8/18/2019 Material Didactico Semana 7
1/44
1
Gestión de Procesos de Negocios (BPM)Solución para lograr Eficiencia Operativa y Reducción de Costos
Alex MartínezLíder BPM Regional (South Spanish America) - SWG
Julio LarrechartBPM Practice Leader – GBS/AS
8/18/2019 Material Didactico Semana 7
2/44
Seguridad de la Información
Agenda
Gobierno de Seguridad de la Información
Organización del Proyecto
Alineando el negocio con la Seguridad de la Información
Gestión de Riesgos
Indicadores de gestión
Mejora Continua
8/18/2019 Material Didactico Semana 7
3/44
Seguridad de la Información
Gobierno de Seguridad de la Información
8/18/2019 Material Didactico Semana 7
4/44
8/18/2019 Material Didactico Semana 7
5/44
Seguridad de la Información
El Gobierno de Seguridad de la Informaci ón es un subconjunto de Gobiernode la Empresa que proporciona la direcci ón estrat égica, asegura que losobjetivos se logran, gestiona los riesgos adecuadamente, asignaresponsabilidades a los recursos de la organizaci ón, y supervisa el éxito o elfracaso del programa de seguridad de la empresa.Fuente - Information Security Governance
Gobierno de Seguridad dela Informaci ón
8/18/2019 Material Didactico Semana 7
6/44
Seguridad de la Información
La ISO-27014 indica seis principios de gobiernos de la seguridad deinformación los cuales son:
1. Establecer responsabilidad con respecto a la seguridad de la informaciónen toda la organización
2. Adoptar una aproximación basada en el riesgo.3. Establecer la dirección de las decisiones de inversión en seguridad de la
información4. Asegurar conformidad con los requerimientos internos y externos.5. Fomentar un entorno positivo respecto de la seguridad.
6. Revisar el rendimiento en relación a los resultados de negocio .
ISO 27014
8/18/2019 Material Didactico Semana 7
7/44Seguridad de la Información
ISO 27014
1. Establecer responsabilidad con respecto a la seguridad de lainformación en toda la organización.
• ¿La seguridad de la información se gestiona a un nivel de la organización quepermita la toma de decisiones?• ¿Las actividades asociadas a la seguridad lógica y física se realizan de forma
coordinada?.• ¿La responsabilidad y rendición de cuentas con respecto a la seguridad seestablece a través del ciclo completo de las actividades de la organizaciónincluidos terceros?.
8/18/2019 Material Didactico Semana 7
8/44Seguridad de la Información
2. Adoptar una aproximación basada en el riesgo.
• ¿Las decisiones se toman en función del riesgo?.• El nivel aceptable de seguridad ¿se basa en el apetito alriesgo de la organización?, ¿se incluye en él la posiblepérdida de ventaja competitiva, riesgos de cumplimientoy responsabilidad, interrupciones operativas, pérdidafinanciera y daño a la reputación?.• ¿Se asignan los recursos apropiados para implementarla gestión de riesgos en la organización?.
ISO 27014
8/18/2019 Material Didactico Semana 7
9/44Seguridad de la Información
ISO 27014
3. Establecer la dirección de las decisiones deinversión en seguridad de la información .
• ¿La estrategia de inversiones en seguridad de la
información se establece en función de los resultados denegocio alcanzados?.• ¿Las inversiones en seguridad se integran con losprocesos generales existentes para las inversiones ygastos de la organización?.
8/18/2019 Material Didactico Semana 7
10/44Seguridad de la Información
ISO 27014
4. Asegurar conformidad con los requerimientos internos y externos .
• ¿Se garantiza que las políticas y prácticas son conformes con la regulacióny legislación existente, con los compromisos y contratos de la organizacióny con otros requerimientos internos o externos?.• ¿Se realizan auditorías de seguridad independientes?.
8/18/2019 Material Didactico Semana 7
11/44Seguridad de la Información
ISO 27014
5. Fomentar un entorno positivo respecto de laseguridad .
A la hora de implementar la gobernanza de la seguridad,¿se tiene en cuenta el comportamiento humano, incluyendola evolución de las necesidades de las partes interesadas?
¿Se exige, promueve y apoya la coordinación de lasactividades de las partes interesadas para alcanzar unadirección coherente de la seguridad (educación, formación yprogramas de concienciación)?.
8/18/2019 Material Didactico Semana 7
12/44Seguridad de la Información
ISO 27014
6. Revisar el rendimiento en relación alos resultados de negocio.
¿La aproximación tomada para proteger lainformación es adecuada al propósito deapoyar la organización proporcionando
niveles acordados de seguridad de lainformación?.¿Se mantiene la seguridad en los nivelesrequeridos para alcanzar losrequerimientos actuales y futuros delnegocio?.
¿Se evalúa la seguridad en relación a suimpacto en el negocio y no sólo en base ala eficacia y eficiencia de los controles?.
8/18/2019 Material Didactico Semana 7
13/44Seguridad de la Información
ISO 27014
8/18/2019 Material Didactico Semana 7
14/44Seguridad de la Información
Organización del Proyecto
8/18/2019 Material Didactico Semana 7
15/44Seguridad de la Información
R e q u i s i t o s y e x
p e c t a t i v a s
d e
l a s p a r t e s i n t e r e s a
d a s
r e s p e c t o a
l S G S I
R e q u i s i t o s y e x p e c t a t i v a s
d e
l a s p a r t e s i n t e r e s a
d a s
g e
s t i o n a
d a s c o n e
l S G
S I
Contexto de laOrganización
Liderazgo
Planificación
Operación
Evaluación
Mejora
ENTRADA
SALIDA
Fases de la Metodología
8/18/2019 Material Didactico Semana 7
16/44Seguridad de la Información
Proyectodel SGSI
Contextoorganización
Liderazgo
Planificación
Soporte
Operación
Evaluación
Mejora
7 FASES
Implantación delSGSI
Fases de la Metodología
8/18/2019 Material Didactico Semana 7
17/44Seguridad de la Información
Contextoorganización Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
8/18/2019 Material Didactico Semana 7
18/44Seguridad de la Información
Contextoorganización Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
8/18/2019 Material Didactico Semana 7
19/44Seguridad de la Información
Contextoorganización Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
8/18/2019 Material Didactico Semana 7
20/44
8/18/2019 Material Didactico Semana 7
21/44Seguridad de la Información
Contextoorganización Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
8/18/2019 Material Didactico Semana 7
22/44Seguridad de la Información
Contextoorganización Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
8/18/2019 Material Didactico Semana 7
23/44
Seguridad de la Información
Contextoorganización Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
8/18/2019 Material Didactico Semana 7
24/44
Seguridad de la Información
Alineando el negocio con la Seguridad de la Información
8/18/2019 Material Didactico Semana 7
25/44
Seguridad de la Información
Comprensión de la Misión,Objetivos, Valores y Estrategias
Misión
Valores
Losobjetivos
DeLa
Seguridadde la
Información
EstratégicoAlineamiento
Estrategias
Objetivos
Políticas CorporativasPolíticas de Seguridad de
la Información
8/18/2019 Material Didactico Semana 7
26/44
Seguridad de la Información
Análisis del AmbienteExterno
Existen varias metodologías paraentender cómo funciona unaorganización
Lo importante es identificar lascaracterísticas de los factoresambientales internos y externosque influyen en la gestión de lacontinuidad del negocio: misión,actividades principales,organización interna, partesinteresadas, ttc.
Fortalezas Debilidades
Oportunidades Amenazas
8/18/2019 Material Didactico Semana 7
27/44
Seguridad de la Información
Análisis del Entorno Interno
Comprender la estructura y losprincipales actores de laorganización relacionados conel ámbito de aplicación en los
planos:
• Estratégico (¿Quién establece las orientaciones estratégicas?)• Gobierno (¿Quién coordina y gestiona las operaciones?)• Operacional ( ¿Quién participa en las actividades de producción yapoyo?)
8/18/2019 Material Didactico Semana 7
28/44
Seguridad de la Información
Identificación de los PrincipalesProcesos y Actividades
Activos de
Información Claves
¿Cuáles son losActivos de información
Claves de laOrganización?
Oferta de Productos
y servicios
¿Cuáles son los bienes yServicios producidos por
la organización?
Procesos de
Negocios
¿Cuáles so losProcesos claves que
Permiten a laOrganización cumplir
Con su misión?
A áli i d l A bi
8/18/2019 Material Didactico Semana 7
29/44
Seguridad de la Información
• Plan del proyecto• Diagrama de GANNT• Documento Alcance del SGSI• Acta de Constitución del proyecto
Análisis del AmbienteExterno
D
http://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-001%20-%20Plan%20del%20Proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Proyecto/Diagrama%20de%20Gannt%20Proyecto%20con%20ISO%2027001%202013.pdfhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-003%20-%20Documento%20de%20alcance%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/Acta%20de%20constitucion%20del%20proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/Acta%20de%20constitucion%20del%20proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-003%20-%20Documento%20de%20alcance%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Proyecto/Diagrama%20de%20Gannt%20Proyecto%20con%20ISO%2027001%202013.pdfhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-001%20-%20Plan%20del%20Proyecto.docx
8/18/2019 Material Didactico Semana 7
30/44
Seguridad de la Información
• Plan del proyecto• Diagrama de GANNT• Documento Alcance del SGSI• Acta de Constitución del proyecto
Documentos
http://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-001%20-%20Plan%20del%20Proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Proyecto/Diagrama%20de%20Gannt%20Proyecto%20con%20ISO%2027001%202013.pdfhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-003%20-%20Documento%20de%20alcance%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/Acta%20de%20constitucion%20del%20proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/Acta%20de%20constitucion%20del%20proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-003%20-%20Documento%20de%20alcance%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Proyecto/Diagrama%20de%20Gannt%20Proyecto%20con%20ISO%2027001%202013.pdfhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-001%20-%20Plan%20del%20Proyecto.docx
8/18/2019 Material Didactico Semana 7
31/44
Seguridad de la Información
Gestión de Riesgos
8/18/2019 Material Didactico Semana 7
32/44
Seguridad de la Información
No tenemos que usar la norma ISO 31000 parala gestión de riesgos. La norma ISO 31000 sólose menciona en la norma ISO 27001: 2013,pero no es obligatorio.
No se tiene que eliminar los activos, amenazasy vulnerabilidades de nuestra evaluación deriesgos. Se puede mantener la metodologíaantigua porque la norma ISO 27001: 2013 tedeja libertad para determinar los riesgos de laforma que desee.
¿Qué cambia en la gestiónde riesgos?
8/18/2019 Material Didactico Semana 7
33/44
Seguridad de la Información
No se debe dejar de lado el identificar a lospropietarios de activos. Aunque la norma ISO27001: 2013 no requiere que usted identifiquelos propietarios de activos como parte de laevaluación del riesgo, el control A.8.1.2 Controllo requiere.
En la Política de seguridad de la información denivel superior no se necesita establecercriterios con los que los riesgos seránevaluados - este era el requisito de la norma
ISO 27001: 2005 4.2.1 b 4)); en la norma ISO27001: 2013, usted todavía tiene que definirlos criterios de evaluación de riesgo, pero nocomo parte de la política de nivel superior .
¿Qué cambia en la gestiónde riesgos?
8/18/2019 Material Didactico Semana 7
34/44
Seguridad de la Información
Se puede identificar los riesgos en función desus procesos, en función de susdepartamentos, utilizando sólo las amenazas yvulnerabilidades no, o cualquier otrametodología
Es necesario identificar los propietarios delriesgo.
ISO 27001: 2005 requiere que la
administración apruebe riesgos residuales, asícomo la implementación y operación del SGSI.Por el contrario, en la norma ISO 27001: 2013los propietarios de los riesgos deben aceptarlos riesgos residuales y aprobar el plan detratamiento de riesgos.
¿Qué cambia en la gestiónde riesgos?
8/18/2019 Material Didactico Semana 7
35/44
Seguridad de la Información
Las opciones de tratamiento en la revisión2013 no sólo se limitan a la aplicación de loscontroles, la aceptación de riesgos, evitandolos riesgos, y la transferencia de riesgos comolo fueron en la revisión de 2005 - básicamente,usted es libre de considerar cualquier opciónde tratamiento que crea apropiado.
¿Qué cambia en la gestiónde riesgos?
8/18/2019 Material Didactico Semana 7
36/44
8/18/2019 Material Didactico Semana 7
37/44
Seguridad de la Información
Indicadores de gestión
8/18/2019 Material Didactico Semana 7
38/44
Seguridad de la Información
Indicadores del SGSIISO 27004
8/18/2019 Material Didactico Semana 7
39/44
Seguridad de la Información
Entrenamiento del SGSI Personal entrenado en el SGSI Entrenamiento en Seguridad de la Información Concientización en el Cumplimiento de la Seguridad de
la Información Políticas de contraseñas Calidad de las contraseñas – manual Calidad de las contraseñas – automática
Proceso de revisión del SGSI Mejora continua de la gestión de incidentes de laseguridad de la información del SGSI
Indicadores del SGSIISO 27004
d d d l
8/18/2019 Material Didactico Semana 7
40/44
Seguridad de la Información
Efectividad Implementación de accionescorrectivas Compromiso de la alta dirección Protección contra código malicioso Controles físicos de entrada Revisión de los archivos de registro de actividades Gestión de la periodicidad del mantenimiento
Seguridad en acuerdos con terceras partes
Indicadores del SGSIISO 27004
D t
8/18/2019 Material Didactico Semana 7
41/44
Seguridad de la Información
Documento
• Documento Indicadores del SGSI
http://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-017%20Documento%20indicadores%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-017%20Documento%20indicadores%20del%20SGSI.docx
8/18/2019 Material Didactico Semana 7
42/44
Seguridad de la Información
Mejora Continua
R i ió d D
8/18/2019 Material Didactico Semana 7
43/44
Seguridad de la Información
Revisión de Documentos
R i ió d C l
8/18/2019 Material Didactico Semana 7
44/44
Revisión de Controles