Condiciones para que la Gerencia de Seguridad de la...

Condiciones para que la Gerencia de Seguridad de

la Informaciónla Información permanezca vigente.

AGENDA

1. Foco metodológico.2. Modelo de Seguridad.3. Ubicación de la Seguridad de la Información

en la organización. 4 Comité de seguridad4. Comité de seguridad.5. Activos de Información.6. Cumplimiento Legal.p g7. Creación de conciencia.

1. Foco metodológico.¿Cómo deben ser protegidos los¿Cómo deben ser protegidos los activos de información críticos?* Se identifican los Propietarios•Se establecen los requerimientos

de seguridad.PolíticasFase II

¿Qué debe ser protegido?* Se identifican activos de

información críticos.* Se asignan riesgos

Plan de ProyectosFase III

Programa deSeguridad

RiesgoFase I

Se asignan riesgos.

Verificar la eficiencia y

Determinar como se van a proteger.•Se especifican planes a corto, mediano y largo plazo

Fase III

eficiente yefectivo.

I l t

Ciclo vida BS7799

Verificar la eficiencia y efectividad de Seguridad* Se hacen verificaciones

internas de seguridad.* Auditoría interna.* Auditoría externa.

CumplimientoFase V

y g pImplantar yAdministrar

Fase IV

Proteger los activos con las especificaciones requeridasespecificaciones requeridas* Se selecciona la tecnología* Se establecen procesos* Se establecen procedimientos

1. Foco metodológico.


ESTRATEGIA PROACTIVA

1

2

Objetivos organizacionalesRecursos estratégicos

Amenazas

Contexto organizacional

Contexto de activosde información

Recursos claves3

PrácticasRequerimientos de

seguridad

de información

Determinar vulnerabilidades

Predecir posibles daños

Determinar vulnerabilidades

Implementar controlesProblemas

IncidentesImplementar respuesta


1 ESTRATEGIA REACTIVA

D t i

Evaluar daños

Determinar causas

Reparar daños

Implementar respuestaProblemas

IncidentesIncidentesDocumentar y aprender

Columna Descripción

ód d f ó ( l f d )


ID Código identificación (Pilar BS7799 afectado + Secuencia)

Vulnerabilidad Condición de fallo, deficiencia, debilidad o ausencia de control de un activo de información.

Amenaza Hecho que puede producir un daño, puede ser: Accidental/Operacional, Actos Deliberados/Maliciosos y Ambiental.

Riesgo Probabilidad de que una vulnerabilidad y/o amenaza se conviertan en una condición de desastre.

Probabilidad Calificación eliminando subjetividad y calificación cualitativa, utilizar criterios y limitantes para explotar la vulnerabilidad, ejemplo: Habilidad (especialización): 5: Ninguna; 4: Menor; 3: Conocimiento; 2: Mayor; 1: EspecialistaFacilidad Acceso: 5: Sin restricción; 4: Log, Psw Básico; 3: C2; 2: SSO; 1: ProtocoloIncentivo: 5: Motivado; 4: Resentido; 3: Indeciso; 2: Buen ambiente; 1: Ninguna.Recursos: 5: Ninguno; 4: Ing. Social; 3: Esfuerzo; 2: Kit; 1: Especializados.

Impacto Calificación eliminando subjetividad y calificación cualitativa, utilizar lo dado por BS7799 y calificar en términos de Confidencialidad, Integridad y Disponibilidad utilizando la siguiente base de Impacto: 5: Catastrófico; 4: Mayor; 3: Moderado; 2: Menor; 1: Insignificante; ; g

Activo Información Impactado

Qué activo de información se ve impactado, qué nivel de clasificación tiene el activo. Esta condición permite priorizar el nivel de implementación del control fundamentado en el nivel de severidad.

Riesgo Inherente Calificación dada en términos de probabilidad e impacto sin controles.

Control Vigente Controles con los que cuenta el activo El control dará un porcentaje para reducir la probabilidadControl Vigente Controles con los que cuenta el activo. El control dará un porcentaje para reducir la probabilidad.

Riesgo Residual Calificación dada en términos de probabilidad e impacto con controles.

Contrl a Implantar Plan de proyector para minimizar el riesgo, ANS y medidas de cumplimiento

Los Códigos de Práctica en seguridad de la información apoyan aspectos para el desarrollo de un modelo de protección


C ó d ig o /C o m p o n e n te M o d e lo d e P ro te c c ió n

IS O 1 7 7 9 9 IS O 7 4 9 8 -2 C O B IT 3 rd E d it io n

C C IS O 1 5 4 0 8

A d m in is t ra c ió n d e l R ie s g o + + + +

A rq u ite c tu ra+ + + + +

PP ro c e s o s E s t ra té g ic o s d e S e g u r id a d (P o lí t ic a s ,C o n c ie n c ia , O rg a n iz a c ió n )

+ + +

P ro c e s o s O p e ra c ió n d e la S e g u r id a d + + + + + + +

P ro c e s o s d e A d m in is t ra c ió n + + + + + + +d e la S e g u r id a d

+ + + + + + +

C o n t in u id a d d e l N e g o c io + + +

Enfoques metodológicos para la administración de Tecnología que tocan Seguridad de la Información1. Foco metodológico.

ITIL

Kin

CITPM

King II

CobiTITPM

ISF

ISO17799

CMM

En general todos buscan los mismos objetivos pero a diferentes 1. Foco metodológico.

g j pniveles de abstracción

QuéQuéCobiT

ITIL ISO

9000ISO17799

Security

Otras mejores prácticas procedimientos y guías

CómoCómo

I

ISFBest Practices

Otras mejores prácticas, procedimientos y guías

Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo


Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo de protección acorde con lo establecido por el negocio

RequerimientosRequerimientos-Negocio-Legales

OTROS

ISO 7498-2

BS 17799

g-Riesgo

ISO 15408 CC

COBIT

2. Modelo de Seguridad2. Modelo de Seguridad

• 11 áreas de seguridad

Evaluación y Tratamiento del Riesgo

PROACTIVA REACTIVA

Seguridad Gestión Adquisición, Control

Gestión de Incidentes de la S.I.a

S.I. G

est

PROACTIVA REACTIVA

ISO/IEC BS 17799 2005(G í B d l

Política deSeguridad

delos

RecursosHumanos

deActivos Desarrollo

yMantenimientode sistemas

deAcceso

iden

tes d

e la ión de Incide(Guía B de la

Norma 27001)

Organizaciónde laSeguridadde la

SeguridadFísica ydel Entorno

Gestión de

Comunica-ciones

Gestión

de

Continuidad

C umplimien toestió

n de

Inc entes de la S27001) de la

Informacióny

Operacionesdel Negocio o

Gestión de Incidentes de la S.I.

Ge

S.I.

2. Modelo de Seguridad

P i i i

Políticas

PolicyPrincipios

Procesos

Arquitecturaess

Nor

masProcesos

P di i t ProductosEstá

ndar

eN

orm

a

Procedimientos Productos


Política de Calidad ISO 17799

Modelo de Seguridad de la Información

CalidadPrincipiosPlan

Estratégico Corporativo

ISO - 17799

Políticas

1. Política de Seguridad2. Seguridad de los Recursos Humanos3 Gestión de ActivosCorporativo

Plan Estratégico

Políticas

Sub-Políticas

3. Gestión de Activos4. Adquisición, Desarrollo y Mantenimiento de sistemas5. Control de Acceso6. Organización de la Seguridad de la Información.

Misión y

Estratégico de IT Normas Estándares

Procedimientos

7. Gestión de Comunicaciones yOperaciones.8. Gestión de Continuidad del Negocio9. Seguridad Física y del Entorno.10 C li i tVisión Procesos10. Cumplimiento11. Gestión de Incidentes de la S.I.

COBIT

OBJETIVOS DEL NEGOCIO

COBIT – Estructura 2. Modelo de Seguridad

INFORMACION

• EFECTIVIDAD

COBITIntegral de Control

MONITOREO

• EFICIENCIA

• CONFIDENCIALIDAD

• INTEGRIDAD

• DISPONIBILIDAD

• CUMPLIMIENTO PLANEACION Y ORGANIZACION

MONITOREO • CUMPLIMIENTO

• CONFIABILIDAD

RECURSOS DE TI

ENTREGA Y SOPORTE

• DATOS

• APLICACIONES

• TECNOLOGIA

• INSTALACIONES

PERSONAS

ADQUISICION E IMPLEMENTACION

SOPORTE • PERSONAS

CRITERIOS DE INFORMACIONCubo E t t


Estructura CobiT

es ía nes

Dominios

PROC

Gen

teA

plic

acio

neTe

cnol

ogí

nsta

laci

onD

atosProcesos

ESOS

A I

A ti id d

DE

ActividadesTI

ISO 7498 2(X 800) A it t d1. Foco metodológico.

ISO 7498-2(X.800): Arquitectura de Seguridad

Basada en el estándar ISO No 7498-2

Identificación&

Autenticación

Control de

Acceso

ConfidencialidadIntegridad de

la información

Non

Repudiation

Manejo Servicios

Manejo deServicios

Basada en el estándar ISO No 7498 2

Inte

MANE

MANEJ a o ac ó

Autenticación Ciframiento

f

Firma

Listas de controlde acceso

Autenticación deMensajes

Mecanismos

Manejo

egridad

d

JO DE POL

O DE

AUDI de entidades Desciframiento Digitalizada

Distintivos de seguridad

Detección demodificación

Usuarios Privilegios Palabras

Objetos

el

sistem

LÍTICAS

ITORÍA

Y Usuarios Privilegios

ProgramasPalabras claves

Grupos Registros de Auditoría

Llaves de Encripción

Manejo de Objetos

y otras

maA

LERTAS

PolíticaDefinición


PersonalRegulaciones

Incidentes de Seg.Ciclo de Vida de Sis.

Admon. del programa

Acceso LógicoAuditoríasCriptografíaTelecomunicacionesSistemas de Computador

Políticas

Inventario deTecnología

Propiedad de los Activos

Perfil de la Tecnología

Soporte & OperacionesFísico & Ambiental

Certificación & Acreditación Identificación & Autenticación

EstándaresLineamientos

Evaluación del Riesgo

Clasificacióndel Riesgo

Perfil del Riesgo

Personal &O i ió

EspecificacionesTé i

Diseño de Ingeniería Selección de las Soluciones

Arquitectura Técnica de Seguridad

Procesos &Prácticas Operacionales Organización

Estructura Org. de SeguridadRoles & ResponsabilidadesCoordinación de la Seg. FuncionalPrograma de Respuesta a EmergenciasPrograma de Concientización en SeguridadPrograma de Administración de Riesgos

TécnicasEstándares Básicos:

- Aplicaciones- Sistemas- Redes

Procedimientos- Administración- Revisión de Cumplimiento

Prácticas OperacionalesBCP/DR/Manejo de CrisisMonitoreo de la Seguridad

Respuesta a IncidentesSeguridad Física

Admon. De la Identidad y el AccesoAdministración de Vulnerabilidades

Administración de Accesos Programa de Monitoreo y EscalamientoRevisión de Cumplimiento

- Monitoreo & Escalamiento

Cumplimiento del Programa de Seguridad y Reportaje

Administración de Accesos Administración de Riesgos

3. Ubicación de la Seguridad de la Información

PresidenciaPresidencia

Vicepresidencia de Tecnología …..

Servicios de Continuidad (DRP)

Dirección de Seguridad de la Información

Se c os de Co t u dad ( )

Servicios de Seguridad de la Información

Dir. Soporte Operativo

Servicios de Pruebas

Servicios de Calidad

Dir. Desarrollo

Di M t i i tDir. MantenimientoDir. Tecnología



Vicepresidencia Administrativa

Vicepresidencia e Tecnología

Di S i i Ad i i t ti

….

GerenciaAdministrativa

Dir. Servicios Administrativos

Dir. Organización y Métodos

……Dir. Seguridad de la Información

Direción de Investigacionesg


---- -----

--- -----

..

… … … --- Gerencia de Riesgos y

Cumplimiento

Dirección de Seguridad de la

Información

Vicepresidencia de Tecnología

…

… Dirección de Tecnología

Jefatura de Seguridad Informática



Vicepresidencia / Gerencia de Seguridad de la Información

Vicepresidencia e Tecnología ....….

Servicios de Continuidad (BCM)

Servicios de Seguridad de la Información

Servicios de Seguridad AmbientalServicios de Seguridad Física

4. Comité de Seguridad de la Información

P ti i ió Á J ídi Participación Área de RiesgoParticipación Área Jurídica

Responsable por delinear los principios de seguridad, continuidad de negocio

Oficial de Seguridad

Participación Área de Riesgo

Responsable del proceso de evaluación de g

y capacidad de operación que ayudan a la Gerencia en la protección de las personas, la propiedad

l i f ióAnalistas y

riesgo

¨Participación Área de Auditoría de sistemas

Responsable por

y la información. administrador de Seguridad

Participaciión Área de Recursos Humanos

Responsable por el plan de i ti ióp p

vigilar el cumplimiento de las políticas y procedimientos de seguridad e id tifi l

GRUPO INSTITUCIONAL DE SEGURIDAD

concientización Promover la Seguridad de la InformaciónIncluir criterios de Seguridad en contratos, descripción de funciones yidentificar las

deficiencias.

descripción de funciones y objetivos de desempeño

5. Activos de Información

6. Cumplimiento Legal

7. Creación de conciencia

Condiciones para que la Gerencia de Seguridad de la...

Documents

Transcript of Condiciones para que la Gerencia de Seguridad de la...