Oficial de (in)seguridad de la Información : Coordinador de la gestión

Transcripción

1 Oficial (in)seguridad la Información : Coordinador la gestión Octubre 2008 Oh, y ahora quien podrá ayudarnos? En Cantv ahora la seguridad es Integral Andr és R. Al manza, Ms ( c) andres_almanza@hotmail.com

2 Pr opós i t os Reflexión consiente la forma en como es vista la seguridad la información en la organización Quien pue lirar un proceso seguridad y algunas consiraciones para hacerlo Que hace el lír seguridad la información en la organización Por que se pue sistir en el intento gestionarumento Pag 2

3 Agenda Introducción Consiraciones Definiciones Generales Evolución la seguridad CISO, CSO, o Que... Que Hace... Don esta en la organización? Infraestructura corporativa Molo trabajo Enfoques trabajo Realidad Local Retos y Conclusiones Referencias Bibliográficas Pag 3

4 I nt r oduc c i ón Al t os v ol úmenes Gr ans r et os par a i nf or mac i ón pr ot eger l a i nf or mac i ón Regul ac i ones, l ey es May or es i nt er r el ac i ones ent r e Per s onal i z ac i ón pr oc es os, apr opi ac i ón t ec nol ogí a y gent e I nt er r el ac i ones l a s egur i dad Múl t i pl es ent r e v i s ual negoc i o y r i es go amenaz as Ex t er nas ) f uent es y ( I nt er nas, Pag 4

5 Def i ni c i ones Gener al es S er v i c i os Neg oc i o Es t r at eg i as s eg ur i da d Mé t r i c as y med i c i on es Con t i nui dad Neg oc i o Ri es go Co r po r at i v o S eg ur i da d c o mo o b l i g ac i on Cont r ol Ac c es o Pr ot ec c i on Ma qu i na s TI Ri e s g o d e el n d ci ó o t ec et r Pr o Per í m

6 Or ques t ador Hoy s e habl a CI S O/CS O/I S O/OS I. Hoy s e v e un enf oque I nf or mát i c a I nf or mac i ón... Es el lír que posee las habilidas y strezas necesarias para intificar, materializar, gestionar, acoplar y personalizar las necesidas en materia seguridad y protección la organización, buscando crear una postura inseguridad acuada. Para ello se valdrá las herramientas, metodologías, y enfoques necesarios, para involucrar la seguridad y protección en la perspectiva l negocio...

7 Rol y Responsabilidas

8 Compet enc i as Conduc t ual es Habi l i das Influenciar a la alta dirección c omuni c ac i ón. Di pl omac i a y For mac i ón y ex per i enc i a en S I buenas Ges t i ón l r i es go r el aci ones S egur i dad en r ed Aut onomí a, di s c i pl i na Nor mat i v as y es t ándar es Buen J ui c i o, mot i v ac i ón I nt egr i dad, Téc ni c as s egur i dad hones t i dad, Ex per i enc i a( 2 a 4 años ) r es pons abi l i dad Pr uebas i nt r us i ón For t al ez as un ner d, Pr uebas I ns t i nt os un pol i c í a Venc er el par adi gma l a ci ma.... LI DERAZGO DE NI VEL MEDI O Interacción con Usuarios y áreas TI v ul ner abi l i dad Ges t i ón i nc i nt es Ges t i ón Pr oy ec t os

9 I nt er r el ac i ones Depen l tamaño, requerimiento, cultura Evolución Estructura Organizacional Def i ne Actividas a sarrollar a on I nt er i or Roles, Responsabilidas y Autoridad ci Def i ne ee s Po si Po Molo Madurez

10 Don es t á l a empr es a? I g nor anci a Tot al Políticas sactualizadas Sin entrenamiento l personal Poca comunicación entre Seguridad Negocio TI Convicción que todo por si es seguro No se reportan las fallas seguridad No existe gestión, ni medición Seguridad reactiva

11 Don es t á l a empr es a? Conci enci a Iniciativas no continuas en conciencia seguridad a la organización Iniciativa no completada un equipo seguridad Enfoque sobre la política y su revisión Creencia en que la política es lo único Fácil para volver a la ignorancia Desarrollo las relaciones entre TI, negocio, y seguridad Desarrollo inicial visión y misión la seguridad en la organización

12 Don es t á l a empr es a? Funci onal Programa estratégico seguridad Orientación a procesos, en torno a: Seguridad Riesgos Gobierno Necesidas negocio embebidas en las políticas Inicio mediciones y reportes Comunicaciones con la alta gerencia Diseño la arquitectura seguridadra seguridad

13 Don es t á l a empr es a? Excel enci a Cultura organizacional, involucra la seguridad Seguridad orientada a ser un servicio l negocio Mejoramiento continuo, basado en las mediciones, métricas, indicadores y metas Se entien el riesgo corporativa Se acepta el riesgo residual Programa organizacional seguridad, seguido por la alta dirección Mejoramiento continuo

14 Don es t á el r es pons abl e? Enf oque Técni co No existe una función formal seguridad Asumida por la operación TI Reportes son realizados en áreas Operacionales o TI Las labores están enfocadas en Seguridad en la red Seguridad en la operación S egur i dad en el s ar r ol l o

15 Don es t á el r es pons abl e? Enf oque Técni co Vicepresinte Director TI Jefe Soporte/ Plataforma Operación SI Mediana/Gran Pequeña/Mediana Jefe Desarrollo

16 Don es t á el r es pons abl e? Funci ones Enf oque Técni co Admi ni s t r ac i ón l f i r ewal l Cont r ol ac c es o Rol / Aut or i dad Pr uebas v ul ner abi l i dad Rol net ament e t éc ni c o Aut or i dad r el egada, y ai s l ada a s us f unc i ones Poc a i nf l uenc i a en t oma c i s i ones S e es cuc ha s ol o c uando al go c umpl i r se t enga que Moni t or eo r ed S er v i c i os r ed. Cor r eo, I nt r anet. I ns t al ac i ón y c onf i gur ac i ón s er v i dor es y s er v i c i os

17 Don es t á el r es pons abl e? Enf oque Técni co/ Admi ni s t r aci ón Existe un responsable seguridad Reportes son realizados en áreas Operacionales o TI Las labores están enfocadas en Seguridad operacional. Alto porcentaje Gestión y Administración. Bajos porcentajes Estrategia. Bajos porcentajes

18 Don es t á el r es pons abl e? Enf oque Técni co/ Admi ni s t r aci ón Vicepresinte Director TI Operación SI Jefe Soporte/ Plataforma Unidad Seguridad Mediana/Gran Pequeña/Mediana Jefe Desarrollo

19 Don es t á el r es pons abl e? Funci ones Enf oque Técni co/ Admi ni s t r aci ón Def i ni c i ón pol í t i c as mi x t o es t ándar es S egur i dad t écni co- S er v i dor es Aut or i dad mas v i s i bl e, Par c hes Poc a Mal war e en la I DS /I PS /Fi r ewal l t oma c i s i ones S e en i nf r aes t r uc t ur a ges t i ón. ( Coor di nador ) i nf l uenc i a y pr oc edi mi ent os Rol / Aut or i dad Rol es c uc ha en su i nt er r el ac i ón con l as ár eas s u mi s mo ni v el Ges t i ón r i es go TI

20 Don es t á el r es pons abl e? Enf oque Admi ni s t r aci ón Existe un responsable seguridad Existe un equipo multidisciplinario responsable la seguridad Administración la infraestructura seguridad Revisión la seguridad s un entorno corporativo Las responsabilidas seguridad son dirigidas o supervisadas sobre las áreas

21 Don es t á el r es pons abl e? Auditoria RRHH TI (Soporte/Desarrollo) Seguridad (Fisica/ Electronica) Juridica Enf oque Admi ni s t r aci ón Dirección ejecutiva Mediana/Gran Gerente TI CSI Pequeña/Mediana Director TI CISO Operación SI Jefe Soporte/Plataforma Unidad Seguridad Jefe Desarrollo

22 Don es t á el r es pons abl e? Enf oque Admi ni s t r aci ón Def i ni c i ón Rol / Aut or i dad Rol enf oc ado a la ges t i ón. ( As es or í a) Aut or i dad mas v i s i bl e, I nt er ac c i ón i nf l uenc i a s obr e e ot r as ár eas I nf l uenc i a en t oma c i s i ones Comi t é s egur i dad. c ons ul t or Funci ones pol í t i c as es t ándar es y pr oc edi mi ent os Ges t i ón r i es go r i es go c or por at i v o Ges t i on i nc i nt es Ent r enami ent o y c onc i ent i z ac i on BCM/BCP Es t andar es s egur i dad ges t i on

23 Don es t á el r es pons abl e? Enf oque Ger enci al Existe un responsable seguridad Existe un equipo multidisciplinario responsable la seguridad Crea un gobierno alredor la seguridad La cultura organizacional adopta la seguridad como suya La seguridad operacional es vuelta a los directos responsables Mediciones exactas y claras acerca la seguridad

24 Auditoria RRHH TI (Soporte/Desarrollo) Seguridad (Fisica/ Electronica) Juridica Don es t á el r es pons abl e? Enf oque Ger enci al Dirección ejecutiva CSI Mediana/Gran Gerente TI CISO Pequeña/Mediana Director TI Operación SI Jefe Soporte/Plataforma Unidad Seguridad Jefe Desarrollo

25 Don es t á el r es pons abl e? Enf oque Ger enci al Def i ni c i ón Rol / Aut or i dad Rol enf ocado ges t i ón ( y S oc i o a la g obi er no. es t r at égi c o. Ger ent e) Aut or i dad y c ons ul t or i a I nt er ac c i ón i nf l uenc i a s obr e e ot r as ár eas Or i ent ac i ón al negoc i o Comi t é c ons ul t or s egur i dad. I nt er ac c i ón c on ent es ext er nos Funci ones pol í t i c as es t ándar es y pr oc edi mi ent os Ges t i ón r i es go r i es go c or por at i v o BCM/BCP Mét r i c as y medi c i ones Pl aneac i ón es t r at égi c a l a s egur i dad Pr oc es os s egur i dad Cumpl i mi ent o r egul ac i ones y l ey es

26 Vent aj as /Des v ent aj as Dentro TI I ni c i at i v as Fuera TI c ambi o nt r o Ventajas May or TI For t al ec i mi ent o l Conc i enc i a s egur i dad a l os adi c i onal a l os aut or i dad y v i s i bi l i dad r es ul t ados a ni v el es l a al t a di r ec c i ón ni v el es Desventajas Choques di r ec t i v os TI i nt er es es ent r e S egur i dad se c onv i er t e en i mpar c i al i dad i nv es t i g ac i ones en TI t r enes ent r e TI y S egur i dad c onv er t i r s e en pr os a Poc a pr of undi dad en i nv es t i gac i ón ac t i v i das t i empo par c i al. la Pos i bi l i dad s egur i dad y s er v i ci os TI Af ec t ada ni v el Equi po t r abaj o ( A, S I, TI ) ni v el es j ef es Conf l i c t os Ent r ega Di r ec t or /Ger ent e TI. Car ga Ac t i v i dad t i empo c ompl et o en Rendi c i ón c uent as r equi er e aut or i dad.

27 Mez c l ando.... Gerencial Operacional Estratégico Táctico Aliado estratégico Admin Asesor Técnico /Admin Coordinador Técnico Operador Ignorancia Conciencia Funcional Excelencia

28 Hábi t os buenos... Estructura moral y ética alta mente sarrollada Ser diligente y ágil para la ejecución l trabajo Gestionar seguridad como un negocio Paciencia como virtud Hacer y hacer y hacer... Trabajo la cultura organizacional entorno a la seguridad. Recopilación datos y saber como us ar l os

29 Mi t os Mito la posición..no se pue dirigir sino se esta en la cima.. Mito la influencia....no se pue influir por no estar en la cima.. Superar el síndrome l todologo... No utilizar el factor MID, para venr sus ias Enfoque autoritario, para justificar su trabajo. Pocas relaciones por ser seguridad.

30 Encuesta Nacional Seguridad (Colombia-Mexico Areas Responsabilidad la Seguridad Auditoria interna Gerente Operaciones 25 Gerente Ejecutivo Otra 20 No especificado Director Seguridad Informática 15 Director Sistemas 10 Alimentos Construcción / Ingeniería Educación Gobierno / Sector público Hidrocarburos Manufactura Otra (Por favor especifique) Salud Servicios Financieros y Banca Telecomunicaciones 5 0

31 Retos y Conclusiones Es necesario un responsable seguridad por: Ambientes complejos y con distintas variables Cantidad requerimientos las partes interesadas que ben atenrse Alguien be gobernar, gestionar y dirigir Debe garantizar la personalización la seguridad la información Su interacción con los elementos la organización (alta dirección, usuarios, TI), lo fine como una persona multifuncional que be dominar los lenguajes las partes interesadas. La seguridad la información se ve en la actualidad como un elemento estratégico l negocio, que es manejado a través l proceso la gestión l riesgo.

32 Retos y Conclusiones Las organizaciones ben realizar un autodiagnostico que les permita terminar don se encuentran y con ello su responsable en seguridad tendrá claro lo que la organización sea y hasta don sea llegar Debe buscar finir su arquitectura seguridad que como objetivo principal sea alinearse con el negocio. (Misión - Visión) Cada vez mas encontramos que los responsables la seguridad la información participan en las cisiones estratégicas la organización y reportan a la gerencia El lír la inseguridad en la organización, be tener claro que su disciplina, constancia, y dicación son las herramientas validas para dirigir el proceso.

33 Retos y Conclusiones Su responsabilidad y sentido compromiso y pasión por lo que hace son sometidos a prueba todo el tiempo. Tolerancia absoluta a la incertidumbre y las respuestas que no sean escuchar. Romper con las premisas, como la que dice...bo estar en la cima para dirigir... La diplomacia es una las características mas importante que be sarrollar nuestro responsable seguridad en pro la integración las partes interesadas.

34 Gr ac i as ?

35 Ref er enc i as Bi bl i og r áf i c as Chi ef S ec ur i t y Of f i c er. Gui l i ne ( 2004). AS I S I nt er nat i onal. URL. www. as i s onl i ne. or g/gui l i nes /gui l i nes c hi ef. pdf J OHNS ON M. ERI C, GOETZ ERI C. ( 2007) Embeddi ng I nf or mat i on S ec ur i t y i nt o t he Or gani z at i on. S ec ur i t y & Pr i v ac y. Pp J ac k Mc Coy. ( 2004) Ar e We Ready f or a Chi ef I nf or mat i on S ec ur i t y Of f i c er?. Di s poni bl e en: www. unc. edu/c aus e05/pr es ent at i ons /mc c oy /mc c oy. ppt Chi ef I nf or mat i on S ec ur i t y Of f i c er. URL ht t p: //en. wi ki pedi a. or g/wi ki /Chi ef _i nf or mat i on_s ec ur i t y _of f i c er. Chi ef I nf or mat i on S ec ur i t y Of f i c er. URL ht t p: //www. c hi ef i nf or mat i ons ec ur i t y of f i c er. c om/ Qué t i po CI S O s er?. URL ht t p: //www. bs ec ur e. c om. mx /ar t i c ul os. php? i d_s ec =59&i d_ar t =6561 The Changi ng Rol e Of The CI S O?. URL ht t p: //www. i nf or mat i onweek. c om/bl og/mai n/ar c hi v es /2008/02/t he_c hangi ng_r o. ht ml Qui en es el l í r l a i ns egur i dad i nf or mát i c a?. URL. ht t p: //www. el t i empo. c om/par t i c i pac i on/bl ogs /f aul t /un_ar t i c ul o. php? i d_bl og= &i d_r ec A Cur r ent Vi ew of t he S t at e CI S O: A Nat i onal S ur v ey As s es s ment NAS CI O, S ept ember URL. ht t p: // www. nas c i o. or g/publ i c at i ons /doc ument s /NAS CI O- CI S Os ur v ey Repor t. pdf

36 Ref er enc i as Bi bl i og r áf i c as Wy l r J. ( 2004) Strategic Information Security. Addi s on Wes l ey. J ohn Wy l r Kovacich G. (2003) The Information Systems Security Officer's Gui: Establishing and Managing an Information Protection Program, Second Edition. Butterworth Heinemann The Gl obal S t at e of I nf or mat i on S ec ur i t y PwC, S ept ember 2007 El r ol l CI S O: Chi ef I nf or mat i on S ec ur i t y Of f i c er. URL. ht t p: //c r i adoi ndomabl e. wor dpr es s. c om/2007/11/14/el - r ol - l - c i s o- c hi ef - i nf or mat i on- s ec ur i t y 10 pr i nc i pal es r az ones por l as c ual es el CI S O r enunc i ar á en el URL. ht t p: //c xo- c ommuni t y. c om. ar /i nx. php? opt i on=c om_c ont ent &t as k=v i ew&i d=229&i t emi d=30 What i s a Chi ef S ec ur i t y Of f i c er?. URL. ht t p: //www. c s oonl i ne. c om/ar t i c l e/pr i nt / Chi ef I nf or mat i on S ec ur i t y Of f i c er. URL ht t p: //en. wi ki pedi a. or g/wi ki /Chi ef _i nf or mat i on_s ec ur i t y _of f i c er. Chi ef I nf or mat i on S ec ur i t y Of f i c er. URL ht t p: //www. c hi ef i nf or mat i ons ec ur i t y of f i c er. c om/ Qué t i po CI S O s er?. URL ht t p: //www. bs ec ur e. c om. mx /ar t i c ul os. php? i d_s ec =59&i d_ar t =6561 The Changi ng Rol e Of The CI S O?. ht t p: //www. i nf or mat i onweek. c om/bl og/mai n/ar c hi v es /2008/02/t he_c hangi ng_r o. ht ml URL

37 Ref er enc i as Bi bl i og r áf i c as Ar e We Ready f or a Chi ef I nf or mat i on S ec ur i t y Of f i c er. J ac k Mc COy. URL. www. unc. edu/c aus e05/pr es ent at i ons /mc c oy /mc c oy. ppt Gar t ner ( 2005, S ept ember 15). Gar t ner hi ghl i g ht s t he ev ol v i ng r ol e of CI S O i n t he new s ec ur i t y or r. Retrieved November 2, 2005 from the Gartner Web site Ger mai n, J. ( 2005, Oc t ober 13). Your next job title: CISO? Ret r i ev ed Nov ember 2, 2005 f r om t he News f ac t or Magaz i ne Web si te ht t p: //www. c i o- t oday. c om/s t or y. x ht ml? s t or y _t i t l e=your _Nex t _J ob_ti t l e CI S O_&s t or y _i d=38430 Kobus, W. S. ( 2005, Nov ember 1). Security management. I nf os econ c onf er enc e on Nov ember 1, ht t p: //www. t es s - l l c. c om/s ec ur i t y %20Management. pdf Pr es ent ed at t he I S S A Tr i angl e 2005 in Car y, NC. URL. Hawki ns, B. L., Rudy, J. A., & Ni c ol i c h, R. ( 2004). EDUCAUSE core data report: 2004 summary report. f r om Ret r i ev ed Nov ember 2, 2005 t he EDUCAUS E Web si te ht t p: //www. educ aus e. edu/i r /l i br ar y /pdf /pub8002. pdf Boni, W. ( 2005, Apr i l 5). The role of the CSO: An industry perspective. Pr es ent ed at t he EDUCAUS E S ec ur i t y Pr of es s i onal s Conf er enc e Was hi ngt on, DC. Ret r i ev ed Nov ember 2, 2005 f r om t he EDUCAUS E Web s i t e. ht t p: //www. educ aus e. edu/li br ar y Det ai l Page/666? I D=S PC0528

38