seguridad informacion pablo romanos

GestiGestióón de la Seguridadn de la SeguridadIng. Pablo RomanosIng. Pablo Romanos

Khu Technologies S.A.Khu Technologies S.A.

Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar

¿¿DDóónde estamos?nde estamos?

¿¿QuQuéé hacemos?hacemos?

¿¿QuiQui één y por qun y por qu éé??

¿¿Vamos bien?Vamos bien?

La Información es la columna vertebral de las empresas modernas.

Un incidente de seguridad puede afectar seriamente a la imagen y al negocio de la Compañía.

La seguridad comienza a percibirse como un valor añadido, como una Ventaja Competitiva.

Seguridad de la InformaciSeguridad de la Informaci óónn


Seguridad Seguridad InformInformááticatica

Asegurar los recursos IT. Meta, o fin a alcanzar.Los controles alcanzan solo recursos.Basado en restricciones.Responsabilidad asignada a un grupo reducido de empleados.Alcance de los Controles: Implementación.

Seguridad de Seguridad de la Informacila Informacióónn

Asegurar el Negocio.Gestión Continua.Los controles alcanzan recursos, personas, procesos. Abierto, accesos controlados.Responsabilidad compartida por toda la organización.Alcance de los Controles: Definición y Auditoría.

Modelo de Seguridad...un cambioModelo de Seguridad...un cambio


OrganizaciOrganizaci óón de la Seguridad n de la Seguridad

AMBITO DE NEGOCIO

AMBITO DE SEGURIDAD

Modelo Organizativo de Seguridad de la InformaciModelo Organizativo de Seguridad de la Informacióónn


Responsable de Seguridad de la Información

Gerente de Control de Gestión

Propietarios de la Información

Usuarios

Gerente de Sistemas

Gerente de RRHH

Gerente de Asuntos Jurídicos

Seguridad de la Información

Actores

Comité Ejecutivo Seguridad de la Información

• Proponer aprobación de la Política de Seguridad

• Como Propietario de la Política de Seguridad, revisar y evaluar su alcance;• Monitorear cambios significativos que afectan a los recursos;• Supervisar la investigación de los incidentes de seguridad;• Promover la formación, difusión y apoyo a la seguridad;• Coordinar el proceso de administración de la continuidad de negocio.

Roles y Responsabilidades de SeguridadRoles y Responsabilidades de Seguridad

• Proponer la conformación de los Comités de Seguridad• Coordinar las acciones del Comité de Seguridad• Impulsar la implementación de la Política de Seguridad

• Definir un nivel de seguridad aceptable, y gestionar el riesgo. (ATM)

• Cubrir los requerimientos de seguridad para la gestión e implantación de los controles; • Efectuar las tareas de desarrollo y mantenimiento de sistemas, siguiendo una metodología que contemple la inclusión de medidas de seguridad en todas las fases.

• Clasificar la información de acuerdo a su criticidad;• Documentar y mantener actualizada la clasificación;• Definir los permisos de acceso según “need to know”;

• Verificar el cumplimiento de la Política en todos los contratos, acuerdos con sus empleados y con terceros;• Asesorar en materia legal a la Organización, en lo que se refiere a la seguridad de la información

• Practicar auditorías periódicas y verificar el cumplimiento de la Política de Seguridad

• Conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad de la Información vigente

• Notificar a todo el personal sus obligaciones respecto del cumplimiento de la Política de Seguridad y de los cambios que se produzcan en la Política, la implementación de los Convenios de Confidencialidad (entre otros) y las tareas de capacitación continua en seguridad


¿¿QuQuéé es el Plan Estrates el Plan Estrat éégico de Seguridad?gico de Seguridad?

El Estado de la Seguridad de laEl Estado de la Seguridad de la InformaciInformacióónn y y su impacto en el negociosu impacto en el negocio

Sin medir, no podemos conocernos.

Sin conocernos, no podemos mejorar.

Pero, ¿ qué medimos?, ¿qué vamos a mejorar?


Plan EstratPlan Estrat éégico de Seguridadgico de Seguridad

Conocer el estado real de la seguridad de acuerdo a estándares internacionalesAnalizar las debilidades / vulnerabilidadesDemostrar que las inversiones en tecnología están en fase con el negocio“Vender” internamente los proyectosObtener con mínimo esfuerzo, resultados ponderables a corto plazo (“Quick Win”)

VentajasVentajas


Plan EstratPlan Estrat éégico de Seguridadgico de Seguridad

““La rueda ya esta inventadaLa rueda ya esta inventada””

EstEstáándares Internacionales Adoptadosndares Internacionales Adoptados

Normativas definidas por organismos Normativas definidas por organismos de contralor (BCRA, SAFJP, etc.).de contralor (BCRA, SAFJP, etc.).

COBITCOBIT ITILITIL

ISOISO


Inventario de Activos

KNOW HOW +

EXPERIENCIA

KNOW HOW KNOW HOW + +

EXPERIENCIAEXPERIENCIA

Plan EstratPlan Estrat éégico de Seguridadgico de SeguridadFase I: DiagnFase I: Diagnóóstico / Anstico / Anáálisis de Riesgolisis de Riesgo

CUESTIONARIOCUESTIONARIOCUESTIONARIO


Plan EstratPlan Estrat éégico de Seguridadgico de SeguridadFase II: EjecuciFase II: Ejecucióón de las Tareas a Corto Medio Largo Plazon de las Tareas a Corto Medio Largo Plazo


Planeamiento Operaciones Tecnología DesarrolloAplicaciones

Aseguramiento de la Calidad

Gestión de Proyectos

Comunicaciones y Difusión

Arquitectura ySoporte Tec.

BBDD

Soporte Tec.Plataformas

Gestión deProcesos yVersiones

Microinformática

Soporte Técnico Tecnologías

Comunicaciones

Arquitectura

Interfases

Tecnología

Testing

Gestor de Clientes

Gestor Filiales

Atención a Usuarios

Mesa de Ayuda

Desarrollo Normativo

Gestión Proyectos

Respuesta a Incidentes

AuditoríaInterna

Funciones Preventivas

Funciones Correctivas

Comité de Seguridad de la Información

Gerencia deSistemas

GerenciaGeneral

Control de Gestión

Gerencia deRRHH

Gerencia Comercial

Gerencia de Asuntos Jurídicos

Subgerencia deSistemas

Seguridad de la Información

Comité Ejecutivo de Seguridad de la Información

Comité Corporativo de Seguridad de la Información

• Resp. Seguridad de la Información• Resp. Auditoria• Resp. Implantación

• Comité Seguridad• Coordinadores de Seguridad Filiales

• Comité Seguridad• Principales Área y Líneas de Negocio

DEFINE

IMPLANTA

IMPLANTA / GESTIONA

IMPLAN

TA / GE

STIO

NA

AUDITA

AUDITA

IMPLANTA / GESTIONA

OrganizaciOrganizaci óón de lan de la SeguridadSeguridadCaso de EstudioCaso de Estudio


Esquema Normativo de SeguridadEsquema Normativo de Seguridad

Política de Seguridad

Normas

Procedimientos, Guías y Estándares

�Objetivos y Alcance�Compromiso de la Dirección�Responsabilidades

Descripción de Procesos¿Qué?

Actividades y Tareas específicas¿Quién, Cómo?

Táctico

Estratégico

Operativo

NEGOCIO

TECNOLOGÍA


ConfidencialidadIntegridadDisponibilidad

Habeas Data

Contingencia

Nivel de Criticidad

Nivel HD

Nivel C

Controles de

SeguridadRequeridos

por laAplicación

ClasificaciClasificaci óón de la Informacin de la Informaci óónn

Criticidad66%

Habeas Data100% Contingencia

93%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Criticidad 66%

Habeas Data 100%

Contingencia 93%

1

Muchas GraciasMuchas GraciasIng. Pablo RomanosIng. Pablo Romanos

Khu Technologies S.AKhu Technologies S.A. .

seguridad informacion pablo romanos

Documents