nivel de madurez de seguridad en las instituciones financieras · departamento de it. nivel de...
TRANSCRIPT
Nivel de madurez de Nivel de madurez de
seguridad en las seguridad en las
Instituciones FinancierasInstituciones FinancierasInstituciones FinancierasInstituciones Financieras
Julio César [email protected]
17 de Diciembre de 2013
Asunción - Paraguay
Nivel de madurez de seguridad en las
Instituciones
Financieras
Agenda
- Nivel de seguridad en Paraguay
- Madurez del área de Seguridad de la Información
2222
- Madurez del área de Seguridad de la Información
- Ubicación y conformación del departamento de seguridad
- Catálogo de servicios
- Rol del CSO
Nivel de
seguridad en seguridad en
Paraguay
3333
Evolución de la madurez y estado de implementación de las normativas
relacionadas con seguridad de la información en Paraguay
NormativaNormativaNormativaNormativa MadurezMadurezMadurezMadurez
SOX
BCP MCIIEF
Nivel de madurez de seguridad en las
Instituciones
Financieras
4444
BCP MCIIEF
• Las normativas llegaron para quedarse
• La mayoría de las mismas impactan en el sector de SI
• Se debe tomarlas como “oportunidades”
PCI-DSS
ISO 27001 / 27002
Evolución del nivel de seguridad informática en Paraguay (PT Ext
e Int)
Nivel de madurez de seguridad en las
Instituciones
Financieras
Nivel de seguridad
Medio-
Alto
5555
2000 2002 2004 2006 2008 2010 2012 2013
Bajo
Medio-Bajo
Medio
Medio-Alto
PromedioLatinoamérica
Madurez del
área de
Seguridad de la Seguridad de la
Información
6666
¿Quién administra los Firewalls de la Compañía?
Nivel de madurez de seguridad en las
Instituciones
Financieras
7777
La evolución de la Seguridad dentro de la Organización
Nivel Estratégico
Nivel de Negocio
Nivel de madurez de seguridad en las
Instituciones
Financieras
8888
Nivel de Negocio
Nivel Gerencial
Nivel Técnico
La evolución de las áreas de Seguridad(grados de madurez)
Nivel Estratégico – CISO
Nivel de madurez de seguridad en las
Instituciones
Financieras
9999
Nivel de Negocio – Gerente de Seguridad
Nivel Gerencial – Jefe de Seguridad Informática
Nivel Técnico – Administrador de Seguridad
Algunas variables que determinan cómo es la estructuradel área de seguridad son las siguientes:
- Tipo de Compañía- Cultura organizacional- Tamaño de la Compañía
Nivel de madurez de seguridad en las
Instituciones
Financieras
10101010
- Tamaño de la Compañía- Presupuesto a nivel de personal / gastos / inversión- Rol del CSO- Grado de madurez de la Compañía
La madurez de la Organización
Es vital determinar en qué etapa del proceso de madurez se encuentran nuestra Organización y el área de Seguridad. Si no lo tenemos claro, podremos hacer nuestro trabajo de forma excelente, pero a destiempo de la Organización.
Nivel de madurez de seguridad en las
Instituciones
Financieras
11111111
forma excelente, pero a destiempo de la Organización.
Ubicación y
conformación del
departamento de
12121212
departamento de
seguridad
¿A quién reporta el CSO?
Depende del nivel de madurez que posee la Compañía y el programa de seguridad.
Nivel de madurez de seguridad en las
Instituciones
Financieras
13131313
¿Se habla de seguridad informática o seguridad de la Información?
Tamaño y negocio de la Compañía.
Ubicando la Seguridad de la Información dentro de una Organización
En las grandes organizaciones, el área de Seguridad de la Información está generalmente ubicada dentro del departamento de IT.
Nivel de madurez de seguridad en las
Instituciones
Financieras
14141414
Es dirigida por el CSO que reporta directamente al CIO.
Por su propia naturaleza, un programa de Seguridad de la Información entra generalmente en contradicción con las metas y objetivos del departamento de IT como conjunto.
Ubicando la Seguridad de la Información dentro de una Organización
Actualmente existe una tendencia o movimiento a separar a la seguridad de la información de la división de IT.
Nivel de madurez de seguridad en las
Instituciones
Financieras
15151515
El desafío está en diseñar una estructura de reporte para los programas de Seguridad de la Información que equilibre los requerimientos de cada una de las partes interesadas.
¿A quién reporta el CSO?
Primer nivel: Función técnica dentro de IT.
Segundo nivel: Área de SI (Seguridad Informática)
Nivel de madurez de seguridad en las
Instituciones
Financieras
16161616
dentro de IT.
Tercer nivel: Reporting a un Comité.
Cuarto nivel: División de funciones de seguridad en la Compañía.
Cuarto nivel: División de funciones de seguridad en la Compañía
¿Quién define las directrices de seguridad? Area de seguridad funcional, políticas, concientización, riesgo y estrategia.
Nivel de madurez de seguridad en las
Instituciones
Financieras
17171717
riesgo y estrategia.¿Quién implementa la seguridad? Area de seguridad tecnológica. Administra e implementa.¿Quién controla la seguridad?Area de seguridad de monitoreo, control y respuesta anteincidentes.
El tamaño SI importa!!!
¿Cuántas personas conforman el Departamento?
¿Con quién me puedo comparar? ¿Con un competidor de mi propia industria? ¿Con otro de otro país?.
Nivel de madurez de seguridad en las
Instituciones
Financieras
18181818
de mi propia industria? ¿Con otro de otro país?.
Impacto de las tareas del Departamento.
Impacto de las regulaciones y legislación
que nos afecta.
El principal aspecto que define como está conformado un Departamento de Seguridad son las tareas que realiza.
Las mismas son definidas por cada Compañía y dependen de los grados de madurez, de la cultura organizacional, de las regulaciones locales e internacionales, entre otros
Nivel de madurez de seguridad en las
Instituciones
Financieras
19191919
las regulaciones locales e internacionales, entre otros aspectos.
Las tareas se pueden agrupar y así
armar los sectores internos dentro del
Departamento de Seguridad.
Los sectores que pueden conformar el Departamento de Seguridad son:
- Gestión de accesos (ABM usuarios, perfiles y accesos).
- Administración de la seguridad.
- Ingeniería de seguridad.
Nivel de madurez de seguridad en las
Instituciones
Financieras
20202020
- Ingeniería de seguridad.
- Estandarización de seguridad.
- Control y monitoreo.
- Prevención y manejo de incidentes.
- Etc.
Catálogo de
serviciosservicios
21212121
Nivel de madurez de seguridad en las
Instituciones
Financieras
22222222
Nivel de madurez de seguridad en las
Instituciones
Financieras
23232323
Nivel de madurez de seguridad en las
Instituciones
Financieras
24242424
Nivel de madurez de seguridad en las
Instituciones
Financieras
25252525
Nivel de madurez de seguridad en las
Instituciones
Financieras
26262626
La conformación del Departamento depende
de cuáles tareas se llevarán a cabo.
Si Seguridad no realiza las tareas, alguien más tendrá que realizarlas (IT, Auditoría, Proveedores, Riesgo, etc).
Nivel de madurez de seguridad en las
Instituciones
Financieras
27272727
Las tareas de Administración hay que negociarlas con IT.
Las tareas de Gestión de Accesos hay que
negociarlas con Help Desk.
Rol del CSORol del CSO
28282828
En base a nuevas regulaciones internas/externas van surgiendo nuevas tareas.
La tendencia es automatizar todas las tareas que sean posibles y que Seguridad gestione las herramientas automatizadas. Tener en cuenta: Outsourcing de Seguridad.
Nivel de madurez de seguridad en las
Instituciones
Financieras
29292929
Es muy importante definir el modelo de relación
con el resto de la Organización y comunicarlo.
El objetivo es dar VALOR AGREGADO.
El rol del CISO está cambiando de una función ‘técnica’ de gestión de soluciones técnicas a una función de ‘negocios’de gestión de los riesgos y cumplimiento de la información.
De la encuesta surge que las REGULACIONES SON DRIVERS CLAVES para llevar adelante un Plan de Seguridad.
Nivel de madurez de seguridad en las
Instituciones
Financieras
30303030
Se espera de nosotros que estemos al tanto, comprendamos y aseguremos el cumplimiento de estas regulaciones y leyes.
El CSO debe:
- Tener visibilidad hacia la organización.- Moverse en un plano estratégico y de negocios (y no solamente en un plano técnico).
- Ser proactivo y ayudar al negocio.- Aprovechar las oportunidades (reuniones, incidentes, etc.)
Nivel de madurez de seguridad en las
Instituciones
Financieras
31313131
- Aprovechar las oportunidades (reuniones, incidentes, etc.)y mostrar las capacidades de su equipo y gestión.
- Moverse políticamente en la organización.- Tener la habilidad de presentar resultados para que el
resto de la organización pueda entender claramente cuales son los riesgos y como estamos trabajando para mitigarlos.
- Muestren qué es lo que pasa en el mismo sector de su industria. Y qué es lo que está haciendo la competencia.
- Júntense con sus colegas (incluidos los de la competencia) a analizar las problemáticas existentes. Es una de las pocas áreas donde esto se puede hacer.
Nivel de madurez de seguridad en las
Instituciones
Financieras
32323232
- Las organizaciones donde vemos un mayor nivel de madurez de la Seguridad, se debe en gran parte al éxito del CSO.
- Apóyense en las regulaciones corporativas internacionales y en las auditorias.
¿Preguntas?