Patrocinio y Mantenimiento de las Iniciativas en...
23
Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la Información “Del proyecto a la gestión del día a día” MSc. Fabián Cárdenas Varela CISSP, CISM, LA BS7799-2 NewNet S.A Propiedad Intelectual de Fabián Cárdenas Varela. Prohibida su reproducción, cesión, publicación, distribución comunicación al público, traducción, y uso contrario a los usos honestos de la Propiedad Intelectual, sin autorización de su titular [email protected] , [email protected]
Transcript of Patrocinio y Mantenimiento de las Iniciativas en...
Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la
Información
“Del proyecto a la gestión del día a día”
MSc. Fabián Cárdenas VarelaCISSP, CISM, LA BS7799-2
NewNet S.A
Propiedad Intelectual de Fabián Cárdenas Varela. Prohibida su reproducción, cesión, publicación, distribución comunicación al público, traducción, y uso contrario a los usos honestos de la Propiedad Intelectual, sin autorización de su titular [email protected], [email protected]
Agenda
1 L i A did1.Lecciones Aprendidas2.Herramientas3 Visión de Futuro3.Visión de Futuro
Lecciones Aprendidas (1)Lecciones Aprendidas (1)
Proyecto• Tiene un principio y un fin.• Tiene un patrocinio temporal para generar un
Proyecto• Tiene un principio y un fin.• Tiene un patrocinio temporal para generar un
No es un fin, es un medio.p p p g
producto específico.p p p g
producto específico.
Proceso de SeguridadE i
Proceso de SeguridadE i Es bueno pero• Es continuo.
• Tiene patrocinio permanente, para realizar unas actividades que son importantes para la empresa.
• Es continuo.• Tiene patrocinio permanente, para realizar unas actividades que son importantes para la empresa.
Es bueno, pero no suficiente.
Sistema de Gestión• Es continuo y con gestión formal.• Tiene patrocinio permanente, para gestionar una problemática que es importante para el negocio
Sistema de Gestión• Es continuo y con gestión formal.• Tiene patrocinio permanente, para gestionar una problemática que es importante para el negocio
Es de tipo corporativo.
problemática que es importante para el negocio.problemática que es importante para el negocio.
Lecciones Aprendidas (2)Lecciones Aprendidas (2)
•Políticas•Concientización•Gestión de Activos
Ámbito
Corporativo
Ámbito
Corporativo
• Deben ser patrocinados por más de un área de la organización.
•Gestión de Riesgos•Gestión de Incidentes•Auditoría
Corporativo(Ejemplos)
Corporativo(Ejemplos)
• Deben tener visualización corporativa y hacer parte de la gestión.
•Pruebas de Intrusión•Administración de Controles Tecnológicos
ÁmbitoÁmbito • Deben convertirse en actividades de la operación.Tecnológicos.
•Arquitectura de Seguridad•Monitoreo de la seguridad.
Específico(Ejemplos)
Específico(Ejemplos)
actividades de la operación.• Podrían ser tercerizados.
Lecciones Aprendidas (3)Lecciones Aprendidas (3)Se venden proyectos
Largo PlazoLargo Plazo
Objetivos
Se venden proyectospara obtener productosy no se estánvendiendo planes parab j
Mediano PlazoMediano Plazo
obtener una mejora enla gestión empresarial.
Corto PlazoCorto Plazo
Nivel de Madurez 1Nivel de Madurez 1 Nivel de Madurez …nNivel de Madurez …n
Nivel de Madurez 2Nivel de Madurez 2
MetasGestión
Lecciones Aprendidas (4)Lecciones Aprendidas (4)
Hay que adquirir todo lo que necesitamos para poder andar
EntrenamientoEntrenamiento MantenimientoMantenimiento SegurosSeguros ImpuestosImpuestos AccidentesAccidentes CumplimientoCumplimiento RepuestosRepuestos
Agenda
1 L i A did1.Lecciones Aprendidas2.Herramientas3 Visión de Futuro3.Visión de Futuro
Herramientas (1)Herramientas (1)
Viabilidad de una inversión en seguridadViabilidad de una inversión en seguridad1
Ciclo de vida de la gestión de la seguridadCiclo de vida de la gestión de la seguridad2
Medir la InseguridadMedir la Inseguridad3
Asegurar el patrocinioAsegurar el patrocinio4
Herramientas (2)Herramientas (2)Cost to Break Vulnerabilities1
Threats AttackDefence
MechanismsBreach
Information Assets
(CTB)(CTB)1
Mechanisms InformationAssets at Stake
Cost to BuildCost to Fixl b l
CTB>B+FCTB>B+FCIA
Cost to Build
(B)(B)Vulnerabilities
(F)(F) Cost to Rebuild
(R)(R)Cost of
ImmediateRevenue
IT
IT Security Budget ¿Viable?
B+F<L+RB+F<L+R
(L)(L)
IT Budget
© Adrian Mizzi 2004
Herramientas (3)Herramientas (3)Utilidad ¿Apto para el negocio?1 Utilidad
Apoya la mejora de los procesos del Negocio Verdadero/Falso
OR
¿Apto para el negocio?1
Apoya la gestión de riesgos del negocio OR
Verdadero/Falso
¿Genera Valor?
AND
Las Competencias
La s Capacidadescuenta con
:
¿Genera Valor?ANDLa Medición
La Continuidad
La iniciativa
Verdadero/Falso
Garantía ¿Apto para establecerlo y mantenerlo?
Herramientas (4)Herramientas (4)
2
Ejecución del ProyectoEjecución del Proyecto Entrega de ProductosEntrega de Productos OperaciónOperación GestiónGestión
2
•Puede involucrar consultoría externa, adquisiciones de productos o servicios.• Culmina
•Es necesaria la Transferencia de conocimiento• Varias áreas o procesos quedan con
•Actividades de implementación que generan nuevos proyectos que se llevan a cabo con recursos internos o
•Medición del desempeño y mejora continua.•Monitoreo de las actividades a cargo de cada área o• Culmina
entregando productos tales como: resultados, recomendaciones, modelos, documentación o
con responsabilidades sobre cada producto.
recursos internos o con el apoyo de terceros.• Actividades finales que comienzan a hacer parte del día a día de la
de cada área o proceso.•Reporte.
diagnósticos. organización.
Herramientas (5)Herramientas (5)Función del Negocio 1Función del Negocio 12
Gestión de ActivosGestión de Activos
Función del Negocio 1Función del Negocio 12
Gestión de RiesgosGestión de Riesgos
Función del Negocio 2Función del Negocio 2
Mejora ContinuaMejora Continua
Función del Negocio 3Función del Negocio 3
Herramientas (6)Herramientas (6)
3Riesgos del
NegocioEstadísticas
Encuestas3
Riesgos de Procesos
(operación, control)
“Pay Per View”
Datos del SectorDebida
Diligencia
Valor de la Información
Riesgos de Activos (Sistemas de Información, bases de datos, personas,
servicios)
Pay Per View
Casos de fraude
Riesgos de Componentes (Hardware, Software, Medios)
Buenas Prácticas
Caso de Negocio
fraude, robo, etc.
Valor de la Información
Herramientas (7)Herramientas (7)Auditoría &Auditoría &PlaneaciónPlaneación4 Auditoría & Control
Auditoría & Control
Información y
T l í
Información y
T l í
4
TecnologíaTecnología
JurídicaJurídica
RiesgosRiesgos
Despliegue Efectivo de Planes de Tratamiento
Recursos HumanosRecursos Humanos
l d dl d d
Planes de Tratamiento
Seguridad Física
Seguridad Física
CalidadCalidad
Herramientas (8)Herramientas (8)
44
Nivel 3Nivel 3•Indicadores de Grupo Empresarial
• Indicadores C ti
• Indicadores de Grupo Empresarial
• Indicadores C ti
Nivel 2Nivel 2
CorporativosCorporativos
• Indicadores de Áreas o Gerencias
• Indicadores de
• Indicadores de Áreas o Gerencias
• Indicadores deNivel 2Nivel 2
Nivel 1Nivel 1
Indicadores de ProcesosIndicadores de Procesos
• Indicadores de • Indicadores de Nivel 1Nivel 1 Seguridad• Indicadores TécnicosSeguridad
• Indicadores Técnicos
Agenda
1 L i A did1.Lecciones Aprendidas2.Herramientas3 Visión de Futuro3.Visión de Futuro
Visión de Futuro (1)Visión de Futuro (1)
ISO 27000ISO 27000ISO 27000ISO 27000
ISO 9000ISO 9000 ISO 18000ISO 18000ISO 9000ISO 9000 ISO 18000ISO 18000PlanearActuar
ISO 14000ISO 14000 ISO 20000ISO 20000HacerVerificar
La seguridad de la información cada vez más integrada a la gestión integral corporativa
Visión de Futuro (2)Visión de Futuro (2)
ConcientizaciónConcientización Gestión de la Seguridad
Gestión de la Seguridad
Monitoreo y Control (SAAS,
HAAS)
Monitoreo y Control (SAAS,
HAAS)
Control y DirecciónControl y Dirección
Atención de IncidentesAtención de Incidentes
Gestión de Vulnerabilidades
Gestión de Vulnerabilidades
Seguridad como un ServicioSeguridad como un Servicio
Actividades operativas de la gestión de la seguridad de la información cada vez más tercerizadas.
Visión de Futuro (3)Visión de Futuro (3)
Empresas de diferentes sectores
Salud, Estado, Telecomunicaciones,
TLC, Minero Energético.
diferentes sectores por competitividad y por necesidad (Proveedores de
Servicios).
Financiero, Seguros, Bursatil, empresas en
Bolsas internacionales.
g
Incremento del cumplimiento legal y regulatorio.
Visión de Futuro (4)Visión de Futuro (4)
ReporteReporte
I di dI di d AuditoríaIncidentes
VulnerabilidadesVulnerabilidades
ControlesControles
IndicadoresIndicadores Auditoría
Normatividad
Gestión de RiesgosGestión de Riesgos
Gestión de ActivosGestión de Activos
Mayor automatización de actividades de la gestión de la seguridad.
Visión de Futuro (5)Visión de Futuro (5)
GobiernoGobiernoGobiernoGobiernoMayor demanda y profesionalización de la gestión de la
id d d l
AcademiaAcademia
IndustriaIndustria seguridad de la información
AcademiaAcademia
Agenda
1 L i A did1.Lecciones Aprendidas2.Herramientas3 Visión de Futuro3.Visión de Futuro
Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la
Información
“Del proyecto a la gestión del día a día”Del proyecto a la gestión del día a día
[email protected] bi d @ i [email protected]
Propiedad Intelectual de Fabián Cárdenas Varela. Prohibida su reproducción, cesión, publicación, distribución comunicación al público, traducción, y uso contrario a los usos honestos de la Propiedad Intelectual, sin autorización de su titular [email protected], [email protected]
