Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de...
Transcript of Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de...
![Page 1: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/1.jpg)
Seguridad de información en los procesos de negocio
![Page 2: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/2.jpg)
Seguridad de Información en los Procesos de Negocio de la Organización
David Treviño
![Page 3: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/3.jpg)
Agenda Introducción Visión Holística Procesos de Negocio ¿Porqué la seguridad en los procesos de Negocio? Marco de Referencia Conclusiones
![Page 4: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/4.jpg)
Citas
!La seguridad no es un producto, es un proceso". Bruce Schneier. Experto en seguridad.
!La seguridad es una travesía, no un destino." Microsoft.
!La seguridad no es un problema de tecnología, es un problema de gente y de administración". Kevin Mitnick. Conocido !Hacker"
!Cuando se trata de seguridad digital, no existe algo como una defensa impenetrable. Pero se pueden mitigar los riesgos siguiendo sólidas practicas operativas". Cristopher A.R. Darby. @Stake
![Page 5: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/5.jpg)
RECORDEMOS
La seguridad de Información soporta la misión del negocio La seguridad de Información es un elemento integral de una
administración sólida Los dueños de recursos de información tienen responsabilidades
relacionadas con seguridad fuera de su propia organización La responsabilidad y la asignación de la misma en seguridad de
información debe ser establecida claramente La seguridad de información requiere de un enfoque integral y
completo La seguridad de información debe ser re-evaluada
periódicamente La seguridad de información se encuentra limitada por factores
sociales y de cultura
Fuente: OCDE
![Page 6: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/6.jpg)
Visión Holística
ISO 27002/17799 La administración de seguridad requiere como mínimo
la participación de todos los miembros de una organización.
Clientes + Accionistas + Proveedores Consejo de especialistas en la materia
![Page 7: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/7.jpg)
Visión Holística
La seguridad de información esta caracterizada por la preservación de: confidencialidad, integridad y disponibilidad
Para ello, se requiere de Metodología (Métodos, procesos, políticas)
Antropología (Gente)
Tecnología
![Page 8: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/8.jpg)
Buenas noticias
La administración general no requiere aprender de los aspectos técnicos de las amenazas digitales
Sin embargo debe administrar riesgos
![Page 9: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/9.jpg)
Introducción
Para muchos ejecutivos, se considera a la seguridad de información un problema de tecnología, no un problema de negocio.
¿Está funcionando este enfoque? De acuerdo a reporte de empresa de antivirus, hasta el
mes de noviembre de este año (2010) se han creado 20 millones de variantes de código malicioso.
El software de uso común sigue teniendo huecos (por ejemplo: Adobe Reader es la aplicación más explotada en el mundo por código malicioso)
El cibercrímen sigue creciendo y está saludable
![Page 10: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/10.jpg)
¿Dónde está el reto?
La seguridad por si misma no ofrece valor de negocio, típicamente reduce la pérdida de valor de negocio.
Factores económicos: Masificación, economías de escala. Es rentable explotar software altamente usado.
Las decisiones respecto al nivel de seguridad razonable en un ambiente de negocio se toma de una forma en que es neutral al valor. No se considera el valor perdido de negocio.
![Page 11: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/11.jpg)
Enfoque Tradicional
Identificar Activos
Definir Uso
Controlar Acceso
Insistir en Software Seguro
Saber que SW corre
Probar y Medir
Planear y Responder
Causa Raiz
![Page 12: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/12.jpg)
Proceso General Simplificado de Administración de Riesgos
Identificar activos digitales y decidir que tanta protección requieren ¿cuáles son los activos digitales? Algunos no son tan
obvios.
Realizar inventario de datos y sistemas
Estimar que tan valiosos son para la empresa
Decidir que tanto riesgo la empresa puede aceptar para cada activo.
Proceso General Simplificado de Administración de Riesgos
![Page 13: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/13.jpg)
¿Qué quiero decir con valor perdido de negocio?
Liga entre el impacto del incidente de seguridad y lo que el negocio pierde. Ejemplos:
Consideren una empresa que realiza 30,000,000 de transacciones de recarga al mes, en promedio cada una de 40 pesos.
¿Qué significa para la empresa la falta de disponibilidad de su infraestructura por un incidente de seguridad que la deje sin servicio de recargas por 1 hora?
Consideren una empresa que recibe 8 millones de correos electrónicos al mes
¿Qué significa para la empresa un incidente de seguridad en su servidor de correo de 1 hora?
![Page 14: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/14.jpg)
Procesos de Negocio
Flujo estructurado de actividades, que soportan las metas de la empresa y es facilitado por datos y recursos. Para InfoSec: Enfoque en Actividades y Datos
Procesos núcleo de negocio Procesos que expresan las actividades “principales” o
“esenciales” de la empresa.
El éxito de la empresa depende , no sólo de que tan bien cada departamento desempeña su trabajo, sino también en que tan bien la empresa administra las actividades de coordinación entre departamentos para realizar esas actividades.
![Page 15: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/15.jpg)
ANALISIS DE SECUENCIA DE PROCESOS
2. Prospectación 3. Preventa 1. Presupuesto y planeación
4. Ventas tramite y
preparación (T y P)
5. Ventas realización
del servicio
Segmentación
Control de
procesos
Concursos Licitaciones
Entrega
Calibración
Venta
![Page 16: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/16.jpg)
INTERACCIÓN DE PROCESOS
2.- Proceso de Prospectación de Clientes.
1. Presupuesto y planeación 2. Prospectación
3. Preventa
X. Segmentación
3.- Proceso de Preventa.
1.Prospectación 3. Preventa 4. Ventas
X. Concursos (Licitación)
4.- Proceso de Venta Concreta: tramite y preparación.
3. Preventa
4. Ventas tramite y
preparación (T y P) 1. Presupuesto
y planeación
5. Ventas realización serv
5.- Proceso de Venta Concreta: realización.
4. Ventas T y P
5. Ventas realización
del servicio 1. Presupuesto
y planeación
6. Entrega
X. Control de procesos
X. Control de procesos
X. Control de procesos
X. Control de procesos
![Page 17: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/17.jpg)
PROCESOS DE:
Entradas Proceso Salidas Enlace procesos entrada
Enlace procesos salida
Participantes y función
Herramientas del proceso
Indicadores del proceso
.
Registros del proceso
Requerimientos de Seguridad/Criticidad
Impacto en el Negocio
Mapeo de Proceso
![Page 18: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/18.jpg)
¿Porqué la Seguridad de Información en los procesos de Negocio?
Las empresas cada vez más dependen de la tecnología de información en sus procesos críticos, Internet se ha convertido en pieza fundamental de las operaciones de un negoocio.
La seguridad de información es una responsabilidad compartida y que debe estar a cargo de la alta dirección
Una empresa constantemente administra o debe administrar el riesgo. Tener un negocio es administrar riesgos.
Al identificar los procesos de negocio críticos y sus requerimientos de seguridad se atiende la pérdida de valor de negocio.
Si no elevamos la seguridad de información a un rol ligado a las actividades de negocio, el impacto adverso seguirá en las organizaciones y continuaremos con problemas para justificar el costo de la seguridad de información.
![Page 19: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/19.jpg)
Procesos y cultura para mitigar los riesgos
La Seguridad de la Información no debe ser vista como un producto o paquete, sino como una serie de procesos que en combinación con la educación y concientización del personal que labora dentro de la empresa, permite alcanzar el nivel mínimo de riesgo aceptado por la alta dirección.
![Page 20: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/20.jpg)
Definición
Administración de Riesgos Proceso de identificar, controlar y mitigar(o eliminar)
riesgos de seguridad que pueden afectar los sistemas de información
A un costo Aceptable.
![Page 21: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/21.jpg)
Enfoque Tradicional de Análisis de Riesgo
Identificación de procesos de negocio y sus actores Identificación y Valuación de Activos Identificación de Requerimientos de Seguridad
respecto a vulnerabilidades y Amenazas Evaluación de Riesgos Propuesta, Diseño e Implementación de Contramedidas
![Page 22: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/22.jpg)
Limitaciones
No se verifica la adherencia de los sistemas a los requerimientos de seguridad
![Page 23: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/23.jpg)
Algunos Criterios, modelos de seguridad y Marcos de Referencia
Marcos de Referencia de Seguridad Cobit
GITBPM
ISO 27002/ ISO 17799
Modelos de Madurez SSE-CMM (Systems Security Engineering-CMM)
Information Security Program Matrurity Grid (ISPMG)
Software Security Metrics (SSM)
Security Maturity Model (SMM)
Modelos: ALE, SooHoo, CBA, OCTAVE
!
![Page 24: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/24.jpg)
Seguridad de Información y Procesos de Negocio
Soportados por
Implementados por
![Page 25: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/25.jpg)
Establecer
Nivel de Criticidad de procesos – eventos que ocurren en los procesos particularmente críticos de negocio que ocasionarían un impacto substancial a la empresa.
Definición de objetivos y requerimientos de seguridad. Adherencia a los objetivos y requerimientos de seguridad de los datos usados en estos procesos en un momento dado – la no adherencia conducirá a eventos que ocasionen daño. Si los objetivos y requerimientos de seguridad se cumplen entonces los impactos implícitos de los eventos son mitigados debido a que existen las medidas
La capacidad de los procesos de seguridad de TI para tratar con los eventos de seguridad – la detección y prevención de eventos.
![Page 26: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/26.jpg)
Marco de Referencia
Valuar las medidas de Seguridad basados en el valor externo de los procesos núcleo de negocio
Esto permite integrar Procesos corporativos núcleo de negocio que deberían
ser protegidos
Marcos de referencia que permitan la definición de niveles de seguridad y procesos de TI
Métodos para la valuación de la seguridad
![Page 27: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/27.jpg)
Marco de Referencia
Uso de Procesos de TI para medir los costos necesarios para implementar y conservar un nivel definido de seguridad
Tipos de costos que deben ser considerados Costos de inversión para implementar un nivel definido de
seguridad
Costos operativos para mantener un nivel definido de seguridad
Costos de recuperación que incluyen el tiempo y gastos necesarios para recuperar el sistema despues de un incidente de seguridad
![Page 28: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/28.jpg)
Marco de Referencia
Se debe considerar la pérdida de valor de negocio debido a la falta de disponibilidad de un sistema (costos indirectos / de oportunidad) Pérdida de utilidades que resultan de que se detenga un
proceso de negocio
Costos de empleados
Otros costos indirectos como los intangibles (pérdida de clientes, o pérdida de reputación).
![Page 29: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/29.jpg)
Conclusión
Reto: Encontrar como Dar Valor de Negocio a la Seguridad de Información.
Es necesario ligar la seguridad con los procesos de negocio de la organización, ya que si desde estos no se considera la seguridad, el agregarla después será más costoso.
Es necesario mantener una visión holística para el tema de la seguridad de información
La seguridad de información y las tres logias: Metodología, Antropología, Tecnología
![Page 30: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/30.jpg)
Monterrey Sendero Sur 285, Col. Contry
64860 Monterrey, N.L., México Tel: +52 (81) 1001-0460
Fax: +52 (81) 1001-0461
México, D.F. Mariano Escobedo 510 PH Col. Anzures 11590 México, D.F. Tel: +52 (55) 3300-5213 Fax: +52 (55) 3300-5210
01800-CIT-CITI / www.citi.com.mx
![Page 31: Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de la alta dirección Una empresa constantemente administra o debe administrar el riesgo.](https://reader034.fdocuments.ec/reader034/viewer/2022042202/5ea3888ddde0504f9b7775ae/html5/thumbnails/31.jpg)
¿Preguntas?
Ejemplo de créditos Nombre del instructor de Línea [email protected]
Otro puesto Nombre de otro ponente
Dirección de contacto Calle #3 S/N
Colonia Polanco Mexico D.F C.P. 66000