plan de seguridad fd2013
DESCRIPTION
Presentación de un Plan de Seguridad que define el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información, que se aplica a todo el Sistema de Gestión de Seguridad de la Información (SGSI).TRANSCRIPT
PLAN DE SEGURIDAD DE LA
INFORMACIÓN
FABIÁN DESCALZO
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Presentación – Principales puntos de la agenda
� Objetivo y Alcance
� Tecnología y Seguridad como servicio a los Objetivos Estratégicos del Negocio
� Dominios de la Seguridad de la Información
� Comité de Seguridad
� Análisis de Madurez de la Organización – Cumplimiento actual
� Regulaciones y Riesgos que condicionan la gestión de Negocio
� Marco documental que norma los Dominios de la Seguridad de la Información
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Objetivo
Define el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información, que se aplica a todo el Sistema de Gestión de Seguridad de la Información (SGSI).
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Alcance
Alcance del PlanEstablece las reglas y controles que se reflejarán en los diferentes procedimientos de la Organización, para asegurar la Confidencialidad, Integridad y Disponibilidad de la información previniendo y manejando los riesgos de seguridad en diversas circunstancias.
A quienes alcanza el PlanToda persona (empleado o tercera parte) que interactúe con la información de la empresa contenida en cualquier medio (magnético o físico) o que la divulgue de cualquier forma (por medios informatizados, de telecomunicaciones o por voz personalmente)
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Objetivo y Alcance
Alinear la Seguridad con
los Objetivos de la Empresa
Cambio de valor de lo físico al valor de la información
(intangibles)
Nuevos regímenes
regulatorios
Presión continua para la
reducción de costos
Nuevas tecnologías aplicadas al
resultado del Negocio
Interacción más dinámica entre los diferentes procesos de
negocios
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Estrategia de Negocio
y Servicios Tecnológicos
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
27000
Calidad + Seguridad + Gobernabilidad
PLAN DE NEGOCIO
OBJETIVOS ESTRATÉGICOS DEL NEGOCIO
Objetivo de servicio
de SI
Objetivo de servicio
de IT
Estrategia de Negocio
y Servicios Tecnológicos
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Confidencialidad, Integridad y
Disponibilidad
Operatividad y Gobernabilidad
CALIDAD
Estrategia de Negocio
y Servicios Tecnológicos
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Plan Estratégico de
la EmpresaMarca
ReputaciónPlan
Estratégico de Seguridad
PLAN DE NEGOCIO
Dominios identificados
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Dominios identificados
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
ORGANIZACIONALEstablece el marco formal de seguridad que debe sustentar la Organización, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología
LÓGICAEstablece e integra los mecanismos y procedimientos, que permitan monitorear el acceso informatizado a los activos de información
LEGALIntegra los requerimientos de seguridad que deben cumplir todos los empleados,
socios y usuarios de la red corporativa bajo la reglamentación de la normativa
interna de políticas y manuales de procedimientos de la Organización
FÍSICAIdentifica los límites mínimos que se deben
cumplir en cuanto a perímetros de seguridad y acceso físico con base en la
importancia de los activos.
Organización – Entorno Corporativo
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Marco Normativo
Recursos Humanos
Recursos de
Hardware
Recursos de
Software
Organización - Comité de Seguridad
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
CSOChief Security Officer
Responsable máximo de la Seguridad de la Información, de todos los procesos que
integran el SGSI y de la Política de Seguridad de la Información y su Marco
Normativo de la Organización.
Gerente de Tecnología y Sistemas
Responsable de disponibilizar y gestionar los sistemas de tratamiento y
procesamiento de información, así como los recursos tecnológicos asociados y
comunicaciones.
Gerente de Administración y Finanzas
Responsable de velar por la gestión financiera y económica, tanto en lo preventivo
como correctivo relacionado a cualquier actividad del SGSI.
Gerente de Recursos Humanos
Responsable de velar por el cumplimiento del código de ética de la Organización, y
de brindar asesoramiento en el alcance de medidas relacionadas con lo laboral
acorde a la regulación impuesta por el Ministerio de Trabajo
Gerente de Mantenimiento e Intendencia
Responsable de velar por el cumplimiento de las condiciones físicas del entorno de
la información, tanto en su infraestructura como en los controles físicos de acceso y
ambientales, y de brindar asesoramiento en el alcance de acciones relacionadas con
medidas preventivas o correctivas edilicias relacionadas con la seguridad de la
información y las personas acorde a la regulación de las entidades Municipales y
Nacionales que corresponda.
Representante Legal Representante del Directorio y responsable de velar por el cumplimiento legal y
regulatorio, a nivel Nacional e Internacional, en cada una de las actividades
desarrolladas en el marco del SGSI, y de brindar asesoramiento en el alcance de
medidas relacionadas con la realización de contratos de todo tipo, mediaciones,
juicios y definiciones técnico-legales relacionadas a cualquier actividad del SGSI.
Organización – Tecnología y Funcionales
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
REVISIÓN DE CONTROLES Y REGISTROS APLICACBLES
ALCANCES DE COMPLIANCE• Estándares de seguridad• Certificación de cuentas• Privilegios / Permisos
PLANIFICACIÓN EN EQUIPO• Líder Funcional• Líder Tecnológico• Líder de Seguridad Informática
PROYECTOS - OPERACIÓN
ASPECTOS Y REQUISITOS ADICIONALES• Cuentas asociadas a las aplicaciones• Excepciones a parámetros de seguridad• Condicionamiento a la activación de
auditoría• Interfaces y carpetas compartidas
IMPLEMENTACIÓNIncluye revisión de parámetros de seguridad y revisión de cuentas de usuario
Obtención de registros
DOCUMENTAR
• Alcanza a las bases de datos de Clientes, Proveedores y Empleados, y el Spam que es ilegal bajo el art. 27
Regulaciones y cumplimiento
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Ley N° 25.326 Protección de Datos Personales
Ley N° 26.388 Delitos Informáticos
ISO 9001:2008
• Distribución y tenencia con fines de distribución de pornografía infantil
• Violación de correo electrónico • Acceso ilegítimo a sistemas informáticos • Daño informático y distribución de virus • Daño informático agravado • Interrupción de comunicaciones y envío masivo de
correos que obstruya un sistema informático
• Sistema de Gestión de Calidad, adquirido por el Negocio como estándar de aseguramiento de calidad de sus servicios
Regulaciones y cumplimiento
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Regulaciones y cumplimiento
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Riesgos asociados al Negocio
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Probabilidad de Ocurrencia
Nivel de Impacto
NEGOCIO• Pérdida de rendimiento• Daños materiales (elevación
de costos, pérdida monetaria, entre otros, daños físicos)
SERVICIOS DE TI y SI• El porcentaje de objetivos de TI y SI que dan
soporte al plan estratégico del Negocio• Cantidad de escalamientos o problemas sin
resolver debido a la carencia o insuficiencia de asignaciones de responsabilidad
• Cantidad de ocasiones en que se puso en riesgo la información confidencial
• Cantidad de interrupciones al negocio debidas a interrupciones en el servicio de TI
• Cantidad y tipo de modificaciones de emergencia a componentes de la infraestructura
• Porcentaje de plataformas que no están de acuerdo con los estándares de seguridad, arquitectura y tecnología, etc
Riesgos asociados al Negocio
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
RIESGOSNEGOCIO
• Definir tipos de riesgos• Identificar riesgos asociados• Establecer parámetros de medición• Elegir una metodología de tratamiento• Analizar y evaluar riesgos• Crear un Plan de Mitigación
• Identificar procesos• Analizar entorno regulatorio• Analizar cultura interna• Analizar madurez operativa• Analizar entorno documental
MATRIZ DE RIESGO
DIRECTORIO
Riesgos asociados al Negocio
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Evaluación y tratamiento de riesgos de seguridad
Planificación de Administración de Riesgos
•Alcance
•Metodología
Identificación de Riesgos
•Activos
•Amenazas
•Vulnerabilidades
Análisis de Riesgos
•Riesgos
•Costos / Beneficios
Plan de Acción
•Tratamiento
•Aceptar riesgo residualMonitoreo de los
Riesgos
Mitigar• Controles
Transferir• Seguros• Proveedores
Aceptar• No hacer nada
Evitar• Cesar la actividad que
lo origina
Riesgos asociados al Negocio
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el cual se presentan la totalidad de los riesgos.
“Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se detallan todos aquellos riesgos para los cuales la respuesta al riesgo residual es distinta de “se asume” y por consiguiente se ha especificado un plan de acción con los controles/actividades tendientes a mitigar el riesgo.
“Administración de Riesgos (Actualización al DD/MM/AAAA)”,• Detalle de nuevos riesgos y factores incorporados• Detalle de riesgos y factores dados de baja, con la correspondiente
justificación de esta acción• Detalle de riesgos para los cuales se registran cambios en la
evaluación, incluyendo la evaluación anterior, la evaluación actual y la justificación del cambio realizado
Controles asociados al Negocio
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Principales objetivos de controlControl Alcance
1,00 Auditoría, evidencias y monitoreo2,00 Autenticación y control de acceso3,00 Confidencialidad y No-Repudiación4,00 Personal externo y contratistas5,00 Tolerancia a fallas, backup y recuperación6,00 Respuesta y reporte de incidentes7,00 Mantenimiento y operaciones8,00 Red de datos9,00 Acceso físico
10,00 Documentación electrónica y en papel11,00 Accesos remotos12,00 Concientización y entrenamiento en Seguridad13,00 Política de administración de la seguridad14,00 Configuración del sistema15,00 Desarrollo de sistemas y control de cambios16,00 Proveedores, profesionales y prestadores
InterpretaciónTecnología
InterpretaciónUnidades
Administrativas
InterpretaciónUnidades de
Servicio
Marco Documental
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Disponer de un marco documental asegura el
tratamiento de los datos propios o de terceros y los procesos de negocio para
dar cumplimiento a:
Habeas Data
Requerimientos legales y
reglamentarios del negocio
Frameworks que aportan valor
agregado al negocio
Marco Documental
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Desarrollar y fomentar una cultura y comportamiento que debe aplicarse en la protección de la información en todas las
actividades relacionadas con los procesos de Negocio de la Organización
VISION
Seguridad Física Comportamiento en el lugar de trabajo
Comportamientopúblico
Seguridad Lógica
Marco Documental
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
La Información ofrecida desde las Áreas Usuarias ayudan a establecer ydocumentar medidas preventivas y obtener un Plan de la Seguridad de laInformación , que incluye:
Identificación del riesgo potencial y de exposición por objetivo de control
Clasificación de la información, estableciendo su importancia
de acuerdo a su nivel de Confidencialidad, Integridad y
Disponibilidad necesaria
Otros documentosAnálisis de procesos del área, Mapa de interacción con otras áreas, Nómina
de Proveedores Críticos, Nómina de personal en cont ingencia, Lista de requerimientos mínimos del área, etc.
Marco Documental
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Seguridad y Gobernabilidad Asociadas
Política General y Normas de Seguridad
Familia ISO 27000
Normas, procedimientos
Estándares Registros
Procesos de NegocioNorma ISO 9001 / Norma ISO 20000
Documentación asociada a las áreas
administrativas
Procedimientos Formularios
Documentación de los sistemas y operaciones
Manuales Instructivos
Marco Documental
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Nivel 4 = REGISTROSProporciona las pruebas objetivas del cumplimiento
Nivel 3 = INSTRUCTIVOS / CHECKLIST / FORMULARIOSDescribe las actividades y tareas específicas , indicando como se realizan
Nivel 2 = PROCEDIMIENTOSDescribe procesos (qué, quien, cuando, donde)
Nivel 1 = MANUAL DE SEGURIDADPolíticas, alcance, evaluación de riesgos, declaración de aplicabilidad
Un Marco Normativo sobre estas bases permite contar con la certeza sobre laInformación de respaldo y pruebas objetivas para el control y desarrollo de la Seguridadde la Información.
Marco Documental
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Conocer su responsabilidad en cuanto a la Seguridad de la Información y lo que se espera de él.
Entrenamiento inicial y continuo a sus colegas de área, y aporte en el mantenimiento activo de la documentación y los controles
Conocer las políticas organizacionales, haciendo hincapié en el cumplimiento de la Política de Seguridad.
Incrementar la conciencia de la necesidad de proteger la información y aentrenar a los usuarios en la utilización de la misma para que ellos puedanllevar a cabo sus funciones en forma segura, minimizando la ocurrencia deerrores y pérdidas.
Conclusiones
CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE
Muchas gracias
CERTIFICACION EN DIRECCION DE
SEGURIDAD DE LA INFORMACION |2013
FABIÁN DESCALZO
PLAN DE SEGURIDAD DE LA INFORMACIÓN