Objetivos
• Proporcionar los elementos principales y enfoque para la protección de los activos de información necesarios para minimizar riesgos, amenazas y para garantizar la confidencialidad, integridad y disponibilidad de la información
2
• La confidencialidad se refiere a la protección de información sensitivacontra revelación no autorizada.
5
Seguridad de la Información
• La confidencialidad es contemplada no solamente por el riesgo del acceso no autorizado de información electrónicamente almacenada, sino también por el riesgo de que la información sea interceptada durante una transmisión de información
6
Seguridad de la Información
• Disponibilidad : se refiere a que la información estéapta/disponiblecuando sea requerida por los procesosoperacionales de la Cooperativa
8
Seguridad de la Información
Retos
• El sistema financiero cooperativo enfrenta varios retos, entrelazados y esenciales para el crecimiento sostenible.
9
“La difusión de la tecnología y la comercialización de la información ha transformado el papel de la información en un recurso de igual importancia que los recursos tradicionalmente importantes de tierra, trabajo y capital.”
Drucker, Peter;
‘Management
Challenges for the
21st Century’,
Harpers Business, 1993
10
• Los socios necesitan confiar que tanto sus activos financieros como sus activos de información están seguros en la Cooperativa
12
• La seguridad de la información es de especial importancia cuando dicha información está vinculada directamente a un individuo.
13
• Las organizaciones están enfrentando
una transformación en sus prácticas de
administración de la información.
• Debido al escenario de riesgos de la
seguridad de la información y el entorno
de requerimientos regulatorios es de
importancia fortalecer la gobernanza de
la organización, la seguridad y los
controles.
*Estructuras de procesos, políticas, normas y prácticas utilizadas para la administración y dirección de una empresa
Retos
14
• La información y los sistemas que la manejan son críticos para el funcionamiento de prácticamente todas las organizaciones.
• El acceso a información confiable se ha convertido en un componente indispensable de las prácticas de negocios. De hecho, en un número creciente de organizaciones, la información es el negocio.
Retos
15
• El número creciente de amenazas de la
seguridad de la información ha
reenfocado la seguridad cibernética
como un problema de negocio y no uno
simplemente tecnológico.
Retos
16
• Los ataques cibernéticos están aumentando con pocos indicios de disminución.
• Las aplicaciones web son la vía de ataque más popular .
• Sitios de comercio electrónico fueron el activo principal.
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT
Escenario Actual de Seguridad
17
• Los datos son una mercancía viable para los delincuentes.
• Datos de tarjetas de crédito, números de Seguro Social y la propiedad intelectual todos tienen un precio en el mercado negro .
• El riesgo es aún mayor para las empresas orientadas al consumidor.
Escenario Actual de Seguridad
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT 18
• Las empresas siguen adoptando modelos externalizados de operaciones de TI . En el 63 % de las investigacionesde respuesta a incidentes realizadas porTrustwave, un componente importante de apoyo de TI se subcontrató a una terceraparte.
Escenario Actual de Seguridad
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT 19
• El outsourcing puede ayudar a lasempresas obtener, servicios eficaces de costo de usar TI , sin embargo , lasempresas tienen que entender el riesgoque sus proveedores pueden introducir y trabajar proactivamente para disminuirese riesgo.
Escenario Actual de Seguridad
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT 20
• Hay un mercado subterráneo bien establecidopara los datos robados de tarjetas de pago, quese compran y se venden rápidamente para suuso en las transacciones fraudulentas
Escenario Actual de Seguridad
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT 21
• Las medidas de seguridad básicas todavía no son adecuadas.
• Los usuarios están utilizando el mínimo de medidas de seguridad.
• Las contraseñas débiles continúan siendo un riesgo notable .
Escenario Actual de Seguridad
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT 22
• Las contraseñas débiles continúan siendo un riesgo notable
• “123456" es la contraseña más utilizada
seguida por "password" y "admin"
Escenario Actual de Seguridad
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT 23
• Los datos de tarjetas de pago continúa
encabezando la lista de los tipos de datos
comprometidos
• Se observó un aumento del 33% en el robo de
información sensible y confidencial, como las
credenciales financieras, comunicaciones
internas, información de identificación
personal y registros de clientes.
Escenario Actual de Seguridad
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT 24
• El comercio electrónico representa el 54% de los ataques.
• 85% de los programa maliciosos que manipulaban alguna deficiencia o vulnerabilidad (“exploits”), residían en programas tipo “plug-ins”(programas que se instalan para reconocer y procesar determinados tipos de archivo) incluyendo Java y Adobe Flash, Acrobat y Reader.
• Las contraseñas débiles abrieron la puerta para la intrusión inicial en el 31 % de los eventos de compromisos de la seguridad.
Escenario Actual de Seguridad
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT 25
• Los atacantes siguen utilizando los vínculos y
archivos adjuntos maliciosos como método de
entrada en un negocio.
• El spam representó el 70% de los correos
entrantes
• 59% del spam malicioso incluye archivos
adjuntos
• El 41% del spam incluye enlaces maliciosos
Escenario Actual de Seguridad
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT 26
Títulos principales de correos electrónicos con programasmalisiosos:
• Some important information is missing• Bank Statement. Please read• Important - Payment Overdue• ATTN: Early 2013 Tax Return Report!• ATTN: Important Bank Documents• Important Bank Documents• IRS: Early 2013 Tax Return Report!• New Fax Message on [date]• Payroll Invoice• You have 1 message• Important Information for Employers• Mail - Lost / Missing package
Escenario Actual de Seguridad
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT27
• 96% de las aplicaciones examinadas por Trustwave albergaba uno o más graves vulnerabilidades de seguridad
• El 71% de las víctimas de compromiso de seguridad no detectaron el evento
• La mediana del número de días a partir de la intrusión inicial hasta la detección fue de 87 días.
• La mediana del número de días desde la detección a la contención fue de siete días
Escenario Actual de Seguridad
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT 28
• Vulnerabilidades de día cero es uno de los aspectos más codiciados en el mercado subterráneo.
• Los Estados Unidos supera a los demás países, con un total del 42% del malware alojado en el año 2013. Rusia siguió en segundo lugar con 13% y Alemania quedó en tercer lugar en9%. La mayoría del malware alojado en los Estados Unidos reside en servidores comprometidos.
Escenario Actual de Seguridad
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT 29
Escenario Actual de Seguridad
• Estadísticas de Robo de Identidad / Fraude
Promedio anual del número de víctimas de fraude
de identidad en EE.UU. 11,571,900
Porcentaje de hogares estadounidenses que
reportaron algún tipo de fraude de identidad7%
Promedio de pérdida financiera media por
incidente de robo de identidad$4,930
Pérdida financiera total atribuido al robo de
identidad en 2013
$21
millardos
Pérdida financiera total atribuido al robo de
identidad en 2010
$13.2
millardos
Fuente: Departamento de Justicia Federal, Javelin Strategy & Research
Fecha de Estudio: 6.18.2013 30
• El robo de identidad sigue siendo uno de los crímenes de más rápido crecimiento
Fuente: http://www.idtheftcenter.org
Escenario Actual de Seguridad
31
Fuente: http://www.idtheftcenter.orgAño Eventos
Cantidad Registros Expuestos
2005 157 66,853,2012006 321 19,137,8442007 446 12,771,7242008 656 35,691,2552009 498 222,477,0432010 662 16,167,5422011 419 22,918,4412012 447 17,317,1842013 614 91,982,172
Total 4,220 505,316,406
Escenario Actual de Seguridad
32
6/2/2014 Union Labor Life Insurance Company
• Información de 46,771 personas pueden estar
expuesta debido a un robo de computadora
portátil en las oficinas de la compañía en
Silver Springs, Maryland
Fuente:
Escenario Actual de Seguridad
33
5/5/2014 Santander Maryland
• Incidente ocurrido como parte de uso
indebido de la información de clientes por
parte de un empleado que tuvo acceso a los
sistemas de información con el propósito
vender la información a terceros
Escenario Actual de Seguridad
Fuente:
34
5/21/2014 eBay
• eBay recomendó a los usuarios que cambien
sus contraseñas debido a un "ciberataque"
que impactó una base de datos que contenía
contraseñas de cuentas de acceso y datos no
financieros de clientes.
Escenario Actual de Seguridad
Fuente:
35
4/22/2014 Federal Home Loan Mortgage
Corporation (Freddie Mac)
• Freddie Mac informó que se produjo una
violación de la seguridad de sus sistemas de
información.
Escenario Actual de Seguridad
Fuente:
36
1/16/2014 TD Bank New Jersey
• Empleado obtuvo indebidamente la
información de 6 clientes y la suministró a
entidad no asociada con TD Bank. La
información personal puedo haber incluido el
nombre, dirección y números de cuentas.
Escenario Actual de Seguridad
Fuente:
37
3/18/2014 Internal Revenue Service (DC)
• Un empleado del IRS se llevó a su casa la información personal en cerca de 20,000 trabajadores del IRS, antiguos trabajadores y contratistas, poniendo en riesgo la divulgación de la información. El empleado se llevó a casa una unidad de memoria que contenía nombres, números de Seguro Social y las direcciones de los trabajadores, y conectado la unidad en una red doméstica no segura.
Escenario Actual de Seguridad
Fuente:
38
5/11/2014 Green's Accounting (CA)
• Se reportó robo en las oficinas. Los ladrones
robaron servidor, equipos de comunicaciones
y algunas computadoras.
Escenario Actual de Seguridad
Fuente:
39
• 12/20/2013 StakerLaw Tax and Estate
Planning Law (TX)
• Se reportó robo de copia de resguardo
localizada en la residencia de empleado. Ese
medio contenía archivos de clientes,
incluyendo números de seguro social de los
clientes y otra información de activos.
Escenario Actual de Seguridad
Fuente:
40
Seguridadde la
Información
Asegurar la ContínuaDisponibilidad de la
Información
Objetivos de la Seguridad de la Información
41
• La seguridad de la información es de especial importancia cuando dicha información está vinculada directamente a un individuo.
Objetivos de la Seguridad de la Información
42
• Asegurar el cumplimiento de los requerimientos de confianza depositada y con las obligaciones en relación a cualquier información relativa a una persona.
Objetivos de la Seguridad de la Información
43
Objetivos de la Seguridad de la Información
• Preservar la confidencialidad de los datos
sensibles en el almacenamiento y
tránsito
• Velar por la integridad de la información
almacenada en los sistemas informáticos
• Asegurar la continua disponibilidad de
los sistemas de información
44
Objetivos de la Seguridad de la Información
• Asegurar cumplimiento de las leyes aplicables, reglamentos y normas
• Asegurar el cumplimiento de los requerimientos de confianza depositada y con las obligaciones con respecto a la información relativa a los socios, clientes y empleados. La seguridad de la información es de especial importancia cuando dicha información está vinculada directamente a un individuo
45
Importancia / Necesidad de la Seguridad de la Información
• La seguridad de la información en una
función crítica para las operaciones de las
Cooperativas.
• El éxito institucional está estrechamente
asociado con la capacidad de administrar los
riesgos de manera apropiada de uno de los
activos principales: la información que reside
en los sistemas de información.
46
Importancia / Necesidad de la Seguridad de la Información
• Tradicionalmente el enfoque de la seguridad había estado en la protección de los sistemas informáticos que procesan y almacenan la gran mayoría de la información, en lugar de la información en sí misma.
• Este enfoque es limitado para llevar a cabo el nivel de integración, la confirmación de procesos y la protección global que es requerida en la actualidad.
47
• El factor crítico para la protección de activos de información y la privacidad es el establecimiento de una administración eficaz de la seguridad de la información.
Importancia / Necesidad de la Seguridad de la Información
48
Razones para una Administración Efectiva
Alta Dependencia de los Sistemas de Información
OperacionesPréstamos
Contabilidad Hipotecas
Cuentas deAhorro
Cuentas Corrientes
49
Creciente Vulnerabilidad y Amenazas a los
Sistemas de Información
Accesos no autorizados
Pérdida de datos
Errores Humanos
Desastres NaturalesDivulgación no autorizada
de información
Sistemasno
adecuados
Robo de Identidad Fraude
Razones para una Administración Efectiva
50
Escala y Costo de lasInversiones Actuales y Futuras en Tecnología
Suplidoresde Servicios
EquipoProgramas
Recurso Humano
Razones para una Administración Efectiva
51
Potencial para cambiar lasprácticas de negocio,
crear nuevas oportunidadesy reducir costos
Eficiencia Nuevos Productos
Mejor Servicio
Razones para una Administración Efectiva
52
Cumplimiento con Requerimientos Legales
y Regulatorios
Los controles en los sistemas de información son un elemento importante en la supervisión, evaluación y clasificación de las cooperativas
Razones para una Administración Efectiva
53
Dirección EfectivaBuenas Prácticas
CumplimientoRegulatorio
Razones para una Administración Efectiva
54
Entorno Regulatorio• Ley 255• Reglamentos y Guías COSSEC (Reglamento 7051, Guía de Ay uda Técnica -Controles
Internos, ect.)• Ley Núm. 111 del año 2005• Ley núm. 207 del año 2006• Ley Núm. 187 del año 2006• Reglamento sobre las restricciones en el uso del n úmero de seguro social conforme
dispone la ley núm. 207 de 27 de septiembre 2006 ( Departamento del Trabajo)• Bank Secrecy Act/Anti-Money Laundering (BSA/AML)• Fair and Accurate Credit Transactions Act (FACTA)• Gramm-Leach-Bliley Act (GLBA)• Payment Card Industry Data Security Standard (PCI-DSS)• Check 21• Fair and Accurate Credit Transactions Act (FACTA)• Truth in Lending Act - "Regulation Z“• Availability of Funds and Collection of Checks ("Regula tion CC")• Office of Foreign Assets Control (OFAC)• Truth in Savings Act• Children's Online Privacy Protection Act (COPPA)• Electronic Funds Transfer Act - "Regulation E“• STRONG Authentication• Carta Circular 2011-15 (COSSEC)• Carta Informativa 2014-3 (COSSEC)
56
Entorno Regulatorio
• Visión de PortafolioLeyes
Reglamentos
Guías
Estándares
Requerimientos de Control
57
Requerimientos COSSEC
• Establecimiento de marcos de trabajo de gobierno de tecnología
• Planificación y organización
• Evaluación y administración de riesgos
• Administración de proyectos
• Adquisición, implantación y mantenimiento de soluciones tecnológicas
• Administración de cambios
• Administración de servicios de terceros / niveles de servicio
• Monitoreo del desempeño y la capacidad de los recursos tecnológicos
• Continuidad de negocio
• Seguridad y protección de la información
• Administración de la configuración
• Administración de incidentes / problemas
• Administración de datos
• Cumplimiento con Requerimientos Externos
58
Ley núm. 207
•El número de Seguro Social solo podráser transmitido en documentos digitales uelectrónicos siempre y cuando existanmecanismos que garanticen laconfidencialidad de la informacióntransmitida .
Seguridad de la Información
59
Bank Secrecy Act/Anti-Money Laundering (BSA/AML)
Monitoreo de Transacciones
Seguridad de la Información
Administraciónde Riesgos
Precisión, integridad y Validez de la
Información
Enfasis del proceso de la evaluación de riesgoque una institución financiera utiliza paraidentificar y desarrollar su perfil general delriesgo.
Monitoreo de transacciones y herramientas paraanalizar e identificar información sobre patronesde actividades sospechosas utilizando sistemasque permitan analizar datos de transacciones quepermitan clasificar los datos por varios criterios
Evaluar los datos relacionados a la informaciónrecopilada en el Programa de Identificación deClientes, datos sobre transferencias electrónicasque las insituciones financieras procesan cadadía, el número de clientes extranjeros y privadosy la localidad geográfica de las transacciones
Herramientas tecnológicas para apoyo en lasfunciones para las iniciativas de cumplimiento de“Know Your Customer” y programas deidentificación de clientes
60
Bank Secrecy Act/Anti-Money Laundering (BSA/AML)
Monitoreo de Transacciones
Seguridad de la Información
Administraciónde Riesgos
Precisión, integridad y Validez de la
Información
Definir perfiles de riesgos relacionados con laregulación. Esto envuelve definir categorías deriesgo específicas (tales como productos,servicios, clientes, entidades, o ubicacionesgeográficas) exclusivo a la insitución financiera
Informes de transferencias electrónicasdomésticas e internacionales realizadasdiariamente o en otros periodos que el usuarioseleccione, informe de clientes extranjeros yprivados y la localidad geográfica de lastransacciones
Validar personas o entidades registradas en losarchivos maestros y transacciones de laaplicación contra la “Lista de NacionalesEspecialmente Designados y EntidadesBloqueadas” producida por la Oficina de Controlde Activos Extranjeros (“Office of Foreign AssetsControl” u OFAC ) del Departamento del Tesorode los Estados Unidos.
61
Bank Secrecy Act/Anti-Money Laundering (BSA/AML)
Monitoreo de Transacciones
Seguridad de la Información
Administraciónde Riesgos
Precisión, integridad y Validez de la
Información
Monitoreo de transacciones y herramientas paraanalizar e identificar transacciones ACH(“Automated Clearing House”)
Currency Transaction Report (CTR)
Suspicious Activity Report (SAR)
62
Fair and Accurate Credit Transactions Act (FACTA)
Protección Contra Robo de Identidad
Protección de la Información de
los Clientes
Desarrollar y aplicar un programa para combatirel robo de identidad de cuentas nuevas ycuentas existentes
Identificación de actividades definidas en las reglas de Bandera Roja de Robo de Identidad
Administraciónde Riesgos
63
Gramm -Leach-Bliley Act (GLBA)Privacy of Consumer Financial Information
Ley requiere que las instituciones financierascubiertas establezcan un programa deseguridad completo y coordinado, apropiado altamaño y la complejidad de las operaciones dela institución para la protección de lainformación de los clientes.
El plan debe considerar entre otros:•Evaluación de riesgos•Desarrollo de políticas y procedimientos decontrol•Implementación de planes de pruebas
Protección Contra Robo de Identidad
Administraciónde Riesgos
Seguridad de la Información
64
Payment Card Industry Data Security Standard (PCI-DSS)
Estándar multifacético de seguridad destinado aapoyar a las organizaciones en la protecciónproactiva de los datos de cuentas de clientes.Estándar creado a consecuencia de un esfuerzocooperativo entre Visa, MasterCard, AMEX,Discover, Diners, etc.
Protección de la Información de
los Clientes
Seguridad de la Información
65
National Automated Clearing House Association(NACHA)
Revisión de controles de los servicios de ACH conrespecto a las disposiciones establecidas por lasReglas de Operación de la National AutomatedClearing House Association (NACHA).
El objetivo de la revisión será evaluar el nivel decumplimiento de los requisitos de estas reglas.
Incumplimiento en proporcionar prueba de auditoríade cumplimiento conforme a los procedimientosdeterminados por NACHA, puede ser consideradouna violación Clase 2 a la regla en virtud delApéndice Diez, subparte 10.4.7 (multas ysanciones). En situaciones de violación Clase 2, elPanel de Aplicación de Normas de ACH (NACHA)podrá imponer una sanción en contra de lainstitución hasta $100,000 por mes hasta que seresuelva el problema. Cuando la violación se refierea un Originador específico o terceros proveedoresde servicios una sanción mensual adicional puedeser impuesta.
66
Monitoreo de Transacciones
Seguridad de la Información
Administraciónde Riesgos
Precisión, integridad y Validez de la
Información
STRONG Authentication
Incluye la necesidad de evaluaciones de riesgo,conocimiento / educación del cliente, y medidasde seguridad reforzadas para autenticar aclientes que utilizan los productos y los serviciosen plataforma de Internet que procesantransacciones de alto riesgo y que implican elacceso a la información del cliente o elmovimiento de fondos a terceros.
Seguridad de la Información
Conocimiento / Educación al Cliente
Administraciónde Riesgos
67
Truth in Savings Act
Clara y uniforme la divulgación de las tasas deinterés (porcentaje de rendimiento anual o APY) ylas tasas que se asocian con la cuenta a fin de queel consumidor sea capaz de hacer unacomparación entre posibles cuentas
Regulación DD – requiere divulgar informaciónsobre cuentas de depósito
Disponibilidad y Confiabilidad de
la Información
69
Children's Online Privacy Protection Act (COPPA)
Protección de la Información
Seguridad de la Información
70
Se aplica a la obtención de
información personal en línea de niños
menores de 13 años.
Requiere que los sitios en-línea
obtengan el consentimiento de sus
padres para recopilar o usar cualquier
información personal de niños
menores de 13 años
Electronic Funds Transfer Act - "Regulation E"
Establecimiento de controles para garantizarque las transacciones electrónicas seantransmitidas solamente a través de una ruta omedio confiable con controles para brindarautenticidad de contenido, prueba de envío,prueba de recepción y no rechazo del origen.
Disponibilidad y Confiabilidad de
la Información
Seguridad de la Información
71
E-SIGN Act. 15 USC 700
Facilitar la utilización de registros electrónicosen comercio interestatal y exterior,garantizando la validez y efectos jurídicos delos contratos firmados vía electrónica.
Precisión, integridad y Validez de la
Información
Seguridad de la Información
72
Tabla de Roles y Responsabilidades• Responsable de la ejecución
Alguien que desempeña una tarea determinada.
• AutorizaAlguien que provee autorización y dirección a una actividad
• ConsultadoAlguien da algún tipo de insumo para el proceso y/o al cual se pide su consejo y opinión.
• InformadoAlguien que recibe los recibe el resultado de un proceso o a quien se informa de los avances del proceso.
Junta Directores
Administración
Depto. Tecnología
74
Retos: Cumplimiento Regulatorio
• Cumplimiento - implica un esfuerzo significativo y plantea retos considerables.
• Oportunidades – los requerimientos exigen un nivel de análisis que puede redundar en oportunidades de mejoramiento institucional
75
Cumplimiento Regulatorio
”Una Talla le Sirve a Todos”
• Es importante no tomar un enfoque de “una talla le sirve a todos”, sino tomar un enfoque basado en administración de riesgos.
• Cada organización debe considerar con cuidado los objetivos de control apropiados, necesarios para sus propias circunstancias.
76
Iniciativas de Cumplimiento
Entendimiento de los Procesos Operacionales
• Información Relevante - Entendimiento de cómo trabajan los procesos de negocio, cómo interactúan y cómo se pueden hacer más efectivos y eficientes
• Análisis - análisis detallados de los controles de la institución y de los procesos, puede conducir a cambios importantes
77
Iniciativas de Cumplimiento
Establecimiento de Controles
• Administración del Riesgo - integrar el enfoque de administración del riesgo y cumplimiento en cada aspecto operacional para mejorar, tanto los controles como los procesos operacionales
• Dinámicos - los controles de la organización no deberán (y no deberían) mantenerse estáticos
78
Garantizar el Cumplimiento Regulatorio • Identificar las leyes, regulaciones, reglamentos,
estándares aplicables a la institución con impactopotencial sobre Tecnología Informática
• Identificar el nivel correspondiente decumplimiento del Área de Tecnología Informáticade leyes, regulaciones, reglamentos, estándaresaplicables
• Optimización de los procesos de TecnologíaInformática para reducir el riesgo de nocumplimiento
• Establecer una supervisión efectiva delcumplimiento regulatorio por medio de un procesoindependiente de revisión para garantizar elcumplimiento de las leyes y regulaciones
79
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
• Identificar las leyes, regulaciones, reglamentos,estándares aplicables a la institución conimpacto potencial sobre Tecnología Informática
– Definir un catálogo de requerimientoslegales y regulatorios
Garantizar el Cumplimiento Regulatorio
80
• Identificar las leyes, regulaciones, reglamentos,estándares aplicables a la institución conimpacto potencial sobre Tecnología Informática
– Definir e implantar un proceso para garantizar laidentificación oportuna de requerimientoslocales e internacionales legales, contractuales, depolíticas y regulatorios, relacionados con lainformación, con la prestación de servicios deinformación – incluyendo servicios de terceros – ycon la función, procesos e infraestructura deTecnología Informática.
Garantizar el Cumplimiento Regulatorio
81
• Identificar el nivel correspondiente decumplimiento del Área de TecnologíaInformática de leyes, regulaciones,reglamentos, estándares aplicables
• Evaluación del impacto de losrequerimientos regulatorios
Garantizar el Cumplimiento Regulatorio
82
• Evaluar cumplimiento de ejecución de políticas, estándares y procedimientos de Tecnología Informática
– Educar al personal sobre su responsabilidad decumplimiento
– Evaluar de forma eficiente el cumplimiento de laspolíticas, estándares y procedimientos, incluyendolos requerimientos legales y regulatorios
– Procurar la alineación de las políticas, estándaresy procedimientos para manejar de forma eficientelos riesgos de no cumplimiento
Garantizar el Cumplimiento Regulatorio
83
• Certificación de Cumplimiento
– Implantar procedimientos para obtener y reportarcertificación de cumplimiento
– Definir e implantar procedimientos para obtener yreportar certificación de cumplimiento y, dondesea necesario, que el propietario del proceso hayatomado las medidas correctivas oportunas pararesolver cualquier brecha de cumplimiento.
Garantizar el Cumplimiento Regulatorio
84
Elementos Clave en la Administración de la Seguridad de la Información
• Para lograr la eficacia y la sustentabilidad
en el complejo mundo interconectado de
hoy, la seguridad de la información debe
ser abordada en los más altos niveles de
la organización y no se debe considerar
como un asunto técnico relegado al
Departamento de Sistemas de
Información.
86
Elementos Clave en la Administración de la Seguridad de la Información
• La seguridad de la información no es sólo
un tema técnico, sino un reto a nivel
institucional que implica una
administración de riesgos y rendición de
cuentas adecuada.
87
Elementos Clave en la Administración de la Seguridad de la Información
• La seguridad efectiva requiere de la
participación activa de la administración
para evaluar las amenazas emergentes y
la respuesta de dichas amenazas por
parte de la organización.
88
Elementos Clave en la Administración de la Seguridad de la Información
La Junta de Directores y la Administración deben
revisar:
• La escala y el retorno de las inversiones
actuales y futuras en los recursos de
información para asegurar que los que están
optimizadas
• El potencial de las tecnologías para cambiar la
institución y prácticas de negocio, creando así
nuevas oportunidades y valor
89
Elementos Clave en la Administración de la Seguridad de la Información
La Junta de Directores y la Administración deben
revisar:
• El aumento en la dependencia de la
información y los sistemas e infraestructura
que proporcionan la información
• La dependencia de entidades fuera del control
directo de la institución (terceros)
90
Elementos Clave en la Administración de la Seguridad de la Información
La Junta de Directores y la Administración deben revisar:
• La creciente demanda de compartir información con socios, proveedores y terceros
• Impacto en la reputación y el valor de la institución resultante de fallos en la seguridad de la información
• Establecer la importancia de la seguridad de la información como un asunto de alto nivel
91
Elementos Clave en la Administración de la Seguridad de la Información
• Los objetivos de seguridad no pueden cumplirse simplemente mediante protecciones técnicas o procedimientos.
• Una actitud y atención educada de seguridad por parte de todos el personal, administración así como de los proveedores de servicios externos y usuarios/socios externos es vital.
• La seguridad es algo más que un mecanismo.
92
Elementos Clave en la Administración de la Seguridad de la Información
• También incluye aspectos culturales que
deben ser adoptados por todas las
personas dentro de la organización para
que sea efectiva.
• Hay que establecer la cultura de la
seguridad de la información en la
organización.
93
Elementos Clave en la Administración de la Seguridad de la Información
Compromiso y apoyo de la Administración
• Piedra angular para la creación exitosa y
continuidad de un programa de
seguridad de la información
94
Junta Directores Informado
Administración Responsable
Depto. Tecnología Informado
Administración de Riesgo
• Integrar el enfoque de administración del
riesgo y cumplimiento en cada aspecto
operacional para mejorar, tanto los
controles como los procesos
operacionales
Elementos Clave en la Administración de la Seguridad de la Información
95
Junta Directores Consultado
Administración Responsable
Depto. Tecnología Responsable
Elementos Clave en la Administración de la Seguridad de la Información
Políticas y Procedimientos
• Establecimiento de políticas y procedimientos que integren e institucionalicen buenas prácticas y controles adecuados para la protección de la información
96
Junta Directores Responsable
Administración Responsable
Depto. Tecnología Responsable
Elementos Clave en la Administración de la Seguridad de la Información
Organización
• Las responsabilidades para la protección de los activos deben ser definidos claramente.
• Se debe establecer una asignación de funciones y responsabilidades de la seguridad de la información en la organización.
97
Elementos Clave en la Administración de la Seguridad de la Información
Educación y Concienciación en Seguridad • Todo el personal que tenga acceso a los sistemas de
información y las herramientas tecnológicas de la Cooperativa (usuarios) incluyendo pero no limitado a empleados, contratistas, consultores, personal temporero, cuerpos directivos y otro personal deben recibir capacitación apropiada y actualizaciones periódicas para promover la concienciación y el cumplimiento de las políticas y los procedimientos de seguridad establecidas.
• Para nuevo personal, esta capacitación debe ocurrir antes de que se les otorgue acceso a la información o a los servicios.
98Junta Directores Informado
Administración Autoriza
Depto. Tecnología Responsable
Elementos Clave en la Administración de la Seguridad de la Información
Manejo y Respuestas de Incidentes
• Establecimiento de procedimientos de
manejo y respuestas para incidentes de
seguridad para minimizar el daño
proveniente de incidentes de seguridad,
definir acciones de recuperación y
aprender de tales incidentes
99
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Junta de Directores
• Proporcionar una supervisión
estratégica en materia de seguridad de
la información.
100
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Junta de Directores
• Conocer cuan crítica es la información
y la seguridad de la información en la
institución
101
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Junta de Directores
• Revisar la inversión en seguridad de la
información para la alineación con la
estrategia de la organización y el perfil
de riesgo
102
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Junta de Directores
• Endosar el desarrollo y la
implementación de un amplio
programa de seguridad de la
información
103
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Junta de Directores
• Evaluar el progreso y eficacia de las
iniciativas de seguridad
104
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Administración
• Responsable final de la protección de
los activos de información y de
establecer y mantener el marco de
control adecuado
105
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Oficial de Seguridad
• Planificar, coordinar, asesorar y
administrar los procesos de seguridad
y controles de informática así como
difundir la cultura de seguridad y
controles informática entre todos los
usuarios
106
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Oficial de Cumplimiento
• Proveer apoyo en las iniciativas de
hacer cumplir los objetivos y controles
relacionados con la seguridad de la
información.
107
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Propietarios de Activos de Información y Propietarios de Datos
• Responsables de la protección y el
establecimiento de controles de los
activos de información que manejan
108
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Usuarios
• Observar los procedimientos
establecidos en las políticas y
procedimientos de seguridad de la
organización y adherencia a las
regulaciones de privacidad y seguridad.
109
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Departamento de Tecnología Informática
• Establecer las acciones de la seguridad
de la información en los componentes
de aplicaciones, plataformas, datos,
equipo e infraestructura tecnológica.
110
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Proveedores de Servicios y Aplicaciones
• Proporcionar productos y servicios que
cumplan con los requerimientos y
estándares de seguridad aplicables.
111
Roles y Responsabilidades en la Administración de la Seguridad de la
Información
Auditores
• Proporcionar una declaración
independiente a la gerencia sobre lo
apropiado y efectivo de los objetivos y
controles relacionados con la
seguridad de la información
112
Elementos importantes para la administración de la seguridad de la información
• Enfoque basado en el riesgo para
identificar los recursos de información
sensible y crítica y asegurar que haya un claro
entendimiento de las amenazas y riesgos.
• Emprender actividades apropiadas de evaluación de riesgos para mitigar los riesgos inaceptables y asegurar que los riesgos residuales estén en un nivel aceptable.
Evaluación de Riesgos
113Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
• Realizar evaluación de riesgos en el área de
tecnología informática con el fin establecer de
una perspectiva sobre el riesgo inherente de la
entidad, identificar vulnerabilidades,
amenazas, los controles actuales y determinar
el riesgo en base a la probabilidad e impacto.
Evaluación de Riesgos
114
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
• La evaluación puede apoyar las decisiones y
actividades relacionadas a estrategias de
gestión de riesgos enfocadas en cómo la
organización responda y proporcione
seguimiento al riesgo.
Evaluación de Riesgos
115
Junta Directores Responsable
Administración Responsable
Depto. Tecnología Responsable
• Las actividades principales en los procesos de
evaluación de riesgo:
– Identificar los activos de tecnología relevantes y
priorizar los riesgos y amenazas
– Identificar las fuentes de amenazas relevantes a la
organización y los eventos de amenazas que se
pudieran producir por tales fuentes.
– Identificar las vulnerabilidades dentro de la
organización que podrían ser explotadas por fuentes
de amenazas a través de eventos específicos y
condiciones existentes que podrían originar una
explotación exitosa de dichas vulnerabilidades.
Evaluación de Riesgos
116
• Las actividades principales en los procesos de
evaluación de riesgo:
– Determinar la probabilidad de que las fuentes de
las amenazas identificadas causaran eventos
específicos de amenaza y la probabilidad que las
amenazas tuvieran éxito
– Determinar la magnitud de los efectos adversos -
a las operaciones y activos de la organización,
individuos y otras organizaciones - resultantes de
la explotación de vulnerabilidades por las fuentes
de amenazas
Evaluación de Riesgos
117
• Las principales actividades en los procesos de
evaluación de riesgo:
– Determinar los riesgos de seguridad de la
información como resultado de la combinación
de la probabilidad de explotación de la amenaza /
vulnerabilidad y el impacto de este tipo de
explotación.
– Identificación de los controles y actividades a
tener en consideración con el fin de mitigar los
riesgos.
Evaluación de Riesgos
118
• Las principales actividades en los procesos de
evaluación de riesgo:
– Optimizar los procesos en los aspectos de los
Sistemas de Información para la mitigación de
riesgos.
– Establecer prácticas de control adecuadas
Evaluación de Riesgos
119
Junta Directores Consultado
Administración Responsable
Depto. Tecnología Responsable
• Las principales actividades en los procesos de
evaluación de riesgo:
– Definir el curso de acción en relación con las
medidas de control costo-efectivas con el fin de
equilibrar eficazmente los costes de las distintas
medidas de mitigación / control de riesgo contra
las pérdidas que se esperarían si tales medidas no
se implementaran.
Evaluación de Riesgos
120
Junta Directores Responsable
Administración Responsable
Depto. Tecnología Responsable
• La seguridad de la información de la
organización no debe ser amenazada por la
introducción de productos o servicios de
terceros.
• Cualquier acceso a los recursos tecnológicos
por terceros debe ser controlado.
Seguridad de la Información y Terceros
121
Junta Directores
Administración Autoriza
Depto. Tecnología Responsable
• Cuando haya una necesidad de negocio de
trabajar con terceros que puedan requerir
acceso a los recursos tecnológicos o para
obtener o proveer un producto o servicio de o
a un tercero, se debe llevar a cabo una
evaluación de riesgos para determinar las
implicaciones y requerimientos de control de
la seguridad.
• Los controles deben ser aceptados y definidos
en un contrato con la parte externa.
Seguridad de la Información y Terceros
122
• Los riesgos para la información y facilidades
de procesamiento de información de la
organización deben ser identificados y antes
de conceder acceso.
• Debe llevarse a cabo evaluación de riesgo para
identificar los requisitos de controles
específicas a ser establecidos.
Seguridad de la Información y Terceros
123
Junta Directores
Administración Autoriza
Depto. Tecnología Responsable
• El acceso de terceros a la información de la
organización no debe proveerse hasta tanto
los controles apropiados no hayan sido
implementados y, cuando sea factible, se haya
firmado un contrato definiendo los términos y
condiciones para la conexión o acceso y el
acuerdo de funcionamiento.
Seguridad de la Información y Terceros
124
Junta Directores
Administración Autoriza
Depto. Tecnología Responsable
• Se debe asegurar que el tercero esté
consciente de sus obligaciones, y acepte las
responsabilidades y obligaciones involucradas
en tener acceso, procesar, comunicar o
gestionar la información y las instalaciones de
procesamiento de información de la
organización.
Seguridad de la Información y Terceros
125
Junta Directores
Administración Responsable
Depto. Tecnología Responsable
• Los contratos con terceros deben cubrir todos
los requerimientos de seguridad relevantes.
• La organización debe asegurar que el contrato
incluya disposiciones adecuadas de
indemnización para proteger contra las
pérdidas potenciales causadas por las
acciones del tercero.
Seguridad de la Información y Terceros
126
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
• Deben estar presentes prácticas adecuadas de
seguridad de la información para asegurar que
los empleados, contratistas y terceros
entienden sus responsabilidades, y son aptos
para los roles para los que son considerados, y
para reducir el riesgo de robo, fraude o abuso
de las instalaciones.
Seguridad de la Información y Terceros
127
Junta Directores
Administración Responsable
Depto. Tecnología Responsable
Elementos en las prácticas adecuadas de seguridad
• Considerar las responsabilidades de seguridad antes de la contratación, en las descripciones adecuadas de los puestos de trabajo y en los términos y condiciones de empleo.
• Establecer prácticas de investigación, en especial para los puestos de trabajo sensibles.
• Establecer contratos sobre sus roles y responsabilidades de seguridad.
Seguridad de la Información y Terceros
128
Junta Directores0 Informado
Administración Responsable
Depto. Tecnología Responsable
Junta Directores Informado
Administración Responsable
Depto. Tecnología Informado
Junta Directores Informado
Administración Responsable
Depto. Tecnología Consultado
• Para minimizar el daño proveniente de
incidentes de seguridad, recuperarse y
aprender de tales incidentes, se debe
establecer una capacidad de respuesta formal
a incidentes.
Manejo y Respuesta a Incidentes de Seguridad
129
Junta Directores Responsable
Administración Responsable
Depto. Tecnología Responsable
• Etapas
Planificación y preparación
Detección
Inicio
Registro
Evaluación
Contención
Erradicación
Escalada
Respuesta
Recuperación
Cierre
Presentación de información
Revisión posterior al incidente
Lecciones aprendidas
Manejo y Respuesta a Incidentes de Seguridad
130
• La organización y la gestión de una capacidad de respuesta a incidentes se deben coordinar o centralizar con el establecimiento de roles y responsabilidades clave. Esto debe incluir:
– Un coordinador que actúa como el enlace con los dueños del proceso de negocio
– Un director que supervisa la capacidad de respuesta a incidentes
– Gerentes que gestionan los incidentes individuales
Manejo y Respuesta a Incidentes de Seguridad
131
• La organización y la gestión de una capacidad de respuesta a incidentes se deben coordinar o centralizar con el establecimiento de roles y responsabilidades clave. Esto debe incluir:
– Especialistas en seguridad que detectan, investigan, contienen y recuperan de los incidentes
– Especialistas técnicos que no sean de seguridad que proporcionen asistencia basada en su experiencia y conocimientos del asunto
– Enlaces con el jefe de la unidad del negocio (legal, recursos humanos, relaciones públicas, etc.)
Manejo y Respuesta a Incidentes de Seguridad
132
• Para establecer este proceso, los empleados y contratistas son puestos en conocimiento de los procedimientos para reportar los diferentes tipos de incidentes (por ejemplo, violación de la seguridad, amenaza, debilidad, o desperfecto de funcionamiento) que podría tener un impacto sobre la seguridad de los activos de la organización.
Manejo y Respuesta a Incidentes de Seguridad
133Junta Directores
Administración Responsable
Depto. Tecnología Responsable
• El personal deben reportar sobre
cualquier incidente observado o que se
sospeche, tan pronto como sea posible al
punto de contacto designado.
• La organización debe establecer un
proceso disciplinario formal para tratar
con aquellos que cometan violaciones de
seguridad, tales como empleados,
terceros, etc.
Manejo y Respuesta a Incidentes de Seguridad
134Junta Directores
Administración Responsable
Depto. Tecnología Informado
• Para resolver debidamente los
incidentes, podría ser necesario recopilar
evidencia lo antes posible después que
hayan ocurrido.
• Es posible que se necesite asesoramiento
legal en el proceso de recolección y
protección de evidencia.
Manejo y Respuesta a Incidentes de Seguridad
135
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
Junta Directores Informado
Administración Autoriza
Depto. Tecnología Informado
• Los incidentes ocurren porque las
vulnerabilidades no son resueltas
debidamente.
• Los procesos de gestión de incidentes
deben incluir las prácticas de manejo de
las vulnerabilidades.
Manejo y Respuesta a Incidentes de Seguridad
136
Junta Directores
Administración Autoriza
Depto. Tecnología Responsable
• Una fase de revisión posterior a
incidentes debe determinar cuáles
vulnerabilidades no fueron resueltas y
por qué, y se debe proveer de
información para el mejoramiento de las
políticas y procedimientos
implementados para resolver las
vulnerabilidades.
Manejo y Respuesta a Incidentes de Seguridad
137
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
• Analizar la causa de los incidentes puede
revelar errores en el análisis del riesgo,
indicando que los riesgos residuales son
más altos que los valores calculados y se
han tomado contramedidas inapropiadas
para reducir los riesgos inherentes.
Manejo y Respuesta a Incidentes de Seguridad
138
Junta Directores Informado
Administración Consultado
Depto. Tecnología Responsable
• Política de Seguridad : Actividades y
acciones orientadas a perseguir los
objetivos de la protección de los
activos de información en la
Cooperativa:
Curso de Acción Institucional Seguridad de la Información
140140
Junta Directores Responsable
Administración Responsable
Depto. Tecnología Responsable
141
Estrategias y Prioridades de Seguridad
Regulaciones Mejores PrácticasLeyes
Estrategias y Prioridades de Negocio
PrácticasOperacionales
InfraestructuraTecnológica
Política de Seguridad
Mar
co d
e T
rab
ajo
de
Go
bie
rno
*
Curso de Acción Institucional Seguridad de la Información
141*Estructuras de procesos, políticas, normas y prácticas utilizadas para la administración y dirección de una empresa
142
EstándaresDe
Seguridad
Procedimientosde Seguridad
Tecnologíasde
Seguridad
Política de Seguridad
Curso de Acción Institucional Seguridad de la Información
142
• El objetivo principal de la política de
seguridad es la protección de la
información mediante la definición de
procedimientos, directrices y prácticas
para la configuración y la administración
de la seguridad.
Curso de Acción Institucional Seguridad de la Información
143
Junta Directores Responsable
Administración Responsable
Depto. Tecnología Responsable
Política de Seguridad
• Es necesario que se defina el enfoque y requisitos para asegurar los activos de información de la organización.
• También es importante que se describa la forma en que se aplicará al personal y a los procesos operacionales.
• Se establecer las acciones relacionadas a la falta de cumplimiento
Curso de Acción Institucional Seguridad de la Información
144
Junta Directores Responsable
Administración Responsable
Depto. Tecnología Responsable
Política de Seguridad - beneficios
• Asegura que las vulnerabilidades se
identifican y abordan
• Proteger la continuidad del negocio
• El fortalecimiento de la infraestructura
tecnológica.
Curso de Acción Institucional Seguridad de la Información
145
Política de Seguridad - beneficios
• Cuando el personal sigue la política de
seguridad, se asegura que la información
se comparte de forma segura dentro de
la organización, así como con los socios y
proveedores mitigando el riesgo.
Curso de Acción Institucional Seguridad de la Información
146
Política de Seguridad - beneficios
• La conciencia de la seguridad, una vez
establecida la política de seguridad,
aumenta la probabilidad de
cumplimiento individual.
Curso de Acción Institucional Seguridad de la Información
147
Desarrollo de la Política de Seguridad
• El primer paso para crear una política de
seguridad de la información eficaz es
identificar los activos de información y
las amenazas a esos bienes.
Curso de Acción Institucional Seguridad de la Información
148
Junta Directores
Administración Responsable
Depto. Tecnología Responsable
Desarrollo de la Política de Seguridad
• Considerar el impacto de un incidente de
seguridad en la credibilidad, la
reputación y las relaciones con los
principales interesados.
Curso de Acción Institucional Seguridad de la Información
149
Junta Directores Consultado
Administración Responsable
Depto. Tecnología Consultado
Desarrollo de la Política de Seguridad• Conducir un análisis de riesgo.
• Al medir la seguridad frente a la exposición, esta evaluación permite decidir si la información está desprotegida, sobreprotegida o protegida adecuadamente.
• El objetivo de esta evaluación de riesgosdebe ser reducir al mínimo los gastos sin exponer a la organización a un riesgoinnecesario.
Curso de Acción Institucional Seguridad de la Información
150
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
Desarrollo de la Política de Seguridad
• Esta evaluación ayudará a determinar la asignación adecuada de los recursos.
• Dado a que la política de seguridad de la información tendrá un efecto a lo largo de la organización, un equipo de trabajo debe asumir la responsabilidad de su elaboración.
Curso de Acción Institucional Seguridad de la Información
151
Desarrollo de la Política de Seguridad • Equipo de trabajo / áreas participantes en el
desarrollo de la política de seguridad:– Junta de Directores
– Administración
– Tecnología Informática
– Seguridad de la información
– Recursos humanos
– Asesores legales
Curso de Acción Institucional Seguridad de la Información
152
Política de Seguridad• Tradicionalmente una política de
seguridad de la información se refiere comúnmente en el singular
• Una política real incluye un conjunto de documentos vivos : el documento de política de seguridad, documentos de estándares y procedimientos.
Curso de Acción Institucional Seguridad de la Información
153
El documento de Política de Seguridad
• Declaración sobre la necesidad e importancia
de la política de seguridad de la información
en la organización
• Objetivos
• Responsabilidades y directrices
• Consecuencias de la falta de adherencia.
Curso de Acción Institucional Seguridad de la Información
154
Junta Directores Responsable
Administración Responsable
Depto. Tecnología Responsable
El documento de Política de Seguridad
• Una vez este documento está terminado,
debe ser aprobado por la Junta de
Directores y distribuirlo a todo el
personal
Curso de Acción Institucional Seguridad de la Información
155
Junta Directores Responsable
Administración Informado
Depto. Tecnología Informado
Estándares y Procedimientos de Seguridad
• Definen lo que hay que hacer para
implementar la seguridad, descripción de
controles de seguridad necesarios y
cómo esos controles se aplican.
Curso de Acción Institucional Seguridad de la Información
156
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
Estándares y Procedimientos de SeguridadDebe abordar aspectos de seguridad, incluyendo, pero
no limitado a:
• Control de Código Malicioso / Virus
• Controles de Acceso Lógico (redes,
plataformas/sistemas operativos, aplicaciones, bases
de datos)
• Controles de Acceso Físico
• Administración de Seguridad en las Redes
Curso de Acción Institucional Seguridad de la Información
157
Estándares y Procedimientos de Seguridad• Recuperación de desastres y continuidad de negocio
• Evaluación y administración de riesgos de la
seguridad de la información
• Configuración de seguridad de dispositivos
(“Routers", "Switches", “Firewalls")
• Controles en la arquitectura de la seguridad de la red
• Controles de acceso remoto
• Controles de redes inalámbricas
Curso de Acción Institucional Seguridad de la Información
158
Estándares y Procedimientos de Seguridad• Controles de detección / prevención de intrusión
• Monitoreo activo para proteger de ataques los
dispositivos y componentes de la red
• Evaluaciones periódicas de seguridad de la red,
incluyendo pruebas de penetración externas,
evaluaciones internas de seguridad y revisiones de
políticas y procedimientos
• Campañas regulares educativas al personal sobre
seguridad
Curso de Acción Institucional Seguridad de la Información
159
Estándares y Procedimientos de Seguridad• Funciones y responsabilidades del personal de
seguridad
• Las responsabilidades de los usuarios / uso adecuado
de los recursos tecnológicos
• Aspectos de cumplimiento de leyes y regulaciones
gubernamentales
• Cumplimiento de estándares de la industria
Curso de Acción Institucional Seguridad de la Información
160
Estándares y Procedimientos de Seguridad• Manejo de Incidentes.
• Administración de información sensitiva, restringida
o confidencial.
• Disposición de datos
• Administración de servicios de terceros
Curso de Acción Institucional Seguridad de la Información
161
Implantación de la Política de Seguridad
Un programa de cumplimiento y/o
evaluación pueden ser fundamentales para
apoyar a las iniciativas de la organización
con respecto a la implantación de la
política de seguridad de la información.
Curso de Acción Institucional Seguridad de la Información
162
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
Implantación de la Política de Seguridad
Los exámenes del cumplimiento de la
política y las evaluaciones de
vulnerabilidad son las tácticas de primera
línea críticos para defender
proactivamente de las crecientes amenazas
de seguridad.
Curso de Acción Institucional Seguridad de la Información
163
Implantación de la Política de Seguridad
Revisiones de cumplimiento :
• Aseguran que se cumplen los objetivos de la política
Evaluaciones de vulnerabilidad
• Contribuyen a las medidas para identificar vulnerabilidades.
Curso de Acción Institucional Seguridad de la Información
164
Junta Directores Informado
Administración Responsable
Depto. Tecnología Responsable
Junta Directores Informado
Administración Autoriza
Depto. Tecnología Responsable