Retos y desafíos de un Sistema de Gestión de Seguridad de la Información

Transcripción

1 Retos y desafíos de un Sistema de Gestión de Seguridad de la Información

2 El verdadero objetivo de la seguridad no es eliminar la inseguridad, es enseñarnos a convivir con ella. Richard D. García Rondón, MSc., CISSP, CISA, ABCP.

3 Seguridad de la Información, un tema crítico para las organizaciones

4 Algunos datos interesantes Intentos no consumados de fraude (%) 2010 Recepción de solicitando claves de usuario 19,9 % A través de Internet Recepción de una oferta de trabajo sospechosa 21,1 % Invitación a visitar un sitio web sospechoso 34,4 % Recepción de ofertando un servicio no solicitado 25,9 % A través de correo electrónico Recepción de SMS solicitando claves de usuario 2,2 % Recepción de una llamada telefónica solicitando claves de usuario 2,7 % Recepción de un SMS ofertando un servicio no solicitado 11,1 % Fuente:

5 Qué impacto puede tener en la Organización el no considerar una prioridad la seguridad de la información?

6 Según la encuesta 2009 Seguridad y almacenamiento en las Pyme, aproximadamente el 33% de empresas en América Latina ha enfrentado una brecha de seguridad, lo que significa que información importante o confidencial de la compañía se perdió, fue robada o consultada sin autorización. Dependiendo del tipo de información, el impacto puede costar desde miles hasta millones de pesos. Fuente en Internet:

7 Entre los organismos internacionales más reconocidos en temas de Seguridad de la Información, podemos encontrar los siguientes: ISACA: COBIT British Standards Institute: BSI International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book ITSEC Information Technology Security Evaluation Criteria Sarbanes Oxley Act, HIPAA

8 La Certificación ISO/IEC 27001:2005, es la práctica Internacional por excelencia en materia de Seguridad de Información que buscan las Organizaciones. Dicha práctica brinda la oportunidad a la organizaciones de contar con una ventaja competitiva y que da certeza y confianza a sus clientes, accionistas, proveedores y gobiernos. ISO/IEC 27001:2005

9 Desde la perspectiva del Gobierno de TI debemos implementar un Sistema de Gestión de Seguridad de la Información

10 Para implantar el estándar ISO/IEC 27001:2005, se requiere desarrollar un: Procesos Procedimientos Sistema de Gestión de Seguridad de la Información (SGSI) Políticas Análisis y Tratamiento de Riesgos Controles de seguridad Enfoque de Riesgos del Negocio Responsabilidades

11 Principales retos y desafíos al implantar de un SGSI

12 Retos y desafíos al implementar un SGSI: Es fundamental medir de la eficiencia de las acciones implementadas para garantizar verdaderas mejoras, y una gestión que no se quede sólo en el papel. El cambio cultural en la organización es lo más complejo y lo que demanda más tiempo a los responsables de seguridad de información.

13 Retos y desafíos al implementar un SGSI: Que la Alta Gerencia tome conciencia de que la certificación de un SGSI es un factor vital para el éxito de la organización. Encontrar personal con experiencia en temas de seguridad es complicado. Impulsar la creación de un Departamento de Seguridad la Información, es una necesidad.