Information Security Forum (ISF) - · Establecer un entorno amplio de controles que cubra...

Information Security Forum (ISF)

Presentación del ISF – Proyectos Actuales

(Evento 1 de Julio 2015)

www.securityforum.org Copyright © 2015 Information Security Forum Limited

Entregas principales durante 2014

• Supply Chain Assurance Framework

• Information Risk Assessment Methodology 2 (IRAM2)

• Using Maturity Models to Create and Protect Value

• Engaged Reporting: Fact and fortitude

• Security Awareness: Instilling a security culture

• Threat Horizon 2017

• Cyber Insurance

• Best Practice in Management Reporting and Status/KPIs

• Risk Appetite

• 2014 Standard of Good Practice for Information Security

• Special Interest Groups: Big Data, Mobile Devices, Standards, Cyber,

Privacy, Government, Benchmark, Securing Industrial Control Systems


Entregas planificadas para 2015

Horizonte de Amenazas 2017

Arquitectura de seguridad de la información

Entorno de seguridad de la aplicaciones

Proteger las joyas de la corona

Seguridad de los Sistemas de Control Industrial

Implicaciones de las reformas de la Comisión Europea sobre Privacidad

Gestionar las amenazas internas

Aseguramiento de las Smart Cities

Gestión de evaluación de los riesgos de la información (IRAM2)


¿Cómo se llevan a cabo los proyectos?

El ISF lleva a cabo un amplio programa anual. Cada proyecto...

Se basa en las necesidades de negocio de los Miembros

Obtiene documentos y herramientas de alta calidad y fáciles de

usar:

• Informes a Dirección.

• Documentos de Consulta

• Guías prácticas de implantación y metodologías

Incorpora experiencias de las organizaciones miembro

Representa la mejor práctica entre los miembros


Participación en reuniones de proyectos

La participación en equipos de trabajo de proyectos del Foro, talleres y seminarios, proporcionan una oportunidad excelente para...

Analizar temas clave sobre seguridad de la información con

personas destacadas y expertos invitados

Intercambiar experiencias con otros Miembros

Ayudar a orientar el diseño y alcance de los productos finales del

proyecto

Formar al personal en áreas importantes sobre la seguridad de la

información


Presentación de algunos Proyectos

• Estándar de Buenas Prácticas - SoGP

• Benchmarks

• Supply Chain

• Engaged Reporting

• Horizonte de Amenazas – TH 2017

El Estándar de Buenas Prácticas para la Seguridad de la Información


The ISF Standard of Good Practice for Information Security

SECURITY GOVERNANCE

SECURITY REQUIREMENTS

CONTROL FRAMEWORK

SECURITY MONITORING AND IMPROVEMENT

ISO 27014

(draft)

ISO 27001

(Information

Security

Management

System)

Security

Assurance

ISF framework

for ISG



Utilización del Estándar

1. Aumentar resiliencia contra eventos de baja probabilidad y alto impacto, que pueden

amenazar el éxito y supervivencia de la organización

2. Ayudar en la certificación de ISO 27001 y dar soporte al cumplimiento de otros

estándares reconocidos de la seguridad de la información

3. Proteger la cadena de suministro y validar los acuerdos con proveedores externos, sobre

la seguridad de la información

4. Establecer un entorno amplio de controles que cubra adecuadamente la gestión de

riesgos de la información

5. Desarrollar un entorno efectivo para las políticas, estándares y procedimientos de la

seguridad de la información

6. Crear un programa de concienciación sobre la seguridad de la información

7. Base para evaluaciones de seguridad extensas, de alto nivel y bien orientadas

8. Desarrollar y mejorar procedimientos para la seguridad de la información


El SoGP 2014

ISF Benchmark

Encuestas de Situación


¿Por qué un Benchmark?

Soportar el plan de negocio para mejoras de la seguridad con

datos reales actualizados – y por lo tanto orientar las

inversiones para la seguridad de la información donde sean

más rentables

Demostrar a la Dirección cómo se está disminuyendo el riesgo

de la información en las áreas críticas del negocio

Presentar a la Dirección cómo se compara la organización con

otras importantes organizaciones en la región o en el sector de

mercado.


Beneficios de un Benchmark

Revisar los resultados en formatos ISO / IEC 27002 y COBIT versión 4.1

Identificar áreas con debilidades donde se requiere una investigación mayor

Obtener una mejor implantación de los controles de seguridad existentes

Reducir el número e impacto de los incidentes más graves

Introducir políticas de seguridad, estándares y controles nuevos

Destacar aquellos entornos de seguridad que son más efectivos que otros

Planificar la asignación de recursos para que se obtenga el mayor beneficio

Aumentar la concienciación sobre la seguridad entre el personal


Benchmark y el Security Healthcheck

Evaluaciones de alto nivel con 339 preguntas o sobre temas detallados 100-4000

Benchmarking is a comprehensive risk management tool Example based on the Standard of Good Practice for Information Security


El proceso de Benchmark

Los miembros pueden entregar todos los cuestionarios que quieran SIN COSTE!


¿Qué dicen los Miembros sobre el Benchmark?

The Benchmark is why we joined the ISF and it relates directly to the core value

proposition of the ISF: A window into information security as it's actually practised by

other organisations. No one else can do that objectively.

I used the benchmark to pinpoint weaknesses in our identity access control with the

purpose to get funding and run a project to implement an Identity Access Management

system.

My organization has been using the benchmark / survey since we joined the ISF. Number

of benchmark surveys has increased every time when it has been deployed in my

organization. It is single most valuable tool in the ISF portfolio.

Participating in Benchmark is the no 1 business reason for being an ISF member.

Securing the Supply Chain

Cadena de Suministro


Esto va de no contaminarse mutuamente

Póntelo, Pónselo


Entregables

Informe principal Guía de implantación Resumen ejecutivo

Grupo ISF Live https://www.isflive.org/groups/securing-the-supply-chain

Video de Youtube http://www.youtube.com/user/infosecforum

Herramientas de evaluación

de la seguridad de los proveedores


Del almacenaje al “just in time”

– La logística es el rey

– Sobrecostes de almacenaje

mínimos

– Se reducen la obsolescencia y las

pérdidas

– La información se tiene que

compartir a lo largo de la cadena

de suministro – Fuente de pérdidas – el

almacenaje ocupa espacio,

tiempo y dinero

– Puede dar lugar a la

obsolescencia y pérdidas de

los productos almacenados


Falta de visibilidad y controles según la información se comparte a

lo largo de la cadena de valor

Source: http://www.flickr.com/photos/amerigo/526435438/

http://www.flickr.com/photos/amerigo/526435438/


Las organizaciones hacen grandes esfuerzos para proteger internamente información como por ejemplo la propiedad

intelectual o datos sensibles. No obstante, cuando aquella información se comparte en la cadena de suministro, se

pierde el control directo y aumenta el riesgo de pérdida de confidencialidad, integridad o disponibilidad. Un incidente

en cualquier lugar de la cadena de suministro puede tener el mismo impacto que uno dentro de nuestra organización.

Riesgos más frecuentes:

Peligros o desastres naturales

Riesgos internos a la cadena

o Proveedor (p.ej. predicciones incorrectas, dependencia de proveedores únicos, racionalización y pérdida de capacidad de suministro)

o Demanda (p.ej. volatilidad, factores estacionales, productos complementarios sustitutivos)

o Procesos (p.ej. fallos operacionales, incidentes y cuellos de botella)

o Control (p.ej. bucles de retroalimentación deficientes y mediciones incorrectas)

Basado en Martin Christopher, Logistics and Supply Chain Management, 4th edition, FT

Prentice Hall, London, 2011, ISBN 978-0273731122

Riesgos Internos a la Cadena de Suministro


Externos a la cadena (ver PLEST – TH2017))

o Políticos (p-ej. Conflictos, terrorismo y cambios de gobierno)

o Legales (p.ej. cambios en leyes y normativas, incumplimientos, alteraciones a contratos o leyes tributarias)

o Económicos (p.ej. previsiones incorrectas, restricciones debidas a la soberanía o escasez de mano de obra)

o Sociales (p.ej. activismo, cambios en los gustos, preferencias y actitudes del consumidor)

o Riesgos tecnológicos y ciber (p.ej. compartiendo información, cibercrimen, hacktivismo y fallos en las infraestructuras).

• Compartir información con los proveedores es esencial para el funcionamiento de la cadena de suministro, aunque también se generan riesgos.

• De todos los riesgos de la cadena de suministro, los riesgos de la información son los peor gestionados.

Riesgos Externos a la Cadena de Suministro


Seguir la información: ¿por qué?

• La información es un activo: tiene valor

• Hay que compartir información para que funcione la cadena de suministro

• La información es cada vez más el objetivo de:

- Criminales

- Hacktivistas

- Competencia

- Estados

• Proteger los sistemas no es suficiente


La seguridad en la cadena de suministro

• Una nueva estrategia: SCIRAP

• Guiada por la información y basada en el nivel de riesgo

• Escalable

• Se construye sobre procesos existentes de seguridad de la información y otros procesos, herramientas y estrategias de negocio

• Descrita en detalle en dos informes

• Apoyada por:

- Expertos del ISF Global Team

- Espacio virtual de implantación

- Mesas redondas

- Servicios de asistencia del ISF

- Dos nuevas herramientas


Hay una extensa librería de apoyo a la implantación

• ISF Live

• Servicios de ayuda

• Mesas redondas

• Nuevas utilidades

- SSET

- SSEST

Engaged Reporting - CISOs Security Investment and Risk

(Recién distribuido)


¿Está un CISO en condiciones de responder a estas preguntas?

• ¿Podemos reducir los gastos en seguridad sin exponer el

negocio a riesgos significativos?

• ¿Están seguros nuestros activos de información críticos? ¿Qué

seguridad necesitan tener?

• ¿Cuales serían las implicaciones en el negocio de una brecha o

incidente de seguridad?

• ¿Qué es lo que hace la función de seguridad de la información

para dar soporte a nuevas iniciativas?

• ¿Está el negocio proporcionando la suficiente seguridad a sus

productos y servicios clave?


Situación actual de la información a Dirección para la toma de

decisiones

• Informar sobre las métricas y KPIs disponibles está fallando

• Informar sobre métricas técnicas de seguridad o sobre

indicadores operacionales de seguridad requiere que los

receptores tengan que descifrar la información

Te e os de asiadas étricas , tales co o el ú ero de ataques de denegación de servicio, pero en la mayoría de los

casos o so sig ificativas para el egocio.


Dos objetivos fundamentales para informar a la Dirección

• Seguimiento del desempeño en comparación con los planes

estratégicos y los objetivos del negocio

• Gestionar los riesgos que podrían evitar el cumplimiento de

los planes estratégicos y los objetivos de negocio

Engaged Reporting combina desempeño y gestión de riesgos

conjuntamente – mediante combinaciones de KPI/KRI (Key

Performance Indicators/Key Risk Indicators).


Comparación y contraste entre KPIs y KRIs

KRI Predicción de eventos que pueden

afectar el cumplimiento de los

planes estratégicos y los objetivos

de negocio

Predominantemente mira hacia

adelante

KPI Una expresión del progreso hacia

los planes estratégicos y los

objetivos de negocio

Predominantemente mira hacia atrás


Cuatro componentes clave


De los conceptos a la práctica

Cuando se aplican colectivamente, el compromiso, la relevancia

de los datos, el conocimiento y el impacto, complementan el

proceso de toma de decisiones que se representa como la

siguiente ecuación:

Las decisiones con una buena base de información se basan en

una concepción precisa del desempeño y del riego.


El enfoque del ISF sobre la información a Dirección

• Enfoque practico en cuatro

fases para crear los

indicadores clave de

desempeño(KPIs) y de

riesgos (KRIs) que soportan

la toma de decisiones, en

base a información

• Diseñado para aplicarse

hacia arriba, hacia abajo y

transversalmente, en todos

los niveles de la

organización.

• Anima a los CISOs a crear

una hoja de ruta para tener

las conversaciones

oportunas con las personas

adecuadas


Please join the process

community on ISF Live to ask

questions and share your

experience

https://www.isflive.org/community/process

Core communities

Deliverables

Horizonte de Amenazas – TH2017


¿Qué es el Horizonte de Amenazas?

• Informe Anual

• Identifica las tendencias de amenazas sobre la seguridad de la información

de los próximos 2 años

• Vincula las tendencias de amenazas con el impacto sobre el negocio


¿Por qué mirar hacia el futuro?

Para entender cómo las buenas prácticas deben cambiar en el

futuro, se necesita comprender las amenazas que tendremos en

el futuro y cómo debemos responder ante ellas.

El ISF llama a este concepto:

Threat Horizon


Metodología Threat Horizon - PLEST


Políticas (Aumento de inestabilidades regionales, terrorismo, problemas energéticos)

Legales (Aumento del cumplimiento, litigios por problemas con manejo y gestión inadecuada de transacciones, etc.)

Económicas (e-economía, crimen organizado, continuidad del negocio, cambio climático)

Socio-culturales (tecno-generación, trabajo remoto, ocio vs trabajo)

Tecnológicas (Convergencia digital de medios, convergencia de dispositivos, nuevos productos y arquitecturas)

Horizonte de las Amenazas

Un mundo cambiante – Tipos de Amenazas


2017 Threat trends


Ruegos y Preguntas

Revisión de Documentación


El Information Security Forum

Gracias por su atención

Velázquez 86- B

28006 - MADRID

Tel: +34 91 432 14 15

Fax: +34 91 578 27 97

Rafael Rodríguez de Cora

E-mail: [email protected]

www.securityforum.org

Information Security Forum (ISF) - · Establecer un entorno amplio de controles que cubra...

Documents

Transcript of Information Security Forum (ISF) - · Establecer un entorno amplio de controles que cubra...