duros, Asistentes Digitales
Personales (p.e. Blackberries) y otros dispositivos similares
Interpersonal: La información es comunicada de una
persona a otra utilizando diferentes métodos o medios de
transmisión, por ejemplo: oralmente por teléfono o en
persona, o por escrito vía fax, correo postal o correo
electrónico.
17
www.isaca.org.uy
Conociendo el interior
Marco
Normativo
Recursos
Humanos
18
www.isaca.org.uy
Recursos
de
Hardware
Recursos
de
Software
La seguridad del lado del Negocio
19
www.isaca.org.uy
La seguridad del lado del Negocio
Principales objetivos de control
Control
1,00
2,00
3,00
4,00
5,00
6,00
7,00
8,00
9,00
10,00
11,00
12,00
13,00
14,00
15,00
16,00
Alcance
Auditoría, evidencias y monitoreo
Autenticación y control de acceso
Confidencialidad y No-Repudiación
Personal externo y contratistas
Tolerancia a fallas, backup y recuperación
Respuesta y reporte de incidentes
Mantenimiento y operaciones
Red de datos
Acceso físico
Documentación electrónica y en papel
Accesos remotos
Concientización y entrenamiento en Seguridad
Política de administración de la seguridad
Configuración del sistema
Desarrollo de sistemas y control de cambios
Proveedores, profesionales y prestadores
20
www.isaca.org.uy
Interpretación
Unidades
Administrativas
Interpretación
Unidades de
Servicio
Interpretación
Tecnología
La seguridad del lado del Negocio
Función tradicional
Agregar valor al servicio
Visión basada en
activos
Visión basada en riesgos asociados
al servicio
Dirección y control
Liderazgo y poder de delegación
Nuevas tecnologías + Nuevas regulaciones
+ Cambio en el valor + Pautas del Mercado
Nuevo Modelo de Seguridad
21
www.isaca.org.uy
La seguridad del lado del Negocio
Calidad + Seguridad + Gobernabilidad
27000
22
www.isaca.org.uy
La seguridad del lado del Negocio
23
www.isaca.org.uy
La seguridad del lado del Negocio
Táctico
Política de Seguridad
Aspectos organizativos de la seguridad
Estratégico
Control de accesos
Clasificación y control de activos
Conformidad
Seguridad del entorno físico
Seguridad del entorno
tecnológico
Desarrollo y mantenimiento
de sistemas
Gestión de comunicaciones y
operaciones
Gestión de continuidad
de negocio
Seguridad Organizativa
Seguridad física
Seguridad lógica
Seguridad legal
24
www.isaca.org.uy
Operativo
Seguridad del personal
La seguridad del lado del Negocio
Calidad +
Seguridad +
Gobernabilidad
25
www.isaca.org.uy
La seguridad del lado del Negocio
•
•
•
Implementación de frameworks integrados para facilitar el cumplimiento de leyes y
regulaciones, asociados a los estándares y las políticas corporativas
El enfoque integrador, todos los participantes son involucrados en los logros del
proyecto
Resultados concretos en cortos plazos, con avances graduales hacia el cumplimiento
de los objetivos
Requerimientos del Servicio
Tecnología
Assessment
(GAP, Plan Preliminar)
• Herramientas
• Interfaces
Implementación
(Procesos implantados)
• Herramientas
• Migraciones
• Interfaces
Mejoramiento continuo
• Herramientas
• Interfaces
26
www.isaca.org.uy
Procesos
• Documentación
• Nivel de Madurez
• GAP
Personas
•
•
•
•
Estructura
Instituciones
Nivel de destrezas
Capacitación
•
•
•
•
•
Diseño lógico
Diseño Físico
Vinculaciones
Documentación
Validación de
Funcionamiento
• Roles y
responsabilidades
• Entrenamiento
• Cambio Cultural
• Herramientas de
capacitación
•
•
•
•
Seguimiento
Ajustes
Refinamientos
Nuevos Procesos
• Entrenamiento
• Capacitación
La seguridad del lado del Negocio
Seguridad y Gobernabilidad Asociadas
Política General y
Normas de Seguridad
Procesos de Negocio
Norma ISO 9001 / Norma ISO 20000
Familia ISO 27000
Normas,
procedimientos
Estándares
Registros
Documentación
asociada a las áreas
administrativas
Procedimientos
27
www.isaca.org.uy
Formularios
Documentación de
los sistemas y
operaciones
Manuales
Instructivos
Seguridad integrada como
respuesta al Negocio
28
www.isaca.org.uy
Seguridad Integrada al Negocio
• El Negocio debe comunicar cuáles son sus
futuros objetivos, para conseguir el soporte
necesario por parte de la Organización, ya
sea desde sus áreas administrativas como de
sus áreas tecnológicas.
• La organización, desde las diferentes áreas
brindará el soporte necesario acorde a los
requerimientos del Negocio
29
www.isaca.org.uy
Seguridad Integrada al Negocio
Sistemas de Gestión de Seguridad de la Información
Planes Directores de Seguridad
Evaluación y diagnóstico de la Seguridad de la Información
Planes de continuidad de negocios
Adecuación a buenas prácticas (ITIL / ISO 20000)
Certificaciones de SGC y SGS (ISO 9001 / ISO 27000)
Planes de formación y concientización
Governance, Risk & Compliance
Auditorias y revisiones periódicas
30
www.isaca.org.uy
Seguridad Integrada al Negocio
Mejor calidad de
Servicios y
Productos
Seguridad
Organizativa
Seguridad
Lógica
Seguridad
Física
Asegurar la
continuidad en
el tiempo
Seguridad
Legal
31
www.isaca.org.uy
Aseguramiento
de activos del
negocio
Objetivos de la
Empresa
Políticas de
Procedimientos
de
Seguridad
Seguridad
Procesos
Planes
Proyectos
32
www.isaca.org.uy
Leyes y Regulación
Métricas de Seguridad
Programa de Protección
Gestión de Riesgos
Seguridad es parte del Plan de Negocios en el marco
empresario actual, brindando a través de ella Calidad y
Gobernabilidad sobre todos los servicios de IT
Seguridad Integrada al Negocio
Plan
Estratégico de
la Empresa
Marca
PLAN DE NEGOCIO
Plan
Estratégico de
Seguridad
Reputación
33
www.isaca.org.uy
Uruguay - Argentina
Preguntas?
Muchas Gracias
Fabián Descalzo, CISO
[email protected]
34
www.isaca.org.uy