20061023 Gobierno de Seguridad de Información

7/24/2019 20061023 Gobierno de Seguridad de Información

http://slidepdf.com/reader/full/20061023-gobierno-de-seguridad-de-informacion 1/63

Conferencia Latin America CACS 2006Conferencia Latin America CACS 2006

#113#113 Gobierno de Seguridad de InformaciGobierno de Seguridad de Informacióónn

Preparada porPreparada por

Ricardo Morales, CISA, CISM, ISO27001 LA, ITILRicardo Morales, CISA, CISM, ISO27001 LA, ITILAlestra AT&T Information Security and Service Planning ManagerAlestra AT&T Information Security and Service Planning Manager

23 de Octubre 2006



Alestra compañía mexicana que ocupa una posición de liderazgo en el mercadonacional de telecomunicaciones, es propiedad de Alfa (51%) y de AT&T (49%).Ofrece servicios de banda ancha y valor agregado bajo la marca AT&T, de

conformidad con los rigurosos estándares dictados por AT&T Inc.

La Red ALESTRA comprende actualmente más de 5,900 Km. de fibra óptica,cobertura de servicio local en 16 ciudades y de VPN en 50, además de contar con lamás avanzada tecnología en infraestructura de redes convergentes, comosoftswitches y plataformas de servicios convergentes avanzados.A través de ALESTRA la red Mundial de AT&T (AGN-AT&T Global Network) seexpande a 28 de las más importantes ciudades de México.

ALESTRA tiene un área especializada en Seguridad de Información, ya que lasalvaguarda de la información de sus clientes es una de sus más altas prioridades.

Los controles de seguridad de la información se instrumentan en los servicios que

provee a millares de usuarios.



1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

AAgg

eennddaa



HIPAA

Gobiernos,Tratados

Internacionales

Leyes/ Regulaciones/ Contratos

SOX Leyfederal 999

Privacidadde Datos

Visión Misión

IntroducciIntroduccióón. Alineacin. Alineacióón al negocio de la funcin al negocio de la funcióón de SIn de SI

Impactos en CIA

Interrupción

Metas no logradas

Impactos Tiempo, $

Impactos Imagen,Confianza

Impactos Legales

-

+

AmenazasImpacto

al negocio

Controles de Seguridad deInformación

Administrativos/Procedurales /

Técnicos/ Físicos

Sistemas de InformaciónDueños/ Custodios

Procesos de NegocioDeterminar sus Riesgos

Objetivos de NegocioAlineados a la Estrategia

EstrategiasCorto/ mediano/ Largo



Entradas:

MediciónCambio

?

Recursos:• System X• Arbor 2• Billing 66• Redes de datos• Staff

• Impresión• Distribución

Criterio:

•Reglas denegocio.

•Ofertas/tarifas

•ReqistrosHacendarios

Registros:

•Archivosparaimpresión

Dueño:RicardoMorales

Registros de

Facturación

Información

Salidas:

Facturasentregadas

a clientes atiempo

Evento:

Incendio

Probabilidadde ocurrencia:0.10 Anual

Facturación de Servicio de Voz

Impactos:

• $ 12,000,000/semanal

• 2 hospitalizados

• Incumplimiento de pagos

• Daño a imagen

UNBILLED

Exclusionesen base avariables

Exclusioncero duración

RECICLE

BILLDATS BILLEDBILLMON ARBOR

5ESS

VCDX

ODC

SONUS

A investigar

Pactolus

UNBILLED

Exclusionesen base avariables

Exclusioncero duración

RECICLE

BILLDATS BILLEDBILLMON ARBOR

5ESS

VCDX

ODC

SONUS

A investigar

Pactolus

IntroducciIntroduccióón. Ann. Anáálisis de procesos de negociolisis de procesos de negocio-- ““Una nueva visiUna nueva visióónn””



1- Introducción









AAgg

eennddaa



SituaciSituacióón Actualn Actual

-Pobre alineación de Seguridad deInformación (SI) con los objetivos de negocio

-Roles de responsabilidad sobre la Informaciónno definidos:

-Dueño de la información-Dueño de los Sistemas-Administrador de Seguridad-Dueño de procesos

-Custodio de la Información/ sistemas-Etc.

-No hay un presupuesto asignado a la funciónde SI



-Orientación de SI a la tecnología y no a losprocesos


-Función de SI embebida en el área de TI

-Seguridad es todavía un gran esfuerzo, no se ve

como un requerimiento del negocio

-No se ve como un proceso de mejora continua



-No se cuenta con un proceso de administraciónde riesgos para la determinación de controles

de SI


-No se cuenta con comités de SI para tomar decisionescolegiadas y que consideren a las áreas críticas de la

empresa-No se diseñan controles en base a políticas, normas,ni estándares

-“Prevalece la técnica y no la (filosofía + la técnica)”



1- Introducción









AAgg

eennddaa



Reducir impactos adversos sobre la organización aun nivel aceptable de riesgos

IT Governance Institute

Objetivos de un Gobierno de Seguridad deObjetivos de un Gobierno de Seguridad de

InformaciInformacióón (GSI). Meta esencialn (GSI). Meta esencial



Gobierno de Seguridad de Información (GSI):

“Es el conjunto de responsabilidades y prácticas ejercidas por elgrupo directivo con el objetivo de proveer dirección estratégica,

asegurar que los objetivos sean alcanzados, validar que los

riesgos de la información sean apropiadamente administrados y

verificar que los recursos de la empresa sean usados

responsablemente.”


Objetivos de un GSIObjetivos de un GSI



-La información está disponible y utilizable cuando sea requerida,los sistemas que proporcionan esta información pueden resistir orecuperarse apropiadamente de ataques (Disponibilidad)

-La información es observada o revelada sólo a entidades que tienenuna necesidad de conocerla (Confidencialidad)

-La información es protegida contra modificaciones no autorizadas

(Integridad)

-Las transacciones del negocio así como intercambios de la informaciónentre diversas áreas de la organización o con entidades externas quetengan relaciones de negocio deben ser confiables (Autenticidad y no-repudiación)


Objetivos de un GSI. Objetivos de SeguridadObjetivos de un GSI. Objetivos de Seguridad



Optimizaciónen inversionesrelacionadas

Medicionespara asegurar

el logro deobjetivos

Usoefectivo y

eficiente derecursos

Reducciónde Riesgosde SI a nivel

aceptable

AlineaciónEstratégicaal negocio

Objetivos de un GSI. Beneficios de un GSIObjetivos de un GSI. Beneficios de un GSI



1- Introducción









AAgg

eennddaa



Director General

Presidente del Comité

Comité de SI--------------------------TI OperacionesTI Desarrollo*RRHH*LEGAL*Finanzas*Dueños de Procesos

Seguridad de Información---------------------------------

Auditor de SI----------------------------

Áreas Operativas

Ingeniería,, Unidades de Negocio, Procesos, Tesorería, etc.

Roles y responsabilidades en un GSIRoles y responsabilidades en un GSI

*= Áreas siempre presentes

Depende del alcancedefinido en el SASI(Sistema de Administración deSeguridad de Información)

Estructura Organizacional de un GSI



Política de Seguridad

CorporativaAprobar Revisión final Revisar Elaborar

Objetivos SASI Aprobar Revisión final Revisar Elaborar

Alcance del SASI Aprobar Revisión final Revisar Elaborar

Metodología de Admon. De

Riesgos Aprobar Revisar Elaborar

Reporte de Admon. De

RiesgosAprobar Revisar Elaborar

Plan de Tratamiento de

RiesgoAprobar Revisar Elaborar

Nivel de Riesgo Aceptable Aprobar Revisión final Revisar Elaborar

Manual del Sistema de

Seguridad Información Aprobar Revisión final Revisar Elaborar

Procedimientos y Controles

del SASI (en proyecto To)Aprobar Elaborar Revisar

Procedimientos y Controles

del SASI (ya en operación

el SASI Tn)Aprobar Revisar Elaborar

SoA Aprobar Revisar Elaborar

Procedimiento de Auditoria

Interna del SASIAprobar Revisar Elaborar

Procedimiento de Acciones

correctivas y PreventivasAprobar Elaborar Revisar

Auditoría Interna de

SASIAreas Operativas

Gobierno del Sistema de Administración de Seguridad de Información

Dirección General

Rolando Zubirán

Presidente Comité

Alejandro IrigoyenComité de SI Area de SI




Responsabilidades de DirecciResponsabilidades de Direccióón Generaln General

Garantizar que se establezcanGarantizar que se establezcan objetivos y planesobjetivos y planes de SI.de SI.

Establecer, comunicar y revisar laEstablecer, comunicar y revisar la PolPolíítica de SItica de SI..

ProveerProveer RecursosRecursos para: Constituir, Implementar, Operar, Monitorear, Revisar,para: Constituir, Implementar, Operar, Monitorear, Revisar,Mantener y Mejorar el SASI (Sistema de AdministraciMantener y Mejorar el SASI (Sistema de Administracióón de Seguridad den de Seguridad deInformaciInformacióón)n)

AprobarAprobar Niveles de AceptaciNiveles de Aceptacióón Riesgosn Riesgos de SI y documentacide SI y documentacióón requerida porn requerida por

norma seleccionada.norma seleccionada.




Responsabilidades del PresidenteResponsabilidades del Presidente Constitución del SASI:

– Aprobar los objetivos y planes de SI. – Establecer Roles y Responsabilidades de SI. – Proveer Recursos Suficientes para: Constituir Implementar, Operar, Monitorear,

Revisar, Mantener, Mejorar el SASI.

Administrativos: – Aprobación de documentación del Comité de SI (CSI). – Presidir las reuniones del Comité de SI. – Convocar reuniones extraordinarias del CSI.

– Aprobación de Cambios de Procesos de Gobierno. – Aprobación de Cambios Estructurales al SASI.

Revisiones del SASI: – Garantizar que se conduzcan Auditorias Internas. – Conducir Revisiones de la Dirección del SASI.

– Verificar el cumplimiento de objetivos y planes de SI.




Constitución del SASI:

- Elaboración de Procedimientos y Controles del SASI.

Administrativos: – Establecer y operar control documental del SASI.

Administración de Riesgos: – Elaboración de modelos, análisis de brechas y tratamiento de riesgos.

Seguimiento del desempeño del SASI: – Consolidar resultados de efectividad del SASI.

Responsabilidades de Seguridad de InformaciResponsabilidades de Seguridad de Informacióón (n (ÁÁrea)rea)

Mejora Continua: – Identificación y Revisión de Áreas de Oportunidad y de acciones correctivas.




1- Introducción









AAgg

eennddaa



SASI

Establecer el SASI

Implementar y

operar el SASI

Monitoreo y revisióndel SASI

Mantener y mejorar

el SASI

Plan

Do

Check

Act

• Alcance del SASI.• Análisis & Evaluación de riesgos.

• Definir la política del SASI.

• Controles objetivo ycontroles para tratamiento

de riesgos.• Declaración de

Aplicabilidad.

• Implementación del plan detratamiento de riesgos.

• Protección de registros.

• Trazabilidad.

• Revisión de la dirección.

• Monitoreo de desempeñodel SASI.

• Revisiones al SASI.

• Revisión de riesgo residual.

• Auditorias internas bajo un

programa de trabajo.• Documentar accionescorrectivas

•Comunicar los resultados yacciones y tomar acuerdos conlas partes involucradas.

• Monitoreo y seguimiento.

Modelo ISO 27001

Modelo de un GSI.Modelo de un GSI.

Edwards Deming,

`the Deming Wheel'. 1950



Modelo de un GSI. EstModelo de un GSI. Estáándares a considerar.ndares a considerar.

BS 15000

P L A N

C

H E C

K

A C T

COSOCOSO-- SOXSOX

BSCBSC

COBIT 3,4

D O

ISO 27001

ISO 20000

CMM

ó

ó

Estrategia delNegocio

Regulaciones

Control y Auditoria

Seguridad

Nivel de Madurez

IT Management

Fuente:

Latincacs 2005Panamá



A c e p t a c i ó n

t

1 9 8 0

1 9 8 5

1 9 9 0

1 9 9 5

2 0 0 0

2 0 0 5

Jun 2005

ISO/IEC

17799:2005

Estándar

de Shell

1995 BS7799 Parte 1

1998 BS7799 Parte 2 1999 BS7799 Parte 1 y 2

Dic 2000 ISO 17799

2001Revisión de BS 7799-2

El código de práctica(PD0003)

1993 Grupo industrial de trabajo

1993 Código de práctica

Oct 2005 ISO/IEC FDIS 27001:2005

Práctica interna de una organización

Acuerdo entre organizaciones:

Departamento de Comercio e Industria

Std. Internacional

Std. Regional

Std. Nacional

Documento de Consorcio

Modelo de un GSI. EvoluciModelo de un GSI. Evolucióón ISO27001.n ISO27001.

Sep 2002Sep 2002BS7799BS7799--22



Pareja de DocumentosPareja de Documentos ISO 17799:2005 GuISO 17799:2005 Guíía de Implementacia de Implementacióón de controlesn de controles

CCóódigo de prdigo de prááctica para un ISMSctica para un ISMS BS 7799BS 7799--2:20022:2002 Evoluciona en ISO27001Evoluciona en ISO27001

Especificaciones para un ISMSEspecificaciones para un ISMS

Resumen de cambiosResumen de cambios RevisiRevisióónn ISO17799:2005ISO17799:2005

– – ISO17799:2000 es retiradaISO17799:2000 es retirada – – Se publicSe publicóó en Julio 2005en Julio 2005 – – 17 nuevos controles17 nuevos controles – – ahora hay 134 en lugar de 127ahora hay 134 en lugar de 127 – – 11 Cap11 Capíítulos antes 10, se agrega manejo de incidentestulos antes 10, se agrega manejo de incidentes – – EvolucionarEvolucionaráá en ISO 27002 en Abril 2007en ISO 27002 en Abril 2007

BS7799BS7799-- Parte 2Parte 2 ISO 27001ISO 27001 – – Se transformSe transformóó en ISO27001 en Octubre 2005en ISO27001 en Octubre 2005 – – BS7799 Parte 2 es retirada.BS7799 Parte 2 es retirada.

Modelo de un GSI. EvoluciModelo de un GSI. Evolucióón ISO27001.n ISO27001.



Organizational Structure Security Policy

Organization of Information Security

Asset Management

Human Resources Security

Physical & Environmental Security

Communications & Operations

Access Control

Information Systems Acquisition,Development & Maintenance

Information Security Incident

Business Continuity

Compliance

Systems Developmentand Maintenance

Communications andOperations Management

Business ContinuityManagement

Human ResourceSecurity

Compliance

Asset Management

OrganizationalOf Info Sec

Access Control

Security Policy

Operations

Management

Security Incident Management

Physical &Environ. Security

Modelo de un GSI. 11 Dominios ISO27001Modelo de un GSI. 11 Dominios ISO27001



Risk Management (BS 7799Risk Management (BS 7799--3)3)2700527005

Metrics and MeasurementMetrics and Measurement2700427004

Implementation GuidanceImplementation Guidance2700327003

Code of Practice (ISO17799:2005)Code of Practice (ISO17799:2005)2700227002

Specification (BS7799Specification (BS7799--2) OK2) OK2700127001

Vocabulary and definitionsVocabulary and definitions2700027000

DescriptionDescriptionISO/IECISO/IEC

StandardStandard

Estándares en Proceso





Punto Sección----------- ---------------------------------------------------------4 Information security management system

4.1 General requirements4.2 Establishing and managing the ISMS

4.2.1 Establish the ISMS4.2.2 Implement and operate the ISMS

4.2.3 Monitor and review the ISMS4.2.4 Maintain and improve the ISMS

ISO27001: 2005



Construyendo un GSI (basado en ISO27001)Construyendo un GSI (basado en ISO27001) 11--DefiniciDefinicióón y Establecimiento de:n y Establecimiento de:

– – Alcance y limites del SASI.Alcance y limites del SASI.

– – PolPolíítica de seguridad de informacitica de seguridad de informacióón.n.

– – MetodologMetodologíía de Administracia de Administracióón de Riesgos.n de Riesgos.•• Que identifique riesgos asociados a los activos de informaciQue identifique riesgos asociados a los activos de informacióón definidos.n definidos.

•• AnAnáálisis y evallisis y evalúúan los riesgos identificados.an los riesgos identificados.

•• EvalEvalúúan las opciones para el tratamiento de los riesgos identificadosan las opciones para el tratamiento de los riesgos identificados..

22--Nivel de riesgo aceptableNivel de riesgo aceptable..

33--ReducciReduccióón de Riesgo medianten de Riesgo mediante seleccionan de controles Anexo Aseleccionan de controles Anexo A

de la norma ISO 27001:2005de la norma ISO 27001:2005

44--AprobaciAprobacióón de Riesgo Residual por Direccin de Riesgo Residual por Direccióón general.n general.

55--AutorizaciAutorizacióón de Implementacin de Implementacióón del SASI por Direccin del SASI por Direccióón General.n General.

66--RelaciRelacióón de controles aplicables para lograr el nivel de riesgo residuan de controles aplicables para lograr el nivel de riesgo residual aprobadol aprobadopor la Direccipor la Direccióón General documentados en unn General documentados en un ““DeclaraciDeclaracióón de Aplicabilidad,n de Aplicabilidad, SoASoA””..




Plan de TrabajoPlan de Trabajo –– Hacia una CertificaciHacia una Certificacióón ISO27001n ISO27001(ejemplo)(ejemplo)

Alcancesy metodología

1Q 2Q 3Q 4QTratamiento de Riesgos

e ImpactosSoA

Análisis Gap /implementación del SASIGeneración de Evidencia

Tech. Compliancey Auditoria

CierreAC

Listo paracertificación

• Creación de Comité

AuditoriaExterna

Análisis de Riesgose Impactos

• Alcance SASI• Política SASI•Objetivos• Niveles de Riesgos

Plan

DoCheck

Act

P

DCA




1- Introducción









AAgg

eenndd

aa



Modelo de Procesos de Seguridad de InformaciModelo de Procesos de Seguridad de Informacióón (ejemplo)n (ejemplo)

Desarrollo deNormas y Políticas

Concientización

Administraciónde Riesgos

Monitoreo

Continuidad

de negocio Respuestaa Incidentes

Control de

Accesos

DiseDiseñño de un plan estrato de un plan estratéégico de SI.gico de SI.

Di ñ d l é i d SI



Incidentes Evaluaciones

Organización

Política

Nivel deMadurez

InicialEstrategia

Primera Evaluación

ISO7799

CertificadoIS027001

Normas Control de Acceso

Adm. Riesgos

Concientización

Monitoreo

Procesos Críticosde Seguridad deinformación

Desarrollo del programa de Seguridad de InformaciDesarrollo del programa de Seguridad de Informacióónn

Despliegue de estrategia (ejemplo)Despliegue de estrategia (ejemplo)

++++

+++

++

RespuestaIncidentes

BusinessContinuity

tiempo

Creaciónde GSI


DiDi ññ d ld l t téé i d SIi d SI



Desarrollode Política

Política Corporativa

Directriz

Políticas

Específicas

EstándaresInternos

Guías

Base-lines

Mec.Tec

EstándaresExternos

(Tecnologías,

RFCIEEE)

RecomendacionesBest PracticesSANS, CERT,

AT&T

AmenazasEspecíficas

Procedimientos Procedimientos Procedimientos Procedimientos

Políticas

Normatividad

Procedimientos

Email, Internet, Redes, Intranet, ..




Concientización

Emails

Posters

Campañas

Medición (exámenes)

Firmas de políticas

Inducción

Premios a los que reporten incidentes




Administraciónde Riesgos

Determinar

probabilidad delescenario de

riesgo

Identificar

impacto al

negocio

Identificarafectación en

CID

Validar estatus

de amenazas

Activos

Vulnerabilidades

Amenazas

Riesgos

(consecuancias)

Riesgos

residuales

Riesgos

iniciales

Riesgos

residuales

Análisis, Evaluación y

Tratamiento de Riesgos

Calcular riesgos

inciales y

residuales

Tratamiento de

riesgos

Entradas SalidasSubprocesos

Plan de

tratamiento de

riesgos

Carta de

aceptación de

riesgos




DiDi ññ d ld l t téé i d SIi d SI



Equipo deRespuestaa Incidentes


DiseDiseñño de un plan estrato de un plan estratéégico de SIgico de SI



Control deAccesos

•Modelos•Técnicas•Administración

•Métodos

Control de Acceso

Información(Activos)

Confidencialidad

IntegridadDisponibilidad

identificación Autenticación AutorizaciónResponsabilidad

(Accountability)

Amenazas

Vulnerabilidades

Administrativos Técnicos o Lógicos Físicos

Preventivos Detectivos CorrectivosDisuasivos

(Deterrent)Reecuperación Compensatorios

Incidente


-Explotan

DiseDiseñño de un plan estrato de un plan estratéégico de SIgico de SI



Plan de

Continuidad

DRP

(Disaster Recovery Plan)

BCM

(Business Continuity Management)

BCP(Business Continuity Plan)


Recreación deTransacciones

TransaccionesNo Capturadas

DeclaraciónDe Desastre

Recuperación deRegistros Vitales

Traslado RestauraciónDel Sistema

IPL & Activa-ción de la Red

Restauraciónde BD´s

Recuperación Tradicional• Recuperación a partir de Registros Vitales(Sist. Operativo, DBMS, Aplicaciones y

Datos)

Data Shadowing*Elimina los Riesgos de la Recuperación de

Datos (incluye Protección de Transacciones)

Hot Standby*Restauración Inmediata(incluye Data Shadowing)

-24 -12 0 12 24 36 48 60 72 84

Tiempo (Hrs)

Incidente




Monitoreo

se o de u p a est atp ég co de Sg

Orientación de Procesos:•Desarrollo de Política•Concientización•Administración de Riesgos•Respuesta a Incidentes•Control de Accesos

•BCPPorcentaje de BCP de procesos de negocios que son auditadosFórmula = X´bcp9*100/X´bcp7

BCP6

IRM2

ERI7

CA6

IRM1

Orientación Técnica:

Porcentaje de riesgos que son aceptados y que no les haexpirado la fecha de aceptaciónFórmula = (Xírm3*100/Xírm1

Porcentaje de incidentes de Severidad 4 que ocurren en untiempo determinado.Fórmula = (Xéri10*100)/Xéri5

Porcentaje de sistemas con restricciones al personalde acceso

Fórmula = Xća12*100/Xća1

Porcentaje de activos que se les aplicó un análisis deriesgos en un período de 1 añoFórmula = (Xírm2*100)/Xírm1



1- Introducción









AAggeenndd

aa

La AdministraciLa Administracióón de Riesgos en un GSI.n de Riesgos en un GSI.



Objetivo: Administrar los riesgos de negocio en materia deSI en forma de costo-beneficio para la organización a través de:

– Identificación de activos críticos, sus vulnerabilidades y amenazas.

– Cuantificar los impactos al negocio debido a las amenazas.

– Calcular los riesgos.

– Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta losimpactos en el negocio ($$).

– Implementación de controles que ayuden a mitigar los riesgos.

– Monitoreo de la efectividad de los controles y su impacto en los riesgos

gg

“Este proceso es la parte fundamental de un GSI”




Tratamiento de Riesgos

Objetivo:Objetivo: – Identificar controles de seguridad que mitigan riesgos

– Calcular los riesgos residuales

– Seleccionar opciones de tratamiento de riesgos

• Aceptar, mitigar, transferir, evitar

– Desarrollar un plan de tratamiento de riesgos

g




- Acceso no autorizado- Consulta de facturación del cliente

- Cambios no autorizados-Modificación de cuentas ycontraseñas

- Código malicioso- Perdida de integridadde archivos

Escenario AAR

Escenario AAR (Activo, Amenaza, Riesgo)

Escenario AAR

Riesgo

Bajo

Riesgo

Medio

RiesgoAlto

RiesgoMuy Alto




Efectividad de Controles

Fuente: Libro CISSP

1 Introducción



1- Introducción









AAggeenndd

aa

Consideraciones de mejores prConsideraciones de mejores práácticas en un GSIcticas en un GSI



Estrategia de Seguridad de Informaciónligada a los objetivos del negocio ybasada en el valor de la información

protegida.




Políticas de Seguridad de Información

que incluyan aspectos de la estrategia, elcontrol y las regulaciones, que ademásestén basadas en las mejores prácticasinternacionales relacionadas a Seguridadde Información.




Una estructura organizacional efectivaque permita la implementación de laEstrategia de Seguridad de Información.




Metodología de Administración deRiesgos de Seguridad de Informaciónque facilite la toma de decisiones basadas

en riesgos de negocio.




Un proceso de mejora continua y demonitoreo de políticas, procesos ycontroles de Seguridad de Información

para asegurar su cumplimiento.

1- Introducción











AAggeenndd

aa

Factores CrFactores Crííticos delticos del ééxito de un GSI.xito de un GSI.



1- La Política de Seguridad de SI deberá estar firmada por eldirector general, debe responder a un análisis de riesgos previo yresponder a requerimientos legales y regulatorios de la organización.La misma deberá aplicarse a los terceros con actividades relacionadasa la organización.

2- Debe de diseñarse una Estrategia de SI que considere metas a corto,mediano y largo plazo que se oriente a implementar lo establecido en la

Política de SI.

3- Debe desarrollarse e implementar un Modelo de Administraciónde Riesgos en base a las necesidades de la empresa y que

considere riesgos residuales y bandas de riesgos aprobadas porla Dirección General.

Los siguientes puntos son los detalles finos que garantizan el éxito de un GSI




5- Se debe Concientizar sobre la relevancia de SI al grupo dedirectores así como a las diferentes audiencias pensando enla especialización, esto debe de enfocarse a explicar a comotransformar el costo de cumplimiento de la Política de SI abeneficios tangibles a la Organización.

6- Se debe de establecer un Comité de SI que sea representativode la organización de acuerdo al alcance del GSI, es mandatarioinvolucrar a Recursos Humanos y a Legal.

7- Deben establecerse los diversos Dueños y Custodios de los Activos de

Información y su adecuado “Accountability”.

4- Se debe de considerar establecer un Plan de Continuidad de

Negocios que responda a eventos que puedan interrumpir procesoscríticos de negocio.




9- Se debe establecer una Medición del Cumplimiento de la Política

de SI basado en un adecuado monitoreo del GSI.

10- La función de SI deberá contar con un Presupuesto Independiente decualquier área funcional.

8- La dirección general debe Aprobar Objetivos Anuales de SIclasificados en estratégicos, relacionados a mejoras en procesosbásicos de SI y objetivos operativos.

11- Se debe de establecer la Normatividad basada en las mejores prácticasinternacionales de SI y disciplinas relacionadas necesarias para que seanla base estructural de los controles de SI administrativos, tecnológicos y

procedurales.




12- La función de SI debe de Cubrir a los procesos más Críticosde la Organización.

13- Se debe de considerar establecer un Equipo de Respuesta a Incidentes

que considere un adecuado proceso de comunicación y procedimientosde respuesta a incidentes.

14- Se debe de considerar establecer un Proceso de Control de Accesosque brinde Seguridad efectiva y optimice los recursos dedicados a TI.

15- La Selección de controles de SI deberá contar con el nivel deefectividad solicitada por el Análisis de Riesgos de forma queel riesgo residual se maneje adecuadamente.




16- Todos los Contratos de la Organización deberán considerarsiempre aspectos de SI como acuerdos de confidencialidad,propiedad intelectual, etc.

17- Debe de establecerse la función de Auditoria de TI/SI para contarcon un adecuado balance entre las normas y las operaciones relacionadasa SI.

18- Debe de mantenerse un Inventario de Activos de Información queconsidere procesos de negocio, personas e infraestructura en general.

19- Debe de establecerse una Organización de SI que administre la función

de SI y encuentre el adecuado balance con el Comité de SI.




Esfuerzo

AportarValor

- +

+

-

-Política -Estrategia

- Normatividad

- Concientizar

-Comité

-Dueños yCustodios

-Administraciónde Riesgos

-Medición delCumplimiento

-Presupuesto

independiente

-Aprobarobjetivosanuales

-Selecciónde Controles- Contratos

-Auditorias

-Procesos másCríticos

-Plan decontinuidad

-Equipo derespuesta

-Control deacceso-Inventariode activos

Valor vs Esfuerzo

No se Justifica

Debe de ser primero Difícil de justificar

Zona deno valor

-Organizaciónde SI




Esfuerzo

AportarValor

- +

+

-


- Normatividad

- Concientizar

-Comité

-Dueños yCustodios



-Presupuesto

independiente



-Auditorias


-Plan decontinuidad

-Equipo derespuesta -Control deacceso-Inventariode activos

Valor vs Esfuerzo

No se Justifica


Zona deno valor

-Organizaciónde SI

Gran Valor




Esfuerzo

AportarValor

- +

+

-


- Normatividad

- Concientizar

-Comité

-Dueños yCustodios



-Presupuesto

independiente



-Auditorias


-Plan decontinuidad


Valor vs Esfuerzo

No se Justifica


Zona deno valor

-Organizaciónde SI

Mucho Esfuerzo (Marathon)




Esfuerzo

AportarValor

- +

+

-


- Normatividad

- Concientizar

-Comité

-Dueños yCustodios



-Presupuesto

independiente



-Auditorias


-Plan decontinuidad


Valor vs Esfuerzo

No se Justifica


Zona deno valor

-Organizaciónde SI

Gran Valor

Mucho Esfuerzo (Marathon)



Gracias

Ricardo Morales, CISA, CISM, ISO27001 LA, ITILRicardo Morales, CISA, CISM, ISO27001 LA, ITILALESTRA (AT&T) Information Security and Service Planning ManagerALESTRA (AT&T) Information Security and Service Planning Manager

[email protected]@alestra.com.mx

20061023 Gobierno de Seguridad de Información

Documents

Transcript of 20061023 Gobierno de Seguridad de Información