CIGRAS2012 (ISACA Montevideo) Seguridad y Negocio

29/07/2012

1

www.isaca.org.uy

Seguridad integrada como Seguridad integrada como respuesta al Negociorespuesta al Negocio

Fabián Descalzo, CISO

Uruguay Uruguay -- ArgentinaArgentina

www.isaca.org.uy

AgendaAgendaRequerimientos del Negocio¿Donde encontrar las respuestas?Conociendo el interiorLa seguridad del lado del NegocioSeguridad integrada como respuesta al Negocio

29/07/2012

2

www.isaca.org.uy

Requerimientos del NegocioRequerimientos del Negocio

www.isaca.org.uy


Establecer objetivos es Establecer objetivos es esencial para el éxito esencial para el éxito de una empresade una empresa

• Permiten enfocar esfuerzos hacia una

misma dirección.

• Sirven de guía para la formulación de

estrategias.

• Sirven de guía para la asignación de

recursos.

• Sirven de base para la realización de

tareas o actividades.

• Generan coordinación, organización y

control.

• Generan participación, compromiso y

motivación; y, al alcanzarlos, generan

un grado de satisfacción.

• Revelan prioridades.

• Producen sinergia.

• Disminuyen la incertidumbre.

Establece un único

resultado a lograr y es

coherente con la misión

de la empresa

29/07/2012

3

www.isaca.org.uy

Cambios en el Cambios en el entorno de nuestro entorno de nuestro

NegocioNegocio

Cambio de valor de lo

físico al valor valor de la de la

información información (intangibles)

Nuevos regímenes regulatorios

Cambios del Mercado

Nuevas tecnologías aplicadas al resultado del

Negocio

Interacción más dinámica

entre los diferentes

procesos de negocios


www.isaca.org.uy

Disponer de una gestión que asegure los

procesos de negocio y el tratamiento de los datos propios o de

terceros alineados a:

Frameworks que Frameworks que aportan valor aportan valor

agregadoagregado

Requerimientos Requerimientos legales y legales y

reglamentariosreglamentarios


29/07/2012

4

www.isaca.org.uy

SEGURIDADSEGURIDADOBJETOS DEOBJETOS DEINFORMACIÓNINFORMACIÓN


www.isaca.org.uy

Identificar funciones, obligaciones del personal y establecer un marco operativo acorde a las Requerimientos del Negocio.

Conformar grupos interdisciplinarios (Legales / Desarrollo / Seguridad Informática, y representante del área involucrada) con el fin de analizar los requerimientos del Negocio.

8


29/07/2012

5

www.isaca.org.uy

¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?

www.isaca.org.uy

Aporte de soluciones de y a cada SectorAporte de soluciones de y a cada Sector

Seguridad en el NegocioSeguridad en el Negocio


Calidad de ServicioCalidad de Servicio

29/07/2012

6

www.isaca.org.uy

DirecciónDirección

GerenciaGerenciaUsuariosUsuarios

Cada nivel de la Organización hace a la seguridad y calidad en el Negocio


www.isaca.org.uy

Desarrollar y fomentar una cultura de la organización y el comportamiento que debe aplicarse en todas las actividades

empresariales

VISION


29/07/2012

7

www.isaca.org.uy

Conociendo el interiorConociendo el interior

www.isaca.org.uy

Cultura de los

Recursos Humanos

Cultura Operativa y Funcional

Leyes y Regulaciones


29/07/2012

8

www.isaca.org.uy

Hacen que una función cumpla con todos sus procesos de

negocio

Objetivos funcionales y

resultados operativos

Objetivos e imagen de la

empresaDirecciónDirección

GerenciaGerencia

UsuariosUsuarios


www.isaca.org.uy


Trato sobre los activos de la empresa, valor de

su información, funciones y cada uno de los procesos en los

que participa.

Asegurar objetivos funcionales y resguardo

de los activos de la Organización

Asegurar objetivos corporativos, ya sea tangible (económico)

como intangible (imagen en el mercado)

DirecciónDirección

GerenciaGerencia

UsuariosUsuarios

29/07/2012

9

www.isaca.org.uy

Físico: Documentos en papel, incluyendo faxes y copias fotostáticas. Puede ser almacenada en archivos físicos, carpetas o gabinetes.

Electrónico: Documentos electrónicos en procesador de texto, hojas de cálculo, etc. Puede ser almacenada en varios medios electrónicos, incluyendo CD ROM cintas de audio, memorias USB, discos duros, Asistentes Digitales Personales (p.e. Blackberries) y otros dispositivos similares

Interpersonal: La información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión, por ejemplo: oralmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico.


www.isaca.org.uy


Marco Marco NormativoNormativo

Recursos Recursos HumanosHumanos

Recursos Recursos de de

HardwareHardware

Recursos Recursos de de

SoftwareSoftware

29/07/2012

10

www.isaca.org.uy

La seguridad del lado del NegocioLa seguridad del lado del Negocio

www.isaca.org.uy20

Principales objetivos de controlPrincipales objetivos de controlControlControl AlcanceAlcance

1,00 Auditoría, evidencias y monitoreo

2,00 Autenticación y control de acceso

3,00 Confidencialidad y No-Repudiación

4,00 Personal externo y contratistas

5,00 Tolerancia a fallas, backup y recuperación

6,00 Respuesta y reporte de incidentes

7,00 Mantenimiento y operaciones

8,00 Red de datos

9,00 Acceso físico

10,00 Documentación electrónica y en papel

11,00 Accesos remotos

12,00 Concientización y entrenamiento en Seguridad

13,00 Política de administración de la seguridad

14,00 Configuración del sistema

15,00 Desarrollo de sistemas y control de cambios

16,00 Proveedores, profesionales y prestadores

InterpretaciónTecnología

InterpretaciónUnidades

Administrativas

InterpretaciónUnidades de

Servicio


29/07/2012

11

www.isaca.org.uy21

Función tradicionalFunción tradicional Agregar valor al servicioAgregar valor al servicio

Visión basada en Visión basada en activosactivos

Visión basada en riesgos asociados Visión basada en riesgos asociados al servicioal servicio

Dirección y controlDirección y control Liderazgo y poder de delegaciónLiderazgo y poder de delegación

Nuevo Modelo de SeguridadNuevo Modelo de Seguridad

Nuevas tecnologías + Nuevas regulacionesNuevas tecnologías + Nuevas regulaciones+ Cambio en el valor + Pautas del Mercado+ Cambio en el valor + Pautas del Mercado


www.isaca.org.uy

27000

22

Calidad + Seguridad + GobernabilidadCalidad + Seguridad + Gobernabilidad


29/07/2012

12

www.isaca.org.uy


www.isaca.org.uy

Política de SeguridadPolítica de Seguridad

Aspectos organizativos de la seguridadAspectos organizativos de la seguridad

Clasificación y control de activosClasificación y control de activos Control de accesosControl de accesos

ConformidadConformidad

Seguridad del personalSeguridad del personal Seguridad del entorno físicoSeguridad del entorno físicoSeguridad del entorno Seguridad del entorno

tecnológicotecnológico

Desarrollo y mantenimiento Desarrollo y mantenimiento de sistemasde sistemas

Gestión de comunicaciones y Gestión de comunicaciones y operacionesoperaciones

Gestión de continuidad Gestión de continuidad de negociode negocio

Seguridad OrganizativaSeguridad Organizativa

Seguridad lógicaSeguridad lógica

Seguridad físicaSeguridad física

Seguridad legalSeguridad legal

Táctico

Táctico

Op

erativo

Op

erativo

Estratég

icoE

stratégico


29/07/2012

13

www.isaca.org.uy25

Calidad +Calidad +Seguridad +Seguridad +GobernabilidadGobernabilidad


www.isaca.org.uy

• Implementación de frameworks integrados para facilitar el cumplimiento de leyes y regulaciones, asociados a los estándares y las políticas corporativas

• El enfoque integradorenfoque integrador, todos los participantes son involucrados en los logros del proyecto

• Resultados concretos en cortos plazos, con avances graduales hacia el cumplimiento de los objetivos

Requerimientos del ServicioRequerimientos del Servicio

TecnologíaTecnología ProcesosProcesos PersonasPersonas

Assessment(GAP, Plan Preliminar)

• Herramientas

• Interfaces

• Documentación

• Nivel de Madurez• GAP

• Estructura

• Instituciones • Nivel de destrezas

• Capacitación

Implementación(Procesos implantados)

• Herramientas

• Migraciones• Interfaces

• Diseño lógico

• Diseño Físico • Vinculaciones

• Documentación • Validación de

Funcionamiento

• Roles y

responsabilidades • Entrenamiento

• Cambio Cultural • Herramientas de

capacitación

Mejoramiento continuo• Herramientas

• Interfaces

• Seguimiento

• Ajustes • Refinamientos

• Nuevos Procesos

• Entrenamiento

• Capacitación

26


29/07/2012

14

www.isaca.org.uy

Seguridad y Gobernabilidad AsociadasSeguridad y Gobernabilidad Asociadas

Política General y Normas de Seguridad

Familia ISO 27000

Normas, procedimientos

Estándares Registros

Procesos de NegocioNorma ISO 9001 / Norma ISO 20000

Documentación asociada a las áreas

administrativas

Procedimientos Formularios

Documentación de los sistemas y operaciones

Manuales Instructivos

27


www.isaca.org.uy

Seguridad integrada como Seguridad integrada como respuesta al Negociorespuesta al Negocio

29/07/2012

15

www.isaca.org.uy

• El Negocio debe comunicar cuáles son sus

futuros objetivos, para conseguir el soporte conseguir el soporte necesario por parte de la Organizaciónnecesario por parte de la Organización, ya

sea desde sus áreas administrativas como de

sus áreas tecnológicas.

• La organización, desde las diferentes áreas

brindará el soporte necesario acorde a los brindará el soporte necesario acorde a los requerimientos del Negociorequerimientos del Negocio

Seguridad Integrada al NegocioSeguridad Integrada al Negocio

www.isaca.org.uy

Sistemas de Gestión de Seguridad de la InformaciónSistemas de Gestión de Seguridad de la Información

Planes Directores de SeguridadPlanes Directores de Seguridad

Evaluación y diagnóstico de la Seguridad de la InformaciónEvaluación y diagnóstico de la Seguridad de la Información

Planes de continuidad de negociosPlanes de continuidad de negocios

Adecuación a buenas prácticas (ITIL / ISO 20000)Adecuación a buenas prácticas (ITIL / ISO 20000)

Certificaciones de SGC y SGS (ISO 9001 / ISO 27000)Certificaciones de SGC y SGS (ISO 9001 / ISO 27000)

Planes de formación y concientizaciónPlanes de formación y concientización

Governance, Risk & ComplianceGovernance, Risk & Compliance

Auditorias y revisiones periódicasAuditorias y revisiones periódicas

30


29/07/2012

16

www.isaca.org.uy

Seguridad Seguridad OrganizativaOrganizativa

SeguridadSeguridadLógicaLógica

SeguridadSeguridadLógicaLógica

SeguridadSeguridadFísicaFísica

SeguridadSeguridadLegalLegal

SeguridadSeguridadLegalLegal

Mejor calidad deMejor calidad deServicios y Servicios y ProductosProductos

Aseguramiento Aseguramiento de activos del de activos del negocionegocio

Asegurar la Asegurar la continuidad en continuidad en el tiempoel tiempo


www.isaca.org.uy

Métricas d

e Seg

urid

adM

étricas de S

egu

ridad

Pro

gram

a de P

rotecció

nP

rog

rama d

e Pro

tección

Ges

tió

n d

e R

iesg

os

Ges

tió

n d

e R

iesg

os

32

Políticas de Políticas de SeguridadSeguridadProcedimientos de Procedimientos de

SeguridadSeguridad

ProcesosProcesos

PlanesPlanes

ProyectosProyectos

SeguridadSeguridad es parte del Plan de Negocios en el marco es parte del Plan de Negocios en el marco empresario actual, brindando a través de ella empresario actual, brindando a través de ella Calidad y Calidad y Gobernabilidad Gobernabilidad sobre todos los servicios de ITsobre todos los servicios de IT

Objetivos de la Objetivos de la EmpresaEmpresa

Leyes y RegulaciónLeyes y Regulación

29/07/2012

17

www.isaca.org.uy

Plan Plan Estratégico de Estratégico de

la Empresala EmpresaMarcaMarca

ReputaciónReputaciónPlan Plan

Estratégico de Estratégico de SeguridadSeguridad

PLAN DE NEGOCIOPLAN DE NEGOCIO


www.isaca.org.uy

PreguntasPreguntas??MuchasMuchas Gracias Gracias Fabián Descalzo, CISO

[email protected]

Uruguay Uruguay -- ArgentinaArgentina

CIGRAS2012 (ISACA Montevideo) Seguridad y Negocio

Presentations & Public Speaking

Transcript of CIGRAS2012 (ISACA Montevideo) Seguridad y Negocio