fabian descalzo - taller iso 27001 y negocio
TRANSCRIPT
23/8/2016
1
Gestión de Aseguramiento Corporativo
Fabián Descalzo
Gerente de Gobierno, Riesgo y Cumplimiento
Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec S.A., conamplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales eInternacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización ycumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de laInformación.
Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Globalsección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química,petróleo y gas), Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and ElectronicsEngineers), Miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA, certificado en Dirección deSeguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN) yauditor ISO 20000 (LSQA-Latu).
Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Complianceen las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional deCiencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.
Profesor del módulo 27001 del curso de “IT Governance, Uso eficiente de Frameworks”, y de la“Diplomatura en Gobierno y Gestión de Servicios de IT” del Instituto Tecnológico de Buenos Aires (ITBA) yProfesor en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV-NORD Argentina.
Perfil del disertante
23/8/2016
2
Presentación de los participantes
Alinear la Seguridad con
los Objetivos de la Empresa
Gobierno de TI y Seguridad de la
Información
Gestión, Comunicación y
Control
Cumplimiento y entorno
regulatorio
Servicios aplicados al resultado del
Negocio
Implementación y Certificación
Guía de temas
23/8/2016
3
Nuestra información se relaciona en gran medida con nuestras operaciones ejecutivas, interacciones con los clientes y con terceros.
Esta información se encuentra en distintas formas y en numerosas aplicaciones.
La mayor parte de nuestra información no está disponible al público en general
23/8/2016
4
Royal DutchShell GroupRoyal DutchShell Group
DESARROLLO: Centro de Informática Nacional del Reino Unido (NCC), Shell, BOC Group, British Telecom, Marks and Spencer, Midland Bank, Nationwide
APOYO: BP, British Aeroespacial, British Steel, Bull, Cadbury Schweppes, Cameron MarkbyHewitt, Chelsea Building Society, Ciba Geigy, digital Equipment Corporation, Reuters y TSB Bank. BSI-DISC
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de su información.
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de su información.
Organismo encargado de promover el desarrollo de normas internacionales de fabricación (productos y servicios), comercio y comunicación. Busca la estandarización de normas de productos y seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional
Organismo encargado de promover el desarrollo de normas internacionales de fabricación (productos y servicios), comercio y comunicación. Busca la estandarización de normas de productos y seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional
ISO 27799Salud
ISO 27799Salud
ISO 27011Telecomunicaciones
ISO 27011Telecomunicaciones
ISO 27017Cloud Computing
ISO 27017Cloud Computing
ISO 27032Cyberseguridad
ISO 27032Cyberseguridad
ISO 27015Financiera - Seguros
ISO 27015Financiera - Seguros
ISO 27019Energía
ISO 27019Energía
Familia 27000Familia 27000
27001 SGSI 27002
Controles SGSI
27003 Implementación
SGSI
27004 Métricas
de SI
27005 Gestión de Riesgos SI
27010 Intercambio
de información
27013 Integración 27001 con ISO2000
27014 Gobierno
de SI
27016 Finanzas del SGSI
27031 TIC Contingencia
Negocio
27034 Seguridad aplicativa
27035 Incidentes
de SI
23/8/2016
5
4. Sistema de Gestión de Seguridad de la Información
4. Sistema de Gestión de Seguridad de la Información
4.3 Requisitos de la Documentación4.3 Requisitos de la Documentación
4.1 Generalidades4.1 Generalidades
4.2 Implementación y gerenciamiento del SGSI
4.2 Implementación y gerenciamiento del SGSI
5. Responsabilidades de la Dirección
5. Responsabilidades de la Dirección
6. Auditoría interna del SGSI6. Auditoría interna del SGSI
7. Revisión del SGSI por parte de la Dirección
7. Revisión del SGSI por parte de la Dirección
8. Mejora del SGSI8. Mejora del SGSI
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificación
8. Operación
9. Evaluación de funcionamiento del SGSI
10. Mejoras y acciones correctivas
Introducción, Alcance, Referencias Normativas, Términos y definiciones2005 2013
PLAN
Establecer SGSI
PLAN
Establecer SGSI
HACER
Implementar y operar
HACER
Implementar y operar
CHEQUEAR
Monitorear y revisar
CHEQUEAR
Monitorear y revisar
ACTUAR
Mantener y profundizar
ACTUAR
Mantener y profundizar
Políticas de Seguridad de la Información
Políticas de Seguridad de la Información
Organización de la Seguridad
Organización de la Seguridad
Identificación y clasificación de
Activos
Identificación y clasificación de
Activos
Selección e implementación
de controles
Selección e implementación
de controles
Operacionalizar los procesos
Operacionalizar los procesos
Verificar y controlar los
procesos
Verificar y controlar los
procesos
Acciones correctivas y preventivas
Acciones correctivas y preventivas
Revisión de la Gerencia
Revisión de la Gerencia
Estructura de la Norma - PDCA
23/8/2016
6
AC
TC
HEC
KD
OP
LAN
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificación
8. Operación
9. Evaluación de funcionamiento del SGSI
10. Mejoras y acciones correctivas
Entendimiento de la Organización y su contextoExpectativas de las partes interesadasAlcances del ISMS
Liderazgo y compromiso de la Alta DirecciónPolíticasOrganización de los roles, responsables y autoridades
Como abordar riesgos y oportunidades
Recursos, competencias, concientización, comunicación, información documentada
Plan de tratamiento de riesgosImplementar el plan y documentar los resultados
Plan de seguimiento, medición, análisis y evaluación Planear y realizar auditorías internas del SGSI Revisiones regulares de la Alta Dirección
No conformidad y acciones correctivas Mejora continua del SGSI
Estructura de la Norma - PDCA
Seguridad Organizacional
Seguridad Lógica
Seguridad Física
Seguridad Legal
ORGANIZACIONALEstablece el marco formal de seguridad que debe sustentar la Organización, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología
ORGANIZACIONALEstablece el marco formal de seguridad que debe sustentar la Organización, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología
FÍSICAIdentifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad y acceso físico con base en la importancia de los activos.
FÍSICAIdentifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad y acceso físico con base en la importancia de los activos.
LÓGICAEstablece e integra los mecanismos y procedimientos, que permitan monitorear el acceso informatizado a los activos de información
LÓGICAEstablece e integra los mecanismos y procedimientos, que permitan monitorear el acceso informatizado a los activos de información
LEGALIntegra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios de la red corporativa bajo la reglamentación de la normativa interna de políticas y manuales de procedimientos de la Organización
LEGALIntegra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios de la red corporativa bajo la reglamentación de la normativa interna de políticas y manuales de procedimientos de la Organización
Entorno de Seguridad de la Información
23/8/2016
7
Política de SeguridadPolítica de Seguridad
Organización de la seguridadOrganización de la seguridad
Gestión de activosGestión de activos Control de accesos
Conformidad
Seguridad del personalSeguridad del personal Seguridad del entorno físicoSeguridad del entorno físicoSeguridad del entorno
tecnológico
Gestión de incidentes de seguridad
Gestión de comunicaciones y operaciones
Gestión de continuidad de negocio
Gestión de continuidad de negocio
TácticoO
pe
rativoEstraté
gico
Nuevas Regulaciones, Requerimientos por Certificación, Planes de Trabajo por Auditorías, Actualización Tecnológica
Nuevas Regulaciones, Requerimientos por Certificación, Planes de Trabajo por Auditorías, Actualización Tecnológica
Impactan enImpactan en
Lo regulaLo regula Lo eligeLo eligeNEGOCIONEGOCIO
Deben acompañarDeben acompañar
Procesos de Negocio
23/8/2016
8
Objetivos de mejora en su gestión que busca alcanzar la Organización:
• De gobierno, estructura organizativa, funciones y responsabilidades• Políticas, los objetivos y las estrategias que están en marcha para
alcanzarlos• Las capacidades, entendidas en términos de recursos y de
conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías)
• Sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales)
• Relación con las percepciones y valores de los interesados internos:• Cultura de la organización• Normas, directrices y modelos adoptados por la organización• Forma y el alcance de las relaciones contractuales.
PLAN DE NEGOCIO
OBJETIVOS ESTRATÉGICOS DEL NEGOCIO
Objetivo de servicio
de SI
Objetivo de servicio
de IT
Confidencialidad, Integridad y
Disponibilidad
Confidencialidad, Integridad y
Disponibilidad
Operatividad y GobernabilidadOperatividad y Gobernabilidad
CALIDADCALIDAD
23/8/2016
9
SEGURIDAD
PROCESOS FUNCIONALES
PROCESOS TECNOLÓGICOS
GOBERNABILIDAD
Gobierno de la Seguridad de la Información proporciona 6 resultados básicos:
• Alineación Estratégica• Entrega de valor• Gestión de Riesgos• Gestión de Rendimiento• Gestión de Recursos• Aseguramiento del proceso de
Negocio
NEGOCIONEGOCIO
ISO 27014 – Gobierno de Seguridad de la InformaciónISO 20000 – Gestión de Servicios de TIISO 27013 – Integración de ISO 27001 con ISO 20000
Entender nuestro modelo de negocio Conocer las regulaciones, marco
normativo y estándares del Negocio
Sugef 18-16Reglamento sobre gestión del riesgo operativo
No solo tomarlo como algo a cumplir, sino como guía para nuestros parámetros de
gestión y cumplimiento
23/8/2016
10
Nivel de Cumplimiento de
Servicio y Regulatorio
Áreas de NegocioProcesos de Negocio que procesan información física e
informatizada
Sistemas de Procesamiento
Tecnología de la Información
Operaciones
Arquitectura
Desarrollo
Seguridad de la Información
Seguridad Organizacional
Seguridad Informática
Seguridad Física
Seguridad Legal
ENTORNO = RIESGOS
CUMPLIMIENTOLeyes, Regulaciones, Políticas Internas
Asociar las áreas Legales, Auditoría y Seguridad con las áreas Funcionales y
Tecnológicas
GOBIERNOEstablecer procesos
funcionales y de servicio tecnológico protegidos,
compliance y pensados para El Negocio
Reconocer los diferentes riesgos y metodología para
su gestión
23/8/2016
11
Administración de riesgos
Un Análisis de Riesgo puede ser desarrollado con cualquier tipo de metodología, siempre y cuando sea completa y metódica.
El resultado final de un análisis de riesgo, es:• Clara identificación, definición y descripción de los activos.• El impacto que podría ocasionar un problema sobre cada
uno.• Conjunto de acciones que pueden realizarse (agrupadas).• Propuesta varios cursos de acción posibles.• Finalmente: Elección y Aprobación de un curso de acción por
parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia (Costo/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar (…..o en definitiva a pagar…..).
23/8/2016
12
Revisión del entorno
Identificación de Riesgos
Análisis de Respuestas al
Riesgo
Plan de Respuestas al
riesgo
Plan de Revisión o cambios en el
Entorno
Procesos del negocio• Procesos cuya pérdida o degradación
hacen que sea imposible llevar a cabo la misión de la organización
• Procesos que contienen procesos secretos o procesos que involucran tecnología propietaria
• Procesos que, si se modifican, pueden afectar en gran medida el logro de la misión de la organización.
• Procesos que son necesarios para que la organización cumpla con requerimientos contractuales, legales o reglamentarios.
Información:• Información vital para el ejercicio de la
misión de la organización o el negocio• Información personal, tal como
específicamente puede definirse en el sentido de las legislaciones nacionales respecto a la privacidad
• Información estratégica necesaria para lograr los objetivos determinados por las orientaciones estratégicas
• Información de costo alto cuya recolección, almacenamiento, procesamiento y transmisión requieren mucho tiempo y/o implican un alto costo de adquisición
23/8/2016
13
ACTIVO
Identificación
Amenazas
Vulnerabilidades
Propietario oDueño del Riesgo
Procesos de tratamiento y procesamiento de informaciónProcesos de tratamiento y procesamiento de información
Enfoque a procesosLa apreciación de riesgos debe ser sistematizada y orientada a procesos, es decir, que se
integre en el día a día de las operaciones de la organización.
Responsable que se encarga de dirigir y controlar las acciones de mejora (aplicación eimplementación de los controles del Anexo A de la norma ISO 27002:2013) para queexista una trazabilidad y no se detecten riesgos que luego no vayan a ser tratados,controlados y evaluados.
Áreas de Negocio
Proceso FuncionalProceso Funcional
Proceso de Servicios Tecnológicos y de Seguridad al NegocioProceso de Servicios Tecnológicos y de Seguridad al Negocio
Registros y Controles
23/8/2016
14
Propietariodel Riesgo
Garantiza la correcta clasificación
Usuarios Clave
Seguridad de la Información
Brinda soporte a Áreas de Negocio y IT
Determina el riesgo apropiado
Evaluar la probabilidad de ocurrencia
Propietariodel Riesgo
Aprueba la clasificación y definiciones tomadas
Áreas de IT
Implementan las soluciones indicadas por los Usuarios y recomendaciones de SI
Considerar el impacto al determinar el riesgo
Evaluación y tratamiento de riesgos
Evaluación de riesgos de seguridadSe puede usar cualquier método de gestión de riesgos de seguridad de la información, con preferencia por métodos documentados, estructurados y generalmente aceptados
23/8/2016
15
Evaluación y tratamiento de riesgos
Tratamiento de riesgos de seguridadImplementación: La Gerencia (específicamente los propietarios de riesgos) necesita evaluar los riesgos y decidir qué hacer con ellos. Tales decisiones deben documentarse en un Plan de Tratamiento de Riesgos (PTR). Es aceptable que la dirección decida explícitamente no hacer nada con ciertos riesgos de seguridad de la información que se estiman dentro de la "tolerancia al riesgo" de la organización, sin que sea éste el enfoque por defecto.
En el que se dispone un listado de controles que sirven para orientarse en las posibles acciones a efectuar para reducir los riesgos, que pueden formar parte
del "Plan de Tratamiento de Riesgos"
Planificación de Administración de Riesgos
•Alcance•Metodología
Identificación de Riesgos
•Confidencialidad•Integridad•Disponibilidad
Análisis de Riesgos
•Riesgos•Costos / Beneficios
Plan de Acción
•Tratamiento / Respuesta a los riesgos
•Aceptar riesgo residual
Monitoreo de los Riesgos
•Actividades de control•Información y comunicación•Supervisión
Mitigar• Controles
Transferir• Seguros• Proveedores
Aceptar• No hacer nada
Evitar• Cesar la actividad que lo
origina
Apetito de Riesgo = Nivel de riesgo aceptado para
cumplir las metas
Apetito de Riesgo = Nivel de riesgo aceptado para
cumplir las metas
23/8/2016
16
ESCENARIOS DE
INFORMACIÓN
Entorno
Físico
De negocio (legal, procesos)
Procesamiento / Tratamiento
Digital
Manual
Transmisión
Interempresa / Intersector
Intersistemas
Escenarios
Determinación de alcance
Unidades de
Negocio
TERCER ALCANCE
Análisis de riesgo de procesos de negocio
Procesos funcionales críticos del
negocio
INFORMACIÓN
PRIMER ALCANCE
Centro de la información y de los procesos tecnológicos críticos de la
organización
Aplicaciones críticas
Gestión de Usuarios
(Identidades / Accesos)
SEGUNDO ALCANCE
Análisis de riesgo de procesos de servicio tecnológicos
Procesos críticos de tecnología
23/8/2016
17
INFORMACIÓN
Acceso Físico
Acceso lógico
Operación de sistemas
Seguridad de las redes
Seguridad en las comunicaciones
/ transmisión
Seguridad ambiental
Continuidad de procesamiento
Continuidad de las
comunicaciones
Recuperación del
procesamiento
Resguardo de información
Hardware y Software
Determinación de alcance
Riesgos a la información por su ubicación física o por su entorno de cercanía:• Entorno de riesgo (estaciones de servicios,
depósitos de material inflamable)• Laptop cerca de ventanas• Sectores con información sensible con
ubicación inadecuada• Necesidad de impresoras locales• Acceso indebido en áreas restringidas
Laptop
Destructura
Imp de Red
Imp de Local
Fax
Riesgos a la información por errores en su tratamiento manual o tecnológico:• Procesos de gestión erróneos• Robo de información• Fraude• Falta de controles en el ingreso de datos• Fallas de integridad de datos
23/8/2016
18
ISO 31000/31010Directrices de implantación y técnicas de
evaluación de riesgos
MAGERITMetodología de Análisis y Gestión de Riesgos
de los Sistemas de Información
• Establecimiento del contexto• Evaluación del riesgo• Tratamiento del riesgo• Aceptación del riesgo• Comunicación del riesgo• Monitorización y revisión del riesgo
ISO 27005Describe el proceso
recomendado de análisis de riesgo y las fases que lo
conforman
ISO 27002Objetivos de control para la
gestión de riesgos
Modelo MAGERIT
Etapa 1 “Planificación de análisis y gestión de
riesgos”
Etapa 2 “Análisis de
riesgos”
Etapa 3 “Gestión de
riesgos”
Etapa 4 “Selección de salvaguarda”
Establece consideraciones necesarias para comenzar el análisis y gestión de
riesgos, investigación de oportunidades, define objetivos y áreas
de dominio.
Selecciona los diferentes mecanismos a implementar, elabora
una orientación del plan de implantación de los diferentes
mecanismos, recoge documentos de trabajo del proceso de análisis y
gestiona los riesgos.
Identifica las diferentes funciones que reducen el riesgo, selecciona medidas
aceptables para las funciones existentes y las restricciones.
Facilita la identificación y valora entidades que intervienen en el
riesgo, obtiene evaluación de dichas áreas de dominio y estima los
diferentes riesgos.
23/8/2016
19
Etapa 1: Planificación de análisis y gestión de riesgos• Oportunidad de realización: se clarifica la oportunidad de realización.• Definición del dominio y los objetivos: se especifica el dominio de los objetivos
del proyecto.• Planificación del proyecto: se planifican las entrevistas.• Puesta en marcha del proyecto: seleccionar criterios de evaluación y técnicas
para el proyecto, asignar los recursos necesarios.
Etapa 2: Análisis de riesgos• Recogida de información: preparar la información.• Identificación y agrupación de activos: identificar los grupos de activos y
valorarlos.• Identificación y evaluación de amenazas: identificar y agrupar las amenazas.• Identificación y estimación de vulnerabilidades: identificar y estimar las
vulnerabilidades.• Identificación y valoración de impactos: identificar, tipificar y valorar los
impactos.• Evaluación del riesgo: evaluar y analizar el riesgo.
Etapa 3: Gestión de riesgos• Interpretación del riesgo: interpretar los diferentes riesgos.• Identificación y estimación de las funciones para proteger la información:
identificar las funciones de protección.• Seleccionar las mejores funciones de protección: aplicar parámetros de selección.• Cumplir con los objetivos marcados: determinar el cumplimiento de los objetivos.
Etapa 4: Selección de medidas de protección• Identificar mecanismos de protección de información: identificar, estudiar e
incorporar restricciones.• Selección de mecanismos de protección: identificar los diferentes mecanismos a
implantar.• Especificación de los mecanismos de implantación: especificar los mecanismos
que implantar.• Planificar la implementación: priorizar y evaluar los mecanismos.• Integrar los resultados: integrar los resultados
23/8/2016
20
Etapa 5: • Comunicación del riesgo de
seguridad de la información• Seguimiento (monitoring) y
revisión del riesgo de seguridad de la información
Comunicaciones• Comunicación interna/externa e implementación
de los mecanismos de información definidos
Controles y Awareness• Asociación con la definición de objetivos de control
y controles que deben ser implementados para satisfacer los requerimientos identificados a través de la evaluación de riesgos
• Hasta 1 charla por área de interés (Dirección -Técnica - Gerencias - Usuarios)
Mi recomendación… una más
NEGOCIO• Pérdida de rendimiento• Daños materiales
(elevación de costos, pérdida monetaria, entre otros, daños físicos)
NEGOCIO• Pérdida de rendimiento• Daños materiales
(elevación de costos, pérdida monetaria, entre otros, daños físicos)
SERVICIOS DE TI y SI• El porcentaje de objetivos de TI y SI que
dan soporte al plan estratégico del Negocio• Cantidad de escalamientos o problemas sin
resolver debido a la carencia o insuficiencia de asignaciones de responsabilidad
• Cantidad de ocasiones en que se puso en riesgo la información confidencial
• Cantidad de interrupciones al negocio debido a interrupciones en el servicio de TI
• Cantidad y tipo de modificaciones de emergencia a componentes de la infraestructura o aplicaciones críticas
• Porcentaje de plataformas que no están de acuerdo con los estándares de seguridad, arquitectura y tecnología, etc
SERVICIOS DE TI y SI• El porcentaje de objetivos de TI y SI que
dan soporte al plan estratégico del Negocio• Cantidad de escalamientos o problemas sin
resolver debido a la carencia o insuficiencia de asignaciones de responsabilidad
• Cantidad de ocasiones en que se puso en riesgo la información confidencial
• Cantidad de interrupciones al negocio debido a interrupciones en el servicio de TI
• Cantidad y tipo de modificaciones de emergencia a componentes de la infraestructura o aplicaciones críticas
• Porcentaje de plataformas que no están de acuerdo con los estándares de seguridad, arquitectura y tecnología, etc
Probabilidad de OcurrenciaProbabilidad
de Ocurrencia
Nivel de ImpactoNivel de Impacto
23/8/2016
21
“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el cual se presentan la totalidad de los riesgos.
“Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se detallan todos aquellos riesgos para los cuales la respuesta al riesgo residual es distinta de “se asume” y por consiguiente se ha especificado un plan de acción con los controles/actividades tendientes a mitigar el riesgo.
“Administración de Riesgos (Actualización al DD/MM/AAAA)”,• Detalle de nuevos riesgos y factores incorporados• Detalle de riesgos y factores dados de baja, con la
correspondiente justificación de esta acción• Detalle de riesgos para los cuales se registran cambios en la
evaluación, incluyendo la evaluación anterior, la evaluación actual y la justificación del cambio realizado
Dominios Procesos Dominios Procesos
Gestión de Seguridad Física Gestión Documental
Gestión de Controles y Monitoreo Gestión de los Recursos Humanos
Gestión de Continuidad Gestión de Capacidad
Gestión de los Recursos Humanos Gestión de Incidentes / Gestión de Crisis
Gestión de Configuración Gestión de Incidentes / Gestión de Crisis
Gestión de Seguridad Informática Gestión Documental
Gestión Documental Gestión de los Recursos Humanos
Gestión de Controles y Monitoreo Gestión de Continuidad
Gestión de Proveedores Gestión de Activos de Información
Gestión de Resguardo Gestión de la Operación
Gestión de Capacidad Gestión de los Recursos Humanos
Gestión de Continuidad Gestión de Seguridad Informática
Gestión de Incidentes / Gestión de Crisis Gestión de Identidades
Gestión de Seguridad Física Gestión de Riesgos
Gestión de Proyectos Gestión de Activos de Información
Gestión de Proveedores Gestión de Configuración
Gestión de Cambios Gestión de Cambios
Gestión de los Recursos Humanos Gestión Documental
Gestión de Incidentes / Gestión de Crisis Gestión de Proyectos
Planificación de TI Gestión de Proveedores
Organización de la Función de TI Gestión de Continuidad
Gestión de Riesgos Gestión de Resguardo
Gestión de Activos de Información Gestión de la Operación
Gestión de Controles y Monitoreo Gestión de Controles y Monitoreo
Gestión de Riesgos Gestión de Capacidad
Gestión de Proveedores Gestión de los Recursos Humanos
Gestión de los Recursos Humanos
Legal
Recursos Humanos
Reputación
Servicio al Cliente
Tecnología de la Información
Continuidad
Cumplimiento
Entorno
Estrategia
Gerenciamiento
23/8/2016
22
Probabilidad * impacto
Nivel de Control
23/8/2016
23
Documentos y registros principales
Análisis de mitigantes Respaldar Registrar
CIA
“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el cual se presentan la totalidad de los riesgos.
“Plan de Tratamiento del Riesgo” o Plan de acción, con el detalle de los riesgos que requieren un plan de acción con los controles/actividades tendientes a mitigar el riesgo.
“Informe de Administración de Riesgos (Actualización al DD/MM/AAAA)”,• Detalle de nuevos riesgos y factores
incorporados• Detalle de riesgos y factores dados de
baja, con la correspondiente justificación de esta acción
• Detalle de riesgos para los cuales se registran cambios en la evaluación, incluyendo la evaluación anterior, la evaluación actual y la justificación del cambio realizado
RIESGOSNEGOCIO• Definidos por tipo e
identificados por asociación con aplicación crítica
• Parámetros de medición establecidos
• Metodología de tratamiento de riesgos
• Análisis y evaluación de riesgos documentado
• Plan de Mitigación
• Procesos identificados• Entorno regulatorio
cumplido• Mejora de cultura
interna y madurez frente al riesgo
• Entorno documental adecuado
MATRIZ DE RIESGOMATRIZ DE RIESGO
AVAL ANTE EL DIRECTORIO Y CLIENTES CRÍTICOS
AVAL ANTE EL DIRECTORIO Y CLIENTES CRÍTICOS
23/8/2016
24
Revisión de la operación y soporte
Plan Estratégico de
la EmpresaMarca
ReputaciónPlan
Estratégico de Seguridad
PLAN DE NEGOCIO
Política de Seguridad de la Información
Organización
23/8/2016
25
Política de seguridad
Política de seguridad de la información
Implementación: Piense en términos de un manual o wiki de políticas de seguridad de la información que contenga un conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización. La revisión de la idoneidad y adecuación de la política de seguridad de la información puede ser incluida en las revisiones de la dirección.
Métricas: Cobertura de la política (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas.
Grado de despliegue y adopción de la política en la organización (medido por auditoría, gerencia o auto-evaluación).
1. Introducción2. Incumplimiento3. Documentación de referencia4. Definiciones5. Lineamientos
� Propiedad de la información y derecho de acceso� Información Interna� Existencia de privacidad� Responsabilidades� Clasificación de la Información� Información Confidencial y Patrimonial� Control de Acceso� Uso de acceso remoto� Uso de Internet� Comunicaciones� Uso del Correo Electrónico� Norma para colegas� Recuperación ante desastres� Respuesta ante incidentes� Registro de pistas de auditoria
1. Introducción2. Incumplimiento3. Documentación de referencia4. Definiciones5. Lineamientos
� Propiedad de la información y derecho de acceso� Información Interna� Existencia de privacidad� Responsabilidades� Clasificación de la Información� Información Confidencial y Patrimonial� Control de Acceso� Uso de acceso remoto� Uso de Internet� Comunicaciones� Uso del Correo Electrónico� Norma para colegas� Recuperación ante desastres� Respuesta ante incidentes� Registro de pistas de auditoria
Políticas Generales de SeguridadPolíticas Generales de Seguridad
23/8/2016
26
Aspectos organizativos de la seguridad de la información
Organización internaImplementación: Reproduzca la estructura y tamaño de otras funciones corporativas especializadas, como Legal, Riesgos y Compliance.
Métricas: Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia global para mantener los riesgos de seguridad de la información por debajo de umbrales explícitamente aceptados por la dirección.Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de seguridad de la información.
Terceras PartesImplementación: Haga inventario de conexiones de red y flujos de información significativos con 3as partes, evalúe sus riesgos y revise los controles de seguridad de información existentes respecto a los requisitos. ¡Esto puede dar miedo, pero es 100% necesario!
Considere exigir certificados en ISO/IEC 27001 a los terceros más críticos, tales como outsourcing de TI, proveedores de servicios de seguridad TI, etc.
Métricas: Porcentaje de conexiones/actividades con terceras partes que han sido identificadas, evaluadas en cuanto a su riesgo y estimadas como seguras.
Gestión de activos
Responsabilidad sobre los activosImplementación: Elabore y mantenga un inventario de activos de información (similar al preparado en su día para el Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes (p. ej., ubicación, nº de serie, nº de versión, estado de desarrollo / pruebas / producción, etc.).
Use códigos de barras para facilitar las tareas de realización de inventario y para vincular equipos de TI que entran y salen de las instalaciones con empleados.
Métricas: Porcentaje de activos de información en cada fase del proceso de clasificación (identificado / inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).
Porcentaje de activos de información claves para los cuales se ha implantado una estrategia global para mitigar riesgos de seguridad de la información según sea necesario y para mantener dichos riesgos en niveles aceptables.
Clasificación de la informaciónImplementación; ¡Mantenga la sencillez! Distinga los requisitos de seguridad básicos (globales) de los avanzados, de acuerdo con el riesgo. Comience quizás con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.
Métricas: Porcentaje de activos de información en cada categoría de clasificación (incluida la de "aún sin clasificar").
23/8/2016
27
Seguridad ligada a los recursos humanos
Antes de la contrataciónImplementación: Conjuntamente con RRHH, asegure que se emplea un proceso de verificación de antecedentes proporcional a la clasificación de seguridad de aquella información a la que va a acceder el empleado a contratar. Dicho simplemente, el proceso de contratación de un administrador de sistemas TI debería ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formación, conocimientos, etc.
Métricas: Porcentaje de nuevos empleados o pseudompleados (contratistas, consultores, temporales, etc.) que hayan sido totalmente verificados y aprobados de acuerdo con las políticas de la empresa antes de comenzar a trabajar.
Durante la contrataciónImplementación: La responsabilidad con respecto a la protección de la información no finaliza cuando un empleado se va a casa o abandona la organización. Asegure que esto se documenta claramente en materiales de concienciación, contratos de empleo, etc. Contemple la posibilidad de una revisión anual por RRHH de los contratos junto con los empleados para refrescar las expectativas expuestas en los términos y condiciones de empleo, incluyendo su compromiso con la seguridad de la información.
Métricas: Respuesta a las actividades de concienciación en seguridad medidas por, p. ej., el número de e-mails y llamadas relativas a iniciativas de concienciación individuales.
Cese o cambio de puesto de trabajoLa devolución de los activos de la organización cuando un empleado se marcha sería mucho más sencilla de verificar si el inventario de activos ha sido actualizado y verificado regularmente. Examine qué accesos necesita revocar en primer lugar cuando un empleado presenta su carta de dimisión: ¿cuáles son los sistemas más críticos o vulnerables? Haga un seguimiento del uso del e-mail por estas personas an- tes de salir definitivamente de la empresa, por si comienzan a sacar información confidencial (sujeto a las políticas aplicables y a consideraciones legales sobre privacidad).
Métricas: Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la organización, separados por las categorías de activos (pendientes de desactivación) e inactivos (pendientes de archivo y borrado).
23/8/2016
28
Seguridad física y ambiental
Áreas segurasImplementación: El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estándares se refieren a asegurar la información, no sólo las TI).
Examine la entrada y salida de personas a/de su organización.¿Hasta dónde podría llegar el repartidor de pizza o el mensajero sin ser parado, identificado y acompañado? ¿Qué podrían ver, llevarse o escuchar mientras están dentro? Algunas organizaciones usan tarjetas de identificación de colores para indicar las áreas accesibles por los visitantes (p. ej., azul para la 1ª planta, verde para la 3ª, etc.; ahora, si ve a alguien con una identificación verde en la 4º planta, reténgalo).
Asegúrese de retirar todos los pases de empleado y de visita cuando se vayan. Haga que los sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de visita que se vuelvan opacos o muestren de alguna manera que ya no son válidos a las X horas de haberse emitido.
Métricas: Informes de inspecciones periódicas de seguridad física de instalaciones, incluyendo actualización regular del estado de medidas correctivas identificadas en inspecciones previas que aún estén pendientes.
Seguridad de los equiposImplementación: Haga que los vigilantes de seguridad impidan a cualquiera (empleados, visitas, personas de soporte TI, mensajeros, personal de mudanzas, etc.) sacar equipos informáticos de las instalaciones sin autorización escrita. Conviértalo en un elemento di- suasorio visible mediante chequeos aleatorios (o, incluso, arcos de detección de metales). Esté especialmente atento a puertas traseras, rampas de carga, salidas para fumadores, etc. Tome en consideración el uso de códigos de barras para hacer los chequeos más eficientes.
Métricas: Número de chequeos (a personas a la salida y a existencias en stock) realizados en el último mes y porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes informáticos u otras cuestiones de seguridad.
23/8/2016
29
Comunicaciones y operaciones
Responsabilidades y procedimientos de operaciónImplementación: Documente procedimientos, normas y directrices de seguridad de la información, además de roles y responsabilidades, identificadas en el manual de política de seguridad de la organización.
Métricas: De madurez de procesos TI relativos a seguridad, tales como el semiperiodo de aplicación de parches de seguridad (tiempo que ha llevado parchear al menos la mitad de los sistemas vulnerables -esta medida evita la cola variable provocada por los pocos sistemas inevitables que permanecen sin parchear por no ser de uso diario, estar normalmente fuera de la oficina o cualquier otra razón).
Gestión de la provisión de servicios por tercerosImplementación: ¿Lo que recibe vale lo que paga por ello? Dé respuesta a esta pregunta y respáldela con hechos, estableciendo un sistema de supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. Revise periódicamente los acuerdos de nivel de servicio (SLA) y compárelos con los registros de supervisión. En algunos casos puede funcionar un sistema de premio y castigo. Esté atento a cambios que tengan impacto en la seguridad.
Métricas: Costo del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluación del rendimiento de proveedores incluyendo la calidad de servicio, entrega, costo, etc.
Planificación y aceptación del sistemaImplementación: Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, etc., usando estándares aceptados como ISO 20000 (ITIL) donde sea posible. Defina e imponga estándares de seguridad básica (mínimos aceptables) para todas las plataformas de sistemas operativos, usando las recomendaciones de seguridad de CIS, NIST, NSA y fabricantes de sistemas operativos y, por supuesto, sus propias políticas de seguridad de la información.
Métricas: Porcentaje de cambios de riesgo bajo, medio, alto y de emergencia. Número y tendencia de cambios revertidos y rechazados frente a cambios exitosos. Porcentaje de sistemas (a) que deberían cumplir con estándares de seguridad básica o similares y (b) cuya conformidad con dichos estándares ha sido comprobada mediante benchmarking o pruebas.
Protección contra código maliciosoImplementación: Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación). ¡No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables!
Métricas: Tendencia en el número de virus, gusanos, troyanos o spam detectados y bloqueados. Número y costos acumulados de incidentes por software malicioso.
23/8/2016
30
Copias de seguridadImplementación: Implante procedimientos de backup y recuperación que satisfagan no sólo requisitos contractuales sino también requisitos de negocio "internos" de la organización. Básese en la evaluación de riesgos realizada para determinar cuáles son los activos de información más importantes y use esta información para crear su estrategia de backup y recuperación. Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicación de backup, frecuencia de copia y prueba de soportes. Encripte copias de seguridad y archivos que contengan datos sensibles o valiosos (en realidad, serán prácticamente todos porque, si no, ¿para qué hacer copias de seguridad?).
Métricas: Porcentaje de operaciones de backup exitosas. Porcentaje de recuperaciones de prueba exitosas. Tiempo medio transcurrido desde la recogida de los so- portes de backup de su almacenamiento fuera de las instalaciones hasta la recuperación exitosa de los datos en todas ubicaciones principales. Porcentaje de backups y archivos con datos sensibles o valiosos que están encriptados.
Gestión de la seguridad de las redesImplementación: Prepare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS (detección y prevención de intrusiones), ges- tión de vulnerabilidades, etc.
Métricas: Número de incidentes de seguridad de red identificados en el mes anterior, dividido por categorías de leve / importante / grave, con análisis de tendencias y descripción comentada de todo incidente serio y tendencia adversa.
Manejo de los soportesImplementación: Asegure los soportes y la información en tránsito no solo físico sino electrónico (a través de las redes). Encripte todos los datos sensibles o valiosos antes de ser transportados.
Métricas: Porcentaje de soportes de backup o archivo que están totalmente encriptados.
Intercambio de informaciónImplementación: Estudie canales de comunicaciones alternativos y "preautorizados", en especial direcciones de e-mail secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si caen las redes. El verificar canales de comunicación alternativos reducirá el estrés en caso de un incidente real.
Métricas: Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b) implementado satisfactoriamente los requisitos de seguridad de la información.
23/8/2016
31
Servicios de comercio electrónicoImplementación: Trabaje estrechamente con las unidades de negocio para desarrollar un eBusiness seguro, incorporando requisitos de seguridad de la información en los proyectos, y con ello en los sistemas de eCommerce, desde el principio (también en cualquier cambio/actualización posterior). Insista en el valor añadido de la seguridad en la reducción de riesgos comerciales, legales y operativos asociados al eBusiness. Trabaje los 3 aspectos clave de la seguridad: confidencialidad, integridad y disponibilidad.
Métricas: "Estado de la eSeguridad", es decir, un informe sobre el nivel global de confianza de la dirección, basado en el análisis de los últimos tests de penetración, incidentes actuales o recientes, vulnerabilidades actuales conocidas, cambios planificados, etc.
SupervisiónImplementación: La necesidad de implantar procesos de supervisión es más evidente ahora que la medición de la eficacia de los controles se ha convertido en un requisito específico. Analice la criticidad e importancia de los datos que va a monitorizar y cómo esto afecta a los objetivos globales de negocio de la organización en relación a la seguridad de la información.
Métricas: Porcentaje de sistemas cuyos logs de seguridad (a) están adecuadamente configurados, (b) son transferidos con seguridad a un sistema de gestión centralizada de logs y (c) son monitorizados/revisados/evaluados regularmente. Tendencia en el número de entradas en los logs de seguridad que (a) han sido registradas, (b) han sido analizadas y (c) han conducido a actividades de seguimiento.
Control de accesos
Requisitos de negocio para el control de accesosImplementación: Los propietarios de activos de información que son responsables ante la dirección de la protección "sus" activos deberían tener la capacidad de definir y/o aprobar las reglas de control de acceso y otros controles de seguridad. Asegúrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes.
Métricas: Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo o encargado revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en roles.
Gestión de acceso de usuarioImplementación: Cree la función diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de control de acceso definidas por los propietarios de las aplicaciones y la dirección de seguridad de la información. Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo más eficientemente posible.
Métricas: Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos y número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicación financiera este mes").
23/8/2016
32
Responsabilidades del usuarioImplementación: Asegúrese que se establecen las responsabilidades de seguridad y que son entendidas por el personal afectado. Una buena estrategia es definir y documentar claramente las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo. Son imprescindibles las revisiones periódicas para incluir cualquier cambio. Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisión anual de objetivos), para recordarles sus responsabilidades y recoger cualquier cambio.
Métricas: Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la información (a) totalmente documentadas y (b) formalmente aceptadas.
Control de acceso a la redImplementación: Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN), frente a controles de seguridad en aplicaciones (defensa en profundidad).
Métricas: Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/críticos).
Control de acceso al sistema operativoImplementación: Implante estándares de seguridad básica para todas las plataformas informáticas y de comunicaciones, recogiendo las mejores prácticas de CIS, NIST, fabricantes de sistemas, etc.
Métricas: Estadísticas de vulnerabilidad de sistemas y redes, como nº de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categorías del fabricante o propias).
Control de acceso a la aplicación y a la informaciónImplementación: Implante estándares de seguridad básica para todas las aplicaciones y middleware, recogiendo las mejores prácticas y checklists de CIS, NIST, fabricantes de software, etc.
Métricas: Porcentaje de plataformas totalmente conformes con los estándares de seguridad básica (comprobado mediante pruebas independientes), con anotaciones sobre los sistemas no conformes (p. ej., "Sistema de finanzas será actualizado para ser conforme en cuarto trimestre)".
23/8/2016
33
Ordenadores portátiles y teletrabajoImplementación: Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos. Por lo general, el valor de la información supera con mucho el del hardware. Asegúrese de que el nivel de protección de los equipos informáticos utilizados dentro de las instalaciones de la organización tiene su correspondencia en el nivel de protección de los equipos portátiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc.
Métricas: "Estado de la seguridad en entorno portátil / teletrabajo", es decir, un informe sobre el estado actual de la seguridad de equipos informáticos portátiles (laptops, PDAs, teléfonos móviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo móvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronósticos sobre cualquier riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls personales, etc.
Adquisición, desarrollo y mantenimiento de los sistemas de información
Requisitos de seguridad de los sistemas de informaciónImplementación: Involucre a los "propietarios de riesgos" en evaluaciones de riesgos a alto nivel y consiga su aprobación de los requisitos de seguridad que surjan. Si son realmente responsables de proteger sus activos, es en interés suyo el hacerlo bien. Esté al tanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientación sobre la implementación, como, p. ej., OWASP.
Métricas: Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en roles.)
Procesamiento correcto en las aplicacionesImplementación: Siempre que sea posible, utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba auto- matizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etc.
Métricas: Porcentaje de sistemas para los cuales los controles de validación de datos se han (a) definido y (b) implementado y demostrado eficaces mediante pruebas.
23/8/2016
34
Seguridad de los archivos de sistemaImplementación: Aplique consistentemente estándares de seguridad básica, asegurando que se siguen las recomendaciones de CIS, NIST, fabricantes de sistemas, etc.
Métricas: Porcentaje de sistemas evaluados de forma independiente como totalmente conformes con los estándares de seguridad básica aprobados, respecto a aquellos que no han sido evaluados, no son conformes o para los que no se han aprobado dichos estándares.
Seguridad en los procesos de desarrollo y soporteImplementación: Incorpore la seguridad de la información al ciclo de vida de desarrollo de sistemas en todas sus fases, desde la concepción hasta la desaparición de un sistema, por medio de la inclusión de "recordatorios" sobre seguridad en los procedimientos y métodos de desarrollo, operaciones y gestión de cambios. Trate el desarrollo e implementación de software como un pro- ceso de cambio. Integre las mejoras de seguridad en las actividades de gestión de cambios (p. ej., documentación y formación procedimental para usuarios y administradores).
Métricas: "Estado de la seguridad en sistemas en desarrollo", es decir, un informe sobre el estado actual de la seguridad en los procesos de desarrollo de software, con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronósticos sobre cualquier riesgo creciente, etc.
Gestión de la vulnerabilidad técnicaImplementación: Haga un seguimiento constante de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). Evalúe la relevancia y criticidad o urgencia de los parches en su entorno tecnológico. Pruebe y aplique los parches críticos, o tome otras medidas de protección, tan rápida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estén siendo explotadas fuera activamente. Evite quedarse tan atrás en la rutina de actualización de versiones que sus sis- temas queden fuera de soporte por el fabricante.
Métricas: Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas vulnera- bles -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como portátiles fuera de la empresa o almacenados-).
23/8/2016
35
Gestión de incidentes en la seguridad de la información
Notificación de eventos y puntos débiles de la seguridad de la informaciónImplementación: Establezca y dé a conocer una hotline (generalmente, el helpdeskhabitual de TI) para que la gente pueda informar de incidentes, eventos y problemas de seguridad.
Métricas: Estadísticas del helpdesk de TI, con análisis sobre el número y tipos de llamadas relativas a seguridad de la información (p. ej., cambios de contraseña; porcentaje de preguntas acerca de riesgos y controles de seguridad de la información respecto al total de preguntas). A partir de las estadísticas, cree y publique una tabla de clasificación por departamentos (ajustada según el número de empleados por departamento), mostrando aquellos que están claramente concienciados con la seguridad, frente a los que no lo están.
Gestión de incidentes de seguridad de la información y mejorasImplementación: Las revisiones post incidente y los casos de estudio para incidentes serios, tales como fraudes, ilustran los puntos débiles de control, identifican oportunidades de mejora y conforman por sí mismos un mecanismo eficaz de concienciación en seguridad.Número y gravedad de incidentes; evaluaciones de los costes de analizar, detener y reparar los incidentes y cualquier pérdida tangible o intangible producida.
Métricas: Porcentaje de incidentes de seguridad que han causado costes por encima de umbrales aceptables definidos por la dirección.
Gestión de la continuidad del negocio
Aspectos de seguridad de la información en la gestión de la continuidad del negocioImplementación: Considere la gestión de continuidad de negocio como un pro- ceso con entradas procedentes de diversas funciones (alta dirección, TI, operaciones, RRHH, etc.) y actividades (evaluación de riesgos, etc.). Asegure la coherencia y concienciación mediante personas y unidades organizativas relevantes en los planes de continuidad de negocio.
Deberían llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros, pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de la dirección en los planes y (c) familiarizar a los empleados relevantes con sus funciones y responsabilidades bajo condiciones de desastre.
Métricas: Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida (requerido / especificado / documentado / probado).
Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente (a) documentados y (b) probados mediante test apropiados en los últimos 12 meses.
23/8/2016
36
Cumplimiento de los requisitos legalesImplementación: Obtenga asesoramiento legal competente, especialmente si la organización opera o tiene clientes en múltiples jurisdicciones.
Métricas: Número de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de requisitos externos clave que, mediante auditorías objetivas o de otra forma admisible, han sido considerados conformes.
Cumplimiento de las políticas y normas de seguridad y cumplimiento técnicoImplementación: Alinee los procesos de autoevaluación de controles de seguridad con las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc.
Métricas: Número de cuestiones o recomendaciones de política interna y otros aspectos de cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de revisiones de cumplimiento de seguridad de la información sin incumplimientos sustanciales.
Consideraciones de las auditorías de los sistemas de informaciónImplementación: Invierta en auditoría TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estándares y métodos de buenas prácticas similares como referencias de comparación. Examine ISO 19011 "Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental”.
Métricas: Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección al final de las auditorías.
23/8/2016
37
Consiste en un documento que relaciona los controles que se aplican en el sistema de gestión, seleccionados por la Organización para implantar y mantener en su sistema.
El resultado de la elección de los controles forma parte del Plan de Tratamiento de riesgos, de modo que éste tiene como salida la Declaración de Aplicabilidad.
23/8/2016
38
COBIT para la seguridad de la información
23/8/2016
39
Gestión
Gobierno
Necesidades del Negocio
RetroalimentaciónGerencial
MonitorearDirijir
Evaluar
COBIT propone a las organizaciones que implementen procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas de la siguiente forma
Evaluar, Dirigir, Supervisar (EDM)
Alinear, Planear, Organizar (APO)Alinear, Planear, Organizar (APO)
Construir, Adquirir,
Implantar (BAI)
Construir, Adquirir,
Implantar (BAI)
Entrega, Servicio, Soporte
(DSS)
Entrega, Servicio, Soporte
(DSS)
Supervisar, Evaluar y Valorar
(MEA)
Supervisar, Evaluar y Valorar
(MEA)
Alinear, Planear, Organizar (APO)01 Gestionar el marco de gestión de TI.02 Gestionar la estrategia.03 Gestionar la arquitectura empresarial.04 Gestionar la innovación.05 Gestionar el portafolio.06 Gestionar el presupuesto y los costes.07 Gestionar los recursos humanos.08 Gestionar las relaciones.09 Gestionar los acuerdos de servicio.10 Gestionar los proveedores.11 Gestionar la calidad.12 Gestionar el riesgo.13 Gestionar la seguridad.
Construir, Adquirir, Implantar (BAI)01 Gestionar programas y proyectos.02 Gestionar la definición de requisitos.03 Gestionar la identificación y construcción de soluciones.04 Gestionar la disponibilidad y la capacidad.05 Gestionar la introducción del cambio organizativo.06 Gestionar los cambios.07 Gestionar la aceptación del cambio y la transición.08 Gestionar el conocimiento.09 Gestionar los activos.10 Gestionar la configuración.
Entrega, Servicio, Soporte (DSS)01 Gestionar operaciones.02 Gestionar peticiones e incidentes de servicio.03 Gestionar problemas.04 Gestionar la continuidad.05 Gestionar servicios de seguridad.06 Gestionar controles de procesos de negocio
Supervisar, Evaluar y Valorar (MEA)01 Supervisar, evaluar y valorar el rendimiento y la conformidad.02 Supervisar, evaluar y valorar el sistema de control interno.03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos
23/8/2016
40
COBIT 5 para seguridad de la información puede ayudar a las empresas a reducir sus perfiles de riesgo a través de la adecuada
administración de la seguridad relacionando sus procesos
Proceso Descripción Información
APO13 Gestionar la seguridad Política de SGSI Declaración de alcance del SGSI Plan de tratamiento de riesgos de Seguridad de la Información Informes de auditoría de SGSI Casos de negocio para Seguridad de la Información
APO10 Gestionar los proveedores Catálogo de proveedores Matriz de riesgos de proveedores Informes del resultado al monitoreo de cumplimiento de los proveedores
DSS02 Gestionar las peticiones y los Incidentes del Servicio
Esquema de clasificación de incidentes de Seguridad de la Información Procedimientos de recolección de evidencia Plan de respuesta a incidentes
Información: para cada proceso se identifica la información que los procesos deben generar o usar para su procesamiento:
Proceso Descripción Información
APO13 Gestionar la seguridad Política de SGSI Política de cumplimiento Política de gestión de activos
APO10 Gestionar los proveedores Política de gestión de proveedores
DSS02 Gestionar las peticiones y los incidentes del servicio
Política de respuesta a incidentes
APO12 Gestionar el riesgo Política de gestión de riesgos
DSS03 Gestionar los problemas Políticas para tratar las causas raíz
DSS04 Gestionar la continuidad Política de continuidad de negocio
DSS01 Gestionar las operaciones Política de gestión de operaciones y comunicaciones Política de Seguridad física y ambiental
APO07 Gestionar los recursos humanos Política de seguridad de información personal Política de reglas de comportamiento Políticas de confidencialidad debidamente firmadas
DSS05 Gestionar los servicios de seguridad
Política de prevención de software malicioso Política de conectividad Política de control de acceso Política de seguridad para dispositivos de usuario final
Políticas: se identifican las políticas por medio de los procesos identificados como prioritarios
23/8/2016
41
Gobernando la Seguridad de la Información
23/8/2016
42
Lista de procesosLista de
procesos
Lista de rolesLista de roles
CISO/CSOJefe de Seguridad de la Información
CISO/CSOJefe de Seguridad de la Información
Gestión de SeguridadGestión de Seguridad
Analista de Seguridad
Informática
Analista de Seguridad
Informática
Administrador de Seguridad Informática
Administrador de Seguridad Informática
Líder de Seguridad en
Proyectos
Líder de Seguridad en
Proyectos
Gestión de Riesgos y Controles
Gestión de Riesgos y Controles
Analista de Cumplimiento
(Marco Regulatorio PCI – Habeas Data-
BCRA – PolíticaInterna)
Analista de Cumplimiento
(Marco Regulatorio PCI – Habeas Data-
BCRA – PolíticaInterna)
Analista de Controles de
Seguridad Informática
Analista de Controles de
Seguridad Informática
Analista de Riesgos de Seguridad Informática
Analista de Riesgos de Seguridad Informática
Departamento de Seguridad de la Información
23/8/2016
43
CSOResponsable máximo de la Seguridad de la Información, de todos los procesos queintegran el SGSI y de la Política de Seguridad de la Información y su Marco Normativode la Organización.
Gerente ITResponsable de disponibilizar y gestionar los sistemas de tratamiento y procesamientode información, así como los recursos tecnológicos asociados y comunicaciones.
Gerente de Finanzas
Responsable de velar por la gestión financiera y económica, tanto en lo preventivocomo correctivo relacionado a cualquier actividad del SGSI.
Gerente de RRHH
Responsable de velar por el cumplimiento del código de ética de la Organización, y debrindar asesoramiento en el alcance de medidas relacionadas con lo laboral acorde ala regulación impuesta por el Ministerio de Trabajo
Gerente de Facilities
Responsable de velar por el cumplimiento de las condiciones físicas del entorno de lainformación, tanto en su infraestructura como en los controles físicos de acceso yambientales, y de brindar asesoramiento en el alcance de acciones relacionadas conmedidas preventivas o correctivas edilicias relacionadas con la seguridad de lainformación y las personas acorde a la regulación de las entidades Municipales yNacionales que corresponda.
Legales
Representante del Directorio y responsable de velar por el cumplimiento legal yregulatorio, a nivel Nacional e Internacional, en cada una de las actividadesdesarrolladas en el marco del SGSI, y de brindar asesoramiento en el alcance demedidas relacionadas con la realización de contratos de todo tipo, mediaciones, juiciosy definiciones técnico-legales relacionadas a cualquier actividad del SGSI.
Servicios de Seguridad
Servicios de Seguridad
Servicios al Negocio
Servicios al Negocio
Tecnología y OperacionesInfraestructura de IT
Comunicaciones
Áreas funcionalesSectores administrativos
Recursos Humanos
Seguridad de la InformaciónSeguridad Informática
Seguridad Física
Áreas de contraloríaAuditoría Interna
23/8/2016
44
Interpretación
Conocimiento del Negocio y sus Regulaciones
Cultura interna de la Organización
Identificación de riesgos asociados al
Negocio
Implementación
Capacitación y couching
Mejora del proceso de Proyectos
Mejora de procesos de servicio IT/SI
Mitigación de Riesgos
Remediación de procesos funcionales y entorno de producción
Gestión
Gestión de riesgos
Gobierno Corporativo
Gobierno de TI
Gobierno de SI
Gobierno de Proyectos
ETAPA DE CONOCIMIENTO• Marco legal y regulatorio• Certificaciones y Políticas Internas de la Organización• Relevamiento de procesos de negocio• Relevamiento de servicios TI y SI• Relevamiento del Marco Normativo• Análisis de cumplimiento
ETAPA DE CONOCIMIENTO• Marco legal y regulatorio• Certificaciones y Políticas Internas de la Organización• Relevamiento de procesos de negocio• Relevamiento de servicios TI y SI• Relevamiento del Marco Normativo• Análisis de cumplimiento
ETAPA DE ENTENDIMIENTO• Mapeo adecuado de los procesos de Negocio• Mapeo adecuado de los procesos de Servicio IT/SI• Identificación de riesgos asociados al Negocio y los servicios
que lo soportan• Identificación de documentos del Marco Normativo según
leyes y regulaciones
ETAPA DE ENTENDIMIENTO• Mapeo adecuado de los procesos de Negocio• Mapeo adecuado de los procesos de Servicio IT/SI• Identificación de riesgos asociados al Negocio y los servicios
que lo soportan• Identificación de documentos del Marco Normativo según
leyes y regulaciones
23/8/2016
45
Conocimiento y Entendimiento del entorno del Negocio y de los servicios que soportan sus procesos
Identificación de registros y controles
Mapeo adecuado de los procesos de
Negocio
Mapeo adecuado de los procesos de
Servicio IT/SI
Identificación de documentos del Marco Normativo según
leyes y regulaciones
Adecuación de documentos del Marco Normativo a los procesos
y regulaciones del Negocio
Nivel de Madurez de la Gestión de Gobierno y Cumplimiento
Identificación de riesgos asociados al entorno del Negocio y a los servicios que soportan sus procesos
ETAPA DE CAPACITACIÓN• Cumplimiento sobre el Marco legal, regulatorio y Políticas
Internas de la Organización• Intervención y responsabilidades en procesos funcionales y de
servicio• Selección de medios de comunicación para la capacitación y
concientización
ETAPA DE CAPACITACIÓN• Cumplimiento sobre el Marco legal, regulatorio y Políticas
Internas de la Organización• Intervención y responsabilidades en procesos funcionales y de
servicio• Selección de medios de comunicación para la capacitación y
concientización
ETAPA DE REMEDIACIÓN• Definición del proceso de gestión de riesgos• Ejecución del plan de mitigación• Adecuación del proceso de proyectos• Adecuación de los procesos de Servicio IT/SI• Adecuación de los sistemas en producción• Definición de los procesos de Auditoría
ETAPA DE REMEDIACIÓN• Definición del proceso de gestión de riesgos• Ejecución del plan de mitigación• Adecuación del proceso de proyectos• Adecuación de los procesos de Servicio IT/SI• Adecuación de los sistemas en producción• Definición de los procesos de Auditoría
23/8/2016
46
Hacen que una función cumpla con todos sus procesos
de negocio
Objetivos funcionales y
resultados operativos
Objetivos e imagen de la empresa, y
resultados económicos
Dirección Gerencia Usuarios
OBJETIVOS DE LOS INTERESADOS INTERNOS
Trato sobre los activos de la
empresa, valor de su información,
funciones y cada uno de los procesos en los que participa.
Asegurar objetivos funcionales y
resguardo de los activos de la Organización
Asegurar objetivos corporativos, ya sea
tangible (económico) como intangible (imagen
en el mercado)
Dirección Gerencia Usuarios
ALCANCE DE OBJETIVOS DE LOS INTERESADOS INTERNOS
23/8/2016
47
Aseguramiento del proceso de gestión comercial
Aseguramiento de su información en nuestros
sistemas
Calidad y disponibilidad servicios o productos
Aseguramiento de su información en nuestros
sistemas
Clientes Proveedores
OBJETIVOS DE LOS INTERESADOS EXTERNOS
ALCANCE E INTERPRETACIÓN POR PÚBLICO DE INTERÉS
FuncionalesFuncionales
TécnicosTécnicosÁreas
tecnológicas y de seguridad
Áreas tecnológicas y de seguridad
Dirección y Gerencia
Dirección y Gerencia
Usuarios clave y finales
Usuarios clave y finales
Marco LegalMarco Legal
23/8/2016
48
TRANSMÍSIÓN DE CONOCIMIENTO
Leyes y Regulaciones
Leyes y Regulaciones
Aspectos de solución técnica
Aspectos de solución técnica
Procesos de Servicio adecuados o Nuevos
procesos
Procesos de Servicio adecuados o Nuevos
procesos
Procesos Funcionales adecuados o Nuevos
procesos
Procesos Funcionales adecuados o Nuevos
procesos
ProyectosProyectos
RemediacionesRemediaciones
Revisiones y Auditorías
Revisiones y Auditorías
TRANSMÍSIÓN DE CONOCIMIENTO
Material de concientización
Material de concientización
Material de InducciónMaterial de Inducción
Plan de Capacitación Anual
Plan de Capacitación Anual
RRHHRRHH
Charlas, workshops,
cursos
Charlas, workshops,
cursos
Mails, posters, etc.
Mails, posters, etc.
23/8/2016
49
Entorno y responsabilidades
Soporte Tecnológico
Marco Normativo
Recursos Humanos
Recursos de
Hardware
Recursos de
Software
Conocer su responsabilidad en cuanto a la Seguridad de la Información y lo que se espera de él.
Entrenamiento inicial y continuo a sus colegas de área, y aporte en el mantenimiento activo de la documentación y los controles
Conocer las políticas organizacionales, haciendo hincapié en el cumplimiento de la Política de Seguridad.
Incrementar la conciencia de la necesidad de proteger la información y aentrenar a los usuarios en la utilización de la misma para que ellos puedanllevar a cabo sus funciones en forma segura, minimizando la ocurrencia deerrores y pérdidas.
23/8/2016
50
Definir como comunicarnos y establecer la forma de hacerlo con la Organización
Definir como comunicarnos y establecer la forma de hacerlo con la Organización
El modelo de comunicación es una herramienta que se debe diseñar "a medida"
El modelo de comunicación es una herramienta que se debe diseñar "a medida"
Dirección
Gerencia
Usuarios
INCIDENTESCRISISCONTINGENCIAS
CONCIENTIZACIÓNTAREAS OPERATIVAS
PUBLICACIONES
Charlas de inducción
Charlas de capacitación SGSI
Posters y mails sobre temas relacionados
Artículos de uso diario con motivos del tema
Concientización
Comunicación
Selección de medios a utilizar
Formato de comunicación
Estrategia de selección de público por tema (p.e. ante nuevos proyectos)
23/8/2016
51
Nivel 4 = REGISTROS / CHECKLIST / FORMULARIOSProporciona las pruebas objetivas del cumplimiento
Nivel 3 = INSTRUCTIVOSDescribe las actividades y tareas específicas , indicando como se realizan
Nivel 2 = PROCEDIMIENTOSDescribe procesos (qué, quien, cuando, donde)
Nivel 1 = MANUAL DE SEGURIDAD / NORMASPolíticas, alcance, evaluación de riesgos, declaración de aplicabilidad, Normas que indican lo que “debe” hacerse
Un Marco Normativo sobre estas bases permite contar con la certeza sobre laInformación de respaldo y pruebas objetivas para el control y desarrollo de la Seguridadde la Información.
Formato
Procesos
Gestión
Marco DocumentalSeguridad y Gobernabilidad Asociadas
Política General y Normas de Seguridad
Familia ISO 27000
Normas, procedimientos
Estándares Registros
Procesos de Negocio
Norma ISO 9001 / Norma ISO 20000
Documentación asociada a las áreas
administrativas
Procedimientos Formularios
Documentación de los sistemas y operaciones
Manuales Instructivos
23/8/2016
52
Capacidades(Adquiridas o Enseñadas)
Equipo Técnico Equipo Funcional
Entendimiento del Proyecto y motivos de
los cambios
Roles y funciones
Componentes del Marco Normativo
Contexto Aplicativo (Procesos de Negocio,
Manuales)
Estrategias asumidas
Excepciones
Diseñar la Capacitación(Ampliar la Visión)
Equipo Técnico Equipo Funcional
23/8/2016
53
Equipos de Trabajo
Seguridad de la Información
Tecnología
Jefes de Aplicación o Líderes Funcionales de Sistemas
Líderes de Proyecto
Adm SO Adm BBDD Operación
Compliance
Conocedores del funcionamiento aplicativo para responder a los requerimientos del Negocio
Servicio consultivo y de soporte técnico
Acompañamiento y operación
Capacitación y definiciones de cumplimiento
CAPA DE USUARIO
CAPA TÉCNICA O INFRAESTRUCTURA
CAPA DE COMUNICACIONES CAPA DE
PROvEEDORES
CAPA DOCUMENTAL
CAPA REGULATORIA
23/8/2016
54
PLATAFORMAS
Proyecto
Clonación
Plantilla de software de base
Puede no mantener nombre
de máquina
Clonación completa
Mantiene nombre de máquina
Instalación nueva + Copia de entorno
App
No mantiene nombre de máquina
Operaciones
Nuevas Aplicaciones
Arquitectura
(SO + BD)
Tecnología
Renovación tecnológica
Arquitectura
(SO + BD)
Tecnología
SEGURIDAD - COMPLIANCE
OP
ER
AC
ION
ES
Proyecto 1
Clonación
Plantilla de software de base (GUEST)
Puede no mantener nombre de máquina
Clonación completaMantiene nombre
de máquina
Instalación nueva + Copia de entorno
App
EXCEPCIÓN: Terminal ServerSe trabaja sobre una plantilla de software de base (SO + BD). Esta plantilla no está validada con los nuevos estándares
Se efectúa copia fiel del servidor y se pasa con todos los parámetros configurados. Si el servidor está remediado, el cambio es transparente ya que tampoco cambia el nombre (V2V – P2V)
Proyecto 2Proyecto 2
SUCEDE EXCEPCIONALMENTEInstalación nueva o plantilla de software de base (SO + BD). No está validada contra los nuevos estándares
Equipo deproyecto
NOTA: Las máquinas con nuevos nombres salen bajo la nueva nomenclatura alfanumérica SRV5003sv [código alfanumérico]
NOTA: Las máquinas con nuevos nombres salen bajo la nueva nomenclatura alfanumérica SRV5003sv [código alfanumérico]
23/8/2016
55
A INCLUIR EN LOS TICKET DE IMPLEMENTACIÓN
� Verificar cumplimiento de securitización de Sistema Operativo
� Verificar cumplimiento de securitización de Motor de Base de Datos
� Verificar la activación de logs de auditoría y el período de retención
� Bloquear / Eliminar cuentas de instalación, de prueba o aquellas indicadas como no-compliance en las Normas de la Organización
� Identificar y certificar de estas listas los usuarios especiales (de servicio, emergencia, etc.) que tengan a nivel de SO + BD + APP
� Verificar que estas cuentas estén con las contraseñas resguardadas en SAT
� Emitir registros nativos de salida del sistema donde se muestren los parámetros configurados y listas de usuarios en formato TXT (no print de pantalla) y enviarlo por mail a Compliance y Seguridad de la Información
A INCLUIR EN CHECKLIST DE PLANIFICACIÓN
�Revisión del estándar de seguridad de Sistema Operativo y Motor de Base de Datos (por excepciones, etc.)� Pasos de configuración de estándares de seguridad� Previsión de activación de logs de auditoría y
configuración de retención acorde a la política (performance, espacio de almacenamiento)
� Revisión de cuentas de usuario del Sistema Operativo y Base de Datos de cada servidor. Identificar las creadas para las implementaciones y pruebas y planificar el momento de eliminación
� Identificar las cuentas de usuarios especiales que tengan a nivel de SO + BD + APP
� Verificar que estas cuentas estén con las contraseñas resguardadas en SAT
� Seguir el proceso de ensobrado de contraseñas� En caso de haber cambio de equipos o nombre de
equipos, informar equipo saliente vs equipo entrante por mail a Compliance y Seguridad de la Información
• Parámetros
• Carpetas compartidas
• Cuentas de Usuario
• Permisos
• Servicios
1
Sistema Operativo
• Parámetros
• Cuentas de Usuario
• Permisos
2
Base de Datos
• Parámetros
• Cuentas de usuario
• Funciones
3
Aplicación
23/8/2016
56
• Convocar a todo proyecto un Líder de Seguridad Informática• Incluir en la planificación y en la tareas del ticket los puntos
mencionados en la página anterior• Tener en cuenta los parámetros de activación y retención de logs
estipulados• Planificar en equipo con el Jefe Funcional y el líder de Seguridad
Informática• Analizar el impacto de la implementación de los estándares de
seguridad• Analizar y documentar las condiciones de excepción que puedan
generarse por las cuales no pueden ser aplicados los estándares de seguridad
• Documentar las cuentas excepcionales a utilizar, y su tratamiento en pre y post pasaje a producción
• Utilizar plantillas de software de base basadas en los estándares de seguridad para entorno VMWare
• Todos los participantes técnicos deben contar con los estándares de seguridad
• Las plantillas de software de base deben estar actualizadas respecto de los estándares vigentes
• Se debe instruir a todos los equipos para que se incluya en los checklist de instalaciones la verificación de configuración de seguridad de acuerdo a los estándares
• Crear un repositorio general subdivido por plataforma para alojar la evidencia de las instalaciones/clonaciones que correspondan
• Establecer y cumplir un proceso de comunicación planteado para todos los escenarios posibles en el proyecto.
23/8/2016
57
REVISIÓN DE CONTROLES Y REGISTROS APLICACBLES
ALCANCES DE COMPLIANCE• Estándares de seguridad• Certificación de cuentas• Privilegios / Permisos
PLANIFICACIÓN EN EQUIPO• Líder Funcional• Líder Tecnológico• Líder de Seguridad
Informática
PROYECTOS - OPERACIÓN
ASPECTOS Y REQUISITOS ADICIONALES• Cuentas asociadas a las aplicaciones• Excepciones a parámetros de
seguridad• Condicionamiento a la activación de
auditoría• Interfaces y carpetas compartidas
IMPLEMENTACIÓNIncluye revisión de parámetros de seguridad y revisión de cuentas de usuario
Obtención de registros
DOCUMENTAR
SI SI
SI
SI
SISI
SI
SI
23/8/2016
58
Pág. 8-115
Gobernando la información
23/8/2016
59
Cualquier persona, directa o indirectamente, recibe información diariamente o la crean como parte de sus actividades diarias. Mucha de esa información es considerada ‘sensible’ y requiere un manejo especial
Los distintos tipos de información cubren un amplio rango de procesos de negocio y según su tratamiento, por lo que su sensibilidad puede variar significativamente e impactar negativamente en el negocio.
Todos los empleados de una Organización que generan, recopilan, procesan, almacenan o transfieren información de la Organización, son responsables de su tratamiento y deben hacerlo de acuerdo a reglas establecidas.
Los ‘TERCEROS’, que pueden ser contratistas autorizados, socios comerciales y otros proveedores de servicios responsables del manejo de información sensible de la Organización también deben cumplir con las Normativas de Seguridad de la Información de la Organización.
23/8/2016
60
Procesos de la Organización
CONOCER
Alcances del Ciclo de Vida
Cadena de la Información
Información estratégica de la
Organización
Información estratégica de la
OrganizaciónGestión
estratégica de Terceras
Partes
Gestión estratégica de Terceras
Partes
Gestión estratégica de
usuarios
Gestión estratégica de
usuarios
Gestión de información
confidencial y sensible
Gestión de información
confidencial y sensible
23/8/2016
61
Gestión estratégica de Terceras
Partes
Gestión estratégica de Terceras
Partes
Gestión estratégica de
usuarios
Gestión estratégica de
usuarios
Gestión de información
confidencial y sensible
Gestión de información
confidencial y sensible
ENTORNO DE RESPUESTA
• Planificación y gestión de recursos• Gestión financiera• Gestión de la demanda• Gestión de contratos• Gestión de tratamiento de la
información• Gestión de funcionalidad de la
información
ENTORNO DE RESPUESTA
• Planificación y gestión de recursos• Gestión financiera• Gestión de la demanda• Gestión de contratos• Gestión de tratamiento de la
información• Gestión de funcionalidad de la
información
Establecer el desarrollo de los
procesos de negocio
Establecer el desarrollo de la
cadena de información
Establecer el desarrollo de los
medios tecnológicos
Gestión del Ciclo de Vida de la información
Gestión del Ciclo de Vida de la información
Gestión de los activos de información
Gestión de los activos de información
23/8/2016
62
DATOINFORMACIÓNCONOCIMIENTO
Clasificación Tratamiento DestrucciónPROCESOS ADMINISTRATIVOS Y TECNOLÓGICOS
PUNTOS DE CONTROL
PUNTOS DE REGISTRACIÓN
1. La información se clasifica en base a su valor para la Organización y para quienes se relacionan con ella, considerando el daño que podría causarse si se divulga sin autorización.
2. Los tres niveles de clasificación recomendados en orden ascendente de sensibilidad son:
• Información Pública• Información Interna • Información Confidencial
3. La información personal y/o la información relacionada con los datos de tarjeta o sensibles (de salud, por ejemplo) pueden incluirse tanto en nivel Interno como Confidencial dependiendo de su disociación.
23/8/2016
63
Información PúblicaIncluye toda aquella información que no posee asociado un riesgo significativo para la Organización. Por ejemplo: información publicada en el sitio Web de Internet, notas periodísticas, otros.
Información InternaIncluye toda aquella información que se utiliza en las actividades laborales diarias y que puede tener asociados riesgos mínimos para la Organización. Por ejemplo: información publicada en la Intranet, normas, procedimientos, en carteleras, otros.
Información ConfidencialIncluye toda aquella información que puede presentar riesgos para la Organización, y cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un grupo reducido de usuarios que la necesite para el desarrollo de sus tareas habituales. Por ejemplo: Base de Datos de Recursos Humanos de Clientes, Informes de contabilidad, Planes de Ventas, datos críticos de Tarjetas de Pago otros.
INFORMACIÓN PÚBLICA• Folleto de información de productos. • Comunicados de prensa autorizados• Biografías en un sitio público de Internet, que describen al equipo directivo e
incluyen sus fotografías y trayectorias sin mencionar sus datos personales
INFORMACIÓN INTERNA• Información financiera sobre iniciativas de planeación y/o proyectos. • Planes de viaje y reuniones que incluyen nombres del cuerpo administrativo, no
disponibles al público. No se proporcionan más detalles personales sobre el personal.
• Álbum de fotos on-line del personal conteniendo nombres, departamentos y fotografías.
• Información disociada de clientes
INFORMACIÓN CONFIDENCIAL• Información sobre precios y márgenes de ganancia de productos • Resultados preliminares de estudios médicos laborales• Listas de clientes• Datos de tarjetas de pago• Planes estratégicos a nivel corporativo
23/8/2016
64
Niveles
• Pública
• Interna
• Confidencial
Alcance
• Información de la Compañía, contenida y procesada en cualquier medio (magnético o físico) incluyendo sus métodos de transmisión y comunicación
• Seguridad física y Ambiental para la protección de la información
Resultado
• Actualización de la Matriz de Riesgo para protección de datos
• Plan de remediación SOX, Habeas Data, PCI
Desarrollar y fomentar una cultura de la orden y comportamiento adecuado que debe aplicarse en la protección de la información de la Organización en
todas las actividades empresariales
NUEVA VISIÓN Y ALCANCES
Seguridad Física Comportamiento en el lugar de trabajo
Comportamiento fuerade la Organización Seguridad Lógica
23/8/2016
65
Seguridad de la
Información
Dueño de Datos
Usuario Clave /
Responsable de los datos
Coordina las actividades de implementación de la seguridad o respuesta ante incidentesControla que se cumplan los requerimientos de seguridadRecomienda sobre las medidas de seguridad a implementar
Responsable de clasificarla y establecer su nivel de criticidad y disposición final, establece su periodicidad de resguardo, informa a la Gerencia de Gestión de Riesgos Informáticos
Todos los usuarios generan información y son responsables en el tratamiento de la información confiada, utilizando las medidas de seguridad necesarias acorde a la clasificación de la información establecida por ellos
Dueño de Datos
Garantizar correcta clasificación
Determinan la categoría apropiada
Usuarios Clave
Seguridad de la Información
Brinda soporte a Áreas de Negocio y IT
Considerar el impacto al clasificar
Evaluar la probabilidad de ocurrencia
Dueño de Datos
Aprueba la clasificación y definiciones tomadas
Áreas de IT
Implementan las soluciones indicadas por los Usuarios y recomendaciones de SI
23/8/2016
66
La Información ofrecida desde las Áreas Usuarias ayudan aestablecer y documentar medidas preventivas y obtenerun Plan de Protección de la Información, que incluye:
• Identificación del riesgo potencial y de exposición por objetivo de control
•Clasificación de la información, estableciendo su importancia de acuerdo a su nivel de Confidencialidad, Integridad y Disponibilidad necesaria
Por ejemplo, tenemos dos fuentes de información diferente:• La Fuente de información A contiene
información relacionada con nombres y números de tarjeta de los Clientes de la Organización y es clasificado como información de ‘Uso Interno’.
• La Fuente de información B contiene el número de cuenta de los Clientes junto con su dirección particular y es clasificado también como información de ‘Uso Interno’.
Cuando creamos materiales nuevos que contienen información de ambas fuentes, dicha información se podría clasificar como ‘Confidencial’.
Uso Interno
Uso Interno
Confidencial
Los Autores pueden generar o crear información ‘desde cero’ o pueden recopilar información a partir de fuentes existentes. Tomar dicha información y combinarla con otra de una segunda fuente, ya sea en forma verbal o escrita, crea efectivamente información “nueva” que debe ser clasificada.
23/8/2016
67
Es importante entender que si creamos una carpeta para que la vean los demás, en papel o electrónica, que contenga tanto la Fuente de información A como la Fuente de información B, entonces habremos creado una fuente de información combinada. Quien cree la Fuente de información C es quien confirma que la carpeta resultante esté protegida apropiadamente.
CICLO
DE TRATAMIENTO
Creación
Clasificación
Uso –Combinación
Almacenamiento
Disposición Final
23/8/2016
68
Dueño de Datos
Áreas Tecnológicas y
de Seguridad
Responsables de implementar procedimientos de resguardo y tratamiento de información
Responsables de clasificar y determinar el nivel de
resguardo y tratamiento de información
• Seguridad Física y Electrónica• Seguridad Lógica• Asegurar integridad, disponibilidad y
confidencialidad• Distribución física de sectores• Medios de almacenamiento• Resguardo externo• Protección de equipos móviles• Medios y métodos de destrucción
• Disponibilidad y Confidencialidad• Estimación de impacto en el Negocio• Certificación de usuarios• Validación de accesos• Validación de permisos sobre accesos• Asignación de responsables• Tiempos de retención y destrucción
• Elementos en contingencia• Elementos para confidencialidad• Elementos de seguridad física de
componentes
Ayuda a identificar riesgos a la información por su ubicación física o por su entorno de cercanía:• Laptop cerca de ventanas• Sectores con información sensible• Necesidad de impresoras locales
Laptop
Destructura
Imp de Red
Imp de Local
Fax
23/8/2016
69
USO INTERNO
Etiqueta la nueva información
Fotocopia lo necesario
Elige donde imprimir
Copia solo a dispositivos autorizados
Destruye lo que ya no necesites
No abras adjuntos en equipos públicos
Identifica la clasificación en el cuerpo del FAX
CONFIDENCIAL
Etiqueta la nueva información
Datos sensibles confirmar con el Dueño de Datos
Elige donde imprimir
Copia solo a dispositivos autorizados
Destruye lo que ya no necesites
No abras adjuntos en equipos públicos
Confirma el Nro. receptor y avisa previamente sobre el envío
Guarda física y lógica
controladaEscritorios limpios
No divulgues lo que proteges
23/8/2016
70
Confidencialidad y Divulgación • Evitar discutir información confidencial o negocios de la Organización en
lugares públicos. • Obtener la autorización apropiada antes de divulgar cualquier información a
personas externas. Esto podría incluir un acuerdo de no-divulgación o confidencialidad.
• Tener siempre en mente el principio de ‘necesitad de conocer’ (need to know) la información.
Identificación • Portar en todo momento nuestra credencial de identidad. • Desafiar cortésmente a cualquier persona que no lo esté haciendo y
reportar violaciones aparentes al Departamento de Seguridad. • Escoltar a invitados y visitantes en todo momento dentro de la
Organización. • Limitar las horas de acceso a personas autorizadas y registrar
cuidadosamente dichos accesos a través de la Administración de las Instalaciones.
Escritorios, Oficinas y Monitores Limpios • Guarda bajo llave documentos del negocio e Información Personal
cuando no la utilices. • Nunca dejes documentos sensibles o faxes desatendidos en impresoras
u otros sitios. • Borra los pizarrones después de utilizarlos. • Asegúrate que ninguna información confidencial pueda ser vista en tu
pantalla por personal no autorizado. Puedes utilizar pantallas de privacidad en tu laptop.
• Siempre utiliza un protector de pantalla protegido con contraseña y un candado de disco (disklock).
• Conserva en un lugar cerrado hardware valioso como laptops, CDs, memorias USB y PDAs como Blackberries, cuando no los uses.
• Nunca los dejes desatendidos en hoteles, aeropuertos, centros de conferencias u otros lugares.
• Protege el hardware contra robo, cuidando particularmente los dispositivos portátiles.
23/8/2016
71
23/8/2016
72
Componentes y herramientas del proceso
Documentación normativa y regulatoria• Norma de clasificación y protección de información (WORD)• Norma de funciones de propietarios de la información (WORD)
Documentación de soporte al proceso• Nómina de dueños de datos y usuarios clave (EXCEL)• Procedimiento de clasificación y protección de información
(WORD)• Matriz de análisis de riesgo de activos de información (EXCEL)• Matriz de control de activos de información (EXCEL)• Procedimiento de retención y disposición final de activos de
información (WORD)• Cronograma de ejecución y mantenimiento del Plan de Protección
de Información (PROJECT)
Concientización y capacitación• Handbook del Dueño de Datos – Manual para el proceso de
clasificación (WORD)• Presentación para charla de capacitación a Dueños de Datos y
Usuarios Clave (POWERPOINT)• Cronograma anual de actividades de concientización (mails –
posters – charlas) (EXCEL)• Mail informativo a Usuarios sobre objetivo y alcance de las
actividades (WORD)• Mails de temas generales relacionados incluidos en el cronograma
anual (WORD)• Posters de temas generales relacionados incluidos en el
cronograma anual POWERPOINT)• Encuestas / Charlas de temas generales relacionados incluidos en
el cronograma anual
Componentes y herramientas del proceso
23/8/2016
73
Otros documentos asociados al proceso
Otros documentos que deben reflejar y soportar lo indicado en este proceso a través de su documentación son:
• Responsabilidades de la Gerencia de Seguridad de la Información• Capacitación y concientización del personal• Tratamiento de áreas restringidas• Procedimiento de encripción• Administración de resguardos y restauración de información• Administración de accesos físicos y lógicos a la información• Desarrollo seguro y administración de códigos fuentes• Recuperación del entorno tecnológico y continuidad del Negocio
Componentes y herramientas del proceso
Optimización en la estrategia de backups(p.e. ventana horaria)
Ahorro en el uso de insumos para resguardo y
horas de operación
Optimización de espacio físico en la guarda externa
Optimización en el almacenamiento de datos
Orden en la gestión de recursos de hardware y software
(esfuerzo de implementación de seguridad)
Optimización de los esfuerzos de recuperación
Mejora en las decisiones del CIA para el tratamiento de
Datos en aplicaciones
Optimización de esfuerzos en el monitoreo y disposición final de la
información
Ventajas de clasificar la información
23/8/2016
74
Limita la cantidad de información que es clasificada:
• Cuando sea posible, coloca la información sensible en Anexos y márcalos como restringidos, en lugar de marcar todo el documento
• Cuando sea apropiado, crea resúmenes ejecutivos para que puedan ser marcados con clasificaciones menores, para permitir una distribución más amplia
• Evita sobre-evaluar y sub-evaluar la información, con el fin de considerar tanto la seguridad efectiva como la eficiencia del negocio.
• En términos generales, las clasificaciones se relacionan con los Lineamientos para la Administración de la Protección de la Información, cuyos Niveles de Protección de Información van de 0 a 3.
• Los documentos impresos o electrónicos deben ser etiquetados con la clasificación apropiada utilizando el idioma nativo (lenguaje original) del documento y utilizando la sintaxis correcta del idioma para reflejar el significado de ‘Uso Interno’ o ‘Confidencial’. Cualquier duda sobre la idoneidad de las traducciones del idioma debe ser revisada con el consejero legal que conozca el idioma.
• En términos del impacto financiero por divulgación, se debe establecer una guía única para evaluar la información a los propósitos de clasificación, por ejemplo:
Uso Interno –> impacto financiero: < $120M Confidencial –> impacto financiero: $120M - >
148
23/8/2016
75
• Como mínimo, encriptar la información almacenada en medios removibles como CDs y memorias USB, dentro de archivos ‘Zip’ protegidos con una contraseña, utilizando las normas de rotulación.
• Utilizar únicamente plataformas de procesamiento/almacenamiento de TI que cumplan con las Normas Mínimas de Seguridad.
• Para control de acceso electrónico, utiliza únicamente accesos protegidos con contraseña y como mínimo, privilegios de acceso con base al rol o a la persona.
• Establecer un Registro de Control para toda la información designada como ‘Confidencial’, mantenerlo y conservarlo bajo su control (o bajo el control del usuario clave asignado). El registro debe conservarse y estar disponible para revisiones de auditoría.
• Reducir al mínimo el envío vía correo electrónico y la circulación de información confidencial, y siempre verificar la ‘necesidad de conocer’ (need to know) la información en cada solicitud. Registrar la destrucción de todas las copias de la información en el Registro de Control.
• Limitar el escaneo de dicha información a menos que se cuente con el consentimiento específico del Propietario; use marcas de agua cuando sea posible para desalentar dichas actividades y para identificar las copias genuinas autorizadas.
• Utilizar únicamente contenedores anti-violación, cerrados y aprobados, como cajas de seguridad, gabinetes de alta calidad resistentes a incendios o cuartos restringidos con contraseña para almacenar copias impresas (hardcopy) de información ‘Confidencial’.
• Requerir la aprobación de todos los accesos solicitados a dicha información y realizar las actualizaciones apropiadas al Registro de Control para registrar los accesos otorgados.
23/8/2016
76
• Utilizar controles de acceso y soluciones de encripción aprobadas; éstas incluyen funciones Disklock para Laptop, memorias USB encriptadas aprobadas (flash drives), etc.
• Nunca utilizar medios removibles o dispositivos personales que no pertenezcan a la Organización para guardar o tratar informacióndeella (PDAs, tarjetas/memorias, CDs, etc.).
• Cuando sea posible, almacenar información electrónica en plataformas de procesamiento de TI administradas centralmente que cuentan funciones de control y registro de acceso.
• Asegurar que el desecho de información ‘Confidencial’ sea registrado en el Registro de Control/Hoja de trabajo e incluya la fecha y la persona que realizó el desecho de la información.
• Establecer ‘Fechas de Revisión de la Clasificación’, en las cuales dicha clasificación sea modificada, en caso de ser necesario
• Cuando el nivel de sensibilidad aumenta, re-etiquetar las copias electrónicas con el nuevo nivel y destruir cualquier copia impresa con clasificaciones obsoletas
• Independientemente de la clasificación de un documento, todos los documentos deben conservarse de acuerdo a los programas de retención de registros Corporativos y Divisionales para cumplir con los requerimientos legales/reglamentarios y organizacionales, y administrar la necesidad de retener registros bajo retención jurídica.
• En general, los Dueños de Datos deben garantizar la revisión oportuna y regular de la clasificación.
23/8/2016
77
GOBERNABILIDADASEGURAMIENTO
CALIDAD
“Establecer un Gobierno
ordenado y metodológico de la
Información nos permitirá
administrarla de forma segura y
bajo un criterio único de
asignación de responsabilidades
y recursos, brindando un entorno
fiable de trabajo para cada uno
de sus Empleados asegurando
calidad a los objetivos del
Negocio”
Gobernando IT
23/8/2016
78
• Equipos que se bloquean.• Sistemas que se “caen”.• Servicios que se interrumpen.• Atención al usuario deficiente.• Pérdidas de tiempo y de productividad de los usuarios.• Personal técnico desbordado por llamadas y peticiones de
asistencia.• Directores de sistemas de información que ven cómo, a
pesar del esfuerzo continuo de su equipo, el roce y el malestar con el resto de la empresa no cesan
ISO 20000 es el Primer estándar formal orientado a los procesos de gestión de servicios de TI reconocido internacionalmente a través del esquema de
certificación ISO, publicado el 15/12/2005
ISO 20000 es el Primer estándar formal orientado a los procesos de gestión de servicios de TI reconocido internacionalmente a través del esquema de
certificación ISO, publicado el 15/12/2005
Describe un conjunto de procesos de gestión integrados para lograr una entrega efectiva de servicios de TI a la organización y a sus clientes
Describe un conjunto de procesos de gestión integrados para lograr una entrega efectiva de servicios de TI a la organización y a sus clientes
Proveedor de Servicios IT
El ServicioEl Servicio
La orientación al ClienteLa orientación al Cliente
La comunicación internaLa comunicación interna
Los procesos internosLos procesos internos
Servicios de IT
Servicios de IT
23/8/2016
79
Código de práctica para la gestión de servicios IT (BSI)
1989 - ITIL v1
2001- ITIL v22004 - BS15000 a ISO
2007 - ITIL v3
2009 - ISO2000 / Inicio de actualización
2011
ISO 20000 Actualización
publicada
2005
ISO 20000 (Certificable)
Requerimientos para una gestión de servicios de calidad
• Mejor y mayor alineación con la ISO 9001, con la ISO 27001 (SGSI) y con ITIL® v3.
• Terminología consistente e internacional.
• Procesos nuevos o modificados, entre otros, Gestión de incidencias y peticiones de servicio y Gestión de entregas y despliegues.
Colección de buenas prácticas para la Gestión de la tecnología
ITIL no es medible y puede ser implantado de muchas maneras
Las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos
ITIL no está basado en ISO/IEC 20000ISO/IEC 20000 no está basado en ITIL
ISO/IEC 20000-1Parte certificable de la norma. Requisitos del Sistema de Gestión del Servicio. Parte certificable
ISO/IEC 20000-2Código de Prácticas. Directrices para la Aplicación de Sistemas de Gestión de Servicios
ISO/IEC 20000-3Guía para la Definición del Alcance y Aplicabilidad de la Norma ISO/IEC 20000-1
ISO/IEC 20000-4Modelo de Referencia de Procesos. Guía de evaluación de la capacidad y madurez de los procesos de la ISO 20000-1
ISO/IEC 20000-5 Ejemplo de Plan de Implantación para ISO/IEC 20000-1
ISO/IEC 20000-7Guía sobre la aplicación de la Norma ISO/IEC 20000-1 a servicios en la nube.
ISO/IEC 20000-10 Conceptos, términos y definiciones
ISO/IEC 20000-11Orientación sobre la relación entre ISO / IEC 20000-1:2011 y el marco de gestión de servicios ITIL
23/8/2016
80
Si bien puede certificarse un servicio…
• La norma ISO/IEC 20000-1 contiene un Sistema de Gestión del Servicio de TI (SGS) especificando los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS.
• Incluyen los requisitos para el diseño, transición, provisión, y la mejora de los servicios.• Contiene procesos, y relaciones entre ellos, para facilitar su implementación
4. Requisitos generales del sistema de Gestión de Servicios 4.1 Responsabilidades de la dirección 4.2 Gobierno de procesos operados por otras partes 4.3 Requisitos de la documentación 4.4 Gestión de recursos 4.5 Establecer el SGS: Alcance, Planificar, Hacer, Verificar, Actuar
Gobierno IT / Gestión de Servicios IT
Equipos de trabajoEquipos de trabajo
HerramientasHerramientas
Eficacia
Resultados
Estrategia
Éxitos
Gestión Eficiencia
Productividad
Negocio
23/8/2016
81
Plan (Plan de proyecto)Do (Ejecución del Proyecto)Check (Auditoria)Act (Nuevas acciones)
Nivel de madurez
Alinear TI con el Negocio
LOS OCHO PRINCIPIOS
DE LA GESTION DE LA CALIDAD
Planteamiento de sistema para la
gestión
Enfoque a cliente
Implicación de las personas
Liderazgo
Relaciones con los suministradores
Mejora Continua
Un enfoque de este tipo enfatiza la importancia de:1. La comprensión y el cumplimiento
de los requisitos.2. La necesidad de considerar los
procesos en términos que aporten valor.
3. La obtención de resultados del desempeño y eficacia del proceso.
4. La mejora continua de los procesos con base en mediciones objetivas
23/8/2016
82
SEGURIDAD
PROCESOS FUNCIONALES
PROCESOS TECNOLÓGICOS
SISTEMAS DE GESTIÓN
CALIDAD
ISO 27001 – Seguridad de la InformaciónISO 20000 – Servicios de TI
Disponibilidad, incidencias, recuperación, contratos, continuidad, etc.
Los proveedores de servicios deben proveer documentos y registros que
23/8/2016
83
• Establecer y comunicar el alcance• Adhesión a la política de calidad• Importancia de satisfacer los
requisitos del servicio, legales, regulatorios y contractuales
• Asegurar la provisión de recursos• Realizar revisiones de la gestión• Asegurar que los riesgos se
evalúen y gestionen
• Adecuada para el propósito del servicio
• Incluir la satisfacción de los requisitos del servicio
• Incluir un compromiso con la mejora continua
• Establecer un marco para el establecimiento y revisión de los objetivos de gestión del servicio
Definir y Controlar los Componentes del Servicio y la Infraestructura y mantener
información precisa sobre la Configuración
Asegurar que todos los Cambios son evaluados, aprobados, implementados y
revisados de manera controlada
Gestionar la seguridad de la Información de manera eficaz para todas las actividades del negocio,
identificando los riesgos asociados a los controles, modo de utilizarlos y el mantenimiento de los mismos
23/8/2016
84
ELEMENTOS CLAVE DE COSTOS• Costos directos e indirectos
• Directos = sueldos, hardware• Indirectos = renta,
electricidad• Costos fijos y variables
• Fijos = enlace de internet• Variables = refacciones
EstrategiaGestión de Portfolio
Gestión Financiera
Gestión de Relaciones
con el Negocio
Gestión Estratégica
Gestión de la Demanda
Administración Administración, Junta Directiva, Compras, Estrategia
Mesa de Ayuda
Admin. de PCs
Soporte técnico
Admin. de Red
Desarrollo
Admin. de software
Software de desktop
Software de training
Material de training
Estaciones de trabajo (PC´s)
Infraestructura avanzada
Sistema operativo de red y herramientas de administración
Servidores de archivos
Componentes de red
Servicios de TI
Software de usuario
Infraestructura
Componente
· Tiempo de senior managers. · Técnicos.
· Gerentes de TI. · Coordinadores de Tecnología.
· Administradores de red. · Capacitadores.
Hardware Software
· Servidores. · Sistema operativo de red.
· PCs. · Herramientas de adm de red.
· Switches/routers. · Sistemas operativos de las PCs.
· Cableado de red. · Software de app estándar.
· Gabinetes. · Software de app específico.
· Periféricos (impresoras, scanners, etc.).
· Contratos de mantenimiento de hardware
· Partes de repuesto.
· Contratos de soporte.
· Servicios profesionales (ej. consultoría).
· Cursos de entrenamiento.
· Insumos (toner, CDs, etc.).
· Conexiones a IPS de Internet.
· Comunicaciones telefónicas.
· Enlaces de red de datos
Incluye
Costos de staff
Costos de capital
Costos de mantenimiento
Costos de soporte
Gastos recurrentes
EstrategiaÉxitos
Gestión
Negocio
Equilibrio entre calidad, seguridad y costos en servicios IT
23/8/2016
85
Equilibrio entre calidad, seguridad y costos en servicios IT
1.Un análisis de costo carece de sentido si no se considera el nivel de servicio2.Mayor optimización de la arquitectura = menor costo, pero no arriesgar la
Seguridad y el Cumplimiento3.Cuantificar las ventajas de gastos o de ahorros al adquirir o disponer de nueva
tecnología4.Tome una perspectiva a largo plazo y utilice las mejores prácticas de gestión
donde sea posible
1.Un análisis de costo carece de sentido si no se considera el nivel de servicio2.Mayor optimización de la arquitectura = menor costo, pero no arriesgar la
Seguridad y el Cumplimiento3.Cuantificar las ventajas de gastos o de ahorros al adquirir o disponer de nueva
tecnología4.Tome una perspectiva a largo plazo y utilice las mejores prácticas de gestión
donde sea posible
•Limitar la capacidad de los usuarios para meterse en problemas ellos mismos•Mantener inventarios de todo el hardware y software•Entrenar a los empleados•Reemplazar las aplicaciones obsoletas (legacy applications)•Mantener la infraestructura confiable
•Limitar la capacidad de los usuarios para meterse en problemas ellos mismos•Mantener inventarios de todo el hardware y software•Entrenar a los empleados•Reemplazar las aplicaciones obsoletas (legacy applications)•Mantener la infraestructura confiable
23/8/2016
86
• Demuestra que se tienen procedimientos y controles adecuados
• Los proveedores externos de servicios pueden responder al cumplimiento regulatorio usando la certificación como un elemento diferenciador
• Ofrece oportunidades para mejorar la eficiencia, fiabilidad y consistencia de los servicios de TI, y cuyo impacto es directo en el negocio
Revisar periódicamente:
• Acuerdos de nivel de servicio desde la revisión anterior.
• Problemas relacionados con los servicios.
• Identificación de tendencias del servicio.
• Cambios en servicios dentro de los niveles de servicio acordados.
• Cambios en procedimientos y estimaciones del coste de nuevos recursos.
• Consecuencias del incumplimiento de los niveles de servicio acordados.
Determinar la eficacia y la eficiencia del proceso (KPIs)
• Elementos de servicio incluidos en SLAs.• Elementos del SLA con soporte de OLAs y
UCs.• Elementos de los SLAs que se monitorizan y
en los que se detecten defectos.• Elementos de los SLAs que se revisen
periódicamente.• Elementos de los SLAs que cumplan los
niveles de servicio acordados.• Defectos identificados y cubiertos por un
plan de mejora.• Acciones emprendidas para eliminar los
defectos identificados.• Tendencias identificadas con respecto a los
niveles reales de servicio.
23/8/2016
87
Seguridad y Cumplimiento
Gestión del Cumplimiento:Proceso que registra y monitoriza los controles, físicos, lógicos u organizacionales, necesarios para permitir el cumplimiento de los mandatos legislativos o industriales y las políticas internas
Gestión del Cumplimiento:Proceso que registra y monitoriza los controles, físicos, lógicos u organizacionales, necesarios para permitir el cumplimiento de los mandatos legislativos o industriales y las políticas internas
Leyes(Habeas Data, SOX, Propiedad
intelectual, Historia Clínica
Electrónica)
Leyes(Habeas Data, SOX, Propiedad
intelectual, Historia Clínica
Electrónica)
Regulaciones(PCI, BCRA, SBIF)
Regulaciones(PCI, BCRA, SBIF)
Políticas InternasPolíticas Internas
Proceso común de Gobierno, Riesgo y Cumplimiento
Proceso común de Gobierno, Riesgo y Cumplimiento
Gestión de Riesgos, matriz de control, marco normativoGestión de procesos, segregación de funciones
Líneas de NegocioLíneas de Negocio Áreas CorporativasÁreas Corporativas Áreas TecnológicasÁreas Tecnológicas
Líder Funcional
Líder Funcional
Gerente de ÁreaGerente de Área
Auditoría Interna
Auditoría Interna
LegalesLegalesSeg de la Inform.
Seg de la Inform.
Líderes de
Seg/Arq
Líderes de
Seg/ArqIT y Oper.IT y Oper.
23/8/2016
88
Políticas internas
Marco Normativo
Seguridad de la Información
Normas y procedimientos
Estándares de configuración
Comportamiento del personal
Control sobre TI
Control de Terceras Partes
Política de Ética y Cumplimiento
Normativo
Política de Gobierno Corporativo
Política de riesgos
Políticas de Terceras Partes
Política social y ambiental
Antifraude
Anticorrupción
Leyes y Regulaciones
Leyes y decretos
Habeas Data
Derechos del Paciente
Firma Digital
SOx
HIPAA
Regulaciones y certificaciones del
negocio
BCRA, SBIF, SBS
PCI-DSS
ISO 27001
ISO 9001
ISO 20000
Que debe cumplirse
Bajo que parámetros
Como debe cumplirse
Base de Cumplimiento
MARCO NORMATIVO
MARCO LEGAL
MARCO DE NEGOCIO
ESTÁNDARES
RESPUESTA AL CUMPLIMIENTO
23/8/2016
89
El 23 de julio de 2002 el Congreso de los Estados Unidos aprobó la Ley Sarbanes-Oxley, siendo de aplicación a todas las sociedades registradas en los mercados de valores norteamericanos y a partir del primer ejercicio cerrado después del 15 de julio de 2006, para sociedades extranjeras.
Aumentar la transparencia y fiabilidad de la información financiera
Se promueve la revisión y sistematización de los controles internos establecidos para mitigarlos riesgos asociados al reporte financiero
Se establecen importantes responsabilidades penales por falsedades e incumplimientos (hasta 20 años / 5 MM USD).
• Mitiga la probabilidad de ocurrencia de errores, fraudes o incumplimientos normativos
• Garantiza la fiabilidad de la información financiera y de gestión
• Garantiza que la información ofrecida al mercado es oportuna y veraz
WORLDCOMEl ex director ejecutivo Bernard Ebbers fue sentenciado a 25 años de prisión por nueve cargos de conspiración, fraude de valores y presentación de documentos no verídicos ante los organismos reguladores y controladores de los Estados Unidos.
Cárcel de 10 a 20 añosMultas de $1 millón a $5 millones de dólares
DYNEGYMultada con US$ 3 millones y Jamie Olis fue sentenciado a 24 años sin derecho a libertad condicional por malversar documentación contable
ENRONLay, expresidente fue condenado con hasta 64 años de prisión; Skilling, ex director general fue condenado con hasta 185 años de prisión
A raíz de este escándalo, y por obstrucción, directivos de Arthur Andersen se enfrentan a penas de hasta cinco años y a una multa de 500.000 dólares
TYCOSegún la sentencia, Dennis Kozlowski, ex consejero delegado de Tyco y Mark Swartz, ex director financiero de la compañía, están sentenciados de 8 a 25 años de carcel y tendrán que devolver más de 134 millones de dólares , sumados a una multa de 70 millones de dólares contra Kozlowski y una de 35 millones contra Swartz
MCi AdelphiaEl fundador de, John Rigas, condenado a 15 años de prisión
23/8/2016
90
CAPÍTULO II Marco general para la gestión del riesgo operativo
CAPITULO III Otras disposiciones sobre la gestiónArtículo 12. ContinuidadArtículo 13. Seguridad de la informaciónArtículo 14. Base de datosArtículo 15. TercerizaciónArtículo 17. Riesgos operativos asociados a actividades específicasArtículo 18. Divulgación
LÍNEAS DE NEGOCIO GENÉRICAS PARA INTERMEDIARIOS FINANCIEROS DEL SISTEMA FINANCIERO NACIONAL (Línea 8)• 8.3 Tecnología de información y comunicación• 8.4 Cambios y transformaciones
organizacionales• 8.5 Otros procesos transversales a la
organización
Ley Orgánica N° 7558 del Banco Central de Costa Rica• SUGEF 18-16 “Reglamento sobre
Gestión del Riesgo Operativo”• SUGEF 2-10 “Reglamento sobre
Administración Integral de Riesgos”• SUGEF 16-09 “Reglamento de Gobierno
Corporativo”• SUGEF 14-09 “Reglamento sobre la
Gestión de la Tecnología de Información”
Riesgo
financieros y operacionalesfinancieros y operacionales
• Tecnología• Seguridad de la Información• Seguridad Informática• Seguridad Física
• Áreas funcionales• Sectores
administrativos
• Recursos humanos• Propios y de terceros
Imagen
Gobierno
negocio
23/8/2016
91
Comunicación(General, interna,
externa)
Comunicación(General, interna,
externa)
Evaluación de desempeño y
mejora continua
Evaluación de desempeño y
mejora continua
Establecer el contextoEstablecer el contexto
Evaluación deriesgo decumplimiento
Evaluación deriesgo decumplimiento
Identificación de obligaciones de cumplimiento y su evaluación de riesgos
Identificación de obligaciones de cumplimiento y su evaluación de riesgos
Análisis de probabilidad e impacto de riesgos por falta de
cumplimiento
Análisis de probabilidad e impacto de riesgos por falta de
cumplimiento
Evaluación de riesgosRanking y orden de prioridades
Evaluación de riesgosRanking y orden de prioridades
Tratamiento de riesgosEstablecer y aplicar controles
Tratamiento de riesgosEstablecer y aplicar controles
Fraude interno e incidentes que atentan contra el cumplimiento
Fuentes probables
de incidentes
Fuentes probables
de incidentes
Impacto de los
incidentes
Impacto de los
incidentes
Fuente: PwC
El promedio de pérdidas financieras asociadas con los incidentes mencionados aumentaron un 18%respecto al año pasado. Desde el 2011 las pérdidas financieras han incrementado un 51%.
El promedio de pérdidas financieras asociadas con los incidentes mencionados aumentaron un 18%respecto al año pasado. Desde el 2011 las pérdidas financieras han incrementado un 51%.
23/8/2016
92
NEGOCIONEGOCIO INFORMACIÓNINFORMACIÓN APLICATIVOSAPLICATIVOS TECNOLOGÍATECNOLOGÍA
Misión y visiónEstrategia
OrganizaciónRecursosProcesos
Misión y visiónEstrategia
OrganizaciónRecursosProcesos
ModelosInformación
DatosTratamiento
ModelosInformación
DatosTratamiento
FuncionalidadAplicaciones
FuncionalidadAplicaciones
HardwareSoftware
RedesGestión IT
HardwareSoftware
RedesGestión IT
SEGURIDAD DE LA INFORMACIÓN (FÍSICA Y LÓGICA)SEGURIDAD DE LA INFORMACIÓN (FÍSICA Y LÓGICA)
Aplicación del cumplimiento
Nivel 1• Regulatorio local
Nivel 2
• Buenas prácticas (estándares y certificaciones)
Nivel 3• Regulatorio internacional
23/8/2016
93
NEGOCIONEGOCIOSEGURIDAD DE LA
INFORMACIÓNSEGURIDAD DE LA
INFORMACIÓNTECNOLOGÍATECNOLOGÍA
Legales
Gestión de Riesgos
Auditoría Interna
Compliance
Legales
Gestión de Riesgos
Auditoría Interna
Compliance
Compliance y Auditoría IT
(Conformidad de Seguridad y Auditoría de Procesos IT)
Compliance y Auditoría IT
(Conformidad de Seguridad y Auditoría de Procesos IT)
Compliance IT
(Conformidad de
Administración y operación)
Compliance IT
(Conformidad de
Administración y operación)
UNIDADES DE NEGOCIO
UNIDADES DE NEGOCIO
Áreas de control de
cumplimiento y calidad en procesos y productos
Áreas de control de
cumplimiento y calidad en procesos y productos
23/8/2016
94
COMPLIANCE
Alineación y coordinación
Planificación de actividades y coordinación
COMPLIANCE
Compliance se basa en políticas comprensibles, entrenamiento efectivo, equipo en el área de cumplimiento, guías disciplinarias claras, programa de mejora continua, gestión de riesgos (mitigación y continuidad de negocio), y monitorización y auditoría
Controles
Mecanismos para comprobar laaplicación efectiva de las normas y regulaciones en:
• Procesos de negocio• Implementaciones
tecnológicas• Los recursos humanos
Normas
Establecer un modelo jerárquico de normas corporativas
Establecer un procedimiento para la emisión de normas
Registrar y ordenar las leyes y regulaciones aplicables al negocio
Emitir reportes de cumplimiento
Ciclo formativo
Diseño y desarrollo de material “Welcome pack” e Inducción
Establecer un cronograma de capacitación a los diferentes niveles de la organización
Revisión del contenido de material de capacitación e inducción
23/8/2016
95
COMPLIANCE = CONTROLAsegurar los objetivos de control interno relacionados con el
cumplimiento de las leyes y de las reglamentaciones aplicables.
Compliance implementa los procedimientos que aseguren el cumplimiento normativo interno y externo en sentido amplio.
NO AUDITA - NO INVESTIGA - NO SANSIONA
Identifica, asesora, alerta, monitorea y reporta los riesgos de cumplimiento
Identifica, asesora, alerta, monitorea y reporta los riesgos de cumplimiento
EvitarSanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras, o
pérdidas de reputación por fallas de cumplimiento a leyes, regulaciones, códigos de
conducta y estándares de la industria o de buenas prácticas
EvitarSanciones por incumplimientos legales o regulatorios, sufrir pérdidas financieras, o
pérdidas de reputación por fallas de cumplimiento a leyes, regulaciones, códigos de
conducta y estándares de la industria o de buenas prácticas
Normas Estándares
Aplicaciones Plataformas
Matriz de Revisión
• Remediación posible y cumpliendo los plazos
• Remediación posible pero fuera de plazo con Plan de Trabajo
• No se puede remediar y debe exceptuarse
Definición de Registrosy Documentos paraControl y Seguimiento
La efectividad del control interno se determina por su capacidad para reducir o mitigar los riesgos
23/8/2016
96
Negociacióncumplimiento y auditoría
Limitaciones Funcionales
Obsolescencia Tecnológica
Análisis de mitigantes Respaldar Registrar
Riesgos
La gestión integral del cumplimiento requiere establecer niveles de conformidad de cumplimiento sobre normas obligatorias internas y externas,
y alineación con el riesgo legal
ISO 19600, la primera norma internacional sobre compliance
La Norma ISO 19600 recoge directrices para implantar, mantener y mejorar un sistema de gestión de compliance eficaz y receptivo.
Incluye recomendaciones sobre los elementos con los que una organización debería contar para asegurar que cumple su política de compliance y que tiene capacidad para asumir sus obligaciones en este ámbito.
Análisis de nuevas necesidades de formación en materia de compliance para aquellos profesionales involucrados en este campo cuando se produzcan cambios organizativos, legislativos o en los compromisos con los grupos de interés.
23/8/2016
97
Identificación de cuestiones internas y
externas
Identificación de cuestiones internas y
externas
Identificación de requerimientos de las
partes interesadas
Identificación de requerimientos de las
partes interesadas
Principios de buen gobiernoPrincipios de
buen gobiernoDeterminar el alcance y
establecer el CMSDeterminar el alcance y
establecer el CMS
Establecer la Política de Cumplimiento
Establecer la Política de Cumplimiento
Identificación de obligaciones de cumplimiento y su evaluación de riesgos
Identificación de obligaciones de cumplimiento y su evaluación de riesgos
Liderazgo independiente, responsabilidades a todos los niveles, funciones de apoyo
Liderazgo independiente, responsabilidades a todos los niveles, funciones de apoyo
Gestión de incumplimiento y la mejora continua
Gestión de incumplimiento y la mejora continua
Planificación para hacer frente a los riesgos de cumplimiento y
el logro de objetivos
Planificación para hacer frente a los riesgos de cumplimiento y
el logro de objetivos
Evaluación del desempeño e informes de cumplimiento
Evaluación del desempeño e informes de cumplimiento
Planificación y control de riesgo de cumplimiento operacional
Planificación y control de riesgo de cumplimiento operacional
MEJ
OR
AR
MEJ
OR
AR
Cumplimiento es la conjunción de actividades que permiten a las organizaciones asegurar que sus negocios:
• Son legal y debidamente llevados a cabo de acuerdo a la legislación y regulaciones de su mercado;
• Son correctamente gestionados de acuerdo a las certificaciones y estándares adoptados;
• Son correctamente gestionados de acuerdo a sus políticas internas;
• Son debidamente normados y controlados asegurando cualquier desvío al cumplimiento, detectando mejoras en sus procesos.
23/8/2016
98
Control , Gestión de la Remediación y Mejora continua
Dominios de Control
23/8/2016
99
¿Qué?
¿Cómo?
¿Cuando?
¿Quién monitorea?
Parámetros para análisis
¿Quién analiza y evalúa?
Cualquier requisito relacionado con el marco de protección establecido por las normativas internas, legislación y regulaciones conlleva a la necesidad de implementar controles que nos ayudaran a que nuestros servicios tecnológicos al negocio mantengan un vínculo solidario en la necesidad de CUMPLIMIENTO.
23/8/2016
100
Establecer controles no necesariamente quiere decir cambiar los procesos,pero lo que si puede cambiar es la forma de registrarlos. Esto ayuda a tener laposibilidad de identificar los puntos de control sin necesidad de cambiar unproceso, evitando entorpecer la operatoria general causando pérdida detiempo.
¿Qué significa controlar?• Identificar cuáles son los objetivos de control• Saber con qué herramientas nativas o alternativas contamos• Formalizarlas, agregándolas a nuestros procedimientos normativos• Identificar herramientas que puedan registrar controles sin implementar
Teórico conceptual Práctica de definición Implementación
• Concepto de auditoría continua• Descubrimiento del entorno de
trabajo y sus alcances en TI y Seguridad de la Información• Impacto en el negocio:
Conocer como se está Gobernando (ISO 38500 / CobIT / ISO 27014)
• Riesgos y vulnerabilidades:Conocer los Riesgos asociados a nuestro gobierno (ISO 31000 / ISO 27005)
• Selección de controles:Conocer lo que debo Controlar ((ISO 27008 / ISACA Audit Standard)
• Descubrimiento del entorno de cumplimiento• Definiciones del Marco
Normativo interno• Estándares y regulaciones
externas
• Determinación de universos• Procesos de servicio IT y SI• Infraestructura de TI (SO y
BBDD)• Aplicaciones• Información / Datos
• Diseño del modelo de control en base a riesgos• Determinación de las
categorías, subcategorías y controles principales
• Parametrización del cumplimiento y determinación de excepciones
• Definición de los modelos de evidencias
• Definición de las cedulas de control
• Objetivos y alcances por control• Parámetros de ejecución• Parámetros de medición• Ciclo de mejora continua
• Identificación y conformación de controles automáticos y manuales
• Conformación de equipos de trabajo (emisores y receptores)• Identificación de recursos
técnicos y humanos• Definición de roles y funciones• Capacitación a los diferentes
equipos• Documentación operativa y de
soporte a los controles• Identificación de argumentos de
para remediación• Registros de respaldo• Documentos para control y
seguimiento• Gestión de excepciones
• Capacitación técnico/funcional• Identificación de entradas de
medición (operación y riesgos TI)• Plan de ejecución continua y
mejora del proceso
23/8/2016
101
Aplicar una Auditoría Continua en la justa medida de la Organización facilita el mejorar los servicios de IT con enfoque en el Negocio, además de reducir la carga en el cumplimiento al tener predefinidos los registros surgidos de los controles y una mitigación de riesgos efectiva como resultado de establecer un monitoreo periódico.
Prin
cipales O
bjetivo
s de C
on
trol
Auditoría, evidencias y monitoreo
Autenticación y control de acceso
Confidencialidad y No-Repudiación
Personal externo y contratistas
Tolerancia a fallas, backup y recuperación
Respuesta y reporte de incidentes
Mantenimiento y operaciones
Red de datos
Acceso físico
Documentación electrónica y en papel
Accesos remotos
Concientización y entrenamiento en Seguridad
Política de administración de la seguridad
Configuración del sistema
Desarrollo de sistemas y control de cambios
Proveedores, profesionales y prestadores
23/8/2016
102
Se agruparon los controles para minimizar esfuerzos en la solicitud de evidencia, optimizar su gestión e identificar recursos necesarios
23/8/2016
103
23
/8/2
01
6
10
4
ABM de Usuario
23/8/2016
105
AAMMDD_[Plataforma]_[Nombre_de_evidencia].[extención_archivo]
AAMMDD_[Plataforma]_[Nombre_de_informe] .[extención_archivo]
23/8/2016
106
Alcance de Observaciones
Cantidad de Plataformas
Aplicaciones alcanzadas
Magnitud de No-Conformidades
Configuraciones técnicas
Cuentas de usuario
Accesos, permisos y privilegios
Documentación de Soporte
Conformación de los Equipos de Trabajo
Aporta a
23/8/2016
107
Áreas deNegocio
AplicacionesSoftware de BaseHardware
Tecnología ySeguridad
IDENTIFICARLOS DESVÍOS¿Y DESPUÉS?
¿Parche o Upgrade?
¿Cuál es la mejor versión que quiero de mis sistemas y
procesos?
Que el “remedio” cure la “enfermedad”
23/8/2016
108
Tiempo + Recursos + Conocimiento
• Definición de estrategias en función de observaciones, alcances y experiencia
• Identificación de recursos técnicos y humanos• Definición de roles y funciones bien definidos• Conformación de equipos de trabajo• Capacitación a los diferentes equipos de acuerdo a su visión de
objetivo y a su participación en la remediación• Definición de las evidencias a obtener y su formato• Seleccionar la documentación que nos sirva para operar, seguir y
controlar la remediación
Principales actividades para una remediación efectiva
23/8/2016
109
• Parámetros
• Carpetas compartidas
• Cuentas de Usuario
• Permisos
• Servicios
1
Sistema Operativo
• Parámetros
• Cuentas de Usuario
• Permisos
2
Base de Datos
• Parámetros
• Cuentas de usuario
• Funciones
3
Aplicación
Orden lógico de ejecución
Inconsistencia en el software de base que generan demoras y retrabajo sobre la aplicación (Interfaces, Tareas Programadas,
Cuentas Especiales, Servicios, etc.)
Equipos de Trabajo
Seguridad de la Información
Tecnología
Jefes de Aplicación o Líderes Funcionales de Sistemas
Líderes de Proyecto
Adm SO Adm BBDD Operación
Compliance
Conocedores del funcionamiento aplicativo para responder a los requerimientos del Negocio
Servicio consultivo y de soporte técnico
Acompañamiento y operación de relevamiento y remediación
Capacitación y definiciones de cumplimiento
23/8/2016
110
Identificación de argumentos de remediación
Normas Estándares
Aplicaciones Plataformas
Matriz de Revisión
• Remediación posible y cumpliendo los plazos
• Remediación posible pero fuera de plazo con Plan de Trabajo
• No se puede remediar y debe exceptuarse
Definición de Registrosy Documentos paraControl y Seguimiento
Definición de registros para evidencias
Tipo y formato de evidencia
Completitud de datos a
obtener por evidencia
Estrategia de generación y
administración de evidencias
Certifica que la remediación ha sido efectiva y evidencia aceptada por una probable
Auditoría
Optimiza la operación de obtención y el volumen de archivos de datos a tratar y
almacenar
23/8/2016
111
Gestión de Excepciones
Limitaciones Funcionales
Obsolescencia Tecnológica
Análisis de mitigantes Respaldar Registrar
CIA
Entorno Productivo
Registros y Controles
Baseline de Auditoría
23/8/2016
112
Valoremos cada participación que tengamos en los diferentes frentes de trabajo y aprendamos que la tarea en equipo
Riesgos Controlados
Personal Capacitado
Seguimiento Adecuado
GOBIERNO
23/8/2016
113
El proceso de mejora continua consiste en:
• Liderazgo y Compromiso de la Gerencia.• Identificación y Selección del Proyecto de
Mejora.• Método de Solución de Problemas• Uso de Herramientas de Calidad.• Gestión del Proyecto • Trabajo en Equipo.• Capacitación.• Creatividad.• Continuidad y Mejora de los Resultados.
Ciclo de Mejora
Continua
Planear
Hacer
Verificar
Actuar
Definición de:• Metas• Métodos
Definición de:• Metas• Métodos
• Formación• Ejecución• Toma de datos
• Formación• Ejecución• Toma de datos
Metas vsResultadosMetas vsResultados
Acciones:• Correctivas• Preventivas• Mejoras
Acciones:• Correctivas• Preventivas• Mejoras
Pág. 8-225
Ejecución ordenada en el tiempo especificado, orientada al resultado y de bajo impacto en el
Negocio
Análisis de brecha
Orden de Ejecución
Armado de Equipos de
trabajo
Argumentos de Remediación
Definición de Registros
Gestión de Excepciones
Diseño de Capacitación
Plan definido para la mejora
23/8/2016
114
Resultados y retorno de inversión
El concepto del cálculo del ROI se aplica a todas las inversiones y Seguridad no es una excepción; por ello los ejecutivos que toman decisiones en una organización desean saber cuál es el impacto económico de la seguridad en su línea de costos para determinar cuáles son las soluciones más rentables.
Aplicando a la seguridad un cálculo de Retorno de la Inversión en Seguridad- ROSI (Return Of Security Investment), se puede proporcionar respuestas cuantitativas a cuestiones financieras esenciales:
• ¿Está la organización pagando demasiado por su seguridad?• ¿Qué impacto económico podría tener la falta de seguridad sobre la
productividad de la organización?• ¿Cuando es suficiente una inversión en seguridad?• ¿Es beneficioso un producto de seguridad para la organización en función
de su costo?
23/8/2016
115
El cálculo de retorno de inversión (ROI) siempre ha sido una herramienta muy adecuada para justificar inversiones de cara a la gerencia de una organización. Ver beneficios no siempre es fácil, por eso este tipo de cálculos han ido ganando protagonismo en los últimos tiempos.
En el caso particular de inversiones en seguridad, el término a utilizar se denomina ROSI (Return Of Security Investment) y al igual que ROI mide la relación entre el retorno que produce una inversión y la inversión propiamente dicha.
El cálculo de retorno de inversión (ROI) siempre ha sido una herramienta muy adecuada para justificar inversiones de cara a la gerencia de una organización. Ver beneficios no siempre es fácil, por eso este tipo de cálculos han ido ganando protagonismo en los últimos tiempos.
En el caso particular de inversiones en seguridad, el término a utilizar se denomina ROSI (Return Of Security Investment) y al igual que ROI mide la relación entre el retorno que produce una inversión y la inversión propiamente dicha.
Se basa en calcular los costos ahorradoscomo consecuencia de evitar incidentes de seguridad o de mitigar los efectos de losmismos en caso de ocurrencia. Es por esto que en ROSI el beneficio es en realidad el ahorroconseguido (además de otro tipo de beneficios como pueden ser mejorar la imagen de laempresa consiguiendo así nuevos clientes).
Se basa en calcular los costos ahorradoscomo consecuencia de evitar incidentes de seguridad o de mitigar los efectos de losmismos en caso de ocurrencia. Es por esto que en ROSI el beneficio es en realidad el ahorroconseguido (además de otro tipo de beneficios como pueden ser mejorar la imagen de laempresa consiguiendo así nuevos clientes).
Falsa noción de inversión en seguridad
La de la inversión de seguridad se realiza mediante el cálculo de la que evitó gracias a su .La de la inversión de seguridad se realiza mediante el cálculo de la que evitó gracias a su .
23/8/2016
116
En la búsqueda de un marco de gestión
Reducción y eliminación deincidentes de seguridad
Implementación de controles Plan de Continuidad de Negocio
Evaluar el valor que para nuestra organización tiene cada uno de los
activos
Estudiar amenazas que podrían materializarse sobre nuestros activos y
nuestros procesos de negocio y su probabilidad e impacto
Implantar los controles de seguridad
Asegurar continuidad de servicio (rentabilidad) y evitar mayores costos o
imposibilidad de recuperación del negocio
Asegura responder con lasgarantías oportunas ante las nuevas
incidencias de seguridad que podrían afectar a nuestro negocio
En la búsqueda de resultados
23/8/2016
117
La evaluación de la inversión en seguridad implica la evaluación de la cantidad de pérdida potencial podría ser salvado por una inversión.
La evaluación de la inversión en seguridad implica la evaluación de la cantidad de pérdida potencial podría ser salvado por una inversión.
Valor monetario de la inversión
Valor monetario de la reducción del riesgo
Este tipo de estudios no es posible realizarlo sin conocer de formaexhaustiva las amenazas que afectan a una organización. Pararealizarlo de la forma más precisa posible (siempre son estimacionesprobabilísticas) debemos remontarnos a la historia reciente de laorganización y ver qué incidentes se han sufrido, para así poder preverlos posibles incidentes futuros y después calcular el costo asociado aellos.
En la búsqueda de métricas
Cantidad esperada de dinero que se pierde cuando se produce un riesgo (costo total de un incidente)
Se trata de pérdidas directas (tiempo de inactividad sitio web, reemplazo de hardware, reemplazo de la pérdida de datos, etc.) y el costo de los daños indirectos (tiempo de investigación, la pérdida de reputación, el impacto en la imagen, etc.)
Medida de la probabilidad de que un riesgo se produce en un año
La ARO de una inundación dependerá de factores geográficos, la ARO de un fallo en el disco está influenciada por la temperatura de funcionamiento, la ARO de un robo dependerá de la ubicación de la de activos, etc
Pérdida monetaria anual que se puede esperar de un riesgo específico sobre un activo específico
23/8/2016
118
El ROSI se define de la siguiente manera:
Cuanto más efectiva es una solución, cuanto más reducida es la ALE. Esta reducción de pérdida monetaria puede ser definida por la diferencia de la ALE sin la solución de seguridad frente a la ALE modificada por la implementación de la solución de seguridad (mALE)
Que también es igual a la relación de la mitigación de la solución aplicada a la ALE:
ROSIReducción de pérdida monetaria – Costo de la Solución
Costo de la Solución
ROSIALE – mALE – Costo de la Solución
Costo de la SoluciónROSI
ALE x Ratio de mitigación – Costo de la Solución
Costo de la Solución
De cumplimientoSe busca conocer el grado de cobertura de una cierta referencia, que puede ser unapolítica interna, un reglamento, un perfil, etc.Suelen ser indicadores que miden si se han cumplido los requisitos formales o si sehan tomado medidas preventivas. Un buen cumplimiento no garantiza el éxito delsistema frente a un ataque o un incidente, pero sí que el sistema esté mejorposicionado para afrontarlos.Un mal resultado en estos indicadores es una señal de posibles problemas: caso deataque o incidente, no estamos todo lo preparados que debiéramos.
De eficaciaBuscamos conocer el desempeño de una cierta función, desde el punto de vista de enqué medida logramos los resultados apetecidos.En materia de seguridad, estos indicadores suelen tomar datos de los registros deincidencias, calibrando qué ha ocurrido y cómo hemos reaccionado.Un mal resultado en los indicadores de hechos ocurridos descubre, tarde, que tenemosun problema con las medidas preventivas, y sugiere que deberíamos mejorar estas.Un mal resultado en los indicadores que miden la calidad de la respuesta indica que elsistema necesita mejorar sus procedimientos, bien en alcance o en eficacia.
Tipos de métricas e indicadores
23/8/2016
119
De impactoSe busca traducir los incidentes técnicos en consecuencias para la misión última del sistema: protección de una cierta información y prestación de unos determinados servicios.Estos indicadores son los que suelen trasladarse a los órganos de gobierno para que tomen decisiones sobre la misión del organismo, sin entrar en los detalles técnicos.
De eficienciaBuscamos conocer el desempeño de una cierta función, desde el punto de vista de si el consumo de recursos está proporcionado a los resultados obtenidos. Cuando el sistema es poco eficiente, se buscarán formas más eficientes de alcanzar los mismos objetivos de eficacia. A menudo se persiguen criterios de proporcionalidad ajustando la eficacia y la eficiencia hasta encontrarnos en un punto “razonable”.
CUADRO DE MANDOLos indicadores suelen agruparse para su presentación en cuadros, denominados “demando” que típicamente resumen la salud de la organización desde cuatro puntos de vista:• Salud financiera: razonabilidad del gasto, capacidad para acometer proyectos• Percepción de los usuarios y socios comerciales• Capacidad para una reacción rápida y efectiva a cambios del entorno• Capital humano: estabilidad, compromiso y capacidad para afrontar el futuro a
corto y medio plazo
Financiera Punto de vista de los socios.Clientes Punto de vista de los clientes.
Procesos InternosSe relaciona con la gestión de lasoperaciones en general.
Aprendizaje y CrecimientoDefine cómo se aprende a crecer y soportar la estrategia por medio de sus procesos y a entregar la respuesta adecuada a los clientes
23/8/2016
120
Aumentar la RentabilidadIncrementar la cartera con
Clientes NuevosAumentar Venta Crear Nuevos Servicios
Servicios ITOptimización de la gestión de
licenciamientoMejora de los presupuestos de
ITGestión de Proveedores
Planificación e Implementación de Servicios Nuevos o
Modificados
Servicios SI Cumplimiento Organización internaGestión de la entrega de servicio a terceras partes
Procedimientos y responsabilidades operativas
Minimizar los tiempos de atención a solicitudes del
cliente
Funcionalidad, Adaptación de Servicios a sus Necesidades
Precio competitivos
Imagen, Desarrollar la Marca como sinónimo de
confiabilidad, Prestigio, Reconocimiento
Servicios ITImplementación de
herramientas tecnológicas de atención al público
Gestión de Nivel de ServicioGestión de la operación de CPD
y aplicacionesGestión de continuidad y disponibilidad del servicio
Servicios SICorrecto procesamiento en las
aplicacionesClasificación de la información Terceras Partes
Aspectos de la seguridad de la información en la gestión de la
continuidad del negocio
Acelerar la atención de los reclamos, Gestión del cliente,
Post-Venta
Proceso Mercadeo y Ventas, Identificar necesidades de los
clientes
Actividades de Mejora Continua para la operación del negocio
Mejorar los costos a partir de la selección de proveedores de productos de tecnología de
punta
Servicios IT Gestión de Nivel de Servicio Software de gestión CRM + ERPGestión de IncidentesGestión de Problemas
Monitorización de servicios de IT
Servicios SIGestión de Resguardos
MagnéticosPlanificación y aceptación de
sistemasGestión de los incidentes de la
seguridad de la informaciónGestión de las vulnerabilidades
técnicas
Capacitación y Certificación del Personal
Implementación y Capacitación de Software de Gestión / CRM -
ERP
Adquisición y actualización tecnológica
Adopción de estándares para el Gobierno Corporativo
Servicios IT Gestión del Conocimiento Calidad de Servicios de IT Evaluaciones y AuditoríasSistema de Gestión de Servicios
TIISO20000
Servicios SISeguridad de los Recursos
HumanosProtección Física y Ambiental Evaluaciones y Auditorías
Sistema de Gestión de Seguridad de la Información /
ISO27000
Objetivos estratégicos de negocio y su relación con servicios de IT y Seguridad
23/8/2016
121
Gobierno de la Seguridad de la
Información
Gestión de la seguridad de la información -
Medición
Directrices de implantación y técnicas
de evaluación de riesgos
Gestión de la seguridad de información -
Economía organizacional
Basado en los principales conceptos relacionados con las 4 principales perspectivas de Negocio(Financiera, Cliente, Procesos Internos y Aprendizaje), alineado al siguiente framework:
23/8/2016
122
Relevamiento básico de enfoque
ENTORNO DE LOS SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN
Regulación que alcanza a la organización y sus clientes
Cantidad y nombre de los servicios / procesos a evaluar
¿Los servicios brindados son regionales? ¿En que países?
Cantidad de aplicaciones que soportan a los servicios
Cantidad y ubicación de data centers donde se encuentra instalada la infraestructura de aplicaciones
Las áreas de que brindan servicios al negocio (IT y Seguridad) ¿Se encuentran todas en la misma locación?
Los servicios involucrados se prestan desde la misma locación
Plataformas de software de base que soportan a las aplicaciones (marca y versión)
Dimensión operativa de Data Centers (cantidad de servidores por rol asociados a los servicios)
¿Las plataformas que dan soporte a los servicios se encuentran en un mismo data center?
¿Existen controles aplicados actualmente sobre la infraestructura aplicativa?
¿Existen controles aplicados actualmente sobre la operación de la aplicación?
¿Existen controles aplicados actualmente sobre la seguridad física en áreas restringidas y data centers?
¿Existen controles aplicados actualmente sobre la seguridad de acceso a los sistemas?
La Certificación
23/8/2016
123
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:
1. Obtener el apoyo de la dirección2. Utilizar una metodología para gestión de proyectos3. Definir el alcance del SGSI4. Redactar una política de alto nivel sobre seguridad de la información5. Definir la metodología de evaluación de riesgos6. Realizar la evaluación y el tratamiento de riesgos7. Redactar la Declaración de aplicabilidad8. Redactar el Plan de tratamiento de riesgos9. Definir la forma de medir la efectividad de sus controles y de su SGSI10. Implementar todos los controles y procedimientos necesarios11. Implementar programas de capacitación y concienciación12. Realizar todas las operaciones diarias establecidas en la documentación de su SGSI13. Monitorear y medir su SGSI14. Realizar la auditoría interna15. Realizar la revisión por parte de la dirección16. Implementar medidas correctivas
ISO 27001 requiere que se confeccione la siguiente documentación:
• Alcance del SGSI (punto 4.3)• Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)• Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)• Declaración de aplicabilidad (punto 6.1.3 d)• Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)• Informe de evaluación de riesgos (punto 8.2)• Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)• Inventario de activos (punto A.8.1.1)• Uso aceptable de los activos (punto A.8.1.3)• Política de control de acceso (punto A.9.1.1)• Procedimientos operativos para gestión de TI (punto A.12.1.1)• Principios de ingeniería para sistema seguro (punto A.14.2.5)• Política de seguridad para proveedores (punto A.15.1.1)• Procedimiento para gestión de incidentes (punto A.16.1.5)• Procedimientos para continuidad del negocio (punto A.17.1.2)• Requisitos legales, normativos y contractuales (punto A.18.1.1)
23/8/2016
124
Y estos son los registros obligatorios:
• Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)• Monitoreo y resultados de medición (punto 9.1)• Programa de auditoría interna (punto 9.2)• Resultados de auditorias internas (punto 9.2)• Resultados de la revisión por parte de la dirección (punto 9.3)• Resultados de medidas correctivas (punto 10.1)• Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
(puntos A.12.4.1 y A.12.4.3)
Pre-Auditoría (opcional)
Existencia y alcance apropiado del SGSI
Pre-Auditoría (opcional)
Existencia y alcance apropiado del SGSI
Auditoría de Certificación
Fase 1 = Revisión de la documentación
Fase 2 = Procesos y control
Auditoría de Certificación
Fase 1 = Revisión de la documentación
Fase 2 = Procesos y control
Certificación
Emisión del certificado
Certificación
Emisión del certificado
Seguimiento anual
Mejora continua
Seguimiento anual
Mejora continua
23/8/2016
125
Gestionar los riesgosFormar y concienciar
a los involucrados
ISO 27001
23/8/2016
126
Después de que se emitió el certificado, y durante su vigencia de 3 años, los auditores verificarán si la empresa mantiene su SGSI
Recuerde que una vez que un proceso es diseñado y documentado, se necesita
ponerlo en producción y recabar al menos
Familia 27000
23/8/2016
127
Familia de Normas ISO/IEC 27000
ISO/IEC 27000: Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de 2014. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI
ISO/IEC 27001: Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.
ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Actualmente, la última edición de 2013 este estándar ha sido actualizada a un total de 14 Dominios, 35 Objetivos de Control y 114 Controles.
ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación.
ISO/IEC 27004: Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.
ISO/IEC 27005: Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información.
ISO/IEC 27006: Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007). Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Actualmente ha iniciado un nuevo periodo de revisión para una nueva versión 3.
ISO/IEC 27007: Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
ISO/IEC TR 27008: Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. En España, esta norma no está traducida.
23/8/2016
128
ISO/IEC 27009: En estado de desarrollo. No certificable. Es una guía sobre el uso y aplicación de los principios de ISO/IEC 27001 para el sector servicios específicos en emisión de certificaciones acreditadas de tercera parte.
ISO/IEC 27010: Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. Es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores.
ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de
ISO/IEC 27013: Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de lainformación) y de ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27014: Publicada el 23 de Abril de 2013. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
ISO/IEC TR 27015: Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005.
ISO/IEC TR 27016: En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información.
ISO/IEC TS 27017: En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía de seguridad para Cloud Computing.
ISO/IEC 27018: En fase de desarrollo, con publicación prevista en 2014. Consistirá en un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing.
ISO/IEC TR 27019: Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicosrelacionados con el sector de la industria de la energía.
ISO/IEC 27031: Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio.
Familia de Normas ISO/IEC 27000
ISO/IEC 27032: Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP).
ISO/IEC 27033: Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseño e implementación de seguridad en redes (publicada el 27 de Julio de 2012 y disponible en iso.org); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (publicada 29 de Julio de 2013 y disponible en iso.org); 27033-6, convergencia IP (prevista para 2014); 27033-7, redes inalámbricas (prevista para 2014).
ISO/IEC 27034: Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 6 partes: 27034-1, conceptosgenerales (publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2, marco normativo de la organización (sin previsión de publicación); 27034-3, proceso de gestión de seguridad en aplicaciones (sin previsión de publicación); 27034-4, validación de la seguridad en aplicaciones (sin previsión de publicación); 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones (sin previsión de publicación); 27034-6, guía de seguridad para aplicaciones de uso específico.
ISO/IEC 27035: Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. En España, no está traducida.
ISO/IEC 27036: En fase de desarrollo, con publicación prevista a partir de 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC (publicada el 08 de Noviembre de 2013 y disponible en iso.org); 27036-4, seguridad en entornos de servicios Cloud.
ISO/IEC 27037: Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.
ISO/IEC 27038: En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía de especificación para seguridad en la redacción digital.
ISO/IEC 27039: En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía para la selección, despliege y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).
Familia de Normas ISO/IEC 27000
23/8/2016
129
ISO/IEC 27040: En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la seguridad en medios de almacenamiento.
ISO/IEC 27041: En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la garantizar la la idoneidad y adecuación de los métodos de investigación.
ISO/IEC 27042: En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043: En fase de desarrollo, con publicación prevista no antes de 2014. Desarrollará principios y procesos de investigación.
ISO/IEC 27044: En fase de desarrollo, con publicación prevista no antes de 2014. Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM).
ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002:2005, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes.
Familia de Normas ISO/IEC 27000
https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en
Copyright FABIÁN DESCALZO © – 2016
Fabián Descalzo
Gerente de Gobierno, Riesgo y Cumplimiento