Gobernando la seguidad hacia los objetivos corporativos Information Security Manager . ... the...
-
Upload
dinhnguyet -
Category
Documents
-
view
218 -
download
0
Transcript of Gobernando la seguidad hacia los objetivos corporativos Information Security Manager . ... the...
• ¿Qué es ISACA? • ¿Qué se entiende por gobierno? • La cascada de objetivos • Catalizadores corporativos • Conclusión
Agenda
1
¿Qué es ISACA?
• Non-profit association of individual members: – IT auditors – IT security professionals – IT risk and compliance professionals – IT governance professionals and more!
• Nearly all industry categories: financial, public accounting, government/public sector, technology, utilities and manufacturing.
• Formerly, the Information Systems Audit and Control Association -- ISACA now goes by its acronym only.
3
¿Qué es ISACA?
“Trust in, and value from, information systems”
ISACA’s vision (to aspire to as an organization)
“For professionals and organizations be the leading global provider of knowledge, certifications,
community, advocacy and education on information systems assurance and security,
enterprise governance of IT, and IT-related risk and compliance”
ISACA’s mission (to guide decision making and investments)
4
¿Qué es ISACA? Certificaciones
1978 +100.000
2003 +18.000
2008 +5.000
2010 +16.000
+1.300 certificados en Madrid +350 horas de formación ofertadas cada año
6
¿Qué es ISACA? Certificaciones
▶ CISA Certified Information Systems Auditor
Auditor Certificado de Sistemas de
Información
▶ CATEGORÍA Certificación de personas
▶ AÑO 1978
▶ BoK (áreas de conocimiento)
- Proceso de auditoría de sistemas de información
- Gobernanza de TI
- Ciclo de vida de sistemas e infraestructura
- Soporte y entrega de servicios de TI
- Protección de los activos de información
▶ CONVOCATORIAS Junio, septiembre y diciembre
▶ OTROS 5 años y CPE
7
¿Qué es ISACA? Certificaciones
▶ CISM Certified Information Security Manager
Gerente Certificado de Seguridad de la
Información
▶ CATEGORÍA Certificación de personas
▶ AÑO 2002
▶ BoK (áreas de conocimiento)
- Gobernanza de Seguridad de la Información
- Gerencia de riesgo de la Información
- Desarrollo de programa de seguridad de la
información
- Gerencia de programa de seguridad de la
información
- Gestión y respuesta a incidentes
▶ CONVOCATORIAS Junio, septiembre y diciembre
▶ OTROS 5 años y CPE
8
¿Qué es ISACA? Certificaciones
▶ CGEIT Certified in the Governance of Enterprise IT
▶ CATEGORÍA Certificación profesional
▶ AÑO 2007
▶ DOMINIOS (áreas de conocimiento)
- Marco de referencia para la Gobernanza de TI
- Alineamiento estratégico
- Entrega de valor
- Gestión del riesgo
- Gestión de los recursos de TI
- Medida del rendimiento
▶ EXÁMENES Junio y diciembre
▶ OTROS REQUISITOS 5 años de experiencia y CPE
9
¿Qué es ISACA? Certificaciones
▶ CRISC Certified in Risk and Information Systems Control
Certificado en Riesgo y Control de los SSII
▶ CATEGORÍA Certificación de personas
▶ AÑO 2010
▶ BoK (áreas de conocimiento)
- Identificación, evaluación y valoración del riesgo
- Respuesta al riesgo
- Supervisión (vigilancia) del riesgo
- Diseño e implantación de marcos de control de SSII
- Supervisión y mantenimiento de marcos de control de
SSII
▶ CONVOCATORIAS Junio y diciembre
▶ OTROS 5 años y CPE 10
¿Qué es ISACA? Investigación
• COBIT5 • COBIT5: Procesos Catalizadores • COBIT5: Catalizador Información • COBIT5: Implementación • COBIT5 Toolkit • COBIT5 para Seguridad de la Información • COBIT5 Online
BMIS The Business Model for Information Security
11
¿Qué es ISACA? Investigación
COBIT 5 consolida e integra: COBIT 4.1 Val IT 2.0 Risk IT Y, aprovecha de manera
significativa: • BMIS (Business Model for
Information Security), and • ITAF www.isaca.org/COBIT5
12
¿Qué es ISACA? Dimensión global
-
20.000
40.000
60.000
80.000
100.000
2005 2006 2007 2008 2009 2010 2011 2012
15.118 16.569 19.590 21.840 22.089 21.500 21.847 23.250 1.967 2.194
2.930 3.340 3.585 3.917 4.328 4.800 13.218 15.412 18.861
22.566 23.840 24.683 25.939 27.969 28.945 32.828
37.121 40.941 41.331 42.395
45.739 48.483
1.889 2.180
2.530
2.815 2.885 3.001 3.229
3.476
Total miembros ISACA® a octubre
Oceanía Norteamérica Europa/África Latinoamérica Asia
14
¿Qué es ISACA? Dimensión nacional
-
200
400
600
800
1.000
1.200
1.400
1.600
2009 2010 2011 2012
1.059 1.053 1.055 1.035
339 351 339 361
176 192 183 161
Total miembros ISACA® en España a octubre
Valencia Barcelona Madrid
15
¿Qué es ISACA? Objetivos de ISACA Madrid • Difundir y desarrollar las actividades de Auditoría de Sistemas de
Información, Seguridad de la Información y Gestión y Gobierno de la Tecnologías de la Información.
• Formar a los profesionales y mantenerlos actualizados sobre las principales novedades de la materia.
• Promover y asistir en la certificación internacionalmente a los profesionales como cualificados para el ejercicio de la profesión (Certificados CISA, CISM, CGEIT, CRISC)
• Realizar estudios sobre la profesión y desarrollar estándares de la industria.
• Asistir a los profesionales (Bolsa de trabajo, orientación, etc.) 16
¿Qué es ISACA? Beneficios de los miembros
Comunidad & Liderazgo
Desarrollo profesional
Investigación y
Conocimiento
• ELibrary • Webinars, Seminarios
Virtuales y eSymposia archivados (CPE gratis)
• Career Centre • Descuentos en
exámenes y tasas mantenimiento anual de CISA, CISM, CGEIT, CRISC
• Mentoring (CPE gratis) • Descuentos en
conferencias / formación
• Descuentos en la Librería
• Journal (CPE gratis) • Publicaciones de
investigación (muchas gratis para miembros)
• COBIT 5 - Abril 2012 • Val IT • Risk IT • ITAF • BMIS • Mapeos de COBIT • COBIT Security
Baseline 2nd Ed. • Sitio web interactivo • Programas de auditoría
• Networking • Oportunidades de
Liderazgo a nivel local y global
• Nuevas comunidades online en el nuevo sitio web de ISACA
Capítulo Local
• Educación barata • Formación
presencial • Preparación a
exámenes • Eventos de
negocios y sociales • Encuentro con
personas que entienden tus necesidades profesionales
Incrementar tu valor avanzando en tu
carrera
Abrir la puerta a un robusto liderazgo,
investigación y conocimiento
Conectarte con una comunidad global
de 100.000
Proporcionar una red local de
profesionales
17
¿Qué es ISACA? Oferta para el Sector Educativo
• Academic Advocate Membership – Complimentary
membership to faculty members who use ISACA teaching materials and agree to share their own
– Classroom support materials
– Receive discounts and complimentary access to professional resources
– Prepare your students to enter the job market
www.isaca.org/academicadvocate
18
¿Qué es ISACA? Oferta para el Sector Educativo
• Model Curricula – 18 universities around the
world specialize in use of the ISACA Model Curricula
– ISACA® Model Curriculum for IS Audit and Control (2nd Edition)
– ISACA® Model Curriculum for Information Security Management
– Information Security Using the CISM® Review Manual and BMIS™
www.isaca.org/modelcurricula
19
¿Qué es ISACA? Oferta para el Sector Educativo
• Student Membership – Online access to ISACA
journal, webcasts, and many resources for education beyond the classroom
– Opportunities to network with local chapter members for meaningful interactions with professionals
– Knowledge and experience to put students far ahead of the competition when it comes time to begin their careers. www.isaca.org/student
20
¿Qué es ISACA? Oferta para el Sector Educativo
• ISACA Student Groups – Affiliated, if possible, with
an ISACA chapter
– Recognized by an educational institution; student membership in ISACA is not required
– Recognized by ISACA HQ with an official student group logo.
www.isaca.org/studentgroup 21
¿Qué es ISACA? Oferta para el Sector Educativo
• Local Chapter Student Support – Assist with the formation of
ISACA Student Groups on campus
– Provide speakers and networking opportunities with professionals
– Invite students and faculty to local chapter events
www.isaca.org/chapters 22
¿Qué es ISACA? Oferta para el Sector Educativo
• Fees anuales
• Certificaciones
Cuota Internacional
Fee para Nuevos Miembros
Cuota Capítulo Madrid
Total
25 $ - 15 $ 40 $
Concepto Miembros No-miembros Registro examen 460 $ (410 $) 635 $ (585 $)
Renovación 45 $ c.u. (-15 $ si más de 3)
85 $ c.u. (-35 $ si más de 3)
23
Conflicto principal - agente
• Bruce Schneier (2012). “Liars and Outliers: Enabling the Trust that Society Needs to Thrive”
26
Concepto
El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes
interesadas para determinar los objetivos empresariales equilibrados y acordados a alcanzar;
estableciendo dirección para la priorización y la toma de decisiones; y monitorizando el rendimiento y el
cumplimiento con la dirección y objetivos acordados
27
Concepto
La Gestión planifica, construye, ejecutiva y supervisa las actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar los objetivos
empresariales.
28
Concepto
Principios de
COBIT5
1. Cumplir necesidades
de interesados
2. Cubrir la empresa
extremo-a-extremo
3. Aplicar un marco
integrado único
4. Habilitar un enfoque
holístico
5. Separar Gobierno de
Gestión
29
Gobierno vs Gestión
Objetivos de Gobierno: Creación de Valor
Realización de beneficios
Optimización de riesgos
Optimización de recursos
Alcance de Gobierno
Facilitadores de Gobierno
Roles, actividades y relaciones
30
Gobierno vs Gestión
Propietarios y partes
interesadas
Cuerpo de
Gobierno Gestión
Operación y
Ejecución
Delega Establece dirección
Instruye y alinea
Responsable Supervisa Informa
31
Objetivos de Gobierno: Creación de Valor
Cascada de objetivos
Necesidades de las partes interesadas
Realización de beneficios
Optimización de riesgos
Optimización de recursos
Cond
ucen
33
Cascada de objetivos In
tern
os
• Consejo • CEO • CFO • CIO • CRO • Ejecutivos de negocio • Propietarios de
procesos • HHRR • Auditoría • Seguridad • DPO • Usuarios
Ext
erno
s • Socios • Proveedores • Accionistas • Legislador / Gobierno • Usuarios externos • Clientes • Auditores externos • Consultores • Etc.
34
Necesidades de las partes interesadas
Cascada de objetivos
Objetivos empresariales
Objetivos para Seguridad de la Información
Objetivos para los Catalizadores
35
Necesidades de las partes interesadas
Cascada de objetivos
Objetivos empresariales
Objetivos para Seguridad de la Información
Objetivos para los Catalizadores
37
Necesidades de las partes interesadas
Cascada de objetivos
Objetivos empresariales
Objetivos para Seguridad de la Información
Objetivos para los Catalizadores
41
Cascada de objetivos
“Cualquier inversión en seguridad está justificada siempre que:
• el nivel de seguridad sea el factor limitante para que la organización alcance su meta
o • la seguridad se subordine al factor
limitante de la organización y contribuya a que éste rinda a su máxima capacidad”
43
Necesidades de las partes interesadas
Cascada de objetivos
Objetivos empresariales
Objetivos para Seguridad de la Información
Objetivos para los Catalizadores
44
Catalizadores Corporativos
Recursos
5. Información 6. Servicios,
Infraestructura y Aplicaciones
7. Personas, Habilidades y Competencias
2. Procesos 3. Estructuras organizativas
4. Cultura, Ética y Comportamiento
1. Principios, Políticas y Marcos de Referencia
47
• Mecanismos de comunicación puestos en marcha para transmitir la dirección y las instrucciones de los cuerpos de gobierno y gestión.
• El marco de políticas debe definir: – Los aprobadores de las políticas corporativas – Las consecuencias de no cumplir – Los medios para gestionar las excepciones – La forma en que el cumplimiento será
comprobado y medido
1. Principios, Políticas y Marcos de Referencia
48
• Principios (ISACA, ISF & ISC2)
1. Principios, Políticas y Marcos de Referencia
49
Soportar el negocio 1. Enfocarse en el negocio 2. Entregar calidad y valor a los interesados 3. Cumplir con los requisitos legales y regulatorios 4. Proporcionar información a tiempo y precisa sobre el rendimiento
de la seguridad de la información 5. Evaluar las amenazas actuales y futuras 6. Promover una mejora continua en seguridad de la información
Defender el negocio 7. Adoptar un enfoque basado en el riesgo 8. Proteger la información clasificada 9. Concentrarse en aplicaciones de negocio críticas 10.Desarrollar sistemas de manera segura
Promover un comportamiento responsable 11.Actuar de una manera ética y profesional 12.Fomentar una cultura positiva hacia la seguridad de la información
1. Principios, Políticas y Marcos de Referencia
• Es necesario adaptarse el entorno corporativo.
• Ron Collette, Mike Gentile, and Skye Gentile (2008), “CISO Soft Skills. Securing Organizations Impaired by Employee Politics, Apathy, and Intolerant Perspectives”
50
• Conjunto de prácticas influidas por las políticas y los procedimientos corporativos que toman entradas de varias fuentes (incluyendo otros procesos), manipulan las entradas y producen salidas.
2. Procesos
51
2. Procesos
Gestión
Plan (APO)
Construir (BAI)
Supervisar (MEA)
Ejecutar (DSS)
Gobierno Evaluar
Dirigir Supervisar Feedback de la Gestión
Necesidades de Negocio
52
2. Procesos
Gobierno
EDM01 Asegurar el
Establecimiento y
Mantenimiento del Marco de
Gobierno
EDM02 Asegurar la Entrega de Beneficios
EDM03 Asegurar la
Optimización del Riesgo
EDM04 Asegurar la
Optimización de Recursos
EDM05 Asegurar la
Transparencia con las partes
interesadas
Alinear, Planificar y Organizar
Construir, Adquirir e Implementar
Entregar, Dar servicio y Soporte
Supervisar, Evaluar y Valorar
53
3. Estructuras organizativas
• Entidades de toma de decisión claves en una organización.
• Su definición debe incluir: – Composición – Mandato, principios operativos, ámbito de
control y nivel de autoridad – Matriz RACI de alto nivel – Entradas / Salidas
55
3. Estructuras organizativas
56
• Accountability
– Puede ser delegada – Como elemento crítico, la responsabilidad
final debería ser asignada consecuentemente – En caso contrario, podría considerarse como
una negligencia.
El Comité de Dirección carga con la responsabilidad final para todo los aspectos, incluyendo la seguridad de la información.
• Cultura: “Patrones de comportamientos, creencias, actitudes y maneras de hacer las cosas”.
• Cultura de seguridad – “Todas las empresas tienen una cultura de seguridad de la
información. En la mayoría de casos, carece de intencionalidad y es inconsistente hasta el punto de que no exista; es decir, es robusta y orienta las actividades diarias de empleados y otras personas en contacto con la empresa”. ISACA, Creating a Culture of Security, EE.UU., 2011
4. Cultura, ética y comportamiento
57
• La información (y, en consecuencia, la comunicación) no es solo el principal sujeto de la seguridad de la información, sino un catalizador fundamental para la misma.
• La información como catalizador se refiere a que la dirección puede usar la información como base para la toma de decisiones.
5. Información
59
• Catálogo de servicios – Provide a security architecture. – Provide security awareness. – Provide secure development (development in line with security
standards). – Provide security assessments. – Provide adequately secured and configured systems, in line with
security requirements and security architecture. – Provide user access and access rights in line with business
requirements. – Provide adequate protection against malware, external attacks
and intrusion attempts. – Provide adequate incident response. – Provide security testing. – Provide monitoring and alert services for security-related events.
6. Servicios, infraestructura y aplicaciones
60
• Requieren: – Información (entradas y salidas) – Estructuras organizativas (matrices RACI,
funciones o roles específicos de seguridad…) • Componentes:
– Descripción detallada – Atributos – Objetivos
6. Servicios, infraestructura y aplicaciones
61
• Se necesitan individuos con un apropiado nivel de conocimiento y experiencia si se quiere operar de manera efectiva la función de seguridad de la información.
• Ejemplos: – Gobierno de seguridad de la información – Formulación de estrategia de seguridad de la información – Gestión de riesgos de la información – Desarrollo de arquitecturas de seguridad de la información – Operaciones de seguridad de la información – Evaluaciones, pruebas y cumplimiento
7. Personas, habilidades y competencias
62
Conclusiones
• La seguridad de la información es responsabilidad del Consejo de Administración.
• Los árboles no nos dejan ver el bosque.
• Gestionar no es gobernar.
63