plan de seguridad fd2013

PLAN DE SEGURIDAD DE LA

INFORMACIÓN

FABIÁN DESCALZO

CERTIFICACION EN DIRECCION DE SEGURIDAD DE LA INFORMACION |2013Trabajo Final – Organización CAECE

Presentación – Principales puntos de la agenda

� Objetivo y Alcance

� Tecnología y Seguridad como servicio a los Objetivos Estratégicos del Negocio

� Dominios de la Seguridad de la Información

� Comité de Seguridad

� Análisis de Madurez de la Organización – Cumplimiento actual

� Regulaciones y Riesgos que condicionan la gestión de Negocio

� Marco documental que norma los Dominios de la Seguridad de la Información


Objetivo

Define el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información, que se aplica a todo el Sistema de Gestión de Seguridad de la Información (SGSI).


Alcance

Alcance del PlanEstablece las reglas y controles que se reflejarán en los diferentes procedimientos de la Organización, para asegurar la Confidencialidad, Integridad y Disponibilidad de la información previniendo y manejando los riesgos de seguridad en diversas circunstancias.

A quienes alcanza el PlanToda persona (empleado o tercera parte) que interactúe con la información de la empresa contenida en cualquier medio (magnético o físico) o que la divulgue de cualquier forma (por medios informatizados, de telecomunicaciones o por voz personalmente)


Objetivo y Alcance

Alinear la Seguridad con

los Objetivos de la Empresa

Cambio de valor de lo físico al valor de la información

(intangibles)

Nuevos regímenes

regulatorios

Presión continua para la

reducción de costos

Nuevas tecnologías aplicadas al

resultado del Negocio

Interacción más dinámica entre los diferentes procesos de

negocios


Estrategia de Negocio

y Servicios Tecnológicos


27000

Calidad + Seguridad + Gobernabilidad

PLAN DE NEGOCIO

OBJETIVOS ESTRATÉGICOS DEL NEGOCIO

Objetivo de servicio

de SI

Objetivo de servicio

de IT




Confidencialidad, Integridad y

Disponibilidad

Operatividad y Gobernabilidad

CALIDAD




Plan Estratégico de

la EmpresaMarca

ReputaciónPlan

Estratégico de Seguridad

PLAN DE NEGOCIO

Dominios identificados


Dominios identificados


ORGANIZACIONALEstablece el marco formal de seguridad que debe sustentar la Organización, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología

LÓGICAEstablece e integra los mecanismos y procedimientos, que permitan monitorear el acceso informatizado a los activos de información

LEGALIntegra los requerimientos de seguridad que deben cumplir todos los empleados,

socios y usuarios de la red corporativa bajo la reglamentación de la normativa

interna de políticas y manuales de procedimientos de la Organización

FÍSICAIdentifica los límites mínimos que se deben

cumplir en cuanto a perímetros de seguridad y acceso físico con base en la

importancia de los activos.

Organización – Entorno Corporativo


Marco Normativo

Recursos Humanos

Recursos de

Hardware

Recursos de

Software

Organización - Comité de Seguridad


CSOChief Security Officer

Responsable máximo de la Seguridad de la Información, de todos los procesos que

integran el SGSI y de la Política de Seguridad de la Información y su Marco

Normativo de la Organización.

Gerente de Tecnología y Sistemas

Responsable de disponibilizar y gestionar los sistemas de tratamiento y

procesamiento de información, así como los recursos tecnológicos asociados y

comunicaciones.

Gerente de Administración y Finanzas

Responsable de velar por la gestión financiera y económica, tanto en lo preventivo

como correctivo relacionado a cualquier actividad del SGSI.

Gerente de Recursos Humanos

Responsable de velar por el cumplimiento del código de ética de la Organización, y

de brindar asesoramiento en el alcance de medidas relacionadas con lo laboral

acorde a la regulación impuesta por el Ministerio de Trabajo

Gerente de Mantenimiento e Intendencia

Responsable de velar por el cumplimiento de las condiciones físicas del entorno de

la información, tanto en su infraestructura como en los controles físicos de acceso y

ambientales, y de brindar asesoramiento en el alcance de acciones relacionadas con

medidas preventivas o correctivas edilicias relacionadas con la seguridad de la

información y las personas acorde a la regulación de las entidades Municipales y

Nacionales que corresponda.

Representante Legal Representante del Directorio y responsable de velar por el cumplimiento legal y

regulatorio, a nivel Nacional e Internacional, en cada una de las actividades

desarrolladas en el marco del SGSI, y de brindar asesoramiento en el alcance de

medidas relacionadas con la realización de contratos de todo tipo, mediaciones,

juicios y definiciones técnico-legales relacionadas a cualquier actividad del SGSI.

Organización – Tecnología y Funcionales


REVISIÓN DE CONTROLES Y REGISTROS APLICACBLES

ALCANCES DE COMPLIANCE• Estándares de seguridad• Certificación de cuentas• Privilegios / Permisos

PLANIFICACIÓN EN EQUIPO• Líder Funcional• Líder Tecnológico• Líder de Seguridad Informática

PROYECTOS - OPERACIÓN

ASPECTOS Y REQUISITOS ADICIONALES• Cuentas asociadas a las aplicaciones• Excepciones a parámetros de seguridad• Condicionamiento a la activación de

auditoría• Interfaces y carpetas compartidas

IMPLEMENTACIÓNIncluye revisión de parámetros de seguridad y revisión de cuentas de usuario

Obtención de registros

DOCUMENTAR

• Alcanza a las bases de datos de Clientes, Proveedores y Empleados, y el Spam que es ilegal bajo el art. 27

Regulaciones y cumplimiento


Ley N° 25.326 Protección de Datos Personales

Ley N° 26.388 Delitos Informáticos

ISO 9001:2008

• Distribución y tenencia con fines de distribución de pornografía infantil

• Violación de correo electrónico • Acceso ilegítimo a sistemas informáticos • Daño informático y distribución de virus • Daño informático agravado • Interrupción de comunicaciones y envío masivo de

correos que obstruya un sistema informático

• Sistema de Gestión de Calidad, adquirido por el Negocio como estándar de aseguramiento de calidad de sus servicios

Regulaciones y cumplimiento


Riesgos asociados al Negocio


Probabilidad de Ocurrencia

Nivel de Impacto

NEGOCIO• Pérdida de rendimiento• Daños materiales (elevación

de costos, pérdida monetaria, entre otros, daños físicos)

SERVICIOS DE TI y SI• El porcentaje de objetivos de TI y SI que dan

soporte al plan estratégico del Negocio• Cantidad de escalamientos o problemas sin

resolver debido a la carencia o insuficiencia de asignaciones de responsabilidad

• Cantidad de ocasiones en que se puso en riesgo la información confidencial

• Cantidad de interrupciones al negocio debidas a interrupciones en el servicio de TI

• Cantidad y tipo de modificaciones de emergencia a componentes de la infraestructura

• Porcentaje de plataformas que no están de acuerdo con los estándares de seguridad, arquitectura y tecnología, etc



RIESGOSNEGOCIO

• Definir tipos de riesgos• Identificar riesgos asociados• Establecer parámetros de medición• Elegir una metodología de tratamiento• Analizar y evaluar riesgos• Crear un Plan de Mitigación

• Identificar procesos• Analizar entorno regulatorio• Analizar cultura interna• Analizar madurez operativa• Analizar entorno documental

MATRIZ DE RIESGO

DIRECTORIO



Evaluación y tratamiento de riesgos de seguridad

Planificación de Administración de Riesgos

•Alcance

•Metodología

Identificación de Riesgos

•Activos

•Amenazas

•Vulnerabilidades

Análisis de Riesgos

•Riesgos

•Costos / Beneficios

Plan de Acción

•Tratamiento

•Aceptar riesgo residualMonitoreo de los

Riesgos

Mitigar• Controles

Transferir• Seguros• Proveedores

Aceptar• No hacer nada

Evitar• Cesar la actividad que

lo origina



“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el cual se presentan la totalidad de los riesgos.

“Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se detallan todos aquellos riesgos para los cuales la respuesta al riesgo residual es distinta de “se asume” y por consiguiente se ha especificado un plan de acción con los controles/actividades tendientes a mitigar el riesgo.

“Administración de Riesgos (Actualización al DD/MM/AAAA)”,• Detalle de nuevos riesgos y factores incorporados• Detalle de riesgos y factores dados de baja, con la correspondiente

justificación de esta acción• Detalle de riesgos para los cuales se registran cambios en la

evaluación, incluyendo la evaluación anterior, la evaluación actual y la justificación del cambio realizado

Controles asociados al Negocio


Principales objetivos de controlControl Alcance

1,00 Auditoría, evidencias y monitoreo2,00 Autenticación y control de acceso3,00 Confidencialidad y No-Repudiación4,00 Personal externo y contratistas5,00 Tolerancia a fallas, backup y recuperación6,00 Respuesta y reporte de incidentes7,00 Mantenimiento y operaciones8,00 Red de datos9,00 Acceso físico

10,00 Documentación electrónica y en papel11,00 Accesos remotos12,00 Concientización y entrenamiento en Seguridad13,00 Política de administración de la seguridad14,00 Configuración del sistema15,00 Desarrollo de sistemas y control de cambios16,00 Proveedores, profesionales y prestadores

InterpretaciónTecnología

InterpretaciónUnidades

Administrativas

InterpretaciónUnidades de

Servicio

Marco Documental


Disponer de un marco documental asegura el

tratamiento de los datos propios o de terceros y los procesos de negocio para

dar cumplimiento a:

Habeas Data

Requerimientos legales y

reglamentarios del negocio

Frameworks que aportan valor

agregado al negocio

Marco Documental


Desarrollar y fomentar una cultura y comportamiento que debe aplicarse en la protección de la información en todas las

actividades relacionadas con los procesos de Negocio de la Organización

VISION

Seguridad Física Comportamiento en el lugar de trabajo

Comportamientopúblico

Seguridad Lógica

Marco Documental


La Información ofrecida desde las Áreas Usuarias ayudan a establecer ydocumentar medidas preventivas y obtener un Plan de la Seguridad de laInformación , que incluye:

Identificación del riesgo potencial y de exposición por objetivo de control

Clasificación de la información, estableciendo su importancia

de acuerdo a su nivel de Confidencialidad, Integridad y

Disponibilidad necesaria

Otros documentosAnálisis de procesos del área, Mapa de interacción con otras áreas, Nómina

de Proveedores Críticos, Nómina de personal en cont ingencia, Lista de requerimientos mínimos del área, etc.

Marco Documental


Seguridad y Gobernabilidad Asociadas

Política General y Normas de Seguridad

Familia ISO 27000

Normas, procedimientos

Estándares Registros

Procesos de NegocioNorma ISO 9001 / Norma ISO 20000

Documentación asociada a las áreas

administrativas

Procedimientos Formularios

Documentación de los sistemas y operaciones

Manuales Instructivos

Marco Documental


Nivel 4 = REGISTROSProporciona las pruebas objetivas del cumplimiento

Nivel 3 = INSTRUCTIVOS / CHECKLIST / FORMULARIOSDescribe las actividades y tareas específicas , indicando como se realizan

Nivel 2 = PROCEDIMIENTOSDescribe procesos (qué, quien, cuando, donde)

Nivel 1 = MANUAL DE SEGURIDADPolíticas, alcance, evaluación de riesgos, declaración de aplicabilidad

Un Marco Normativo sobre estas bases permite contar con la certeza sobre laInformación de respaldo y pruebas objetivas para el control y desarrollo de la Seguridadde la Información.

Marco Documental


Conocer su responsabilidad en cuanto a la Seguridad de la Información y lo que se espera de él.

Entrenamiento inicial y continuo a sus colegas de área, y aporte en el mantenimiento activo de la documentación y los controles

Conocer las políticas organizacionales, haciendo hincapié en el cumplimiento de la Política de Seguridad.

Incrementar la conciencia de la necesidad de proteger la información y aentrenar a los usuarios en la utilización de la misma para que ellos puedanllevar a cabo sus funciones en forma segura, minimizando la ocurrencia deerrores y pérdidas.

Conclusiones


Muchas gracias

CERTIFICACION EN DIRECCION DE

SEGURIDAD DE LA INFORMACION |2013

FABIÁN DESCALZO

PLAN DE SEGURIDAD DE LA INFORMACIÓN

plan de seguridad fd2013

Presentations & Public Speaking