el information security forum

Rafael Rodríguez de Cora

Conferencia FIST Enero/Madrid 2008 @

Sponsored by:

El Information Security Forum y el Estándar de Buenas Prácticas

2


Licenciado en Informática por la Universidad de Chile.

Varios años de experiencia con Arthur Andersen, CORITEL, PWC, etc.

Director General de

Profesor en Master ALI / UPM de Auditoria y Seguridad Informática

3

Computer Aided Logistics

CALS es es una empresa nacida en mayo de 1997 para ofrecer soluciones tecnológicas para la logística, el transporte y la seguridad informática.

Es Agente para España, Portugal y América Latina del Information Security Forum (ISF)

Tiene la representación en España y Portugal de los productos de Methodware para la Gestión de Riesgos y Auditoría de Sistemas de Información, tales como el producto software Enterprise Risk Assessor (ERA).

4

Horizonte de las Amenazas

Modelo de Riesgo según el ISF

5

Horizonte de las Amenazas

Un mundo cambiante – Tipos de Amenazas

Políticas (Aumento de inestabilidades regionales, terrorismo, problemas energéticos)

Legales (Aumento del cumplimiento, litigios por problemas con manejo y gestión inadecuada de transacciones, etc.)

Económicas (e-economía, crimen organizado, continuidad del negocio, cambio climático)

Socio-culturales (tecno-generación, trabajo remoto, ocio vstrabajo)

Tecnológicas (Convergencia digital de medios, convergencia de dispositivos, nuevos productos y arquitecturas)

6

Gestión de Riesgos

� La Gestión de Riesgos Operacionales y la gestión de Riesgos Empresariales está en un proceso de redefinición y existen cambios y orientaciones importantes en el concepto de la Gestión de Riesgos en las Organizaciones.

� El concepto del Riesgo se vincula ahora, cada vez más, al concepto de valor añadido y objetivos de negocio de la Organización

� La Gestión de Riesgos de la Información debe considerarse como parte de la solución, o se convertirá como parte del problema.

� En el fondo se trata de definir claramente y gestionar bien lo siguiente, en ambos casos:

� Impacto de los Riesgos sobre el Negocio� Amenazas y Vulnerabilidades� Controles

Un mundo cambiante – Tipos de Riesgos

7

El Information Security Forum

¿Qué aporta el Foro en el contexto anterior?

¿Cuál es su rentabilidad?

¿Cómo convencer a la Dirección General?

Preguntas:

8

El Information Security Forum

Aspectos Clave del ISFProductos y Servicios. ProyectosEncuestas de SituaciónGestión y Control de RiesgosProgramas de Sensibilización

Respuestas:

9

¿Qué es el ISF?

Una asociación internacional de más de 300 organizaciones de primer orden, que...

� Se dedica a clarificar y resolver temas fundamentales acerca de la seguridad de la información

� Es independiente y sin fines de lucro

� Financia y gestiona el desarrollo de soluciones prácticas orientadas al negocio (herramientas y servicios)

� Está conducida y gobernada por sus Miembros

� Está gestionada por una organización gerencial profesional

10

Aspectos Clave del Foro

Acceso independiente al “estado del arte”Prestigio y reconocimiento internacionalFinanciación de Proyectos (estudios específicos)No “re-inventar” la rueda (por tiempo y coste)Las “Mejores Prácticas” (por sectores)Plataforma de intercambio de experiencias

Soluciones Prácticas y de Calidad

11

Aspectos Clave del Foro

Misión del Foro – Mission Statement:

‘ The Information Security Forum will strive to sustain its position as the world’s leading independent authority on information risk

management . ’

12

Miembros actuales en:

� Australia

� Bélgica

� Canadá

� Dinamarca

� Finlandia

� Francia

� Alemania

� Irlanda

� Italia

� Latvia

� Luxemburgo

� Noruega

� Serbia

� Singapur

� Sur África

� España

• Suecia

• Suiza

• Holanda

• Emiratos Árabes Unidos

• Reino Unido

• Estados Unidos

13

Banca, Finanzas y Seguros (1) Metavante CorporationMetLifeMetropolitan Holdings LimitedMizuho Corporate Bank, LtdMunich Re GroupNational Australia Bank GroupNational Bank of CanadaNationwide Building SocietyNordea BankNorges BankNykredit A/SOP Bank GroupPemco Corporation + Pemco Mutual InsurancePrudential PlcRabobank NederlandReuters Ltd.Royal Bank of CanadaRoyal Bank of Scotland GroupS.W.I.F.TSamlinkSanlamSchroders Investment Management Ltd.Scotiabank (Canada)Secure Trading GroupSkandinaviska Enskilda Banken (SEB)Societe Generale GroupSouth African Reserve BankStandard Bank of South AfricaStandard Chartered BankStandard Life AssuranceState Farm Mutual Automobile Insurance Company

Dresdner Kleinwort WassersteinEuroclearEuropean Central BankEuropean Investment BankFidelity InvestmentsFirst Rand BankFortisFriends ProvidentGjensidigeGMAC-RFCGoldman Sachs & CoGreat-West Life Assurance CompanyGuardian Life Insurance Company ofAmericaHBOS Group plcHDFC BankHSBCINGIsabel NV/SAJP Morgan Chase & CoKBC GroupLa CaixaLCH. ClearnetLegal and General PLCLehman BrothersLloyds TSBMan Group PlcMarsh & McLennan Companies Inc.Mashreq BankMerrill Lynch

ABN-AMROABSA BankAegon NVAlliance & LeicesterAllianz SEANZ BankAXAAssurantBank for International SettlementsBank of AmericaBank of Ireland GroupBank of LatviaBank of Tokyo-Mitsubishi UFJ Ltd.Barclays BankBBVA BankBECBMO Financial GroupBNP ParibasCaja MadridCanadian Imperial Bank of CommerceCapital OneCitigroupCLS ServicesCommerzbank AGCrédit Agricole SACredit SuisseDanske Bank A/SDelta Lloyd Group (AVIVA)Deutsche BankDnB NOR

Miembros por sectores (1 de 5):

14


Air Liquide SAAnglo American plcBritish EnergyBritish Nuclear GroupCentrica plcChevronConocoPhillipsDolphin Energy LimitedDONG EnergyE.ON UKEDF Energy plcEskomFortum OyjNeste Oil OyjNuonRepsol YPF SARWE Npower picSasol Shared ServicesSaudi AramcoSellafield Ltd.Severn Trent plcShell InternationalSUEZSyncrude Canada Ltd.Thames WaterTransCanada

Centrales, Energía yRecursos Minerales

Ind. Química, Sanidad y Farmacéuticas

Akzo NobelAstraZenecaBASF AktiengesellschaftBaxter Healthcare CorporationBayer AGBorealisBrenntag Holding GmbH & Co KGBristol-Myers SquibbClariant International Ltd.DSMF Hoffmann La Roche AGHenkel KGaAICI plcKaiser PermanenteL’OrealNorsk Hydro ASANovartis International AGNovo Nordisk A/SPfizerShire PharmaceuticalsSmart Systems for Health Agency (SSHA)StatoilHydro ASASyngenta International AGUnited Healthcare Services Inc.

Sun Life FinancialSvenska HandelsbankenThe Co-operative GroupThe London Stock ExchangeToronto Dominion Bank FinancialGroupUBS AGUSAAVanguardVP Securities ServicesWachovia CorporationWells Fargo BankWestLB AGYorkshire Building SocietyZurich Financial Services

Banca, Finanzas y Seguros (2)

15


Electrónica, Ingeniería y Fabricación

ABB Information System Ltd.Aker Kvaerner ASAAlcatel - LucentArla Foods AMBAAshok Leyland Ltd.Bechtel CorporationBoeingBritish American Tobacco plcCadbury SchweppesCanon Europa NVChrysler LLCDaimler AGEssilor International SAGrampian Country Food GroupGrundfosHoneywell InternationalInfineon Technolgies AGKimberly-Clark CorporationKraft FoodsMichelin GroupMotorolaNestléNokia GroupOrkla ASAPitney BowesProcter & Gamble Services CompanyReliance Industries Limited

SAB MillerSandvik ABSCAScaniaSiemens AGSKFST MicroelectronicsStora Enso OyTata Steel CorusTetra PakToyota Motor Sales USAUnileverVolvo AB

ACA (AAA Affiliate)Arbeids – og velferdsetatenarivia.komATPBundesamt für Sicherheit in der I.Centre for the Protection of National

Infrastructure (CPNI)CentrlinkDanish Tax and Custom AdministrationDept of Health & NHSDept of Social & Family Affairs Finnish Communications Regulatory AuthorityForeign & Commonwealth OfficeGOVCERT.NLGovernment of AlbertaGovernment of OntarioGovernment of VictoriaHM Revenue & CustomsICPO - InterpolInformatikstrategieorgan Bund ISBKELAManitoba Provincial GovernmentMaritime ProvincesMISA OntarioNational Board of Taxes (Finland)National Institute of Standards & TechnologyNational Policing Improvement Agency (NPIA)

Agencias Gubernamentales

Parliamentary Information Communications

TechnologyRegion HovedstadenRoyal Canadian Mounted Police (RCMP)South African Revenue ServiceState Information Technology AgencyThe Department for Works and PensionsThe Government of British ColumbiaThe Government of Newfoundland &

Labrador

16


(ISC)2

Bell CanadaBritish Broadcasting CorporationBritish Telecommunications plcCable & WirelessCanada Post CorporationCOLT TelecommunicationsDanish Broadcasting CorporationDe Post – N.V.Deutsche TelekomItella CorporationKPN Royal Dutch TelecomMobile Telephone NetworksO2Orange plcPost DanmarkPosten Norge BARoyal Mail Group plcSwisscom IT Services AGTDCTelecom New Zealand LtdTelefónica EspañaTelekom SrbijaTelenor ASTelephone & Data Systems Inc.TeliaSoneraTelkom SA LimitedTNT Express Worldwide UK LtdVerizonVodafone Ltd

Medios, Correos, Telecom. y Educación

Adobe Systems, IncArabella (Arab Bank Group)BDO Stoy Hayward LLPBrabeion SoftwareBusiness Connexion (Pty) LtdClifford Chance LLPDeloitte & ToucheDet Norske VeritasEDB Business Partner ASAElectronic Data SystemsElektron (P/F)Ernst & YoungFreshfields Bruckhaus DeringerFujitsu ServicesIBM Global ServicesInfoSecureKPMGLogicaCMGMicrosoft CorporationPricewaterhouseCoopersQualysSecureOps Inc.SIA s.p.aSun Microsystems Inc.Symantec CorporationTietoEnator CorporationTNO ICTTowers PerrinUnisysVeriSign, IncVertex Data Science LimitedYell Ltd

Consultoras, IT y Servicios

17


A P Møller - MaerskBritish AirwaysCopenhagen Airports A/SCóras Iompair ÉireannDHL Exel Supplay Chain & DHL

Global ForwardingEADSEUROCONTROLKLM Royal Dutch AirlinesNetwork Rail Infrastructure Ltd.SASSingapore Airlines Ltd.The Emirates GroupTransnet Freight RailVR-Group Ltd.

Loterías y Comercio Minorista

Kesko CorporationMarks & Spencer plcSainsbury’s Supermarkets LtdStarwood Hotels & ResortsTarget CorporationTesco Stores Ltd

Líneas Aéreas y Servicios de Transporte

18

ISF: Productos y Servicios

Red de Contactos / Intercambios de Información

Programas de Trabajo Amplios

Encuestas de Situación sobre las condiciones de seguridad

Extranet segura

Estándar del Foro sobre Mejores Prácticas

Servicios

19

ISF: Red de Contactos

Reuniones Regionales del Capítulo (Tres anuales)

Participación en Proyectos (Intercambios de experiencias, diseño y alcance del proyecto, formación)

Congreso Anual(En Barcelona del 16 al 18 de Noviembre 2008)

20

ISF: Programas de Trabajo

El Foro lleva a cabo un amplio programa anual. Cada proyecto...

� Obtiene documentos y herramientas de alta calidad y fáciles de usar:

� Se basa en las necesidades de negocio de los Miembros

• Informes a Dirección.

• Documentos de Consulta

• Guías prácticas de implantación y metodologías

� Incorpora experiencias de las organizaciones miembro

� Representa la mejor práctica entre los miembros

21

ISF: Encuestas de Situación

Benchmarks: Encuestas de Situación del Foro – Evaluación detallada sobre el estado de la seguridad

La participación en la Encuesta permite…

� Ver la situación general del estado de la seguridad de información a través de la organización

� Comparar nuestro nivel con otros usuarios de IT en el sector

� Identificar áreas susceptibles de mejora para un mayor análisis

� Asignar presupuestos de seguridad donde sea más rentable

�Documentar necesidades de mejoras sobre seguridad

�Aumentar la sensibilización sobre la seguridad entre los empleados

Elemento fundamental para el

programa corporativo de seguridad del ISF

22

ISF: Extranet Segura

‘MX2’ – La extranet segura del Foro

El sistema MX2 permite participar a los Miembros, por medios electrónicos, en las actividades del Foro. Posibilita ...

� Acceder al conjunto completo de los productos del Foro en formato electrónico

� Registrarse para atender a las reuniones del Foro

� Acceder a la información de los proyectos, del Congreso y de las reuniones regionales

� Participar en reuniones on-line, con otros Miembros y con el Equipo de Gestión del Foro

23

ISF: Estándar sobre Mejores Prácticas

El Estándar del Foro sobre las Mejores Prácticas

Implantado en algunas de las organizaciones más importantes del mudo, el Estándar está...

� Diseñado para los requerimientos del negocio

� Basado en experiencias prácticas

� Orientado hacia los temas que pueden causar el mayor

daño

� Posibilitado para llevarse a cabo en la práctica

� Definido con un amplio alcance

� Realizado con un enfoque independiente

� Descrito usando un lenguaje familiar de buenas prácticas

24


Cubre seis aspectos de la Seguridad de la Información:

� Security Management (SM)

� Critical Business Applications (CB)

� Computer Installations (CI)

� Networks (NW)

� Systems Development (SD)

� End User Environment (UE)

��

��

��

2007

25


Temas relativos a la gestión de la seguridad de la información de alto nivel, a la disposición de la seguridad de la información a través de la organización, y al establecimiento de un entorno seguro

Security Management (SM)

��

��

��

2007

26


Critical Business Applications (CB)

Temas relativos a los requerimientos para mantener aplicaciones de negocios seguras, para identificar los riesgos de la información y para determinar el nivel de protección requerido con el objeto de mantener los riesgos de la información dentro de límites aceptables.

��

��

��

2007

27


Computer Installations (CI)

Temas relativos al diseño y configuración de los sistemas informáticos, a la gestión de actividades requeridas para establecer unas instalaciones seguras y al mantenimiento y continuidad del servicio.

��

��

��

2007

28


Networks (NW)

Temas relativos al diseño e implantación de la red, a la gestión de actividades requeridas para el funcionamiento y gestión de redes seguras, incluyendo redes locales y corporativas, y redes de comunicación de voz

��

��

��

2007

29


Systems Development (SD)

Temas relativos a la aplicación de seguridad de la información en todas las etapas de desarrollo de sistemas, incluyendo el diseño, desarrollo, pruebas e implantación.

��

��

��

2007

30


End User Environment (UE)

Temas relativos a la gestión de la seguridad local, a la protección de las aplicaciones corporativas y en desktops, y a la seguridad de dispositivos portátiles.

��

��

��

2007

31

ISF: En resumen ….

Beneficios:

� Acceso a las experiencias y conocimientos de organizaciones mundiales destacadas

� Obtención de soluciones útiles para problemas de seguridad de alta prioridad

� Obtención de estudios comparativos para analizar los niveles de seguridad propios

� Entendimiento de las mejores prácticas globales sobre seguridad de la información

� Establecimiento de una red de contactos para temas de seguridad

� Rentabilidad: obtención de resultados por una fracción de los costes reales

32

Velázquez 86- B

28006 - MADRID

Tel: +34 91 432 14 15

Fax: +34 91 578 27 97


E-mail: [email protected]

ISF: Contacto

33

Attribution. You must give the original authorcredit.

For any reuse or distribution, you must make clear to others the license terms ofthis work.

Any of these conditions can be waived if you get permission from the author.

Your fair use and other rights are in no way affected by the above.

This work is licensed under the Creative Commons Attribution-NoDerivsLicense. To view a copy of this license, visithttp://creativecommons.org/licenses/by-nd/2.0/ or send a letter to CreativeCommons, 559 Nathan Abbott Way, Stanford, California 94305, USA.

Creative CommonsAttribution-NoDerivs 2.0

You are free:

•to copy, distribute, display, and perform this work

•to make commercial use of this work

Under the following conditions:

No Derivative Works. You may not alter, transform, orbuild upon this work.


Madrid, Enero 2008

@ with the sponsorship of:

www.fistconference.org