seguridad y proteccion de la informaciÓn · seguridad y proteccion de la informaciÓn eduardo...

SEGURIDAD Y PROTECCION DE LA INFORMACIÓN

Eduardo Cardín, CISA, CISM

Objetivos

• Proporcionar los elementos principales y enfoque para la protección de los activos de información necesarios para minimizar riesgos, amenazas y para garantizar la confidencialidad, integridad y disponibilidad de la información

2

Importancia / Necesidad de Controles y Seguridad de la

Información

3

Seguridad de la Información

• Confidencialidad• Integridad• Disponibilidad

4

• La confidencialidad se refiere a la protección de información sensitivacontra revelación no autorizada.

5


• La confidencialidad es contemplada no solamente por el riesgo del acceso no autorizado de información electrónicamente almacenada, sino también por el riesgo de que la información sea interceptada durante una transmisión de información

6


• Integridad : informacióncompleta, precisay válida

7


• Disponibilidad : se refiere a que la información estéapta/disponiblecuando sea requerida por los procesosoperacionales de la Cooperativa

8


Retos

• El sistema financiero cooperativo enfrenta varios retos, entrelazados y esenciales para el crecimiento sostenible.

9

“La difusión de la tecnología y la comercialización de la información ha transformado el papel de la información en un recurso de igual importancia que los recursos tradicionalmente importantes de tierra, trabajo y capital.”

Drucker, Peter;

‘Management

Challenges for the

21st Century’,

Harpers Business, 1993

10

Dimensiones de Retos

11

• Los socios necesitan confiar que tanto sus activos financieros como sus activos de información están seguros en la Cooperativa

12

• La seguridad de la información es de especial importancia cuando dicha información está vinculada directamente a un individuo.

13

• Las organizaciones están enfrentando

una transformación en sus prácticas de

administración de la información.

• Debido al escenario de riesgos de la

seguridad de la información y el entorno

de requerimientos regulatorios es de

importancia fortalecer la gobernanza de

la organización, la seguridad y los

controles.

*Estructuras de procesos, políticas, normas y prácticas utilizadas para la administración y dirección de una empresa

Retos

14

• La información y los sistemas que la manejan son críticos para el funcionamiento de prácticamente todas las organizaciones.

• El acceso a información confiable se ha convertido en un componente indispensable de las prácticas de negocios. De hecho, en un número creciente de organizaciones, la información es el negocio.

Retos

15

• El número creciente de amenazas de la

seguridad de la información ha

reenfocado la seguridad cibernética

como un problema de negocio y no uno

simplemente tecnológico.

Retos

16

• Los ataques cibernéticos están aumentando con pocos indicios de disminución.

• Las aplicaciones web son la vía de ataque más popular .

• Sitios de comercio electrónico fueron el activo principal.

Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT

Escenario Actual de Seguridad

17

• Los datos son una mercancía viable para los delincuentes.

• Datos de tarjetas de crédito, números de Seguro Social y la propiedad intelectual todos tienen un precio en el mercado negro .

• El riesgo es aún mayor para las empresas orientadas al consumidor.


Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT 18

• Las empresas siguen adoptando modelos externalizados de operaciones de TI . En el 63 % de las investigacionesde respuesta a incidentes realizadas porTrustwave, un componente importante de apoyo de TI se subcontrató a una terceraparte.



• El outsourcing puede ayudar a lasempresas obtener, servicios eficaces de costo de usar TI , sin embargo , lasempresas tienen que entender el riesgoque sus proveedores pueden introducir y trabajar proactivamente para disminuirese riesgo.



• Hay un mercado subterráneo bien establecidopara los datos robados de tarjetas de pago, quese compran y se venden rápidamente para suuso en las transacciones fraudulentas



• Las medidas de seguridad básicas todavía no son adecuadas.

• Los usuarios están utilizando el mínimo de medidas de seguridad.

• Las contraseñas débiles continúan siendo un riesgo notable .



• Las contraseñas débiles continúan siendo un riesgo notable

• “123456" es la contraseña más utilizada

seguida por "password" y "admin"



• Los datos de tarjetas de pago continúa

encabezando la lista de los tipos de datos

comprometidos

• Se observó un aumento del 33% en el robo de

información sensible y confidencial, como las

credenciales financieras, comunicaciones

internas, información de identificación

personal y registros de clientes.



• El comercio electrónico representa el 54% de los ataques.

• 85% de los programa maliciosos que manipulaban alguna deficiencia o vulnerabilidad (“exploits”), residían en programas tipo “plug-ins”(programas que se instalan para reconocer y procesar determinados tipos de archivo) incluyendo Java y Adobe Flash, Acrobat y Reader.

• Las contraseñas débiles abrieron la puerta para la intrusión inicial en el 31 % de los eventos de compromisos de la seguridad.



• Los atacantes siguen utilizando los vínculos y

archivos adjuntos maliciosos como método de

entrada en un negocio.

• El spam representó el 70% de los correos

entrantes

• 59% del spam malicioso incluye archivos

adjuntos

• El 41% del spam incluye enlaces maliciosos



Títulos principales de correos electrónicos con programasmalisiosos:

• Some important information is missing• Bank Statement. Please read• Important - Payment Overdue• ATTN: Early 2013 Tax Return Report!• ATTN: Important Bank Documents• Important Bank Documents• IRS: Early 2013 Tax Return Report!• New Fax Message on [date]• Payroll Invoice• You have 1 message• Important Information for Employers• Mail - Lost / Missing package


Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT27

• 96% de las aplicaciones examinadas por Trustwave albergaba uno o más graves vulnerabilidades de seguridad

• El 71% de las víctimas de compromiso de seguridad no detectaron el evento

• La mediana del número de días a partir de la intrusión inicial hasta la detección fue de 87 días.

• La mediana del número de días desde la detección a la contención fue de siete días



• Vulnerabilidades de día cero es uno de los aspectos más codiciados en el mercado subterráneo.

• Los Estados Unidos supera a los demás países, con un total del 42% del malware alojado en el año 2013. Rusia siguió en segundo lugar con 13% y Alemania quedó en tercer lugar en9%. La mayoría del malware alojado en los Estados Unidos reside en servidores comprometidos.




• Estadísticas de Robo de Identidad / Fraude

Promedio anual del número de víctimas de fraude

de identidad en EE.UU. 11,571,900

Porcentaje de hogares estadounidenses que

reportaron algún tipo de fraude de identidad7%

Promedio de pérdida financiera media por

incidente de robo de identidad$4,930

Pérdida financiera total atribuido al robo de

identidad en 2013

$21

millardos

Pérdida financiera total atribuido al robo de

identidad en 2010

$13.2

millardos

Fuente: Departamento de Justicia Federal, Javelin Strategy & Research

Fecha de Estudio: 6.18.2013 30

• El robo de identidad sigue siendo uno de los crímenes de más rápido crecimiento

Fuente: http://www.idtheftcenter.org


31

Fuente: http://www.idtheftcenter.orgAño Eventos

Cantidad Registros Expuestos

2005 157 66,853,2012006 321 19,137,8442007 446 12,771,7242008 656 35,691,2552009 498 222,477,0432010 662 16,167,5422011 419 22,918,4412012 447 17,317,1842013 614 91,982,172

Total 4,220 505,316,406


32

6/2/2014 Union Labor Life Insurance Company

• Información de 46,771 personas pueden estar

expuesta debido a un robo de computadora

portátil en las oficinas de la compañía en

Silver Springs, Maryland

Fuente:


33

5/5/2014 Santander Maryland

• Incidente ocurrido como parte de uso

indebido de la información de clientes por

parte de un empleado que tuvo acceso a los

sistemas de información con el propósito

vender la información a terceros


Fuente:

34

5/21/2014 eBay

• eBay recomendó a los usuarios que cambien

sus contraseñas debido a un "ciberataque"

que impactó una base de datos que contenía

contraseñas de cuentas de acceso y datos no

financieros de clientes.


Fuente:

35

4/22/2014 Federal Home Loan Mortgage

Corporation (Freddie Mac)

• Freddie Mac informó que se produjo una

violación de la seguridad de sus sistemas de

información.


Fuente:

36

1/16/2014 TD Bank New Jersey

• Empleado obtuvo indebidamente la

información de 6 clientes y la suministró a

entidad no asociada con TD Bank. La

información personal puedo haber incluido el

nombre, dirección y números de cuentas.


Fuente:

37

3/18/2014 Internal Revenue Service (DC)

• Un empleado del IRS se llevó a su casa la información personal en cerca de 20,000 trabajadores del IRS, antiguos trabajadores y contratistas, poniendo en riesgo la divulgación de la información. El empleado se llevó a casa una unidad de memoria que contenía nombres, números de Seguro Social y las direcciones de los trabajadores, y conectado la unidad en una red doméstica no segura.


Fuente:

38

5/11/2014 Green's Accounting (CA)

• Se reportó robo en las oficinas. Los ladrones

robaron servidor, equipos de comunicaciones

y algunas computadoras.


Fuente:

39

• 12/20/2013 StakerLaw Tax and Estate

Planning Law (TX)

• Se reportó robo de copia de resguardo

localizada en la residencia de empleado. Ese

medio contenía archivos de clientes,

incluyendo números de seguro social de los

clientes y otra información de activos.


Fuente:

40

Seguridadde la

Información

Asegurar la ContínuaDisponibilidad de la

Información

Objetivos de la Seguridad de la Información

41

• La seguridad de la información es de especial importancia cuando dicha información está vinculada directamente a un individuo.


42

• Asegurar el cumplimiento de los requerimientos de confianza depositada y con las obligaciones en relación a cualquier información relativa a una persona.


43


• Preservar la confidencialidad de los datos

sensibles en el almacenamiento y

tránsito

• Velar por la integridad de la información

almacenada en los sistemas informáticos

• Asegurar la continua disponibilidad de

los sistemas de información

44


• Asegurar cumplimiento de las leyes aplicables, reglamentos y normas

• Asegurar el cumplimiento de los requerimientos de confianza depositada y con las obligaciones con respecto a la información relativa a los socios, clientes y empleados. La seguridad de la información es de especial importancia cuando dicha información está vinculada directamente a un individuo

45

Importancia / Necesidad de la Seguridad de la Información

• La seguridad de la información en una

función crítica para las operaciones de las

Cooperativas.

• El éxito institucional está estrechamente

asociado con la capacidad de administrar los

riesgos de manera apropiada de uno de los

activos principales: la información que reside

en los sistemas de información.

46


• Tradicionalmente el enfoque de la seguridad había estado en la protección de los sistemas informáticos que procesan y almacenan la gran mayoría de la información, en lugar de la información en sí misma.

• Este enfoque es limitado para llevar a cabo el nivel de integración, la confirmación de procesos y la protección global que es requerida en la actualidad.

47

• El factor crítico para la protección de activos de información y la privacidad es el establecimiento de una administración eficaz de la seguridad de la información.


48

Razones para una Administración Efectiva

Alta Dependencia de los Sistemas de Información

OperacionesPréstamos

Contabilidad Hipotecas

Cuentas deAhorro

Cuentas Corrientes

49

Creciente Vulnerabilidad y Amenazas a los

Sistemas de Información

Accesos no autorizados

Pérdida de datos

Errores Humanos

Desastres NaturalesDivulgación no autorizada

de información

Sistemasno

adecuados

Robo de Identidad Fraude


50

Escala y Costo de lasInversiones Actuales y Futuras en Tecnología

Suplidoresde Servicios

EquipoProgramas

Recurso Humano


51

Potencial para cambiar lasprácticas de negocio,

crear nuevas oportunidadesy reducir costos

Eficiencia Nuevos Productos

Mejor Servicio


52

Cumplimiento con Requerimientos Legales

y Regulatorios

Los controles en los sistemas de información son un elemento importante en la supervisión, evaluación y clasificación de las cooperativas


53

Dirección EfectivaBuenas Prácticas

CumplimientoRegulatorio


54

Entorno Regulatorio

con Respecto a la Seguridad

55

Entorno Regulatorio• Ley 255• Reglamentos y Guías COSSEC (Reglamento 7051, Guía de Ay uda Técnica -Controles

Internos, ect.)• Ley Núm. 111 del año 2005• Ley núm. 207 del año 2006• Ley Núm. 187 del año 2006• Reglamento sobre las restricciones en el uso del n úmero de seguro social conforme

dispone la ley núm. 207 de 27 de septiembre 2006 ( Departamento del Trabajo)• Bank Secrecy Act/Anti-Money Laundering (BSA/AML)• Fair and Accurate Credit Transactions Act (FACTA)• Gramm-Leach-Bliley Act (GLBA)• Payment Card Industry Data Security Standard (PCI-DSS)• Check 21• Fair and Accurate Credit Transactions Act (FACTA)• Truth in Lending Act - "Regulation Z“• Availability of Funds and Collection of Checks ("Regula tion CC")• Office of Foreign Assets Control (OFAC)• Truth in Savings Act• Children's Online Privacy Protection Act (COPPA)• Electronic Funds Transfer Act - "Regulation E“• STRONG Authentication• Carta Circular 2011-15 (COSSEC)• Carta Informativa 2014-3 (COSSEC)

56

Entorno Regulatorio

• Visión de PortafolioLeyes

Reglamentos

Guías

Estándares

Requerimientos de Control

57

Requerimientos COSSEC

• Establecimiento de marcos de trabajo de gobierno de tecnología

• Planificación y organización

• Evaluación y administración de riesgos

• Administración de proyectos

• Adquisición, implantación y mantenimiento de soluciones tecnológicas

• Administración de cambios

• Administración de servicios de terceros / niveles de servicio

• Monitoreo del desempeño y la capacidad de los recursos tecnológicos

• Continuidad de negocio

• Seguridad y protección de la información

• Administración de la configuración

• Administración de incidentes / problemas

• Administración de datos

• Cumplimiento con Requerimientos Externos

58

Ley núm. 207

•El número de Seguro Social solo podráser transmitido en documentos digitales uelectrónicos siempre y cuando existanmecanismos que garanticen laconfidencialidad de la informacióntransmitida .


59

Bank Secrecy Act/Anti-Money Laundering (BSA/AML)

Monitoreo de Transacciones


Administraciónde Riesgos

Precisión, integridad y Validez de la

Información

Enfasis del proceso de la evaluación de riesgoque una institución financiera utiliza paraidentificar y desarrollar su perfil general delriesgo.

Monitoreo de transacciones y herramientas paraanalizar e identificar información sobre patronesde actividades sospechosas utilizando sistemasque permitan analizar datos de transacciones quepermitan clasificar los datos por varios criterios

Evaluar los datos relacionados a la informaciónrecopilada en el Programa de Identificación deClientes, datos sobre transferencias electrónicasque las insituciones financieras procesan cadadía, el número de clientes extranjeros y privadosy la localidad geográfica de las transacciones

Herramientas tecnológicas para apoyo en lasfunciones para las iniciativas de cumplimiento de“Know Your Customer” y programas deidentificación de clientes

60






Información

Definir perfiles de riesgos relacionados con laregulación. Esto envuelve definir categorías deriesgo específicas (tales como productos,servicios, clientes, entidades, o ubicacionesgeográficas) exclusivo a la insitución financiera

Informes de transferencias electrónicasdomésticas e internacionales realizadasdiariamente o en otros periodos que el usuarioseleccione, informe de clientes extranjeros yprivados y la localidad geográfica de lastransacciones

Validar personas o entidades registradas en losarchivos maestros y transacciones de laaplicación contra la “Lista de NacionalesEspecialmente Designados y EntidadesBloqueadas” producida por la Oficina de Controlde Activos Extranjeros (“Office of Foreign AssetsControl” u OFAC ) del Departamento del Tesorode los Estados Unidos.

61






Información

Monitoreo de transacciones y herramientas paraanalizar e identificar transacciones ACH(“Automated Clearing House”)

Currency Transaction Report (CTR)

Suspicious Activity Report (SAR)

62

Fair and Accurate Credit Transactions Act (FACTA)

Protección Contra Robo de Identidad

Protección de la Información de

los Clientes

Desarrollar y aplicar un programa para combatirel robo de identidad de cuentas nuevas ycuentas existentes

Identificación de actividades definidas en las reglas de Bandera Roja de Robo de Identidad


63

Gramm -Leach-Bliley Act (GLBA)Privacy of Consumer Financial Information

Ley requiere que las instituciones financierascubiertas establezcan un programa deseguridad completo y coordinado, apropiado altamaño y la complejidad de las operaciones dela institución para la protección de lainformación de los clientes.

El plan debe considerar entre otros:•Evaluación de riesgos•Desarrollo de políticas y procedimientos decontrol•Implementación de planes de pruebas

Protección Contra Robo de Identidad



64

Payment Card Industry Data Security Standard (PCI-DSS)

Estándar multifacético de seguridad destinado aapoyar a las organizaciones en la protecciónproactiva de los datos de cuentas de clientes.Estándar creado a consecuencia de un esfuerzocooperativo entre Visa, MasterCard, AMEX,Discover, Diners, etc.

Protección de la Información de

los Clientes


65

National Automated Clearing House Association(NACHA)

Revisión de controles de los servicios de ACH conrespecto a las disposiciones establecidas por lasReglas de Operación de la National AutomatedClearing House Association (NACHA).

El objetivo de la revisión será evaluar el nivel decumplimiento de los requisitos de estas reglas.

Incumplimiento en proporcionar prueba de auditoríade cumplimiento conforme a los procedimientosdeterminados por NACHA, puede ser consideradouna violación Clase 2 a la regla en virtud delApéndice Diez, subparte 10.4.7 (multas ysanciones). En situaciones de violación Clase 2, elPanel de Aplicación de Normas de ACH (NACHA)podrá imponer una sanción en contra de lainstitución hasta $100,000 por mes hasta que seresuelva el problema. Cuando la violación se refierea un Originador específico o terceros proveedoresde servicios una sanción mensual adicional puedeser impuesta.

66





Información

STRONG Authentication

Incluye la necesidad de evaluaciones de riesgo,conocimiento / educación del cliente, y medidasde seguridad reforzadas para autenticar aclientes que utilizan los productos y los serviciosen plataforma de Internet que procesantransacciones de alto riesgo y que implican elacceso a la información del cliente o elmovimiento de fondos a terceros.


Conocimiento / Educación al Cliente


67

Office of Foreign Assets Control (OFAC)

Validación deDatos

68

Truth in Savings Act

Clara y uniforme la divulgación de las tasas deinterés (porcentaje de rendimiento anual o APY) ylas tasas que se asocian con la cuenta a fin de queel consumidor sea capaz de hacer unacomparación entre posibles cuentas

Regulación DD – requiere divulgar informaciónsobre cuentas de depósito

Disponibilidad y Confiabilidad de

la Información

69

Children's Online Privacy Protection Act (COPPA)

Protección de la Información


70

Se aplica a la obtención de

información personal en línea de niños

menores de 13 años.

Requiere que los sitios en-línea

obtengan el consentimiento de sus

padres para recopilar o usar cualquier

información personal de niños

menores de 13 años

Electronic Funds Transfer Act - "Regulation E"

Establecimiento de controles para garantizarque las transacciones electrónicas seantransmitidas solamente a través de una ruta omedio confiable con controles para brindarautenticidad de contenido, prueba de envío,prueba de recepción y no rechazo del origen.

Disponibilidad y Confiabilidad de

la Información


71

E-SIGN Act. 15 USC 700

Facilitar la utilización de registros electrónicosen comercio interestatal y exterior,garantizando la validez y efectos jurídicos delos contratos firmados vía electrónica.


Información


72

Marco de Trabajo para las Iniciativas de Cumplimiento

Regulatorio

73

Tabla de Roles y Responsabilidades• Responsable de la ejecución

Alguien que desempeña una tarea determinada.

• AutorizaAlguien que provee autorización y dirección a una actividad

• ConsultadoAlguien da algún tipo de insumo para el proceso y/o al cual se pide su consejo y opinión.

• InformadoAlguien que recibe los recibe el resultado de un proceso o a quien se informa de los avances del proceso.

Junta Directores

Administración

Depto. Tecnología

74

Retos: Cumplimiento Regulatorio

• Cumplimiento - implica un esfuerzo significativo y plantea retos considerables.

• Oportunidades – los requerimientos exigen un nivel de análisis que puede redundar en oportunidades de mejoramiento institucional

75

Cumplimiento Regulatorio

”Una Talla le Sirve a Todos”

• Es importante no tomar un enfoque de “una talla le sirve a todos”, sino tomar un enfoque basado en administración de riesgos.

• Cada organización debe considerar con cuidado los objetivos de control apropiados, necesarios para sus propias circunstancias.

76

Iniciativas de Cumplimiento

Entendimiento de los Procesos Operacionales

• Información Relevante - Entendimiento de cómo trabajan los procesos de negocio, cómo interactúan y cómo se pueden hacer más efectivos y eficientes

• Análisis - análisis detallados de los controles de la institución y de los procesos, puede conducir a cambios importantes

77

Iniciativas de Cumplimiento

Establecimiento de Controles

• Administración del Riesgo - integrar el enfoque de administración del riesgo y cumplimiento en cada aspecto operacional para mejorar, tanto los controles como los procesos operacionales

• Dinámicos - los controles de la organización no deberán (y no deberían) mantenerse estáticos

78

Garantizar el Cumplimiento Regulatorio • Identificar las leyes, regulaciones, reglamentos,

estándares aplicables a la institución con impactopotencial sobre Tecnología Informática

• Identificar el nivel correspondiente decumplimiento del Área de Tecnología Informáticade leyes, regulaciones, reglamentos, estándaresaplicables

• Optimización de los procesos de TecnologíaInformática para reducir el riesgo de nocumplimiento

• Establecer una supervisión efectiva delcumplimiento regulatorio por medio de un procesoindependiente de revisión para garantizar elcumplimiento de las leyes y regulaciones

79

Junta Directores Informado

Administración Responsable

Depto. Tecnología Responsable










• Identificar las leyes, regulaciones, reglamentos,estándares aplicables a la institución conimpacto potencial sobre Tecnología Informática

– Definir un catálogo de requerimientoslegales y regulatorios

Garantizar el Cumplimiento Regulatorio

80

• Identificar las leyes, regulaciones, reglamentos,estándares aplicables a la institución conimpacto potencial sobre Tecnología Informática

– Definir e implantar un proceso para garantizar laidentificación oportuna de requerimientoslocales e internacionales legales, contractuales, depolíticas y regulatorios, relacionados con lainformación, con la prestación de servicios deinformación – incluyendo servicios de terceros – ycon la función, procesos e infraestructura deTecnología Informática.


81

• Identificar el nivel correspondiente decumplimiento del Área de TecnologíaInformática de leyes, regulaciones,reglamentos, estándares aplicables

• Evaluación del impacto de losrequerimientos regulatorios


82

• Evaluar cumplimiento de ejecución de políticas, estándares y procedimientos de Tecnología Informática

– Educar al personal sobre su responsabilidad decumplimiento

– Evaluar de forma eficiente el cumplimiento de laspolíticas, estándares y procedimientos, incluyendolos requerimientos legales y regulatorios

– Procurar la alineación de las políticas, estándaresy procedimientos para manejar de forma eficientelos riesgos de no cumplimiento


83

• Certificación de Cumplimiento

– Implantar procedimientos para obtener y reportarcertificación de cumplimiento

– Definir e implantar procedimientos para obtener yreportar certificación de cumplimiento y, dondesea necesario, que el propietario del proceso hayatomado las medidas correctivas oportunas pararesolver cualquier brecha de cumplimiento.


84

Aspectos Principales de la Seguridad la Información

85

Elementos Clave en la Administración de la Seguridad de la Información

• Para lograr la eficacia y la sustentabilidad

en el complejo mundo interconectado de

hoy, la seguridad de la información debe

ser abordada en los más altos niveles de

la organización y no se debe considerar

como un asunto técnico relegado al

Departamento de Sistemas de

Información.

86


• La seguridad de la información no es sólo

un tema técnico, sino un reto a nivel

institucional que implica una

administración de riesgos y rendición de

cuentas adecuada.

87


• La seguridad efectiva requiere de la

participación activa de la administración

para evaluar las amenazas emergentes y

la respuesta de dichas amenazas por

parte de la organización.

88


La Junta de Directores y la Administración deben

revisar:

• La escala y el retorno de las inversiones

actuales y futuras en los recursos de

información para asegurar que los que están

optimizadas

• El potencial de las tecnologías para cambiar la

institución y prácticas de negocio, creando así

nuevas oportunidades y valor

89


La Junta de Directores y la Administración deben

revisar:

• El aumento en la dependencia de la

información y los sistemas e infraestructura

que proporcionan la información

• La dependencia de entidades fuera del control

directo de la institución (terceros)

90


La Junta de Directores y la Administración deben revisar:

• La creciente demanda de compartir información con socios, proveedores y terceros

• Impacto en la reputación y el valor de la institución resultante de fallos en la seguridad de la información

• Establecer la importancia de la seguridad de la información como un asunto de alto nivel

91


• Los objetivos de seguridad no pueden cumplirse simplemente mediante protecciones técnicas o procedimientos.

• Una actitud y atención educada de seguridad por parte de todos el personal, administración así como de los proveedores de servicios externos y usuarios/socios externos es vital.

• La seguridad es algo más que un mecanismo.

92


• También incluye aspectos culturales que

deben ser adoptados por todas las

personas dentro de la organización para

que sea efectiva.

• Hay que establecer la cultura de la

seguridad de la información en la

organización.

93


Compromiso y apoyo de la Administración

• Piedra angular para la creación exitosa y

continuidad de un programa de

seguridad de la información

94



Depto. Tecnología Informado

Administración de Riesgo

• Integrar el enfoque de administración del

riesgo y cumplimiento en cada aspecto

operacional para mejorar, tanto los

controles como los procesos

operacionales


95

Junta Directores Consultado




Políticas y Procedimientos

• Establecimiento de políticas y procedimientos que integren e institucionalicen buenas prácticas y controles adecuados para la protección de la información

96

Junta Directores Responsable




Organización

• Las responsabilidades para la protección de los activos deben ser definidos claramente.

• Se debe establecer una asignación de funciones y responsabilidades de la seguridad de la información en la organización.

97


Educación y Concienciación en Seguridad • Todo el personal que tenga acceso a los sistemas de

información y las herramientas tecnológicas de la Cooperativa (usuarios) incluyendo pero no limitado a empleados, contratistas, consultores, personal temporero, cuerpos directivos y otro personal deben recibir capacitación apropiada y actualizaciones periódicas para promover la concienciación y el cumplimiento de las políticas y los procedimientos de seguridad establecidas.

• Para nuevo personal, esta capacitación debe ocurrir antes de que se les otorgue acceso a la información o a los servicios.

98Junta Directores Informado

Administración Autoriza



Manejo y Respuestas de Incidentes

• Establecimiento de procedimientos de

manejo y respuestas para incidentes de

seguridad para minimizar el daño

proveniente de incidentes de seguridad,

definir acciones de recuperación y

aprender de tales incidentes

99




Roles y Responsabilidades en la Administración de la Seguridad de la

Información

Junta de Directores

• Proporcionar una supervisión

estratégica en materia de seguridad de

la información.

100


Información

Junta de Directores

• Conocer cuan crítica es la información

y la seguridad de la información en la

institución

101


Información

Junta de Directores

• Revisar la inversión en seguridad de la

información para la alineación con la

estrategia de la organización y el perfil

de riesgo

102


Información

Junta de Directores

• Endosar el desarrollo y la

implementación de un amplio

programa de seguridad de la

información

103


Información

Junta de Directores

• Evaluar el progreso y eficacia de las

iniciativas de seguridad

104


Información

Administración

• Responsable final de la protección de

los activos de información y de

establecer y mantener el marco de

control adecuado

105


Información

Oficial de Seguridad

• Planificar, coordinar, asesorar y

administrar los procesos de seguridad

y controles de informática así como

difundir la cultura de seguridad y

controles informática entre todos los

usuarios

106


Información

Oficial de Cumplimiento

• Proveer apoyo en las iniciativas de

hacer cumplir los objetivos y controles

relacionados con la seguridad de la

información.

107


Información

Propietarios de Activos de Información y Propietarios de Datos

• Responsables de la protección y el

establecimiento de controles de los

activos de información que manejan

108


Información

Usuarios

• Observar los procedimientos

establecidos en las políticas y

procedimientos de seguridad de la

organización y adherencia a las

regulaciones de privacidad y seguridad.

109


Información

Departamento de Tecnología Informática

• Establecer las acciones de la seguridad

de la información en los componentes

de aplicaciones, plataformas, datos,

equipo e infraestructura tecnológica.

110


Información

Proveedores de Servicios y Aplicaciones

• Proporcionar productos y servicios que

cumplan con los requerimientos y

estándares de seguridad aplicables.

111


Información

Auditores

• Proporcionar una declaración

independiente a la gerencia sobre lo

apropiado y efectivo de los objetivos y

controles relacionados con la


112

Elementos importantes para la administración de la seguridad de la información

• Enfoque basado en el riesgo para

identificar los recursos de información

sensible y crítica y asegurar que haya un claro

entendimiento de las amenazas y riesgos.

• Emprender actividades apropiadas de evaluación de riesgos para mitigar los riesgos inaceptables y asegurar que los riesgos residuales estén en un nivel aceptable.

Evaluación de Riesgos

113Junta Directores Informado



• Realizar evaluación de riesgos en el área de

tecnología informática con el fin establecer de

una perspectiva sobre el riesgo inherente de la

entidad, identificar vulnerabilidades,

amenazas, los controles actuales y determinar

el riesgo en base a la probabilidad e impacto.


114




• La evaluación puede apoyar las decisiones y

actividades relacionadas a estrategias de

gestión de riesgos enfocadas en cómo la

organización responda y proporcione

seguimiento al riesgo.


115




• Las actividades principales en los procesos de

evaluación de riesgo:

– Identificar los activos de tecnología relevantes y

priorizar los riesgos y amenazas

– Identificar las fuentes de amenazas relevantes a la

organización y los eventos de amenazas que se

pudieran producir por tales fuentes.

– Identificar las vulnerabilidades dentro de la

organización que podrían ser explotadas por fuentes

de amenazas a través de eventos específicos y

condiciones existentes que podrían originar una

explotación exitosa de dichas vulnerabilidades.


116

• Las actividades principales en los procesos de


– Determinar la probabilidad de que las fuentes de

las amenazas identificadas causaran eventos

específicos de amenaza y la probabilidad que las

amenazas tuvieran éxito

– Determinar la magnitud de los efectos adversos -

a las operaciones y activos de la organización,

individuos y otras organizaciones - resultantes de

la explotación de vulnerabilidades por las fuentes

de amenazas


117

• Las principales actividades en los procesos de


– Determinar los riesgos de seguridad de la

información como resultado de la combinación

de la probabilidad de explotación de la amenaza /

vulnerabilidad y el impacto de este tipo de

explotación.

– Identificación de los controles y actividades a

tener en consideración con el fin de mitigar los

riesgos.


118



– Optimizar los procesos en los aspectos de los

Sistemas de Información para la mitigación de

riesgos.

– Establecer prácticas de control adecuadas


119






– Definir el curso de acción en relación con las

medidas de control costo-efectivas con el fin de

equilibrar eficazmente los costes de las distintas

medidas de mitigación / control de riesgo contra

las pérdidas que se esperarían si tales medidas no

se implementaran.


120




• La seguridad de la información de la

organización no debe ser amenazada por la

introducción de productos o servicios de

terceros.

• Cualquier acceso a los recursos tecnológicos

por terceros debe ser controlado.

Seguridad de la Información y Terceros

121

Junta Directores



• Cuando haya una necesidad de negocio de

trabajar con terceros que puedan requerir

acceso a los recursos tecnológicos o para

obtener o proveer un producto o servicio de o

a un tercero, se debe llevar a cabo una

evaluación de riesgos para determinar las

implicaciones y requerimientos de control de

la seguridad.

• Los controles deben ser aceptados y definidos

en un contrato con la parte externa.


122

• Los riesgos para la información y facilidades

de procesamiento de información de la

organización deben ser identificados y antes

de conceder acceso.

• Debe llevarse a cabo evaluación de riesgo para

identificar los requisitos de controles

específicas a ser establecidos.


123

Junta Directores



• El acceso de terceros a la información de la

organización no debe proveerse hasta tanto

los controles apropiados no hayan sido

implementados y, cuando sea factible, se haya

firmado un contrato definiendo los términos y

condiciones para la conexión o acceso y el

acuerdo de funcionamiento.


124

Junta Directores



• Se debe asegurar que el tercero esté

consciente de sus obligaciones, y acepte las

responsabilidades y obligaciones involucradas

en tener acceso, procesar, comunicar o

gestionar la información y las instalaciones de

procesamiento de información de la

organización.


125

Junta Directores



• Los contratos con terceros deben cubrir todos

los requerimientos de seguridad relevantes.

• La organización debe asegurar que el contrato

incluya disposiciones adecuadas de

indemnización para proteger contra las

pérdidas potenciales causadas por las

acciones del tercero.


126




• Deben estar presentes prácticas adecuadas de

seguridad de la información para asegurar que

los empleados, contratistas y terceros

entienden sus responsabilidades, y son aptos

para los roles para los que son considerados, y

para reducir el riesgo de robo, fraude o abuso

de las instalaciones.


127

Junta Directores



Elementos en las prácticas adecuadas de seguridad

• Considerar las responsabilidades de seguridad antes de la contratación, en las descripciones adecuadas de los puestos de trabajo y en los términos y condiciones de empleo.

• Establecer prácticas de investigación, en especial para los puestos de trabajo sensibles.

• Establecer contratos sobre sus roles y responsabilidades de seguridad.


128

Junta Directores0 Informado








Depto. Tecnología Consultado

• Para minimizar el daño proveniente de

incidentes de seguridad, recuperarse y

aprender de tales incidentes, se debe

establecer una capacidad de respuesta formal

a incidentes.

Manejo y Respuesta a Incidentes de Seguridad

129




• Etapas

Planificación y preparación

Detección

Inicio

Registro

Evaluación

Contención

Erradicación

Escalada

Respuesta

Recuperación

Cierre

Presentación de información

Revisión posterior al incidente

Lecciones aprendidas


130

• La organización y la gestión de una capacidad de respuesta a incidentes se deben coordinar o centralizar con el establecimiento de roles y responsabilidades clave. Esto debe incluir:

– Un coordinador que actúa como el enlace con los dueños del proceso de negocio

– Un director que supervisa la capacidad de respuesta a incidentes

– Gerentes que gestionan los incidentes individuales


131

• La organización y la gestión de una capacidad de respuesta a incidentes se deben coordinar o centralizar con el establecimiento de roles y responsabilidades clave. Esto debe incluir:

– Especialistas en seguridad que detectan, investigan, contienen y recuperan de los incidentes

– Especialistas técnicos que no sean de seguridad que proporcionen asistencia basada en su experiencia y conocimientos del asunto

– Enlaces con el jefe de la unidad del negocio (legal, recursos humanos, relaciones públicas, etc.)


132

• Para establecer este proceso, los empleados y contratistas son puestos en conocimiento de los procedimientos para reportar los diferentes tipos de incidentes (por ejemplo, violación de la seguridad, amenaza, debilidad, o desperfecto de funcionamiento) que podría tener un impacto sobre la seguridad de los activos de la organización.


133Junta Directores



• El personal deben reportar sobre

cualquier incidente observado o que se

sospeche, tan pronto como sea posible al

punto de contacto designado.

• La organización debe establecer un

proceso disciplinario formal para tratar

con aquellos que cometan violaciones de

seguridad, tales como empleados,

terceros, etc.


134Junta Directores



• Para resolver debidamente los

incidentes, podría ser necesario recopilar

evidencia lo antes posible después que

hayan ocurrido.

• Es posible que se necesite asesoramiento

legal en el proceso de recolección y

protección de evidencia.


135







• Los incidentes ocurren porque las

vulnerabilidades no son resueltas

debidamente.

• Los procesos de gestión de incidentes

deben incluir las prácticas de manejo de

las vulnerabilidades.


136

Junta Directores



• Una fase de revisión posterior a

incidentes debe determinar cuáles

vulnerabilidades no fueron resueltas y

por qué, y se debe proveer de

información para el mejoramiento de las

políticas y procedimientos

implementados para resolver las

vulnerabilidades.


137




• Analizar la causa de los incidentes puede

revelar errores en el análisis del riesgo,

indicando que los riesgos residuales son

más altos que los valores calculados y se

han tomado contramedidas inapropiadas

para reducir los riesgos inherentes.


138


Administración Consultado


Curso de Acción Institucional para Establecer

Controles de Seguridad de la Información

139

• Política de Seguridad : Actividades y

acciones orientadas a perseguir los

objetivos de la protección de los

activos de información en la

Cooperativa:

Curso de Acción Institucional Seguridad de la Información

140140




141

Estrategias y Prioridades de Seguridad

Regulaciones Mejores PrácticasLeyes

Estrategias y Prioridades de Negocio

PrácticasOperacionales

InfraestructuraTecnológica

Política de Seguridad

Mar

co d

e T

rab

ajo

de

Go

bie

rno

*


141*Estructuras de procesos, políticas, normas y prácticas utilizadas para la administración y dirección de una empresa

142

EstándaresDe

Seguridad

Procedimientosde Seguridad

Tecnologíasde

Seguridad



142

• El objetivo principal de la política de

seguridad es la protección de la

información mediante la definición de

procedimientos, directrices y prácticas

para la configuración y la administración

de la seguridad.


143





• Es necesario que se defina el enfoque y requisitos para asegurar los activos de información de la organización.

• También es importante que se describa la forma en que se aplicará al personal y a los procesos operacionales.

• Se establecer las acciones relacionadas a la falta de cumplimiento


144




Política de Seguridad - beneficios

• Asegura que las vulnerabilidades se

identifican y abordan

• Proteger la continuidad del negocio

• El fortalecimiento de la infraestructura

tecnológica.


145


• Cuando el personal sigue la política de

seguridad, se asegura que la información

se comparte de forma segura dentro de

la organización, así como con los socios y

proveedores mitigando el riesgo.


146


• La conciencia de la seguridad, una vez

establecida la política de seguridad,

aumenta la probabilidad de

cumplimiento individual.


147

Desarrollo de la Política de Seguridad

• El primer paso para crear una política de

seguridad de la información eficaz es

identificar los activos de información y

las amenazas a esos bienes.


148

Junta Directores




• Considerar el impacto de un incidente de

seguridad en la credibilidad, la

reputación y las relaciones con los

principales interesados.


149



Depto. Tecnología Consultado

Desarrollo de la Política de Seguridad• Conducir un análisis de riesgo.

• Al medir la seguridad frente a la exposición, esta evaluación permite decidir si la información está desprotegida, sobreprotegida o protegida adecuadamente.

• El objetivo de esta evaluación de riesgosdebe ser reducir al mínimo los gastos sin exponer a la organización a un riesgoinnecesario.


150





• Esta evaluación ayudará a determinar la asignación adecuada de los recursos.

• Dado a que la política de seguridad de la información tendrá un efecto a lo largo de la organización, un equipo de trabajo debe asumir la responsabilidad de su elaboración.


151

Desarrollo de la Política de Seguridad • Equipo de trabajo / áreas participantes en el

desarrollo de la política de seguridad:– Junta de Directores

– Administración

– Tecnología Informática

– Seguridad de la información

– Recursos humanos

– Asesores legales


152

Política de Seguridad• Tradicionalmente una política de

seguridad de la información se refiere comúnmente en el singular

• Una política real incluye un conjunto de documentos vivos : el documento de política de seguridad, documentos de estándares y procedimientos.


153

El documento de Política de Seguridad

• Declaración sobre la necesidad e importancia

de la política de seguridad de la información

en la organización

• Objetivos

• Responsabilidades y directrices

• Consecuencias de la falta de adherencia.


154




El documento de Política de Seguridad

• Una vez este documento está terminado,

debe ser aprobado por la Junta de

Directores y distribuirlo a todo el

personal


155


Administración Informado


Estándares y Procedimientos de Seguridad

• Definen lo que hay que hacer para

implementar la seguridad, descripción de

controles de seguridad necesarios y

cómo esos controles se aplican.


156




Estándares y Procedimientos de SeguridadDebe abordar aspectos de seguridad, incluyendo, pero

no limitado a:

• Control de Código Malicioso / Virus

• Controles de Acceso Lógico (redes,

plataformas/sistemas operativos, aplicaciones, bases

de datos)

• Controles de Acceso Físico

• Administración de Seguridad en las Redes


157

Estándares y Procedimientos de Seguridad• Recuperación de desastres y continuidad de negocio

• Evaluación y administración de riesgos de la


• Configuración de seguridad de dispositivos

(“Routers", "Switches", “Firewalls")

• Controles en la arquitectura de la seguridad de la red

• Controles de acceso remoto

• Controles de redes inalámbricas


158

Estándares y Procedimientos de Seguridad• Controles de detección / prevención de intrusión

• Monitoreo activo para proteger de ataques los

dispositivos y componentes de la red

• Evaluaciones periódicas de seguridad de la red,

incluyendo pruebas de penetración externas,

evaluaciones internas de seguridad y revisiones de

políticas y procedimientos

• Campañas regulares educativas al personal sobre

seguridad


159

Estándares y Procedimientos de Seguridad• Funciones y responsabilidades del personal de

seguridad

• Las responsabilidades de los usuarios / uso adecuado

de los recursos tecnológicos

• Aspectos de cumplimiento de leyes y regulaciones

gubernamentales

• Cumplimiento de estándares de la industria


160

Estándares y Procedimientos de Seguridad• Manejo de Incidentes.

• Administración de información sensitiva, restringida

o confidencial.

• Disposición de datos

• Administración de servicios de terceros


161

Implantación de la Política de Seguridad

Un programa de cumplimiento y/o

evaluación pueden ser fundamentales para

apoyar a las iniciativas de la organización

con respecto a la implantación de la

política de seguridad de la información.


162





Los exámenes del cumplimiento de la

política y las evaluaciones de

vulnerabilidad son las tácticas de primera

línea críticos para defender

proactivamente de las crecientes amenazas

de seguridad.


163


Revisiones de cumplimiento :

• Aseguran que se cumplen los objetivos de la política

Evaluaciones de vulnerabilidad

• Contribuyen a las medidas para identificar vulnerabilidades.


164







Eduardo Cardín, CISA, CISM

[email protected]

787.444.1166