Post on 12-Jun-2015
description
FABIÁN DESCALZO
Gerente de Governance, Risk & Compliance CYBSEC S.A.
fdescalzo@cybsec.com
Cuando los Datos y el Conocimiento se convierten en Información… y necesitamos la Sabiduría para cuidarla
CONFIDENCIALIDADINTEGRIDAD
DISPONIBILIDAD
“Estas tres palabras pueden transformarse en Tranquilidad respecto del tratamiento de la información que poseemos y nos confían. Descubrir el centro de cómo implementarlas hace a la diferencia”
Nuestra información se relaciona en gran medida con nuestras operaciones ejecutivas, interacciones con los clientes y con terceros.
Esta información se encuentra en distintas formas y en numerosas aplicaciones.
La mayor parte de nuestra información no está dispo nible al público en general
Conociendo la información
Los distintos tipos de información cubren un amplio rango de procesos de negocio y según su tratamiento, por lo que su sensibilidad puede variar significativamente e impactar negativamente en el negocio.
Entorno estratégico de gestión
Todos los empleados de una Organización que generan, recopilan, procesan, almacenan o transfieren información de la Organización, son responsables de su tratamiento y deben hacerlo de acuerdo a reglas establecidas.
Los ‘TERCEROS’, que pueden ser contratistas autorizados, socios comerciales y otros proveedores de servicios responsables del manejo de información sensible de la Organización también deben cumplir con las Normativas de Seguridad de la Información de la Organización.
Entorno estratégico de gestión
Relación con la Información
estratégica de la Organización
Gestión de 3ras. Partes
Gestión de Usuarios
Gestión de Recursos
Entorno estratégico de gestión
Recursos Asignación y administración de recursos técnicos, económicos y humanos acordes al tipo de información tratada
Previsión de la demanda Previsibilidad relacionada con las diferentes áreas de la Organización y la necesidad de cumplimiento del marco regulatorio y las necesidades del negocio
Cobertura contractual Relacionada con la información, tales como guarda externa de documentación, confidencialidad, propiedad intelectual, responsabilidad compartida, etc.
Gestión de tratamiento Para cumplimentar técnicamente todo su ciclo
Gestión de funcionalidad Basado en el conocimiento y aplicado a cómo utilizarla para obtener mejores resultados a nivel de calidad e aseguramiento de integridad
Entorno estratégico de gestión
Procesos de la Organización y su interacción
con 3ras partes
PARA GOBERNAR HAY QUE CONOCER
Cadena de tratamiento de la Información
ProcesamientoTratamiento
Entorno estratégico de gestión
Proveedores – ContratistasSocios Comerciales
Responsables solidarios de la información propia de la
Organización y sus Clientes
Conocer cuáles son los procesos de Negocio de
nuestra Organización
Cuáles son los alcances respecto del “Ciclo de Vida” de la
Información
Que actividades establecer para la
Gestión el tratamiento de Información
Establecer los medios tecnológicos para tratar la Información en cada uno de sus estados en el paso de cada uno de los
diferentes procesos
Entorno estratégico de gestión
DATOINFORMACIÓNCONOCIMIENTO
Clasificación Tratamiento Destrucción
PROCESOS ADMINISTRATIVOS Y TECNOLÓGICOS
PUNTOS DE CONTROL
PUNTOS DE REGISTRACIÓN
Definiciones para la clasificación
1. La información se clasifica en base a su valor para la Organización y para quienes se relacionan con ella, considerando el daño que podría causarse si se divulga sin autorización.
2. La información personal y/o la información relacionada con los datos sensibles (de tarjeta o de salud, por ejemplo) pueden incluirse tanto en nivel Interno como Confidencial dependiendo de su disociación.
3. Los tres niveles de clasificación recomendados en orden ascendente de sensibilidad son:
• Información Pública• Información Interna • Información Confidencial
Desarrollar y fomentar una cultura de la orden y comportamiento adecuado que debe aplicarse en la protección de la información de la Organización
en todas las actividades empresariales
NUEVA VISIÓN Y ALCANCES
Seguridad Física Comportamiento en el lugar de trabajo
Comportamiento fuera de la Organización Seguridad Lógica
Definiciones para la clasificación
Gerencia de Seguridad de la
Información
Dueño de Datos
Autores / Responsable de los datos
Roles y Funciones• Coordina las actividades de implementación de
la seguridad o respuesta ante incidentes• Controla que se cumplan los requerimientos de
seguridad• Recomienda sobre las medidas de seguridad a
implementar
Responsable de clasificarla y establecer su nivel de criticidad y disposición final, establece su periodicidad de resguardo, informa a la Gerencia de Gestión de Riesgos Informáticos
Todos los usuarios generan información y son responsables en el tratamiento de la información confiada, utilizando las medidas de seguridad necesarias acorde a la clasificación de la información establecida por ellos
Roles y Funciones
Dueño de Datos
Garantizar correcta clasificación Determinan la categoría
apropiada de la informaciónUsuarios Clave
Seguridad de la Información
Brinda soporte a Áreas de Negocio y IT
Considerar el nivel de impacto sobre la información
Evaluar la probabilidad de ocurrencia
Dueño de Datos
Aprueba la clasificación y definiciones tomadas
Áreas de ITImplementan las soluciones indicadas por los Usuarios y
recomendaciones de SI
Análisis y Gestión de
Riesgos
Protección y tratamiento
CICLODE
TRATAMIENTO
Creación
Clasificación
UsoProcesamientoCombinación
Almacenamiento
Disposición Final
Protección y tratamiento
Dueño de Datos
Áreas Tecnológicas
y de Seguridad
Responsables de implementar procedimientos de resguardo y
tratamiento de información
Responsables de clasificar y determinar el nivel de resguardo y
tratamiento de información
• Seguridad Física y Electrónica• Seguridad Lógica• Asegurar integridad, disponibilidad y
confidencialidad• Distribución física de sectores• Medios de almacenamiento• Resguardo externo• Protección de equipos móviles• Medios y métodos de destrucción
• Disponibilidad y Confidencialidad• Estimación de impacto en el Negocio• Certificación de usuarios• Validación de accesos• Validación de permisos sobre accesos• Asignación de responsables• Tiempos de retención y destrucción
Protección y tratamiento
• Elementos en contingencia• Elementos para confidencialidad• Elementos de seguridad física de
componentes
Ayuda a identificar riesgos a la información por su ubicación física o por su entorno de cercanía:• Laptop cerca de ventanas• Sectores con información sensible• Necesidad de impresoras locales
Laptop
Destructura
Imp de Red
Imp de Local
Fax
Componentes y herramientas del proceso
Documentación normativa y regulatoria• Norma de clasificación y protección de información• Norma de funciones de propietarios de la información
Registros y soporte al proceso• Nómina de dueños de datos y usuarios clave• Procedimiento de clasificación y protección de
información• Matriz de análisis de riesgo de activos de
información• Matriz de control de activos de información• Procedimiento de retención y disposición final de
activos de información• Cronograma de ejecución y mantenimiento de un
Plan de Protección de Información
Ventajas de gobernar la información
Optimización en la estrategia de backups
(p.e. ventana horaria)
Ahorro en el uso de insumos para resguardo y horas de operación
Optimización de espacio físico en la guarda externa
Optimización en el almacenamiento magnético de datos
Orden en la gestión de recursos de hardware y software que soportan los
procesos clave del negocio
Estrategias de recuperación de datos gestionada acorde a criticidad
de procesos de Negocios
Mejora en las decisiones del CIA para el tratamiento de datos
Optimización de esfuerzos en el monitoreo y disposición final de la
información
Prevenir potenciales cuestiones legales o regulatorios al Negocio
GOBERNABILIDADASEGURAMIENTO
CALIDAD
“Establecer un Gobierno ordenado y metodológico de la Información nos permitirá administrarla de forma segura y bajo un criterio único de asignación de responsabilidades y recursos, brindando un entorno fiable de trabajo para cada uno de sus Empleados asegurando calidad a los objetivos del Negocio”
Muchas gracias por su atención
FABIÁN DESCALZOGerente de Governance, Risk & Compliance
CYBSEC S.A. - www.cybsec.com� (5411) 4371-4444� fdescalzo@cybsec.com