Post on 20-Feb-2018
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 1/63
Conferencia Latin America CACS 2006Conferencia Latin America CACS 2006
#113#113 Gobierno de Seguridad de InformaciGobierno de Seguridad de Informacióónn
Preparada porPreparada por
Ricardo Morales, CISA, CISM, ISO27001 LA, ITILRicardo Morales, CISA, CISM, ISO27001 LA, ITILAlestra AT&T Information Security and Service Planning ManagerAlestra AT&T Information Security and Service Planning Manager
23 de Octubre 2006
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 2/63
Alestra compañía mexicana que ocupa una posición de liderazgo en el mercadonacional de telecomunicaciones, es propiedad de Alfa (51%) y de AT&T (49%).Ofrece servicios de banda ancha y valor agregado bajo la marca AT&T, de
conformidad con los rigurosos estándares dictados por AT&T Inc.
La Red ALESTRA comprende actualmente más de 5,900 Km. de fibra óptica,cobertura de servicio local en 16 ciudades y de VPN en 50, además de contar con lamás avanzada tecnología en infraestructura de redes convergentes, comosoftswitches y plataformas de servicios convergentes avanzados.A través de ALESTRA la red Mundial de AT&T (AGN-AT&T Global Network) seexpande a 28 de las más importantes ciudades de México.
ALESTRA tiene un área especializada en Seguridad de Información, ya que lasalvaguarda de la información de sus clientes es una de sus más altas prioridades.
Los controles de seguridad de la información se instrumentan en los servicios que
provee a millares de usuarios.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 3/63
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
AAgg
eennddaa
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 4/63
HIPAA
Gobiernos,Tratados
Internacionales
Leyes/ Regulaciones/ Contratos
SOX Leyfederal 999
Privacidadde Datos
Visión Misión
IntroducciIntroduccióón. Alineacin. Alineacióón al negocio de la funcin al negocio de la funcióón de SIn de SI
Impactos en CIA
Interrupción
Metas no logradas
Impactos Tiempo, $
Impactos Imagen,Confianza
Impactos Legales
-
+
AmenazasImpacto
al negocio
Controles de Seguridad deInformación
Administrativos/Procedurales /
Técnicos/ Físicos
Sistemas de InformaciónDueños/ Custodios
Procesos de NegocioDeterminar sus Riesgos
Objetivos de NegocioAlineados a la Estrategia
EstrategiasCorto/ mediano/ Largo
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 5/63
Entradas:
MediciónCambio
?
Recursos:• System X• Arbor 2• Billing 66• Redes de datos• Staff
• Impresión• Distribución
Criterio:
•Reglas denegocio.
•Ofertas/tarifas
•ReqistrosHacendarios
Registros:
•Archivosparaimpresión
Dueño:RicardoMorales
Registros de
Facturación
Información
Salidas:
Facturasentregadas
a clientes atiempo
Evento:
Incendio
Probabilidadde ocurrencia:0.10 Anual
Facturación de Servicio de Voz
Impactos:
• $ 12,000,000/semanal
• 2 hospitalizados
• Incumplimiento de pagos
• Daño a imagen
UNBILLED
Exclusionesen base avariables
Exclusioncero duración
RECICLE
BILLDATS BILLEDBILLMON ARBOR
5ESS
VCDX
ODC
SONUS
A investigar
Pactolus
UNBILLED
Exclusionesen base avariables
Exclusioncero duración
RECICLE
BILLDATS BILLEDBILLMON ARBOR
5ESS
VCDX
ODC
SONUS
A investigar
Pactolus
IntroducciIntroduccióón. Ann. Anáálisis de procesos de negociolisis de procesos de negocio-- ““Una nueva visiUna nueva visióónn””
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 6/63
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
AAgg
eennddaa
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 7/63
SituaciSituacióón Actualn Actual
-Pobre alineación de Seguridad deInformación (SI) con los objetivos de negocio
-Roles de responsabilidad sobre la Informaciónno definidos:
-Dueño de la información-Dueño de los Sistemas-Administrador de Seguridad-Dueño de procesos
-Custodio de la Información/ sistemas-Etc.
-No hay un presupuesto asignado a la funciónde SI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 8/63
-Orientación de SI a la tecnología y no a losprocesos
SituaciSituacióón Actualn Actual
-Función de SI embebida en el área de TI
-Seguridad es todavía un gran esfuerzo, no se ve
como un requerimiento del negocio
-No se ve como un proceso de mejora continua
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 9/63
-No se cuenta con un proceso de administraciónde riesgos para la determinación de controles
de SI
SituaciSituacióón Actualn Actual
-No se cuenta con comités de SI para tomar decisionescolegiadas y que consideren a las áreas críticas de la
empresa-No se diseñan controles en base a políticas, normas,ni estándares
-“Prevalece la técnica y no la (filosofía + la técnica)”
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 10/63
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
AAgg
eennddaa
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 11/63
Reducir impactos adversos sobre la organización aun nivel aceptable de riesgos
IT Governance Institute
Objetivos de un Gobierno de Seguridad deObjetivos de un Gobierno de Seguridad de
InformaciInformacióón (GSI). Meta esencialn (GSI). Meta esencial
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 12/63
Gobierno de Seguridad de Información (GSI):
“Es el conjunto de responsabilidades y prácticas ejercidas por elgrupo directivo con el objetivo de proveer dirección estratégica,
asegurar que los objetivos sean alcanzados, validar que los
riesgos de la información sean apropiadamente administrados y
verificar que los recursos de la empresa sean usados
responsablemente.”
IT Governance Institute
Objetivos de un GSIObjetivos de un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 13/63
-La información está disponible y utilizable cuando sea requerida,los sistemas que proporcionan esta información pueden resistir orecuperarse apropiadamente de ataques (Disponibilidad)
-La información es observada o revelada sólo a entidades que tienenuna necesidad de conocerla (Confidencialidad)
-La información es protegida contra modificaciones no autorizadas
(Integridad)
-Las transacciones del negocio así como intercambios de la informaciónentre diversas áreas de la organización o con entidades externas quetengan relaciones de negocio deben ser confiables (Autenticidad y no-repudiación)
IT Governance Institute
Objetivos de un GSI. Objetivos de SeguridadObjetivos de un GSI. Objetivos de Seguridad
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 14/63
Optimizaciónen inversionesrelacionadas
Medicionespara asegurar
el logro deobjetivos
Usoefectivo y
eficiente derecursos
Reducciónde Riesgosde SI a nivel
aceptable
AlineaciónEstratégicaal negocio
Objetivos de un GSI. Beneficios de un GSIObjetivos de un GSI. Beneficios de un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 15/63
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
AAgg
eennddaa
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 16/63
Director General
Presidente del Comité
Comité de SI--------------------------TI OperacionesTI Desarrollo*RRHH*LEGAL*Finanzas*Dueños de Procesos
Seguridad de Información---------------------------------
Auditor de SI----------------------------
Áreas Operativas
Ingeniería,, Unidades de Negocio, Procesos, Tesorería, etc.
Roles y responsabilidades en un GSIRoles y responsabilidades en un GSI
*= Áreas siempre presentes
Depende del alcancedefinido en el SASI(Sistema de Administración deSeguridad de Información)
Estructura Organizacional de un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 17/63
Política de Seguridad
CorporativaAprobar Revisión final Revisar Elaborar
Objetivos SASI Aprobar Revisión final Revisar Elaborar
Alcance del SASI Aprobar Revisión final Revisar Elaborar
Metodología de Admon. De
Riesgos Aprobar Revisar Elaborar
Reporte de Admon. De
RiesgosAprobar Revisar Elaborar
Plan de Tratamiento de
RiesgoAprobar Revisar Elaborar
Nivel de Riesgo Aceptable Aprobar Revisión final Revisar Elaborar
Manual del Sistema de
Seguridad Información Aprobar Revisión final Revisar Elaborar
Procedimientos y Controles
del SASI (en proyecto To)Aprobar Elaborar Revisar
Procedimientos y Controles
del SASI (ya en operación
el SASI Tn)Aprobar Revisar Elaborar
SoA Aprobar Revisar Elaborar
Procedimiento de Auditoria
Interna del SASIAprobar Revisar Elaborar
Procedimiento de Acciones
correctivas y PreventivasAprobar Elaborar Revisar
Auditoría Interna de
SASIAreas Operativas
Gobierno del Sistema de Administración de Seguridad de Información
Dirección General
Rolando Zubirán
Presidente Comité
Alejandro IrigoyenComité de SI Area de SI
Roles y responsabilidades en un GSIRoles y responsabilidades en un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 18/63
Responsabilidades de DirecciResponsabilidades de Direccióón Generaln General
Garantizar que se establezcanGarantizar que se establezcan objetivos y planesobjetivos y planes de SI.de SI.
Establecer, comunicar y revisar laEstablecer, comunicar y revisar la PolPolíítica de SItica de SI..
ProveerProveer RecursosRecursos para: Constituir, Implementar, Operar, Monitorear, Revisar,para: Constituir, Implementar, Operar, Monitorear, Revisar,Mantener y Mejorar el SASI (Sistema de AdministraciMantener y Mejorar el SASI (Sistema de Administracióón de Seguridad den de Seguridad deInformaciInformacióón)n)
AprobarAprobar Niveles de AceptaciNiveles de Aceptacióón Riesgosn Riesgos de SI y documentacide SI y documentacióón requerida porn requerida por
norma seleccionada.norma seleccionada.
Roles y responsabilidades en un GSIRoles y responsabilidades en un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 19/63
Responsabilidades del PresidenteResponsabilidades del Presidente Constitución del SASI:
– Aprobar los objetivos y planes de SI. – Establecer Roles y Responsabilidades de SI. – Proveer Recursos Suficientes para: Constituir Implementar, Operar, Monitorear,
Revisar, Mantener, Mejorar el SASI.
Administrativos: – Aprobación de documentación del Comité de SI (CSI). – Presidir las reuniones del Comité de SI. – Convocar reuniones extraordinarias del CSI.
– Aprobación de Cambios de Procesos de Gobierno. – Aprobación de Cambios Estructurales al SASI.
Revisiones del SASI: – Garantizar que se conduzcan Auditorias Internas. – Conducir Revisiones de la Dirección del SASI.
– Verificar el cumplimiento de objetivos y planes de SI.
Roles y responsabilidades en un GSIRoles y responsabilidades en un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 20/63
Constitución del SASI:
- Elaboración de Procedimientos y Controles del SASI.
Administrativos: – Establecer y operar control documental del SASI.
Administración de Riesgos: – Elaboración de modelos, análisis de brechas y tratamiento de riesgos.
Seguimiento del desempeño del SASI: – Consolidar resultados de efectividad del SASI.
Responsabilidades de Seguridad de InformaciResponsabilidades de Seguridad de Informacióón (n (ÁÁrea)rea)
Mejora Continua: – Identificación y Revisión de Áreas de Oportunidad y de acciones correctivas.
Roles y responsabilidades en un GSIRoles y responsabilidades en un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 21/63
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
AAgg
eennddaa
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 22/63
SASI
Establecer el SASI
Implementar y
operar el SASI
Monitoreo y revisióndel SASI
Mantener y mejorar
el SASI
Plan
Do
Check
Act
• Alcance del SASI.• Análisis & Evaluación de riesgos.
• Definir la política del SASI.
• Controles objetivo ycontroles para tratamiento
de riesgos.• Declaración de
Aplicabilidad.
• Implementación del plan detratamiento de riesgos.
• Protección de registros.
• Trazabilidad.
• Revisión de la dirección.
• Monitoreo de desempeñodel SASI.
• Revisiones al SASI.
• Revisión de riesgo residual.
• Auditorias internas bajo un
programa de trabajo.• Documentar accionescorrectivas
•Comunicar los resultados yacciones y tomar acuerdos conlas partes involucradas.
• Monitoreo y seguimiento.
Modelo ISO 27001
Modelo de un GSI.Modelo de un GSI.
Edwards Deming,
`the Deming Wheel'. 1950
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 23/63
Modelo de un GSI. EstModelo de un GSI. Estáándares a considerar.ndares a considerar.
BS 15000
P L A N
C
H E C
K
A C T
COSOCOSO-- SOXSOX
BSCBSC
COBIT 3,4
D O
ISO 27001
ISO 20000
CMM
ó
ó
Estrategia delNegocio
Regulaciones
Control y Auditoria
Seguridad
Nivel de Madurez
IT Management
Fuente:
Latincacs 2005Panamá
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 24/63
A c e p t a c i ó n
t
1 9 8 0
1 9 8 5
1 9 9 0
1 9 9 5
2 0 0 0
2 0 0 5
Jun 2005
ISO/IEC
17799:2005
Estándar
de Shell
1995 BS7799 Parte 1
1998 BS7799 Parte 2 1999 BS7799 Parte 1 y 2
Dic 2000 ISO 17799
2001Revisión de BS 7799-2
El código de práctica(PD0003)
1993 Grupo industrial de trabajo
1993 Código de práctica
Oct 2005 ISO/IEC FDIS 27001:2005
Práctica interna de una organización
Acuerdo entre organizaciones:
Departamento de Comercio e Industria
Std. Internacional
Std. Regional
Std. Nacional
Documento de Consorcio
Modelo de un GSI. EvoluciModelo de un GSI. Evolucióón ISO27001.n ISO27001.
Sep 2002Sep 2002BS7799BS7799--22
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 25/63
Pareja de DocumentosPareja de Documentos ISO 17799:2005 GuISO 17799:2005 Guíía de Implementacia de Implementacióón de controlesn de controles
CCóódigo de prdigo de prááctica para un ISMSctica para un ISMS BS 7799BS 7799--2:20022:2002 Evoluciona en ISO27001Evoluciona en ISO27001
Especificaciones para un ISMSEspecificaciones para un ISMS
Resumen de cambiosResumen de cambios RevisiRevisióónn ISO17799:2005ISO17799:2005
– – ISO17799:2000 es retiradaISO17799:2000 es retirada – – Se publicSe publicóó en Julio 2005en Julio 2005 – – 17 nuevos controles17 nuevos controles – – ahora hay 134 en lugar de 127ahora hay 134 en lugar de 127 – – 11 Cap11 Capíítulos antes 10, se agrega manejo de incidentestulos antes 10, se agrega manejo de incidentes – – EvolucionarEvolucionaráá en ISO 27002 en Abril 2007en ISO 27002 en Abril 2007
BS7799BS7799-- Parte 2Parte 2 ISO 27001ISO 27001 – – Se transformSe transformóó en ISO27001 en Octubre 2005en ISO27001 en Octubre 2005 – – BS7799 Parte 2 es retirada.BS7799 Parte 2 es retirada.
Modelo de un GSI. EvoluciModelo de un GSI. Evolucióón ISO27001.n ISO27001.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 26/63
Organizational Structure Security Policy
Organization of Information Security
Asset Management
Human Resources Security
Physical & Environmental Security
Communications & Operations
Access Control
Information Systems Acquisition,Development & Maintenance
Information Security Incident
Business Continuity
Compliance
Systems Developmentand Maintenance
Communications andOperations Management
Business ContinuityManagement
Human ResourceSecurity
Compliance
Asset Management
OrganizationalOf Info Sec
Access Control
Security Policy
Operations
Management
Security Incident Management
Physical &Environ. Security
Modelo de un GSI. 11 Dominios ISO27001Modelo de un GSI. 11 Dominios ISO27001
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 27/63
Risk Management (BS 7799Risk Management (BS 7799--3)3)2700527005
Metrics and MeasurementMetrics and Measurement2700427004
Implementation GuidanceImplementation Guidance2700327003
Code of Practice (ISO17799:2005)Code of Practice (ISO17799:2005)2700227002
Specification (BS7799Specification (BS7799--2) OK2) OK2700127001
Vocabulary and definitionsVocabulary and definitions2700027000
DescriptionDescriptionISO/IECISO/IEC
StandardStandard
Estándares en Proceso
Modelo de un GSI.Modelo de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 28/63
Modelo de un GSI.Modelo de un GSI.
Punto Sección----------- ---------------------------------------------------------4 Information security management system
4.1 General requirements4.2 Establishing and managing the ISMS
4.2.1 Establish the ISMS4.2.2 Implement and operate the ISMS
4.2.3 Monitor and review the ISMS4.2.4 Maintain and improve the ISMS
ISO27001: 2005
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 29/63
Construyendo un GSI (basado en ISO27001)Construyendo un GSI (basado en ISO27001) 11--DefiniciDefinicióón y Establecimiento de:n y Establecimiento de:
– – Alcance y limites del SASI.Alcance y limites del SASI.
– – PolPolíítica de seguridad de informacitica de seguridad de informacióón.n.
– – MetodologMetodologíía de Administracia de Administracióón de Riesgos.n de Riesgos.•• Que identifique riesgos asociados a los activos de informaciQue identifique riesgos asociados a los activos de informacióón definidos.n definidos.
•• AnAnáálisis y evallisis y evalúúan los riesgos identificados.an los riesgos identificados.
•• EvalEvalúúan las opciones para el tratamiento de los riesgos identificadosan las opciones para el tratamiento de los riesgos identificados..
22--Nivel de riesgo aceptableNivel de riesgo aceptable..
33--ReducciReduccióón de Riesgo medianten de Riesgo mediante seleccionan de controles Anexo Aseleccionan de controles Anexo A
de la norma ISO 27001:2005de la norma ISO 27001:2005
44--AprobaciAprobacióón de Riesgo Residual por Direccin de Riesgo Residual por Direccióón general.n general.
55--AutorizaciAutorizacióón de Implementacin de Implementacióón del SASI por Direccin del SASI por Direccióón General.n General.
66--RelaciRelacióón de controles aplicables para lograr el nivel de riesgo residuan de controles aplicables para lograr el nivel de riesgo residual aprobadol aprobadopor la Direccipor la Direccióón General documentados en unn General documentados en un ““DeclaraciDeclaracióón de Aplicabilidad,n de Aplicabilidad, SoASoA””..
Modelo de un GSI.Modelo de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 30/63
Plan de TrabajoPlan de Trabajo –– Hacia una CertificaciHacia una Certificacióón ISO27001n ISO27001(ejemplo)(ejemplo)
Alcancesy metodología
1Q 2Q 3Q 4QTratamiento de Riesgos
e ImpactosSoA
Análisis Gap /implementación del SASIGeneración de Evidencia
Tech. Compliancey Auditoria
CierreAC
Listo paracertificación
• Creación de Comité
AuditoriaExterna
Análisis de Riesgose Impactos
• Alcance SASI• Política SASI•Objetivos• Niveles de Riesgos
Plan
DoCheck
Act
P
DCA
Modelo de un GSI.Modelo de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 31/63
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
AAgg
eenndd
aa
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 32/63
Modelo de Procesos de Seguridad de InformaciModelo de Procesos de Seguridad de Informacióón (ejemplo)n (ejemplo)
Desarrollo deNormas y Políticas
Concientización
Administraciónde Riesgos
Monitoreo
Continuidad
de negocio Respuestaa Incidentes
Control de
Accesos
DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.
Di ñ d l é i d SI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 33/63
Incidentes Evaluaciones
Organización
Política
Nivel deMadurez
InicialEstrategia
Primera Evaluación
ISO7799
CertificadoIS027001
Normas Control de Acceso
Adm. Riesgos
Concientización
Monitoreo
Procesos Críticosde Seguridad deinformación
Desarrollo del programa de Seguridad de InformaciDesarrollo del programa de Seguridad de Informacióónn
Despliegue de estrategia (ejemplo)Despliegue de estrategia (ejemplo)
++++
+++
++
RespuestaIncidentes
BusinessContinuity
tiempo
Creaciónde GSI
DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.
DiDi ññ d ld l t téé i d SIi d SI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 34/63
Desarrollode Política
Política Corporativa
Directriz
Políticas
Específicas
EstándaresInternos
Guías
Base-lines
Mec.Tec
EstándaresExternos
(Tecnologías,
RFCIEEE)
RecomendacionesBest PracticesSANS, CERT,
AT&T
AmenazasEspecíficas
Procedimientos Procedimientos Procedimientos Procedimientos
Políticas
Normatividad
Procedimientos
Email, Internet, Redes, Intranet, ..
DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 35/63
Concientización
Emails
Posters
Campañas
Medición (exámenes)
Firmas de políticas
Inducción
Premios a los que reporten incidentes
DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 36/63
Administraciónde Riesgos
Determinar
probabilidad delescenario de
riesgo
Identificar
impacto al
negocio
Identificarafectación en
CID
Validar estatus
de amenazas
Activos
Vulnerabilidades
Amenazas
Riesgos
(consecuancias)
Riesgos
residuales
Riesgos
iniciales
Riesgos
residuales
Análisis, Evaluación y
Tratamiento de Riesgos
Calcular riesgos
inciales y
residuales
Tratamiento de
riesgos
Entradas SalidasSubprocesos
Plan de
tratamiento de
riesgos
Carta de
aceptación de
riesgos
DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 37/63
DiDi ññ d ld l t téé i d SIi d SI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 38/63
Equipo deRespuestaa Incidentes
DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.
DiseDiseñño de un plan estrato de un plan estratéégico de SIgico de SI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 39/63
Control deAccesos
•Modelos•Técnicas•Administración
•Métodos
Control de Acceso
Información(Activos)
Confidencialidad
IntegridadDisponibilidad
identificación Autenticación AutorizaciónResponsabilidad
(Accountability)
Amenazas
Vulnerabilidades
Administrativos Técnicos o Lógicos Físicos
Preventivos Detectivos CorrectivosDisuasivos
(Deterrent)Reecuperación Compensatorios
Incidente
DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.
-Explotan
DiseDiseñño de un plan estrato de un plan estratéégico de SIgico de SI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 40/63
Plan de
Continuidad
DRP
(Disaster Recovery Plan)
BCM
(Business Continuity Management)
BCP(Business Continuity Plan)
DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.
Recreación deTransacciones
TransaccionesNo Capturadas
DeclaraciónDe Desastre
Recuperación deRegistros Vitales
Traslado RestauraciónDel Sistema
IPL & Activa-ción de la Red
Restauraciónde BD´s
Recuperación Tradicional• Recuperación a partir de Registros Vitales(Sist. Operativo, DBMS, Aplicaciones y
Datos)
Data Shadowing*Elimina los Riesgos de la Recuperación de
Datos (incluye Protección de Transacciones)
Hot Standby*Restauración Inmediata(incluye Data Shadowing)
-24 -12 0 12 24 36 48 60 72 84
Tiempo (Hrs)
Incidente
DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 41/63
Monitoreo
se o de u p a est atp ég co de Sg
Orientación de Procesos:•Desarrollo de Política•Concientización•Administración de Riesgos•Respuesta a Incidentes•Control de Accesos
•BCPPorcentaje de BCP de procesos de negocios que son auditadosFórmula = X´bcp9*100/X´bcp7
BCP6
IRM2
ERI7
CA6
IRM1
Orientación Técnica:
Porcentaje de riesgos que son aceptados y que no les haexpirado la fecha de aceptaciónFórmula = (X´irm3*100/X´irm1
Porcentaje de incidentes de Severidad 4 que ocurren en untiempo determinado.Fórmula = (X´eri10*100)/X´eri5
Porcentaje de sistemas con restricciones al personalde acceso
Fórmula = X´ca12*100/X´ca1
Porcentaje de activos que se les aplicó un análisis deriesgos en un período de 1 añoFórmula = (X´irm2*100)/X´irm1
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 42/63
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
AAggeenndd
aa
La AdministraciLa Administracióón de Riesgos en un GSI.n de Riesgos en un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 43/63
Objetivo: Administrar los riesgos de negocio en materia deSI en forma de costo-beneficio para la organización a través de:
– Identificación de activos críticos, sus vulnerabilidades y amenazas.
– Cuantificar los impactos al negocio debido a las amenazas.
– Calcular los riesgos.
– Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta losimpactos en el negocio ($$).
– Implementación de controles que ayuden a mitigar los riesgos.
– Monitoreo de la efectividad de los controles y su impacto en los riesgos
gg
“Este proceso es la parte fundamental de un GSI”
La AdministraciLa Administracióón de Riesgos en un GSI.n de Riesgos en un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 44/63
Tratamiento de Riesgos
Objetivo:Objetivo: – Identificar controles de seguridad que mitigan riesgos
– Calcular los riesgos residuales
– Seleccionar opciones de tratamiento de riesgos
• Aceptar, mitigar, transferir, evitar
– Desarrollar un plan de tratamiento de riesgos
g
La AdministraciLa Administracióón de Riesgos en un GSI.n de Riesgos en un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 45/63
- Acceso no autorizado- Consulta de facturación del cliente
- Cambios no autorizados-Modificación de cuentas ycontraseñas
- Código malicioso- Perdida de integridadde archivos
Escenario AAR
Escenario AAR (Activo, Amenaza, Riesgo)
Escenario AAR
Riesgo
Bajo
Riesgo
Medio
RiesgoAlto
RiesgoMuy Alto
La AdministraciLa Administracióón de Riesgos en un GSI.n de Riesgos en un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 46/63
Efectividad de Controles
Fuente: Libro CISSP
1 Introducción
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 47/63
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
AAggeenndd
aa
Consideraciones de mejores prConsideraciones de mejores práácticas en un GSIcticas en un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 48/63
Estrategia de Seguridad de Informaciónligada a los objetivos del negocio ybasada en el valor de la información
protegida.
Consideraciones de mejores prConsideraciones de mejores práácticas en un GSIcticas en un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 49/63
Políticas de Seguridad de Información
que incluyan aspectos de la estrategia, elcontrol y las regulaciones, que ademásestén basadas en las mejores prácticasinternacionales relacionadas a Seguridadde Información.
Consideraciones de mejores prConsideraciones de mejores práácticas en un GSIcticas en un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 50/63
Una estructura organizacional efectivaque permita la implementación de laEstrategia de Seguridad de Información.
Consideraciones de mejores prConsideraciones de mejores práácticas en un GSIcticas en un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 51/63
Metodología de Administración deRiesgos de Seguridad de Informaciónque facilite la toma de decisiones basadas
en riesgos de negocio.
Consideraciones de mejores prConsideraciones de mejores práácticas en un GSIcticas en un GSI
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 52/63
Un proceso de mejora continua y demonitoreo de políticas, procesos ycontroles de Seguridad de Información
para asegurar su cumplimiento.
1- Introducción
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 53/63
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
AAggeenndd
aa
Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 54/63
1- La Política de Seguridad de SI deberá estar firmada por eldirector general, debe responder a un análisis de riesgos previo yresponder a requerimientos legales y regulatorios de la organización.La misma deberá aplicarse a los terceros con actividades relacionadasa la organización.
2- Debe de diseñarse una Estrategia de SI que considere metas a corto,mediano y largo plazo que se oriente a implementar lo establecido en la
Política de SI.
3- Debe desarrollarse e implementar un Modelo de Administraciónde Riesgos en base a las necesidades de la empresa y que
considere riesgos residuales y bandas de riesgos aprobadas porla Dirección General.
Los siguientes puntos son los detalles finos que garantizan el éxito de un GSI
Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 55/63
5- Se debe Concientizar sobre la relevancia de SI al grupo dedirectores así como a las diferentes audiencias pensando enla especialización, esto debe de enfocarse a explicar a comotransformar el costo de cumplimiento de la Política de SI abeneficios tangibles a la Organización.
6- Se debe de establecer un Comité de SI que sea representativode la organización de acuerdo al alcance del GSI, es mandatarioinvolucrar a Recursos Humanos y a Legal.
7- Deben establecerse los diversos Dueños y Custodios de los Activos de
Información y su adecuado “Accountability”.
4- Se debe de considerar establecer un Plan de Continuidad de
Negocios que responda a eventos que puedan interrumpir procesoscríticos de negocio.
Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 56/63
9- Se debe establecer una Medición del Cumplimiento de la Política
de SI basado en un adecuado monitoreo del GSI.
10- La función de SI deberá contar con un Presupuesto Independiente decualquier área funcional.
8- La dirección general debe Aprobar Objetivos Anuales de SIclasificados en estratégicos, relacionados a mejoras en procesosbásicos de SI y objetivos operativos.
11- Se debe de establecer la Normatividad basada en las mejores prácticasinternacionales de SI y disciplinas relacionadas necesarias para que seanla base estructural de los controles de SI administrativos, tecnológicos y
procedurales.
Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 57/63
12- La función de SI debe de Cubrir a los procesos más Críticosde la Organización.
13- Se debe de considerar establecer un Equipo de Respuesta a Incidentes
que considere un adecuado proceso de comunicación y procedimientosde respuesta a incidentes.
14- Se debe de considerar establecer un Proceso de Control de Accesosque brinde Seguridad efectiva y optimice los recursos dedicados a TI.
15- La Selección de controles de SI deberá contar con el nivel deefectividad solicitada por el Análisis de Riesgos de forma queel riesgo residual se maneje adecuadamente.
Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 58/63
16- Todos los Contratos de la Organización deberán considerarsiempre aspectos de SI como acuerdos de confidencialidad,propiedad intelectual, etc.
17- Debe de establecerse la función de Auditoria de TI/SI para contarcon un adecuado balance entre las normas y las operaciones relacionadasa SI.
18- Debe de mantenerse un Inventario de Activos de Información queconsidere procesos de negocio, personas e infraestructura en general.
19- Debe de establecerse una Organización de SI que administre la función
de SI y encuentre el adecuado balance con el Comité de SI.
Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 59/63
Esfuerzo
AportarValor
- +
+
-
-Política -Estrategia
- Normatividad
- Concientizar
-Comité
-Dueños yCustodios
-Administraciónde Riesgos
-Medición delCumplimiento
-Presupuesto
independiente
-Aprobarobjetivosanuales
-Selecciónde Controles- Contratos
-Auditorias
-Procesos másCríticos
-Plan decontinuidad
-Equipo derespuesta
-Control deacceso-Inventariode activos
Valor vs Esfuerzo
No se Justifica
Debe de ser primero Difícil de justificar
Zona deno valor
-Organizaciónde SI
Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 60/63
Esfuerzo
AportarValor
- +
+
-
-Política -Estrategia
- Normatividad
- Concientizar
-Comité
-Dueños yCustodios
-Administraciónde Riesgos
-Medición delCumplimiento
-Presupuesto
independiente
-Aprobarobjetivosanuales
-Selecciónde Controles- Contratos
-Auditorias
-Procesos másCríticos
-Plan decontinuidad
-Equipo derespuesta -Control deacceso-Inventariode activos
Valor vs Esfuerzo
No se Justifica
Debe de ser primero Difícil de justificar
Zona deno valor
-Organizaciónde SI
Gran Valor
Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 61/63
Esfuerzo
AportarValor
- +
+
-
-Política -Estrategia
- Normatividad
- Concientizar
-Comité
-Dueños yCustodios
-Administraciónde Riesgos
-Medición delCumplimiento
-Presupuesto
independiente
-Aprobarobjetivosanuales
-Selecciónde Controles- Contratos
-Auditorias
-Procesos másCríticos
-Plan decontinuidad
-Equipo derespuesta -Control deacceso-Inventariode activos
Valor vs Esfuerzo
No se Justifica
Debe de ser primero Difícil de justificar
Zona deno valor
-Organizaciónde SI
Mucho Esfuerzo (Marathon)
Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 62/63
Esfuerzo
AportarValor
- +
+
-
-Política -Estrategia
- Normatividad
- Concientizar
-Comité
-Dueños yCustodios
-Administraciónde Riesgos
-Medición delCumplimiento
-Presupuesto
independiente
-Aprobarobjetivosanuales
-Selecciónde Controles- Contratos
-Auditorias
-Procesos másCríticos
-Plan decontinuidad
-Equipo derespuesta -Control deacceso-Inventariode activos
Valor vs Esfuerzo
No se Justifica
Debe de ser primero Difícil de justificar
Zona deno valor
-Organizaciónde SI
Gran Valor
Mucho Esfuerzo (Marathon)
7/24/2019 20061023 Gobierno de Seguridad de Información
http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 63/63
Gracias
Ricardo Morales, CISA, CISM, ISO27001 LA, ITILRicardo Morales, CISA, CISM, ISO27001 LA, ITILALESTRA (AT&T) Information Security and Service Planning ManagerALESTRA (AT&T) Information Security and Service Planning Manager
rmoralesg@alestra.com.mxrmoralesg@alestra.com.mx