seguridad informacion pablo romanos
DESCRIPTION
Gestión de la seguridad de la Información. Gap Análisis.TRANSCRIPT
GestiGestióón de la Seguridadn de la SeguridadIng. Pablo RomanosIng. Pablo Romanos
Khu Technologies S.A.Khu Technologies S.A.
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
¿¿DDóónde estamos?nde estamos?
¿¿QuQuéé hacemos?hacemos?
¿¿QuiQui één y por qun y por qu éé??
¿¿Vamos bien?Vamos bien?
La Información es la columna vertebral de las empresas modernas.
Un incidente de seguridad puede afectar seriamente a la imagen y al negocio de la Compañía.
La seguridad comienza a percibirse como un valor añadido, como una Ventaja Competitiva.
Seguridad de la InformaciSeguridad de la Informaci óónn
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Seguridad Seguridad InformInformááticatica
Asegurar los recursos IT. Meta, o fin a alcanzar.Los controles alcanzan solo recursos.Basado en restricciones.Responsabilidad asignada a un grupo reducido de empleados.Alcance de los Controles: Implementación.
Seguridad de Seguridad de la Informacila Informacióónn
Asegurar el Negocio.Gestión Continua.Los controles alcanzan recursos, personas, procesos. Abierto, accesos controlados.Responsabilidad compartida por toda la organización.Alcance de los Controles: Definición y Auditoría.
Modelo de Seguridad...un cambioModelo de Seguridad...un cambio
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
OrganizaciOrganizaci óón de la Seguridad n de la Seguridad
AMBITO DE NEGOCIO
AMBITO DE SEGURIDAD
Modelo Organizativo de Seguridad de la InformaciModelo Organizativo de Seguridad de la Informacióónn
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Responsable de Seguridad de la Información
Gerente de Control de Gestión
Propietarios de la Información
Usuarios
Gerente de Sistemas
Gerente de RRHH
Gerente de Asuntos Jurídicos
Seguridad de la Información
Actores
Comité Ejecutivo Seguridad de la Información
• Proponer aprobación de la Política de Seguridad
• Como Propietario de la Política de Seguridad, revisar y evaluar su alcance;• Monitorear cambios significativos que afectan a los recursos;• Supervisar la investigación de los incidentes de seguridad;• Promover la formación, difusión y apoyo a la seguridad;• Coordinar el proceso de administración de la continuidad de negocio.
Roles y Responsabilidades de SeguridadRoles y Responsabilidades de Seguridad
• Proponer la conformación de los Comités de Seguridad• Coordinar las acciones del Comité de Seguridad• Impulsar la implementación de la Política de Seguridad
• Definir un nivel de seguridad aceptable, y gestionar el riesgo. (ATM)
• Cubrir los requerimientos de seguridad para la gestión e implantación de los controles; • Efectuar las tareas de desarrollo y mantenimiento de sistemas, siguiendo una metodología que contemple la inclusión de medidas de seguridad en todas las fases.
• Clasificar la información de acuerdo a su criticidad;• Documentar y mantener actualizada la clasificación;• Definir los permisos de acceso según “need to know”;
• Verificar el cumplimiento de la Política en todos los contratos, acuerdos con sus empleados y con terceros;• Asesorar en materia legal a la Organización, en lo que se refiere a la seguridad de la información
• Practicar auditorías periódicas y verificar el cumplimiento de la Política de Seguridad
• Conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad de la Información vigente
• Notificar a todo el personal sus obligaciones respecto del cumplimiento de la Política de Seguridad y de los cambios que se produzcan en la Política, la implementación de los Convenios de Confidencialidad (entre otros) y las tareas de capacitación continua en seguridad
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
¿¿QuQuéé es el Plan Estrates el Plan Estrat éégico de Seguridad?gico de Seguridad?
El Estado de la Seguridad de laEl Estado de la Seguridad de la InformaciInformacióónn y y su impacto en el negociosu impacto en el negocio
Sin medir, no podemos conocernos.
Sin conocernos, no podemos mejorar.
Pero, ¿ qué medimos?, ¿qué vamos a mejorar?
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Plan EstratPlan Estrat éégico de Seguridadgico de Seguridad
Conocer el estado real de la seguridad de acuerdo a estándares internacionalesAnalizar las debilidades / vulnerabilidadesDemostrar que las inversiones en tecnología están en fase con el negocio“Vender” internamente los proyectosObtener con mínimo esfuerzo, resultados ponderables a corto plazo (“Quick Win”)
VentajasVentajas
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Plan EstratPlan Estrat éégico de Seguridadgico de Seguridad
““La rueda ya esta inventadaLa rueda ya esta inventada””
EstEstáándares Internacionales Adoptadosndares Internacionales Adoptados
Normativas definidas por organismos Normativas definidas por organismos de contralor (BCRA, SAFJP, etc.).de contralor (BCRA, SAFJP, etc.).
COBITCOBIT ITILITIL
ISOISO
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Inventario de Activos
KNOW HOW +
EXPERIENCIA
KNOW HOW KNOW HOW + +
EXPERIENCIAEXPERIENCIA
Plan EstratPlan Estrat éégico de Seguridadgico de SeguridadFase I: DiagnFase I: Diagnóóstico / Anstico / Anáálisis de Riesgolisis de Riesgo
CUESTIONARIOCUESTIONARIOCUESTIONARIO
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Plan EstratPlan Estrat éégico de Seguridadgico de SeguridadFase II: EjecuciFase II: Ejecucióón de las Tareas a Corto Medio Largo Plazon de las Tareas a Corto Medio Largo Plazo
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Planeamiento Operaciones Tecnología DesarrolloAplicaciones
Aseguramiento de la Calidad
Gestión de Proyectos
Comunicaciones y Difusión
Arquitectura ySoporte Tec.
BBDD
Soporte Tec.Plataformas
Gestión deProcesos yVersiones
Microinformática
Soporte Técnico Tecnologías
Comunicaciones
Arquitectura
Interfases
Tecnología
Testing
Gestor de Clientes
Gestor Filiales
Atención a Usuarios
Mesa de Ayuda
Desarrollo Normativo
Gestión Proyectos
Respuesta a Incidentes
AuditoríaInterna
Funciones Preventivas
Funciones Correctivas
Comité de Seguridad de la Información
Gerencia deSistemas
GerenciaGeneral
Control de Gestión
Gerencia deRRHH
Gerencia Comercial
Gerencia de Asuntos Jurídicos
Subgerencia deSistemas
Seguridad de la Información
Comité Ejecutivo de Seguridad de la Información
Comité Corporativo de Seguridad de la Información
• Resp. Seguridad de la Información• Resp. Auditoria• Resp. Implantación
• Comité Seguridad• Coordinadores de Seguridad Filiales
• Comité Seguridad• Principales Área y Líneas de Negocio
DEFINE
IMPLANTA
IMPLANTA / GESTIONA
IMPLAN
TA / GE
STIO
NA
AUDITA
AUDITA
IMPLANTA / GESTIONA
OrganizaciOrganizaci óón de lan de la SeguridadSeguridadCaso de EstudioCaso de Estudio
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Esquema Normativo de SeguridadEsquema Normativo de Seguridad
Política de Seguridad
Normas
Procedimientos, Guías y Estándares
�Objetivos y Alcance�Compromiso de la Dirección�Responsabilidades
Descripción de Procesos¿Qué?
Actividades y Tareas específicas¿Quién, Cómo?
Táctico
Estratégico
Operativo
NEGOCIO
TECNOLOGÍA
Segurinfo 2007 – Tercer Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
ConfidencialidadIntegridadDisponibilidad
Habeas Data
Contingencia
Nivel de Criticidad
Nivel HD
Nivel C
Controles de
SeguridadRequeridos
por laAplicación
ClasificaciClasificaci óón de la Informacin de la Informaci óónn
Criticidad66%
Habeas Data100% Contingencia
93%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Criticidad 66%
Habeas Data 100%
Contingencia 93%
1
Muchas GraciasMuchas GraciasIng. Pablo RomanosIng. Pablo Romanos
Khu Technologies S.AKhu Technologies S.A. .