FABIÁN DESCALZO

Gerente de Governance, Risk & Compliance CYBSEC S.A.

fdescalzo@cybsec.com

Cuando los Datos y el Conocimiento se convierten en Información… y necesitamos la Sabiduría para cuidarla

CONFIDENCIALIDADINTEGRIDAD

DISPONIBILIDAD

“Estas tres palabras pueden transformarse en Tranquilidad respecto del tratamiento de la información que poseemos y nos confían. Descubrir el centro de cómo implementarlas hace a la diferencia”

Nuestra información se relaciona en gran medida con nuestras operaciones ejecutivas, interacciones con los clientes y con terceros.

Esta información se encuentra en distintas formas y en numerosas aplicaciones.

La mayor parte de nuestra información no está dispo nible al público en general

Conociendo la información

Los distintos tipos de información cubren un amplio rango de procesos de negocio y según su tratamiento, por lo que su sensibilidad puede variar significativamente e impactar negativamente en el negocio.

Entorno estratégico de gestión

Todos los empleados de una Organización que generan, recopilan, procesan, almacenan o transfieren información de la Organización, son responsables de su tratamiento y deben hacerlo de acuerdo a reglas establecidas.

Los ‘TERCEROS’, que pueden ser contratistas autorizados, socios comerciales y otros proveedores de servicios responsables del manejo de información sensible de la Organización también deben cumplir con las Normativas de Seguridad de la Información de la Organización.

Entorno estratégico de gestión

Relación con la Información

estratégica de la Organización

Gestión de 3ras. Partes

Gestión de Usuarios

Gestión de Recursos

Entorno estratégico de gestión

Recursos Asignación y administración de recursos técnicos, económicos y humanos acordes al tipo de información tratada

Previsión de la demanda Previsibilidad relacionada con las diferentes áreas de la Organización y la necesidad de cumplimiento del marco regulatorio y las necesidades del negocio

Cobertura contractual Relacionada con la información, tales como guarda externa de documentación, confidencialidad, propiedad intelectual, responsabilidad compartida, etc.

Gestión de tratamiento Para cumplimentar técnicamente todo su ciclo

Gestión de funcionalidad Basado en el conocimiento y aplicado a cómo utilizarla para obtener mejores resultados a nivel de calidad e aseguramiento de integridad

Entorno estratégico de gestión

Procesos de la Organización y su interacción

con 3ras partes

PARA GOBERNAR HAY QUE CONOCER

Cadena de tratamiento de la Información

ProcesamientoTratamiento

Entorno estratégico de gestión

Proveedores – ContratistasSocios Comerciales

Responsables solidarios de la información propia de la

Organización y sus Clientes

Conocer cuáles son los procesos de Negocio de

nuestra Organización

Cuáles son los alcances respecto del “Ciclo de Vida” de la

Información

Que actividades establecer para la

Gestión el tratamiento de Información

Establecer los medios tecnológicos para tratar la Información en cada uno de sus estados en el paso de cada uno de los

diferentes procesos

Entorno estratégico de gestión

DATOINFORMACIÓNCONOCIMIENTO

Clasificación Tratamiento Destrucción

PROCESOS ADMINISTRATIVOS Y TECNOLÓGICOS

PUNTOS DE CONTROL

PUNTOS DE REGISTRACIÓN

Definiciones para la clasificación

1. La información se clasifica en base a su valor para la Organización y para quienes se relacionan con ella, considerando el daño que podría causarse si se divulga sin autorización.

2. La información personal y/o la información relacionada con los datos sensibles (de tarjeta o de salud, por ejemplo) pueden incluirse tanto en nivel Interno como Confidencial dependiendo de su disociación.

3. Los tres niveles de clasificación recomendados en orden ascendente de sensibilidad son:

• Información Pública• Información Interna • Información Confidencial

Desarrollar y fomentar una cultura de la orden y comportamiento adecuado que debe aplicarse en la protección de la información de la Organización

en todas las actividades empresariales

NUEVA VISIÓN Y ALCANCES

Seguridad Física Comportamiento en el lugar de trabajo

Comportamiento fuera de la Organización Seguridad Lógica

Definiciones para la clasificación

Gerencia de Seguridad de la

Información

Dueño de Datos

Autores / Responsable de los datos

Roles y Funciones• Coordina las actividades de implementación de

la seguridad o respuesta ante incidentes• Controla que se cumplan los requerimientos de

seguridad• Recomienda sobre las medidas de seguridad a

implementar

Responsable de clasificarla y establecer su nivel de criticidad y disposición final, establece su periodicidad de resguardo, informa a la Gerencia de Gestión de Riesgos Informáticos

Todos los usuarios generan información y son responsables en el tratamiento de la información confiada, utilizando las medidas de seguridad necesarias acorde a la clasificación de la información establecida por ellos

Roles y Funciones

Dueño de Datos

Garantizar correcta clasificación Determinan la categoría

apropiada de la informaciónUsuarios Clave

Seguridad de la Información

Brinda soporte a Áreas de Negocio y IT

Considerar el nivel de impacto sobre la información

Evaluar la probabilidad de ocurrencia

Dueño de Datos

Aprueba la clasificación y definiciones tomadas

Áreas de ITImplementan las soluciones indicadas por los Usuarios y

recomendaciones de SI

Análisis y Gestión de

Riesgos

Protección y tratamiento

CICLODE

TRATAMIENTO

Creación

Clasificación

UsoProcesamientoCombinación

Almacenamiento

Disposición Final

Protección y tratamiento

Dueño de Datos

Áreas Tecnológicas

y de Seguridad

Responsables de implementar procedimientos de resguardo y

tratamiento de información

Responsables de clasificar y determinar el nivel de resguardo y

tratamiento de información

• Seguridad Física y Electrónica• Seguridad Lógica• Asegurar integridad, disponibilidad y

confidencialidad• Distribución física de sectores• Medios de almacenamiento• Resguardo externo• Protección de equipos móviles• Medios y métodos de destrucción

• Disponibilidad y Confidencialidad• Estimación de impacto en el Negocio• Certificación de usuarios• Validación de accesos• Validación de permisos sobre accesos• Asignación de responsables• Tiempos de retención y destrucción

Protección y tratamiento

• Elementos en contingencia• Elementos para confidencialidad• Elementos de seguridad física de

componentes

Ayuda a identificar riesgos a la información por su ubicación física o por su entorno de cercanía:• Laptop cerca de ventanas• Sectores con información sensible• Necesidad de impresoras locales

Laptop

Destructura

Imp de Red

Imp de Local

Fax

Componentes y herramientas del proceso

Documentación normativa y regulatoria• Norma de clasificación y protección de información• Norma de funciones de propietarios de la información

Registros y soporte al proceso• Nómina de dueños de datos y usuarios clave• Procedimiento de clasificación y protección de

información• Matriz de análisis de riesgo de activos de

información• Matriz de control de activos de información• Procedimiento de retención y disposición final de

activos de información• Cronograma de ejecución y mantenimiento de un

Plan de Protección de Información

Ventajas de gobernar la información

Optimización en la estrategia de backups

(p.e. ventana horaria)

Ahorro en el uso de insumos para resguardo y horas de operación

Optimización de espacio físico en la guarda externa

Optimización en el almacenamiento magnético de datos

Orden en la gestión de recursos de hardware y software que soportan los

procesos clave del negocio

Estrategias de recuperación de datos gestionada acorde a criticidad

de procesos de Negocios

Mejora en las decisiones del CIA para el tratamiento de datos

Optimización de esfuerzos en el monitoreo y disposición final de la

información

Prevenir potenciales cuestiones legales o regulatorios al Negocio

GOBERNABILIDADASEGURAMIENTO

CALIDAD

“Establecer un Gobierno ordenado y metodológico de la Información nos permitirá administrarla de forma segura y bajo un criterio único de asignación de responsabilidades y recursos, brindando un entorno fiable de trabajo para cada uno de sus Empleados asegurando calidad a los objetivos del Negocio”

Muchas gracias por su atención

FABIÁN DESCALZOGerente de Governance, Risk & Compliance

CYBSEC S.A. - www.cybsec.com� (5411) 4371-4444� fdescalzo@cybsec.com