germán castro - la seguridad de la información en las empresas y los gobiernos: mejores...
DESCRIPTION
Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y lecciones aprendidas II Jornadas EGOVCITRANSCRIPT
![Page 1: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/1.jpg)
7, 8, 14 y 15 de noviembre de 2013
![Page 2: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/2.jpg)
La seguridad de la información en las
empresas y los gobiernos: mejores
practicas y lecciones aprendidas
Germán Castro ArévaloCross Border Technology
Noviembre 14 de 2013
www.uexternado.edu.co 2
![Page 3: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/3.jpg)
Agenda
• Introducción• Buenas prácticas y retos al implementar seguridad
• Lecciones aprendidas
• Casos de éxito
www.uexternado.edu.co 3
![Page 4: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/4.jpg)
Buenas prácticas / Estándares / Regulaciones
www.uexternado.edu.co 4
![Page 5: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/5.jpg)
Retos
• Obtener el apoyo y compromiso “real” de la
Alta Dirección
• Administrar los riesgos eficazmente
• Integrar la seguridad en los procesos de la
Entidad
• Cumplir a nivel legal, normativo y regulatorio
• Construir una verdadera cultura de Seguridad
• Implementar un Plan de Continuidad que
vaya más allá del papel
www.uexternado.edu.co 5
![Page 6: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/6.jpg)
Lecciones aprendidas
• Mantener siempre un marco de marco de
referencia
www.uexternado.edu.co 6
1
![Page 7: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/7.jpg)
Lecciones aprendidas
• Definir claramente los límites del alcance del
SGSI
• Iniciar la implementación en los procesos misionales Incorporar seguridad
• Cumplimiento legal y regulatorio
• Misión y visión
www.uexternado.edu.co 7
2
![Page 8: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/8.jpg)
Lecciones aprendidas
• Implementar un SGSI no es seguir ISO 27002 al
pie de la letra
• La gestión de riesgos es el eje del SGSI
www.uexternado.edu.co 8
3
![Page 9: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/9.jpg)
Activos de
InformaciónAmenazas
Vulnerabilidades
RiesgosISO 31000
Evaluación de Riesgos
Tratamiento
de Riesgos
Implementar
Controles
ISO 27001 Anexo A ISO 27002
ISO 27005
3
![Page 10: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/10.jpg)
Lecciones aprendidas
• Tecnología es uno de los componentes clave
en la implementación del SGSI
• Los pasos básicos:• Segmentar la red
• Incorporar requerimientos de seguridad en el
desarrollo y/o adquisición de software
• Definir estándares de seguridad para cada
plataforma tecnológica
www.uexternado.edu.co 10
4
![Page 11: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/11.jpg)
Lecciones aprendidas
• Sensibilización constante Un tema a la vez
• Definir un plan
• Capacitación en seguridad a todo nivel
organizacional y funcional
• Compartir conocimiento
www.uexternado.edu.co 11
5
![Page 12: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/12.jpg)
Lecciones aprendidas
• Definir una estructura documental liviana
• Políticas de seguridad Lineamientos de alto
nivel
• Procedimientos concretos y cumplibles
www.uexternado.edu.co 12
6
![Page 13: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/13.jpg)
Lecciones aprendidas
• Plan de continuidad (Personas, procesos y
tecnología)
• Alinear y sincronizar las expectativas de los
procesos de la entidad con el plan de
contingencia (DRP)
www.uexternado.edu.co 13
7
![Page 14: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/14.jpg)
Lecciones aprendidas
• Alta Dirección comprometida con la
seguridad = Cultura fuerte en seguridad
• El ejemplo es la mejor herramienta en la
creación de cultura en seguridad
www.uexternado.edu.co 14
8
![Page 15: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/15.jpg)
Agenda
• Introducción• Buenas prácticas y retos de la seguridad
• Lecciones aprendidas
• Casos de éxito
www.uexternado.edu.co 15
![Page 16: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/16.jpg)
Caso
Decisión estratégica de
Implementar SGSI
www.uexternado.edu.co 16
![Page 17: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/17.jpg)
Metas y Beneficios
• Garantizar la Guarda de la Fé Pública mediante el aseguramiento de la información
• Generar credibilidad y confianza en los procesos que entregan datos a los ciudadanos
• Ser ejemplo de una Cultura de Seguridad para las entidades del estado
• Encontrar el balance costo/beneficio en la implementación de controles que mitiguen los riesgos
• Lograr el aseguramiento de la información a través de una disciplina de cumplimiento constante
www.uexternado.edu.co 17
![Page 18: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/18.jpg)
Caso
• Call center
• Presencia en Bogotá
• Especializada en la comercialización de seguros
Implementación SGSI
Certificación ISO 27001 obtenida en diciembre de 2012
www.uexternado.edu.co 18
![Page 19: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/19.jpg)
Beneficios
Álvaro Márquez
Gerente General TOP FACTORY S.A.
• Lograr mantener activo nuestro portafolio de clientes, que demandan altos estándares de seguridad por pertenecer al sector asegurador y financiero.
• Se ha fortalecido nuestra relación comercial con los clientes, por ser considerados aliados «seguros» y punto de referencia en la industria de los contact center.
• La gestión de la seguridad de la información nos ha permitido multiplicar el conocimiento y compartir con nuestros clientes, proveedores y empleados, la implementación de prácticas seguras que propenden por un mercado más competitivo.
www.uexternado.edu.co 19
![Page 20: Germán Castro - La Seguridad de la información en las empresas y los gobiernos: mejores prácticas y](https://reader034.vdocuments.site/reader034/viewer/2022042609/568c2bee1a28abd8328bcd56/html5/thumbnails/20.jpg)
www.uexternado.edu.co 20
Germán Castro Arévalo
PBX: (1) 756-0710
Preguntas?
Gracias por su tiempo.