18 de mayo 2009 presentación política de seguridad

18 de Mayo 2009

Presentación Política de Seguridad

Política de Seguridad

Pág. 2

Contenido

1. Gobierno eficaz de Seguridad de la Información1.1 Definición, Objetivos y Metas

1.2 Estrategia de Seguridad Corporativa

1.3 Ciclo de Mejora continua

1.4 Plan Director de Seguridad de la Información

1.5 Definiciones y Referencias en IBERIA

2. Estrategia de Seguridad de la Información2.1 Principio Básico

2.2 Marco Normativo

2.3 Implicación de la Dirección

2.4 Condicionantes del entorno: león o gacela

2.5 Plan de Acción


Pág. 3

1 Gobierno eficaz de Seguridad de la Información


Pág. 4

1.1 Definición y Objetivos

La gestión de la seguridad de la información eficaz no debe entenderse únicamente desde un punto de vista tecnológico. Un gobierno de seguridad eficaz implica el desarrollo y la administración de un programa integral de seguridad de la información que apoye los objetivos de negocio.

El buen gobierno de seguridad dentro de TI se compone de un grupo de actividades que dan garantías para ofrecer un nivel de seguridad adecuado sobre los activos de información.

Imagen original extraída de: http://www.agiliance.com/assets/images/solutions_it_grc_triangle.jpg

IMPLEMENTAR Y OPERAR EL SGSI

ESTABLECER EL SGSI

MANTENER Y MEJORAR EL SGSI

MONITORIZAR Y REVISAR EL SGSI

·Plan de Tratamiento de Riesgos. ·Selección e implementación de controles

·AC / AP/ NC

·Definición de Objetivos·Evaluación Amenazas, Riesgos e impactos

·Registros de cumplimiento y eficiencia

Imagen original extraída de www.agaex.com:8080/.../Certificado%20ISO%2027001

SITUACIÓN ACTUAL SITUACIÓN FUTURA

TENDENCIA


Pág. 5

1.1 Metas

Alineación estratégica.

Administración del riesgo.

Entrega de valor.

Administración de recursos.

Medición del desempeño.

Integración del proceso de aseguramiento.

BARATO DIFERENCIAL

SERVICIO OFRECIDO A NUESTROS CLIENTES


Pág. 6

1.2 Estrategia de Seguridad Corporativa

La seguridad de la información abarca:La gestión de los sistemas de información.La gestión de la seguridad corporativa en un ciclo continuo de identificación de amenazas, identificación de riesgos y establecimiento de medidas para la reducción de los mismos.

La Política de Seguridad Integral de Iberia estará coordinada y definida por:

La seguridad física.La seguridad del personal.La seguridad del patrimonio.La seguridad en los transportes.La seguridad en las instalaciones.La seguridad de los sistemas de información.


Pág. 7

1.3 Ciclo de Mejora Continua

DO

PLAN

ACT

CHECK

PARTES INTERESADAS

Requerimientos y expectativas de seguridad de la

información

· Plan de Tratamiento de Riesgos. Selección e implementación de controles

· Definición de Objetivos

· Eval. Amenazas, Riesgos e impactos

· AC / AP/ NC

· Registros de cumplimiento y eficiencia

PARTES INTERESADAS

Seguridad gestionada

CICLO DE DEMING: PDCA

SGSI IBERIA


Pág. 8

1.4 Plan Director de Seguridad de la Información (I)

LA INFORMACIÓN CORPORATIVA ES UN ACTIVO VALIOSO

OBJETIVOS: • Continuidad comercial.• Mínimo impacto ante Debilidades/Amenazas.• Máximo retorno sobre las Inversiones y las

Fortalezas/Oportunidades

SEGURIDAD DE LA INFORMACIÓN:• Políticas• Prácticas• Procedimientos• Estructuras organizacionales

Protege

Garantiza

Escrita

Transmitida verbalmente

Transmitida electrónicamente

Almacenada electrónicamente


Pág. 9

1.4 Plan Director de Seguridad de la Información (II)

SEGURIDAD DE LA INFORMACIÓN:• Grado de Autenticidad (A)• Confidencialidad (C). • Integridad (I). Grado de fiabilidad.• Grado de Disponibilidad (D).• Grado de Auditabilidad (A2).

ALCANCE:• Activos de gestión de información corporativa

RESULTADOS: • Requisitos de seguridad para los activos de negocio• Clasificación por niveles de criticidad

ISO 27001 / 27002


Pág. 10

1.5 Definiciones

ACTIVOS. Recursos necesarios para que la Organización funcione correctamente, proporcionando un soporte adecuado a los procesos de negocio, y alcance los objetivos propuestos por su Dirección.

AMENAZAS. Acciones capaces de modificar el estado de seguridad de un ACTIVO.

VULNERABILIDAD. Probabilidad de ocurrencia de la materialización de la AMENAZA sobre un activo.

IMPACTO. Diferencia en las valoraciones del estado de seguridad de un activo, obtenidas antes y después de la materialización de la AMENAZA sobre éste.

RIESGO. Posibilidad de que se produzca un IMPACTO determinado en un ACTIVO.

SALVAGUARDA. Acciones o procedimientos reductores del RIESGO.


Pág. 11

1.5 Referencias en Iberia

• Planificación y Organización • Adquisición e Implementación • Entrega y soporte • Monitorización.

MAGERIT• Libto I: Método• Libro II: Catálogo de elementos. • Libro III: Guía de técnicas.

• Establece requisitos relacionados con los Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar sus riesgos e implantar los controles adecuados para mantener la confidencialidad, integridad y disponibilidad de sus activos de información.

COBIT (Objetivos de control de información y tecnologías relacionadas)

ISO 27001

PCI• Estándar que establece requisitos de seguridad para lops sistemas que almacenan,

procesan o transmiten datos de tarjetas de crédito..


Pág. 12

2 Estrategia de Seguridad de la Información


Pág. 13

2.1 Principio Básico

Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas:

Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr).

Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible).

Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).


Pág. 14

2.2 Marco Normativo

POLÍTICAS DE USODestinado a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema, tecnología o recurso

Determinan las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.).

INSTRUCIONES TÉCNICAS

Determinan las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución.

PROCEDIMIENTOS

Definen qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc

NORMAS

Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como

POLÍTICAS

GRADO DE D

ETALL

E-

+


Pág. 15

2.3 Implicación de la Dirección

APLICACIONES REDES SERVIDORES PCs BASES DE DATOS

ENTREGA DEL SERVICIO / OPERACIÓN / GESTIÓN

COMITÉ DE PRODUCCIÓN

COMITÉ DE DIRECCIÓN

PRESIDENCIAES

TRATE

GIA ESCALADO


Pág. 16

Cada mañana en África una gacela se despierta. Sabe que tiene que correr más rápido que el león más rápido, para no morir ese día.

Cada mañana un león se despierta. Sabe que tiene que alcanzar a la gacela más lenta, para no morir de hambre.

2.4 Condicionantes del Entorno: León o Gacela (I)

Moraleja: no importa si eres el león o la gacela. Cada día cuando salga el Sol, ¡Corre!

Imagen original extraída de: http://weblogs.madrimasd.org/images/weblogs_madrimasd_org/universo/1079/o_Estepqa%20Con%20gacelas%20Momgolia.jpg


Pág. 17

Si en el ejemplo anterior sustituimos Gacela por ”estrategia de seguridad de la información corporativa” y León por “amenaza” => el ejemplo es perfectamente aplicable a nuestro negocio.

CONCLUSIONES DEL DESARROLLO DE LA ESTRATEGIA DE S.I.:

• Nunca debemos perder de vista los condicionantes del entorno empresarial:

• Estratégicos

• Legales.

• Económicos.

• Culturales.

• Temporales

• Técnicos.

• Tenemos que ser MÁS rápidos que el resto para sobrevivir.

2.4 Condicionantes del Entorno: León o Gacela (II)


Pág. 18

2.5 Plan de Acción (I)

ESTRATEGIA DE S.I. EN IBERIA. FACTORES QUE HEMOS TENIDO EN CUENTA EN LA IMPLEMENTACIÓN:

Que sea acorde a las metas y objetivos del negocio (Alineación de la estrategia de seguridad con el gobierno corporativo).

Que defina roles y responsabilidades relacionadas con la seguridad de la información en toda la organización.

Compromiso de la Alta Dirección.

Facilitadores:

Desarrollo de business cases que justifiquen la inversión en seguridad de la información.

Identificación de requerimientos legales y regulatorios.

Identificación impulsores que afecten a la organización.

Establecimiento los canales de comunicación y de presentación de información tanto internos como externos.

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

CERTIFICADO EN ISO 27001

HER

RAM

IEN

TA

HER

RA

MIE

NTA


Pág. 19

CONCLUSIONES:

La implantación formal de un Sistema de gestión de Seguridad de la información (SGSI) requiere cierto grado de madurez. No todas las organizaciones están preparadas para abordar este proyecto.

No existe un SGSI estándar, sino que cada Organización debe establecer el que más se adecue a su estrategia de negocio.

La fase de PLAN del Ciclo de mejora continua es la base para el correcto establecimiento de un SGSI, por lo que debemos ser muy cuidadosos en su definición y aplicación.

El papel del Responsable de Seguridad de la Información es clave, debiendo adoptar diferentes roles y en distinta medida, dependiendo de la Organización, sobre todo en época de crisis.

Un SGSI normalmente es difícil de implantar, pero más aun es mantenerlo y mejorarlo.

2.5 Plan de Acción (II)


Pág. 20

Preguntas …

2.6 Preguntas


Pág. 21

Fin de la presentación

Gracias!

18 de mayo 2009 presentación política de seguridad

Documents