gobernando la seguidad hacia los objetivos corporativos information security manager . ... the...

Gobernando la seguridad hacia los objetivos corporativos

Antonio Ramos 3 de abril de 2013

• ¿Qué es ISACA? • ¿Qué se entiende por gobierno? • La cascada de objetivos • Catalizadores corporativos • Conclusión

Agenda

1

¿QUÉ ES ISACA?

2

¿Qué es ISACA?

• Non-profit association of individual members: – IT auditors – IT security professionals – IT risk and compliance professionals – IT governance professionals and more!

• Nearly all industry categories: financial, public accounting, government/public sector, technology, utilities and manufacturing.

• Formerly, the Information Systems Audit and Control Association -- ISACA now goes by its acronym only.

3

¿Qué es ISACA?

“Trust in, and value from, information systems”

ISACA’s vision (to aspire to as an organization)

“For professionals and organizations be the leading global provider of knowledge, certifications,

community, advocacy and education on information systems assurance and security,

enterprise governance of IT, and IT-related risk and compliance”

ISACA’s mission (to guide decision making and investments)

4

¿Qué es ISACA? Formación a nivel global

5

¿Qué es ISACA? Certificaciones

1978 +100.000

2003 +18.000

2008 +5.000

2010 +16.000

+1.300 certificados en Madrid +350 horas de formación ofertadas cada año

6


▶ CISA Certified Information Systems Auditor

Auditor Certificado de Sistemas de

Información

▶ CATEGORÍA Certificación de personas

▶ AÑO 1978

▶ BoK (áreas de conocimiento)

- Proceso de auditoría de sistemas de información

- Gobernanza de TI

- Ciclo de vida de sistemas e infraestructura

- Soporte y entrega de servicios de TI

- Protección de los activos de información

▶ CONVOCATORIAS Junio, septiembre y diciembre

▶ OTROS 5 años y CPE

7


▶ CISM Certified Information Security Manager

Gerente Certificado de Seguridad de la

Información


▶ AÑO 2002


- Gobernanza de Seguridad de la Información

- Gerencia de riesgo de la Información

- Desarrollo de programa de seguridad de la

información

- Gerencia de programa de seguridad de la

información

- Gestión y respuesta a incidentes

▶ CONVOCATORIAS Junio, septiembre y diciembre

▶ OTROS 5 años y CPE

8


▶ CGEIT Certified in the Governance of Enterprise IT

▶ CATEGORÍA Certificación profesional

▶ AÑO 2007

▶ DOMINIOS (áreas de conocimiento)

- Marco de referencia para la Gobernanza de TI

- Alineamiento estratégico

- Entrega de valor

- Gestión del riesgo

- Gestión de los recursos de TI

- Medida del rendimiento

▶ EXÁMENES Junio y diciembre

▶ OTROS REQUISITOS 5 años de experiencia y CPE

9


▶ CRISC Certified in Risk and Information Systems Control

Certificado en Riesgo y Control de los SSII


▶ AÑO 2010


- Identificación, evaluación y valoración del riesgo

- Respuesta al riesgo

- Supervisión (vigilancia) del riesgo

- Diseño e implantación de marcos de control de SSII

- Supervisión y mantenimiento de marcos de control de

SSII

▶ CONVOCATORIAS Junio y diciembre

▶ OTROS 5 años y CPE 10

¿Qué es ISACA? Investigación

• COBIT5 • COBIT5: Procesos Catalizadores • COBIT5: Catalizador Información • COBIT5: Implementación • COBIT5 Toolkit • COBIT5 para Seguridad de la Información • COBIT5 Online

BMIS The Business Model for Information Security

11

¿Qué es ISACA? Investigación

COBIT 5 consolida e integra: COBIT 4.1 Val IT 2.0 Risk IT Y, aprovecha de manera

significativa: • BMIS (Business Model for

Information Security), and • ITAF www.isaca.org/COBIT5

12

¿Qué es ISACA? Dimensión global

13

… en 82 países

¿Qué es ISACA? Dimensión global

-

20.000

40.000

60.000

80.000

100.000

2005 2006 2007 2008 2009 2010 2011 2012

15.118 16.569 19.590 21.840 22.089 21.500 21.847 23.250 1.967 2.194

2.930 3.340 3.585 3.917 4.328 4.800 13.218 15.412 18.861

22.566 23.840 24.683 25.939 27.969 28.945 32.828

37.121 40.941 41.331 42.395

45.739 48.483

1.889 2.180

2.530

2.815 2.885 3.001 3.229

3.476

Total miembros ISACA® a octubre

Oceanía Norteamérica Europa/África Latinoamérica Asia

14

¿Qué es ISACA? Dimensión nacional

-

200

400

600

800

1.000

1.200

1.400

1.600

2009 2010 2011 2012

1.059 1.053 1.055 1.035

339 351 339 361

176 192 183 161

Total miembros ISACA® en España a octubre

Valencia Barcelona Madrid

15

¿Qué es ISACA? Objetivos de ISACA Madrid • Difundir y desarrollar las actividades de Auditoría de Sistemas de

Información, Seguridad de la Información y Gestión y Gobierno de la Tecnologías de la Información.

• Formar a los profesionales y mantenerlos actualizados sobre las principales novedades de la materia.

• Promover y asistir en la certificación internacionalmente a los profesionales como cualificados para el ejercicio de la profesión (Certificados CISA, CISM, CGEIT, CRISC)

• Realizar estudios sobre la profesión y desarrollar estándares de la industria.

• Asistir a los profesionales (Bolsa de trabajo, orientación, etc.) 16

¿Qué es ISACA? Beneficios de los miembros

Comunidad & Liderazgo

Desarrollo profesional

Investigación y

Conocimiento

• ELibrary • Webinars, Seminarios

Virtuales y eSymposia archivados (CPE gratis)

• Career Centre • Descuentos en

exámenes y tasas mantenimiento anual de CISA, CISM, CGEIT, CRISC

• Mentoring (CPE gratis) • Descuentos en

conferencias / formación

• Descuentos en la Librería

• Journal (CPE gratis) • Publicaciones de

investigación (muchas gratis para miembros)

• COBIT 5 - Abril 2012 • Val IT • Risk IT • ITAF • BMIS • Mapeos de COBIT • COBIT Security

Baseline 2nd Ed. • Sitio web interactivo • Programas de auditoría

• Networking • Oportunidades de

Liderazgo a nivel local y global

• Nuevas comunidades online en el nuevo sitio web de ISACA

Capítulo Local

• Educación barata • Formación

presencial • Preparación a

exámenes • Eventos de

negocios y sociales • Encuentro con

personas que entienden tus necesidades profesionales

Incrementar tu valor avanzando en tu

carrera

Abrir la puerta a un robusto liderazgo,

investigación y conocimiento

Conectarte con una comunidad global

de 100.000

Proporcionar una red local de

profesionales

17

¿Qué es ISACA? Oferta para el Sector Educativo

• Academic Advocate Membership – Complimentary

membership to faculty members who use ISACA teaching materials and agree to share their own

– Classroom support materials

– Receive discounts and complimentary access to professional resources

– Prepare your students to enter the job market

www.isaca.org/academicadvocate

18


• Model Curricula – 18 universities around the

world specialize in use of the ISACA Model Curricula

– ISACA® Model Curriculum for IS Audit and Control (2nd Edition)

– ISACA® Model Curriculum for Information Security Management

– Information Security Using the CISM® Review Manual and BMIS™

www.isaca.org/modelcurricula

19


• Student Membership – Online access to ISACA

journal, webcasts, and many resources for education beyond the classroom

– Opportunities to network with local chapter members for meaningful interactions with professionals

– Knowledge and experience to put students far ahead of the competition when it comes time to begin their careers. www.isaca.org/student

20


• ISACA Student Groups – Affiliated, if possible, with

an ISACA chapter

– Recognized by an educational institution; student membership in ISACA is not required

– Recognized by ISACA HQ with an official student group logo.

www.isaca.org/studentgroup 21


• Local Chapter Student Support – Assist with the formation of

ISACA Student Groups on campus

– Provide speakers and networking opportunities with professionals

– Invite students and faculty to local chapter events

www.isaca.org/chapters 22


• Fees anuales

• Certificaciones

Cuota Internacional

Fee para Nuevos Miembros

Cuota Capítulo Madrid

Total

25 $ - 15 $ 40 $

Concepto Miembros No-miembros Registro examen 460 $ (410 $) 635 $ (585 $)

Renovación 45 $ c.u. (-15 $ si más de 3)

85 $ c.u. (-35 $ si más de 3)

23

¿QUÉ SE ENTIENDE POR GOBIERNO?

24

Conflicto principal - agente

25

Conflicto principal - agente

• Bruce Schneier (2012). “Liars and Outliers: Enabling the Trust that Society Needs to Thrive”

26

Concepto

El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes

interesadas para determinar los objetivos empresariales equilibrados y acordados a alcanzar;

estableciendo dirección para la priorización y la toma de decisiones; y monitorizando el rendimiento y el

cumplimiento con la dirección y objetivos acordados

27

Concepto

La Gestión planifica, construye, ejecutiva y supervisa las actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar los objetivos

empresariales.

28

Concepto

Principios de

COBIT5

1. Cumplir necesidades

de interesados

2. Cubrir la empresa

extremo-a-extremo

3. Aplicar un marco

integrado único

4. Habilitar un enfoque

holístico

5. Separar Gobierno de

Gestión

29

Gobierno vs Gestión

Objetivos de Gobierno: Creación de Valor

Realización de beneficios

Optimización de riesgos

Optimización de recursos

Alcance de Gobierno

Facilitadores de Gobierno

Roles, actividades y relaciones

30

Gobierno vs Gestión

Propietarios y partes

interesadas

Cuerpo de

Gobierno Gestión

Operación y

Ejecución

Delega Establece dirección

Instruye y alinea

Responsable Supervisa Informa

31

CASCADA DE OBJETIVOS

32

Objetivos de Gobierno: Creación de Valor

Cascada de objetivos

Necesidades de las partes interesadas

Realización de beneficios

Optimización de riesgos

Optimización de recursos

Cond

ucen

33

Cascada de objetivos In

tern

os

• Consejo • CEO • CFO • CIO • CRO • Ejecutivos de negocio • Propietarios de

procesos • HHRR • Auditoría • Seguridad • DPO • Usuarios

Ext

erno

s • Socios • Proveedores • Accionistas • Legislador / Gobierno • Usuarios externos • Clientes • Auditores externos • Consultores • Etc.

34



Objetivos empresariales

Objetivos para Seguridad de la Información

Objetivos para los Catalizadores

35


36






37


38

Cascada de objetivos Árbol de Objetivos Intermedios

39

40

¿Quién es el dueño del sistema?






41


42


“Cualquier inversión en seguridad está justificada siempre que:

• el nivel de seguridad sea el factor limitante para que la organización alcance su meta

o • la seguridad se subordine al factor

limitante de la organización y contribuya a que éste rinda a su máxima capacidad”

43






44


45

CATALIZADORES CORPORATIVOS

46

Catalizadores Corporativos

Recursos

5. Información 6. Servicios,

Infraestructura y Aplicaciones

7. Personas, Habilidades y Competencias

2. Procesos 3. Estructuras organizativas

4. Cultura, Ética y Comportamiento

1. Principios, Políticas y Marcos de Referencia

47

• Mecanismos de comunicación puestos en marcha para transmitir la dirección y las instrucciones de los cuerpos de gobierno y gestión.

• El marco de políticas debe definir: – Los aprobadores de las políticas corporativas – Las consecuencias de no cumplir – Los medios para gestionar las excepciones – La forma en que el cumplimiento será

comprobado y medido


48

• Principios (ISACA, ISF & ISC2)


49

Soportar el negocio 1. Enfocarse en el negocio 2. Entregar calidad y valor a los interesados 3. Cumplir con los requisitos legales y regulatorios 4. Proporcionar información a tiempo y precisa sobre el rendimiento

de la seguridad de la información 5. Evaluar las amenazas actuales y futuras 6. Promover una mejora continua en seguridad de la información

Defender el negocio 7. Adoptar un enfoque basado en el riesgo 8. Proteger la información clasificada 9. Concentrarse en aplicaciones de negocio críticas 10.Desarrollar sistemas de manera segura

Promover un comportamiento responsable 11.Actuar de una manera ética y profesional 12.Fomentar una cultura positiva hacia la seguridad de la información


• Es necesario adaptarse el entorno corporativo.

• Ron Collette, Mike Gentile, and Skye Gentile (2008), “CISO Soft Skills. Securing Organizations Impaired by Employee Politics, Apathy, and Intolerant Perspectives”

50

• Conjunto de prácticas influidas por las políticas y los procedimientos corporativos que toman entradas de varias fuentes (incluyendo otros procesos), manipulan las entradas y producen salidas.

2. Procesos

51

2. Procesos

Gestión

Plan (APO)

Construir (BAI)

Supervisar (MEA)

Ejecutar (DSS)

Gobierno Evaluar

Dirigir Supervisar Feedback de la Gestión

Necesidades de Negocio

52

2. Procesos

Gobierno

EDM01 Asegurar el

Establecimiento y

Mantenimiento del Marco de

Gobierno

EDM02 Asegurar la Entrega de Beneficios

EDM03 Asegurar la

Optimización del Riesgo

EDM04 Asegurar la

Optimización de Recursos

EDM05 Asegurar la

Transparencia con las partes

interesadas

Alinear, Planificar y Organizar

Construir, Adquirir e Implementar

Entregar, Dar servicio y Soporte

Supervisar, Evaluar y Valorar

53

2. Procesos

54

3. Estructuras organizativas

• Entidades de toma de decisión claves en una organización.

• Su definición debe incluir: – Composición – Mandato, principios operativos, ámbito de

control y nivel de autoridad – Matriz RACI de alto nivel – Entradas / Salidas

55

3. Estructuras organizativas

56

• Accountability

– Puede ser delegada – Como elemento crítico, la responsabilidad

final debería ser asignada consecuentemente – En caso contrario, podría considerarse como

una negligencia.

El Comité de Dirección carga con la responsabilidad final para todo los aspectos, incluyendo la seguridad de la información.

• Cultura: “Patrones de comportamientos, creencias, actitudes y maneras de hacer las cosas”.

• Cultura de seguridad – “Todas las empresas tienen una cultura de seguridad de la

información. En la mayoría de casos, carece de intencionalidad y es inconsistente hasta el punto de que no exista; es decir, es robusta y orienta las actividades diarias de empleados y otras personas en contacto con la empresa”. ISACA, Creating a Culture of Security, EE.UU., 2011

4. Cultura, ética y comportamiento

57

58

¿Cuál es el factor limitante de

nuestro sistema de seguridad?

• La información (y, en consecuencia, la comunicación) no es solo el principal sujeto de la seguridad de la información, sino un catalizador fundamental para la misma.

• La información como catalizador se refiere a que la dirección puede usar la información como base para la toma de decisiones.

5. Información

59

• Catálogo de servicios – Provide a security architecture. – Provide security awareness. – Provide secure development (development in line with security

standards). – Provide security assessments. – Provide adequately secured and configured systems, in line with

security requirements and security architecture. – Provide user access and access rights in line with business

requirements. – Provide adequate protection against malware, external attacks

and intrusion attempts. – Provide adequate incident response. – Provide security testing. – Provide monitoring and alert services for security-related events.

6. Servicios, infraestructura y aplicaciones

60

• Requieren: – Información (entradas y salidas) – Estructuras organizativas (matrices RACI,

funciones o roles específicos de seguridad…) • Componentes:

– Descripción detallada – Atributos – Objetivos

6. Servicios, infraestructura y aplicaciones

61

• Se necesitan individuos con un apropiado nivel de conocimiento y experiencia si se quiere operar de manera efectiva la función de seguridad de la información.

• Ejemplos: – Gobierno de seguridad de la información – Formulación de estrategia de seguridad de la información – Gestión de riesgos de la información – Desarrollo de arquitecturas de seguridad de la información – Operaciones de seguridad de la información – Evaluaciones, pruebas y cumplimiento

7. Personas, habilidades y competencias

62

Conclusiones

• La seguridad de la información es responsabilidad del Consejo de Administración.

• Los árboles no nos dejan ver el bosque.

• Gestionar no es gobernar.

63

07/ Ruegos y preguntas

64

Muchas gracias

Antonio Ramos, Presidente ISACA, Capítulo de Madrid [email protected]

gobernando la seguidad hacia los objetivos corporativos information security manager . ... the...

Documents