Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la
Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la Información “Del proyecto a la gestión del día a día” MSc. Fabián Cárdenas Varela CISSP, CISM, LA BS7799-2 NewNet S.A Propiedad Intelectual de Fabián Cárdenas Varela. Prohibida su reproducción, cesión, publicación, distribución comunicación al público, traducción, y uso contrario a los usos honestos de la Propiedad Intelectual, sin autorización de su titular [email protected], [email protected] Agenda 1. Lecciones 1 L i Aprendidas A did 2. Herramientas 3 Visión de Futuro 3. Lecciones Aprendidas (1) Proyecto • Tiene un principio y un fin. p p p g • Tiene un patrocinio temporal para generar un producto específico. No es un fin, es un medio. Proceso de Seguridad • Es continuo. E i • Tiene patrocinio permanente, para realizar unas actividades que son importantes para la empresa. Es bueno, pero Es bueno pero no suficiente. Sistema de Gestión • Es continuo y con gestión formal. • Tiene patrocinio permanente, para gestionar una problemática que es importante para el negocio. problemática que es importante para el negocio Es de tipo corporativo. Lecciones Aprendidas (2) Ámbito Corporativo (Ejemplos) Ámbito Específico (Ejemplos) • Políticas • Concientización • Gestión de Activos • Gestión de Riesgos • Gestión de Incidentes • Auditoría • Deben ser patrocinados por más de un área de la organización. • Deben tener visualización corporativa y hacer parte de la gestión. • Pruebas de Intrusión • Administración de Controles Tecnológicos Tecnológicos. • Arquitectura de Seguridad • Monitoreo de la seguridad. • Deben convertirse en actividades de la operación. actividades de la operación. • Podrían ser tercerizados. Lecciones Aprendidas (3) Se venden proyectos para obtener productos y no se están vendiendo planes para obtener b una mejora j en la gestión empresarial. Objetivos Largo Plazo Mediano Plazo Corto Plazo Nivel de Madurez 1 Nivel de Madurez …n Metas Gestión Nivel de Madurez 2 Lecciones Aprendidas (4) Hay que adquirir todo lo que necesitamos para poder andar Entrenamiento Mantenimiento Seguros Impuestos Accidentes Cumplimiento Repuestos Agenda 1. Lecciones 1 L i Aprendidas A did 2. Herramientas 3 Visión de Futuro 3. Herramientas (1) 1 Viabilidad de una inversión en seguridad 2 Ciclo de vida de la gestión de la seguridad 3 Medir la Inseguridad 4 Asegurar el patrocinio Herramientas (2) Vulnerabilities Cost to Break 1 (CTB) Information Assets Threats Attack Defence Mechanisms Breach Information Assets at Stake CIA CTB>B+F Cost to Build (B) Cost to Fix Vulnerabilities l bl (F) Cost to Rebuild Cost of Immediate Revenue IT Security Budget ¿Viable? (R) (L) B+F<L+R IT IT Budget © Adrian Mizzi 2004 Herramientas (3) 1 Utilidad Apoya la mejora de los procesos del Negocio Apoya la gestión de riesgos del negocio ¿Apto para el negocio? ¿Apto para el negocio? OR Verdadero/Falso La iniciativa cuenta con: Verdadero/Falso AND Las Competencias La s Capacidades La Medición AND ¿Genera Valor? ¿Genera Valor? Verdadero/Falso La Continuidad Garantía ¿Apto para establecerlo y mantenerlo? Herramientas (4) 2 Ejecución del Proyecto •Puede involucrar consultoría externa, adquisiciones de productos o servicios. • Culmina Culmina entregando productos tales como: resultados, recomendaciones, modelos, documentación o diagnósticos. Entrega de Productos •Es necesaria la Transferencia de conocimiento • Varias áreas o procesos quedan con con responsabilidades sobre cada producto. Operación •Actividades de implementación que generan nuevos proyectos que se llevan a cabo con recursos internos o recursos internos o con el apoyo de terceros. • Actividades finales que comienzan a hacer parte del día a día de la organización. Gestión •Medición del desempeño y mejora continua. •Monitoreo de las actividades a cargo de cada área o de cada área o proceso. •Reporte. Herramientas (5) 2 Función del Negocio 1 Función del Negocio 1 Gestión de Activos Gestión de Riesgos Función del Negocio 2 Mejora Continua Función del Negocio 3 Herramientas (6) 3 Estadísticas Encuestas Riesgos del Negocio Riesgos de Procesos Valor de la Información (operación, control) Debida Diligencia Datos del Sector “Pay Pay Per View View” Riesgos de Activos (Sistemas de Información, bases de datos, personas, servicios) Casos de Caso de Negocio fraude, fraude robo, etc. Riesgos de Componentes (Hardware, Software, Medios) Valor de la Información Buenas Prácticas Herramientas (7) Planeación 4 Auditoría & Auditoría & Control Información y T Tecnología l í Jurídica Riesgos Despliegue Efectivo de Planes de Tratamiento Planes de Tratamiento Recursos Humanos Calidad ld d Seguridad Física Herramientas (8) 4 Nivel 3 • Indicadores de Grupo Empresarial • Indicadores Corporativos C ti Nivel 2 Nivel 2 • Indicadores de Áreas o Gerencias Indicadores de • Indicadores de Procesos Nivel 1 Nivel 1 • Indicadores de Seguridad • Indicadores Técnicos Agenda 1. Lecciones 1 L i Aprendidas A did 2. Herramientas 3 Visión de Futuro 3. Visión de Futuro (1) ISO 27000 ISO 9000 ISO 18000 Actuar ISO 14000 Verificar Planear Hacer La seguridad de la información cada vez más integrada a la gestión integral corporativa ISO 20000 Visión de Futuro (2) Concientización Gestión de la Seguridad Monitoreo y Control (SAAS, HAAS) Control y Dirección Atención de Incidentes Seguridad como un Servicio Actividades operativas de la gestión de la seguridad de la información cada vez más tercerizadas. Gestión de Vulnerabilidades Visión de Futuro (3) Salud, Estado, Telecomunicaciones, TLC, Minero Energético. g Empresas de diferentes sectores diferentes sectores por competitividad y por necesidad (Proveedores de Servicios). Financiero, Seguros, Bursatil, empresas en Bolsas internacionales. Incremento del cumplimiento legal y regulatorio. Visión de Futuro (4) Reporte Vulnerabilidades Incidentes I di d Indicadores Auditoría Controles Normatividad Gestión de Activos Gestión de Riesgos Mayor automatización de actividades de la gestión de la seguridad. Visión de Futuro (5) Gobierno Mayor demanda y profesionalización de la gestión de la id d d l seguridad de la información Industria Academia Agenda 1. Lecciones 1 L i Aprendidas A did 2. Herramientas 3 Visión de Futuro 3. Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la Información “Del Del proyecto a la gestión del día a día día” [email protected] f bi [email protected] d @ i f Propiedad Intelectual de Fabián Cárdenas Varela. Prohibida su reproducción, cesión, publicación, distribución comunicación al público, traducción, y uso contrario a los usos honestos de la Propiedad Intelectual, sin autorización de su titular [email protected], [email protected]
© Copyright 2024