Information Security Forum (ISF) - · Establecer un entorno amplio de controles que cubra...
-
Upload
vuongduong -
Category
Documents
-
view
221 -
download
0
Transcript of Information Security Forum (ISF) - · Establecer un entorno amplio de controles que cubra...
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Entregas principales durante 2014
• Supply Chain Assurance Framework
• Information Risk Assessment Methodology 2 (IRAM2)
• Using Maturity Models to Create and Protect Value
• Engaged Reporting: Fact and fortitude
• Security Awareness: Instilling a security culture
• Threat Horizon 2017
• Cyber Insurance
• Best Practice in Management Reporting and Status/KPIs
• Risk Appetite
• 2014 Standard of Good Practice for Information Security
• Special Interest Groups: Big Data, Mobile Devices, Standards, Cyber,
Privacy, Government, Benchmark, Securing Industrial Control Systems
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Entregas planificadas para 2015
Horizonte de Amenazas 2017
Arquitectura de seguridad de la información
Entorno de seguridad de la aplicaciones
Proteger las joyas de la corona
Seguridad de los Sistemas de Control Industrial
Implicaciones de las reformas de la Comisión Europea sobre Privacidad
Gestionar las amenazas internas
Aseguramiento de las Smart Cities
Gestión de evaluación de los riesgos de la información (IRAM2)
www.securityforum.org Copyright © 2015 Information Security Forum Limited
¿Cómo se llevan a cabo los proyectos?
El ISF lleva a cabo un amplio programa anual. Cada proyecto...
Se basa en las necesidades de negocio de los Miembros
Obtiene documentos y herramientas de alta calidad y fáciles de
usar:
• Informes a Dirección.
• Documentos de Consulta
• Guías prácticas de implantación y metodologías
Incorpora experiencias de las organizaciones miembro
Representa la mejor práctica entre los miembros
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Participación en reuniones de proyectos
La participación en equipos de trabajo de proyectos del Foro, talleres y seminarios, proporcionan una oportunidad excelente para...
Analizar temas clave sobre seguridad de la información con
personas destacadas y expertos invitados
Intercambiar experiencias con otros Miembros
Ayudar a orientar el diseño y alcance de los productos finales del
proyecto
Formar al personal en áreas importantes sobre la seguridad de la
información
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Presentación de algunos Proyectos
• Estándar de Buenas Prácticas - SoGP
• Benchmarks
• Supply Chain
• Engaged Reporting
• Horizonte de Amenazas – TH 2017
www.securityforum.org Copyright © 2015 Information Security Forum Limited
The ISF Standard of Good Practice for Information Security
SECURITY GOVERNANCE
SECURITY REQUIREMENTS
CONTROL FRAMEWORK
SECURITY MONITORING AND IMPROVEMENT
ISO 27014
(draft)
ISO 27001
(Information
Security
Management
System)
Security
Assurance
ISF framework
for ISG
www.securityforum.org Copyright © 2014 Information Security Forum Limited
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Utilización del Estándar
1. Aumentar resiliencia contra eventos de baja probabilidad y alto impacto, que pueden
amenazar el éxito y supervivencia de la organización
2. Ayudar en la certificación de ISO 27001 y dar soporte al cumplimiento de otros
estándares reconocidos de la seguridad de la información
3. Proteger la cadena de suministro y validar los acuerdos con proveedores externos, sobre
la seguridad de la información
4. Establecer un entorno amplio de controles que cubra adecuadamente la gestión de
riesgos de la información
5. Desarrollar un entorno efectivo para las políticas, estándares y procedimientos de la
seguridad de la información
6. Crear un programa de concienciación sobre la seguridad de la información
7. Base para evaluaciones de seguridad extensas, de alto nivel y bien orientadas
8. Desarrollar y mejorar procedimientos para la seguridad de la información
www.securityforum.org Copyright © 2015 Information Security Forum Limited
¿Por qué un Benchmark?
Soportar el plan de negocio para mejoras de la seguridad con
datos reales actualizados – y por lo tanto orientar las
inversiones para la seguridad de la información donde sean
más rentables
Demostrar a la Dirección cómo se está disminuyendo el riesgo
de la información en las áreas críticas del negocio
Presentar a la Dirección cómo se compara la organización con
otras importantes organizaciones en la región o en el sector de
mercado.
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Beneficios de un Benchmark
Revisar los resultados en formatos ISO / IEC 27002 y COBIT versión 4.1
Identificar áreas con debilidades donde se requiere una investigación mayor
Obtener una mejor implantación de los controles de seguridad existentes
Reducir el número e impacto de los incidentes más graves
Introducir políticas de seguridad, estándares y controles nuevos
Destacar aquellos entornos de seguridad que son más efectivos que otros
Planificar la asignación de recursos para que se obtenga el mayor beneficio
Aumentar la concienciación sobre la seguridad entre el personal
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Benchmark y el Security Healthcheck
Evaluaciones de alto nivel con 339 preguntas o sobre temas detallados 100-4000
Benchmarking is a comprehensive risk management tool Example based on the Standard of Good Practice for Information Security
www.securityforum.org Copyright © 2015 Information Security Forum Limited
El proceso de Benchmark
Los miembros pueden entregar todos los cuestionarios que quieran SIN COSTE!
www.securityforum.org Copyright © 2015 Information Security Forum Limited
¿Qué dicen los Miembros sobre el Benchmark?
The Benchmark is why we joined the ISF and it relates directly to the core value
proposition of the ISF: A window into information security as it's actually practised by
other organisations. No one else can do that objectively.
I used the benchmark to pinpoint weaknesses in our identity access control with the
purpose to get funding and run a project to implement an Identity Access Management
system.
My organization has been using the benchmark / survey since we joined the ISF. Number
of benchmark surveys has increased every time when it has been deployed in my
organization. It is single most valuable tool in the ISF portfolio.
Participating in Benchmark is the no 1 business reason for being an ISF member.
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Esto va de no contaminarse mutuamente
Póntelo, Pónselo
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Entregables
Informe principal Guía de implantación Resumen ejecutivo
Grupo ISF Live https://www.isflive.org/groups/securing-the-supply-chain
Video de Youtube http://www.youtube.com/user/infosecforum
Herramientas de evaluación
de la seguridad de los proveedores
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Del almacenaje al “just in time”
– La logística es el rey
– Sobrecostes de almacenaje
mínimos
– Se reducen la obsolescencia y las
pérdidas
– La información se tiene que
compartir a lo largo de la cadena
de suministro – Fuente de pérdidas – el
almacenaje ocupa espacio,
tiempo y dinero
– Puede dar lugar a la
obsolescencia y pérdidas de
los productos almacenados
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Falta de visibilidad y controles según la información se comparte a
lo largo de la cadena de valor
Source: http://www.flickr.com/photos/amerigo/526435438/
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Las organizaciones hacen grandes esfuerzos para proteger internamente información como por ejemplo la propiedad
intelectual o datos sensibles. No obstante, cuando aquella información se comparte en la cadena de suministro, se
pierde el control directo y aumenta el riesgo de pérdida de confidencialidad, integridad o disponibilidad. Un incidente
en cualquier lugar de la cadena de suministro puede tener el mismo impacto que uno dentro de nuestra organización.
Riesgos más frecuentes:
Peligros o desastres naturales
Riesgos internos a la cadena
o Proveedor (p.ej. predicciones incorrectas, dependencia de proveedores únicos, racionalización y pérdida de capacidad de suministro)
o Demanda (p.ej. volatilidad, factores estacionales, productos complementarios sustitutivos)
o Procesos (p.ej. fallos operacionales, incidentes y cuellos de botella)
o Control (p.ej. bucles de retroalimentación deficientes y mediciones incorrectas)
Basado en Martin Christopher, Logistics and Supply Chain Management, 4th edition, FT
Prentice Hall, London, 2011, ISBN 978-0273731122
Riesgos Internos a la Cadena de Suministro
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Externos a la cadena (ver PLEST – TH2017))
o Políticos (p-ej. Conflictos, terrorismo y cambios de gobierno)
o Legales (p.ej. cambios en leyes y normativas, incumplimientos, alteraciones a contratos o leyes tributarias)
o Económicos (p.ej. previsiones incorrectas, restricciones debidas a la soberanía o escasez de mano de obra)
o Sociales (p.ej. activismo, cambios en los gustos, preferencias y actitudes del consumidor)
o Riesgos tecnológicos y ciber (p.ej. compartiendo información, cibercrimen, hacktivismo y fallos en las infraestructuras).
• Compartir información con los proveedores es esencial para el funcionamiento de la cadena de suministro, aunque también se generan riesgos.
• De todos los riesgos de la cadena de suministro, los riesgos de la información son los peor gestionados.
Riesgos Externos a la Cadena de Suministro
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Seguir la información: ¿por qué?
• La información es un activo: tiene valor
• Hay que compartir información para que funcione la cadena de suministro
• La información es cada vez más el objetivo de:
- Criminales
- Hacktivistas
- Competencia
- Estados
• Proteger los sistemas no es suficiente
www.securityforum.org Copyright © 2015 Information Security Forum Limited
La seguridad en la cadena de suministro
• Una nueva estrategia: SCIRAP
• Guiada por la información y basada en el nivel de riesgo
• Escalable
• Se construye sobre procesos existentes de seguridad de la información y otros procesos, herramientas y estrategias de negocio
• Descrita en detalle en dos informes
• Apoyada por:
- Expertos del ISF Global Team
- Espacio virtual de implantación
- Mesas redondas
- Servicios de asistencia del ISF
- Dos nuevas herramientas
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Hay una extensa librería de apoyo a la implantación
• ISF Live
• Servicios de ayuda
• Mesas redondas
• Nuevas utilidades
- SSET
- SSEST
www.securityforum.org Copyright © 2015 Information Security Forum Limited
¿Está un CISO en condiciones de responder a estas preguntas?
• ¿Podemos reducir los gastos en seguridad sin exponer el
negocio a riesgos significativos?
• ¿Están seguros nuestros activos de información críticos? ¿Qué
seguridad necesitan tener?
• ¿Cuales serían las implicaciones en el negocio de una brecha o
incidente de seguridad?
• ¿Qué es lo que hace la función de seguridad de la información
para dar soporte a nuevas iniciativas?
• ¿Está el negocio proporcionando la suficiente seguridad a sus
productos y servicios clave?
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Situación actual de la información a Dirección para la toma de
decisiones
• Informar sobre las métricas y KPIs disponibles está fallando
• Informar sobre métricas técnicas de seguridad o sobre
indicadores operacionales de seguridad requiere que los
receptores tengan que descifrar la información
Te e os de asiadas étricas , tales co o el ú ero de ataques de denegación de servicio, pero en la mayoría de los
casos o so sig ificativas para el egocio.
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Dos objetivos fundamentales para informar a la Dirección
• Seguimiento del desempeño en comparación con los planes
estratégicos y los objetivos del negocio
• Gestionar los riesgos que podrían evitar el cumplimiento de
los planes estratégicos y los objetivos de negocio
Engaged Reporting combina desempeño y gestión de riesgos
conjuntamente – mediante combinaciones de KPI/KRI (Key
Performance Indicators/Key Risk Indicators).
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Comparación y contraste entre KPIs y KRIs
KRI Predicción de eventos que pueden
afectar el cumplimiento de los
planes estratégicos y los objetivos
de negocio
Predominantemente mira hacia
adelante
KPI Una expresión del progreso hacia
los planes estratégicos y los
objetivos de negocio
Predominantemente mira hacia atrás
www.securityforum.org Copyright © 2015 Information Security Forum Limited
De los conceptos a la práctica
Cuando se aplican colectivamente, el compromiso, la relevancia
de los datos, el conocimiento y el impacto, complementan el
proceso de toma de decisiones que se representa como la
siguiente ecuación:
Las decisiones con una buena base de información se basan en
una concepción precisa del desempeño y del riego.
www.securityforum.org Copyright © 2015 Information Security Forum Limited
El enfoque del ISF sobre la información a Dirección
• Enfoque practico en cuatro
fases para crear los
indicadores clave de
desempeño(KPIs) y de
riesgos (KRIs) que soportan
la toma de decisiones, en
base a información
• Diseñado para aplicarse
hacia arriba, hacia abajo y
transversalmente, en todos
los niveles de la
organización.
• Anima a los CISOs a crear
una hoja de ruta para tener
las conversaciones
oportunas con las personas
adecuadas
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Please join the process
community on ISF Live to ask
questions and share your
experience
https://www.isflive.org/community/process
Core communities
Deliverables
www.securityforum.org Copyright © 2015 Information Security Forum Limited
¿Qué es el Horizonte de Amenazas?
• Informe Anual
• Identifica las tendencias de amenazas sobre la seguridad de la información
de los próximos 2 años
• Vincula las tendencias de amenazas con el impacto sobre el negocio
www.securityforum.org Copyright © 2015 Information Security Forum Limited
¿Por qué mirar hacia el futuro?
Para entender cómo las buenas prácticas deben cambiar en el
futuro, se necesita comprender las amenazas que tendremos en
el futuro y cómo debemos responder ante ellas.
El ISF llama a este concepto:
Threat Horizon
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Metodología Threat Horizon - PLEST
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Políticas (Aumento de inestabilidades regionales, terrorismo, problemas energéticos)
Legales (Aumento del cumplimiento, litigios por problemas con manejo y gestión inadecuada de transacciones, etc.)
Económicas (e-economía, crimen organizado, continuidad del negocio, cambio climático)
Socio-culturales (tecno-generación, trabajo remoto, ocio vs trabajo)
Tecnológicas (Convergencia digital de medios, convergencia de dispositivos, nuevos productos y arquitecturas)
Horizonte de las Amenazas
Un mundo cambiante – Tipos de Amenazas
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Ruegos y Preguntas
Revisión de Documentación
www.securityforum.org Copyright © 2015 Information Security Forum Limited
El Information Security Forum
Gracias por su atención
Velázquez 86- B
28006 - MADRID
Tel: +34 91 432 14 15
Fax: +34 91 578 27 97
Rafael Rodríguez de Cora
E-mail: [email protected]
www.securityforum.org