#113 Gobierno de Seguridad de Información

Tamaño: px
Comenzar la demostración a partir de la página:

Download "#113 Gobierno de Seguridad de Información"

Transcripción

1 Conferencia Latin America CACS 2006 #113 Gobierno de Seguridad de Información Preparada por Ricardo Morales, CISA, CISM, ISO27001 LA, ITIL Alestra AT&T Information Security and Service Planning Manager 23 de Octubre 2006

2 Alestra compañía mexicana que ocupa una posición de liderazgo en el mercado nacional de telecomunicaciones, es propiedad de Alfa (51%) y de AT&T (49%). Ofrece servicios de banda ancha y valor agregado bajo la marca AT&T, de conformidad con los rigurosos estándares dictados por AT&T Inc. La Red ALESTRA comprende actualmente más de 5,900 Km. de fibra óptica, cobertura de servicio local en 16 ciudades y de VPN en 50, además de contar con la más avanzada tecnología en infraestructura de redes convergentes, como softswitches y plataformas de servicios convergentes avanzados. A través de ALESTRA la red Mundial de AT&T (AGN-AT&T Global Network) se expande a 28 de las más importantes ciudades de México. ALESTRA tiene un área especializada en Seguridad de Información, ya que la salvaguarda de la información de sus clientes es una de sus más altas prioridades. Los controles de seguridad de la información se instrumentan en los servicios que provee a millares de usuarios.

3 A g e n d a 1- Introducción 2- Situación actual en la Función de Seguridad 3- Objetivos de un Gobierno de Seguridad 4- Roles y Responsabilidades en un Gobierno de Seguridad 5- Modelo de un Gobierno de Seguridad 6- Diseño de un Plan Estratégico de Seguridad 7- La Administración de Riesgos en un Gobierno de Seguridad 8- Consideraciones de mejores prácticas en un Gobierno de Seguridad 9- Factores Críticos del éxito de un Gobierno de Seguridad

4 Introducción. n. Alineación n al negocio de la función n de SI Administrativos/ Procedurales / Técnicos/ Físicos Dueños/ Custodios Controles de Seguridad de Información Sistemas de Información Amenazas Impactos en CIA Impacto al negocio - Determinar sus Riesgos Procesos de Negocio Interrupción Alineados a la Estrategia Objetivos de Negocio Metas no logradas Corto/ mediano/ Largo Estrategias Impactos Tiempo, $ Gobiernos, Tratados Internacionales Leyes/ Regulaciones/ Contratos HIPAA Visión SOX Misión Ley federal 999 Privacidad de Datos Impactos Imagen, Confianza Impactos Legales +

5 Introducción. n. Análisis de procesos de negocio - Una nueva visión Facturación de Servicio de Voz Dueño: Ricardo Morales Cambio? Medición Información Entradas: 5ESS VCDX UNBILLED Salidas: BILLDATS BILLMON ARBOR BILLED ODC Evento: Incendio Probabilidad de ocurrencia: 0.10 Anual Registros de Facturación Pactolus SONUS Recursos: System X Arbor 2 Billing 66 Redes de datos Staff Impresión Distribución Exclusion cero duración Exclusiones en base a variables A investigar Criterio: Reglas de negocio. Ofertas/tarifas Reqistros Hacendarios RECICLE Registros: Archivos para impresión Facturas entregadas a clientes a tiempo Impactos: $ 12,000,000/semanal 2 hospitalizados Incumplimiento de pagos Daño a imagen

6 A g e n d a 1- Introducción 2- Situación actual en la Función de Seguridad 3- Objetivos de un Gobierno de Seguridad 4- Roles y Responsabilidades en un Gobierno de Seguridad 5- Modelo de un Gobierno de Seguridad 6- Diseño de un Plan Estratégico de Seguridad 7- La Administración de Riesgos en un Gobierno de Seguridad 8- Consideraciones de mejores prácticas en un Gobierno de Seguridad 9- Factores Críticos del éxito de un Gobierno de Seguridad

7 Situación n Actual -Pobre alineación de Seguridad de Información (SI) con los objetivos de negocio -No hay un presupuesto asignado a la función de SI -Roles de responsabilidad sobre la Información no definidos: -Dueño de la información -Dueño de los Sistemas -Administrador de Seguridad -Dueño de procesos -Custodio de la Información/ sistemas -Etc.

8 Situación n Actual -Orientación de SI a la tecnología y no a los procesos -Función de SI embebida en el área de TI -Seguridad es todavía un gran esfuerzo, no se ve como un requerimiento del negocio -No se ve como un proceso de mejora continua

9 Situación n Actual -No se cuenta con un proceso de administración de riesgos para la determinación de controles de SI -No se cuenta con comités de SI para tomar decisiones colegiadas y que consideren a las áreas críticas de la empresa -No se diseñan controles en base a políticas, normas, ni estándares - Prevalece la técnica y no la (filosofía + la técnica)

10 A g e n d a 1- Introducción 2- Situación actual en la Función de Seguridad 3- Objetivos de un Gobierno de Seguridad 4- Roles y Responsabilidades en un Gobierno de Seguridad 5- Modelo de un Gobierno de Seguridad 6- Diseño de un Plan Estratégico de Seguridad 7- La Administración de Riesgos en un Gobierno de Seguridad 8- Consideraciones de mejores prácticas en un Gobierno de Seguridad 9- Factores Críticos del éxito de un Gobierno de Seguridad

11 Objetivos de un Gobierno de Seguridad de Información n (GSI). Meta esencial Reducir impactos adversos sobre la organización a un nivel aceptable de riesgos IT Governance Institute

12 Objetivos de un GSI Gobierno de Seguridad de Información (GSI): Es el conjunto de responsabilidades y prácticas ejercidas por el grupo directivo con el objetivo de proveer dirección estratégica, asegurar que los objetivos sean alcanzados, validar que los riesgos de la información sean apropiadamente administrados y verificar que los recursos de la empresa sean usados responsablemente. IT Governance Institute

13 Objetivos de un GSI. Objetivos de Seguridad -La información está disponible y utilizable cuando sea requerida, los sistemas que proporcionan esta información pueden resistir o recuperarse apropiadamente de ataques (Disponibilidad) -La información es observada o revelada sólo a entidades que tienen una necesidad de conocerla (Confidencialidad) -La información es protegida contra modificaciones no autorizadas (Integridad) -Las transacciones del negocio así como intercambios de la información entre diversas áreas de la organización o con entidades externas que tengan relaciones de negocio deben ser confiables (Autenticidad y norepudiación) IT Governance Institute

14 Objetivos de un GSI. Beneficios de un GSI Reducción de Riesgos de SI a nivel aceptable Optimización en inversiones relacionadas Alineación Estratégica al negocio Uso efectivo y eficiente de recursos Mediciones para asegurar el logro de objetivos

15 A g e n d a 1- Introducción 2- Situación actual en la Función de Seguridad 3- Objetivos de un Gobierno de Seguridad 4- Roles y Responsabilidades en un Gobierno de Seguridad 5- Modelo de un Gobierno de Seguridad 6- Diseño de un Plan Estratégico de Seguridad 7- La Administración de Riesgos en un Gobierno de Seguridad 8- Consideraciones de mejores prácticas en un Gobierno de Seguridad 9- Factores Críticos del éxito de un Gobierno de Seguridad

16 Roles y responsabilidades en un GSI Estructura Organizacional de un GSI Depende del alcance definido en el SASI (Sistema de Administración de Seguridad de Información) Director General Presidente del Comité Comité de SI TI Operaciones TI Desarrollo *RRHH *LEGAL *Finanzas *Dueños de Procesos Seguridad de Información Auditor de SI Áreas Operativas Ingeniería,, Unidades de Negocio, Procesos, Tesorería, etc. *= Áreas siempre presentes

17 Roles y responsabilidades en un GSI Gobierno del Sistema de Administración de Seguridad de Información Dirección General Rolando Zubirán Presidente Comité Alejandro Irigoyen Comité de SI Area de SI Auditoría Interna de SASI Areas Operativas Política de Seguridad Corporativa Aprobar Revisión final Revisar Elaborar Objetivos SASI Aprobar Revisión final Revisar Elaborar Alcance del SASI Aprobar Revisión final Revisar Elaborar Metodología de Admon. De Riesgos Reporte de Admon. De Riesgos Plan de Tratamiento de Riesgo Aprobar Revisar Elaborar Aprobar Revisar Elaborar Aprobar Revisar Elaborar Nivel de Riesgo Aceptable Aprobar Revisión final Revisar Elaborar Manual del Sistema de Seguridad Información Procedimientos y Controles del SASI (en proyecto To) Procedimientos y Controles del SASI (ya en operación el SASI Tn) Aprobar Revisión final Revisar Elaborar Aprobar Elaborar Revisar Aprobar Revisar Elaborar SoA Aprobar Revisar Elaborar Procedimiento de Auditoria Interna del SASI Procedimiento de Acciones correctivas y Preventivas Aprobar Revisar Elaborar Aprobar Elaborar Revisar

18 Roles y responsabilidades en un GSI Responsabilidades de Dirección n General Garantizar que se establezcan objetivos y planes de SI. Establecer, comunicar y revisar la Política de SI. Proveer Recursos para: Constituir, Implementar, Operar, Monitorear, Revisar, Mantener y Mejorar el SASI (Sistema de Administración n de Seguridad de Información) n) Aprobar Niveles de Aceptación n Riesgos de SI y documentación n requerida por norma seleccionada.

19 Roles y responsabilidades en un GSI Responsabilidades del Presidente Constitución del SASI: Aprobar los objetivos y planes de SI. Establecer Roles y Responsabilidades de SI. Proveer Recursos Suficientes para: Constituir Implementar, Operar, Monitorear, Revisar, Mantener, Mejorar el SASI. Administrativos: Aprobación de documentación del Comité de SI (CSI). Presidir las reuniones del Comité de SI. Convocar reuniones extraordinarias del CSI. Aprobación de Cambios de Procesos de Gobierno. Aprobación de Cambios Estructurales al SASI. Revisiones del SASI: Garantizar que se conduzcan Auditorias Internas. Conducir Revisiones de la Dirección del SASI. Verificar el cumplimiento de objetivos y planes de SI.

20 Roles y responsabilidades en un GSI Responsabilidades de Seguridad de Información n (Área)( Constitución del SASI: - Elaboración de Procedimientos y Controles del SASI. Administrativos: Establecer y operar control documental del SASI. Administración de Riesgos: Elaboración de modelos, análisis de brechas y tratamiento de riesgos. Seguimiento del desempeño del SASI: Consolidar resultados de efectividad del SASI. Mejora Continua: Identificación y Revisión de Áreas de Oportunidad y de acciones correctivas.

21 A g e n d a 1- Introducción 2- Situación actual en la Función de Seguridad 3- Objetivos de un Gobierno de Seguridad 4- Roles y Responsabilidades en un Gobierno de Seguridad 5- Modelo de un Gobierno de Seguridad 6- Diseño de un Plan Estratégico de Seguridad 7- La Administración de Riesgos en un Gobierno de Seguridad 8- Consideraciones de mejores prácticas en un Gobierno de Seguridad 9- Factores Críticos del éxito de un Gobierno de Seguridad

22 Modelo de un GSI. Alcance del SASI. Análisis & Evaluación de riesgos. Definir la política del SASI. Controles objetivo y controles para tratamiento de riesgos. Declaración de Aplicabilidad. Plan Establecer el SASI Modelo ISO Revisión de la dirección. Monitoreo de desempeño del SASI. Revisiones al SASI. Revisión de riesgo residual. Auditorias internas bajo un programa de trabajo. Documentar acciones correctivas Do Implementar y operar el SASI SASI Mantener y mejorar el SASI Act Implementación del plan de tratamiento de riesgos. Protección de registros. Trazabilidad. Monitoreo y revisión del SASI Check Comunicar los resultados y acciones y tomar acuerdos con las partes involucradas. Monitoreo y seguimiento. Edwards Deming, `the Deming Wheel'. 1950

23 Modelo de un GSI. Estándares a considerar. Estrategia del Negocio BSC Regulaciones COSO -SOX ó Control y Auditoria COBIT 3,4 Seguridad ISO ó Nivel de Madurez CMM IT Management ACT BS ISO PLAN CHECK DO Fuente: Latincacs 2005 Panamá

24 Modelo de un GSI. Evolución n ISO Oct 2005 ISO/IEC FDIS 27001:2005 Aceptación 2001Revisión de BS Std. Internacional Dic 2000 ISO BS7799 Parte BS7799 Parte 1 y 2 Std. Regional 1995 BS7799 Parte Grupo industrial de trabajo Documento de Consorcio Sep 2002 BS El código de práctica (PD0003) Estándar de Shell Acuerdo entre organizaciones: Departamento de Comercio e Industria Práctica interna de una organización 1985 t Código de práctica 1995 Std. Nacional 2000 Jun 2005 ISO/IEC 17799:

25 Modelo de un GSI. Evolución n ISO Pareja de Documentos ISO 17799:2005 Guía a de Implementación n de controles Código de práctica para un ISMS BS :2002 Evoluciona en ISO27001 Especificaciones para un ISMS Resumen de cambios Revisión ISO17799:2005 ISO17799:2000 es retirada Se publicó en Julio nuevos controles ahora hay 134 en lugar de Capítulos antes 10, se agrega manejo de incidentes Evolucionará en ISO en Abril 2007 BS7799- Parte 2 ISO Se transformó en ISO27001 en Octubre 2005 BS7799 Parte 2 es retirada.

26 Modelo de un GSI. 11 Dominios ISO27001 Security Policy Organization of Information Security Asset Management Human Resources Security Physical & Environmental Security Organizational Structure Management Security Policy Organizational Of Info Sec Communications & Operations Asset Management Access Control Access Control Information Systems Acquisition, Development & Maintenance Information Security Incident Business Continuity Compliance Operations Systems Development and Maintenance Human Resource Security Compliance Communications and Operations Management Business Continuity Management Security Incident Management Physical & Environ. Security

27 Modelo de un GSI. Estándares en Proceso ISO/IEC Standard Description Vocabulary and definitions Specification (BS7799-2) OK Code of Practice (ISO17799:2005) Implementation Guidance Metrics and Measurement Risk Management (BS )

28 Modelo de un GSI. ISO27001: 2005 Punto Sección Information security management system 4.1 General requirements 4.2 Establishing and managing the ISMS Establish the ISMS Implement and operate the ISMS Monitor and review the ISMS Maintain and improve the ISMS

29 Modelo de un GSI. Construyendo un GSI (basado en ISO27001) 1-Definición n y Establecimiento de: Alcance y limites del SASI. Política de seguridad de información. n. Metodología a de Administración n de Riesgos. Que identifique riesgos asociados a los activos de información n definidos. Análisis y evalúan an los riesgos identificados. Evalúan an las opciones para el tratamiento de los riesgos identificados. 2-Nivel de riesgo aceptable. 3-Reducción n de Riesgo mediante seleccionan de controles Anexo A de la norma ISO 27001: Aprobación n de Riesgo Residual por Dirección n general. 5-Autorización n de Implementación n del SASI por Dirección n General. 6-Relación n de controles aplicables para lograr el nivel de riesgo residual l aprobado por la Dirección n General documentados en un Declaración n de Aplicabilidad, SoA.

30 Modelo de un GSI. Plan de Trabajo Hacia una Certificación n ISO27001 (ejemplo) 1Q 2Q 3Q 4Q Alcances y metodología Análisis de Riesgos e Impactos Tratamiento de Riesgos e Impactos SoA Análisis Gap / implementación del SASI Generación de Evidencia Creación de Comité Tech. Compliance y Auditoria Cierre AC Alcance SASI Política SASI Objetivos Niveles de Riesgos Auditoria Externa P D C A Plan Do Check Act Listo para certificación

31 A g e n d a 1- Introducción 2- Situación actual en la Función de Seguridad 3- Objetivos de un Gobierno de Seguridad 4- Roles y Responsabilidades en un Gobierno de Seguridad 5- Modelo de un Gobierno de Seguridad 6- Diseño de un Plan Estratégico de Seguridad 7- La Administración de Riesgos en un Gobierno de Seguridad 8- Consideraciones de mejores prácticas en un Gobierno de Seguridad 9- Factores Críticos del éxito de un Gobierno de Seguridad

32 Diseño o de un plan estratégico de SI. Modelo de Procesos de Seguridad de Información n (ejemplo) Monitoreo Continuidad de negocio Concientización Desarrollo de Normas y Políticas Control de Accesos Administración de Riesgos Respuesta a Incidentes

33 Diseño o de un plan estratégico de SI. Desarrollo del programa de Seguridad de Información Despliegue de estrategia (ejemplo) Nivel de Madurez Política Organización Primera Evaluación ISO7799 Respuesta Incidentes Normas Adm. Riesgos Business Continuity Control de Acceso Monitoreo Creación de GSI Certificado IS Inicial Concientización Estrategia Incidentes Evaluaciones Procesos Críticos de Seguridad de información tiempo

34 Diseño o de un plan estratégico de SI. Política Corporativa Directriz Desarrollo de Política Políticas Específicas , Internet, Redes, Intranet,.. Políticas Estándares Externos (Tecnologías, RFC IEEE) Recomendaciones Best Practices SANS, CERT, AT&T Estándares Internos Guías Baselines Mec.Tec Normatividad Amenazas Específicas Procedimientos Procedimientos Procedimientos Procedimientos Procedi mientos

35 Diseño o de un plan estratégico de SI. s Posters Concientización Campañas Medición (exámenes) Firmas de políticas Inducción Premios a los que reporten incidentes

36 Diseño o de un plan estratégico de SI. Análisis, Evaluación y Tratamiento de Riesgos Entradas Subprocesos Salidas Activos Determinar probabilidad del escenario de riesgo Riesgos iniciales Administración de Riesgos Amenazas Riesgos (consecuancias) Identificar impacto al negocio Identificar afectación en CID Riesgos residuales Vulnerabilidades Validar estatus de amenazas Plan de tratamiento de riesgos Riesgos residuales Calcular riesgos inciales y residuales Tratamiento de riesgos Carta de aceptación de riesgos

37

38 Diseño o de un plan estratégico de SI. Equipo de Respuesta a Incidentes

39 Diseño o de un plan estratégico de SI. Control de Accesos Modelos Técnicas Administración Métodos Amenazas Control de Acceso identificación Autenticación Autorización -Explotan Vulnerabilidades Responsabilidad (Accountability) Administrativos Técnicos o Lógicos Físicos Preventivos Detectivos Correctivos Disuasivos (Deterrent) Reecuperación Compensatorios Disponibilidad Información (Activos) Confidencialidad Integridad Incidente

40 Diseño o de un plan estratégico de SI. BCM (Business Continuity Management) BCP (Business Continuity Plan) Plan de Continuidad DRP (Disaster Recovery Plan) Transacciones No Capturadas Declaración De Desastre Recuperación de Registros Vitales Traslado Restauración Del Sistema IPL & Activación de la Red Restauración de BD s Recreación de Transacciones Recuperación Tradicional Recuperación a partir de Registros Vitales (Sist. Operativo, DBMS, Aplicaciones y Datos) Data Shadowing *Elimina los Riesgos de la Recuperación de Datos (incluye Protección de Transacciones) Hot Standby *Restauración Inmediata (incluye Data Shadowing) Tiempo (Hrs) Incidente

41 Diseño o de un plan estratégico de SI. Monitoreo Orientación Técnica: Orientación de Procesos: Desarrollo de Política Concientización Administración de Riesgos Respuesta a Incidentes Control de Accesos BCP BCP6 Porcentaje de BCP de procesos de negocios que son auditados Fórmula = X bcp9*100/x bcp7 IRM2 ERI7 CA6 Porcentaje de riesgos que son aceptados y que no les ha expirado la fecha de aceptación Fórmula = (X irm3*100/x irm1 Porcentaje de incidentes de Severidad 4 que ocurren en un tiempo determinado. Fórmula = (X eri10*100)/x eri5 Porcentaje de sistemas con restricciones al personal de acceso Fórmula = X ca12*100/x ca1 IRM1 Porcentaje de activos que se les aplicó un análisis de riesgos en un período de 1 año Fórmula = (X irm2*100)/x irm1

42 A g e n d a 1- Introducción 2- Situación actual en la Función de Seguridad 3- Objetivos de un Gobierno de Seguridad 4- Roles y Responsabilidades en un Gobierno de Seguridad 5- Modelo de un Gobierno de Seguridad 6- Diseño de un Plan Estratégico de Seguridad 7- La Administración de Riesgos en un Gobierno de Seguridad 8- Consideraciones de mejores prácticas en un Gobierno de Seguridad 9- Factores Críticos del éxito de un Gobierno de Seguridad

43 La Administración n de Riesgos en un GSI. Este proceso es la parte fundamental de un GSI Objetivo: Administrar los riesgos de negocio en materia de SI en forma de costo-beneficio para la organización a través de: Identificación de activos críticos, sus vulnerabilidades y amenazas. Cuantificar los impactos al negocio debido a las amenazas. Calcular los riesgos. Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los impactos en el negocio ($$). Implementación de controles que ayuden a mitigar los riesgos. Monitoreo de la efectividad de los controles y su impacto en los riesgos

44 La Administración n de Riesgos en un GSI. Tratamiento de Riesgos Objetivo: Identificar controles de seguridad que mitigan riesgos Calcular los riesgos residuales Seleccionar opciones de tratamiento de riesgos Aceptar, mitigar, transferir, evitar Desarrollar un plan de tratamiento de riesgos

45 La Administración n de Riesgos en un GSI. Escenario AAR (Activo, Amenaza, Riesgo) Riesgo Muy Alto - Acceso no autorizado - Consulta de facturación del cliente Riesgo Alto Riesgo Bajo Riesgo Medio Escenario AAR - Código malicioso - Perdida de integridad de archivos Escenario AAR - Cambios no autorizados -Modificación de cuentas y contraseñas

46 La Administración n de Riesgos en un GSI. Efectividad de Controles Fuente: Libro CISSP

47 A g e n d a 1- Introducción 2- Situación actual en la Función de Seguridad 3- Objetivos de un Gobierno de Seguridad 4- Roles y Responsabilidades en un Gobierno de Seguridad 5- Modelo de un Gobierno de Seguridad 6- Diseño de un Plan Estratégico de Seguridad 7- La Administración de Riesgos en un Gobierno de Seguridad 8- Consideraciones de mejores prácticas en un Gobierno de Seguridad 9- Factores Críticos del éxito de un Gobierno de Seguridad

48 Consideraciones de mejores prácticas en un GSI Estrategia de Seguridad de Información ligada a los objetivos del negocio y basada en el valor de la información protegida.

49 Consideraciones de mejores prácticas en un GSI Políticas de Seguridad de Información que incluyan aspectos de la estrategia, el control y las regulaciones, que además estén basadas en las mejores prácticas internacionales relacionadas a Seguridad de Información.

50 Consideraciones de mejores prácticas en un GSI Una estructura organizacional efectiva que permita la implementación de la Estrategia de Seguridad de Información.

51 Consideraciones de mejores prácticas en un GSI Metodología de Administración de Riesgos de Seguridad de Información que facilite la toma de decisiones basadas en riesgos de negocio.

52 Consideraciones de mejores prácticas en un GSI Un proceso de mejora continua y de monitoreo de políticas, procesos y controles de Seguridad de Información para asegurar su cumplimiento.

53 A g e n d a 1- Introducción 2- Situación actual en la Función de Seguridad 3- Objetivos de un Gobierno de Seguridad 4- Roles y Responsabilidades en un Gobierno de Seguridad 5- Modelo de un Gobierno de Seguridad 6- Diseño de un Plan Estratégico de Seguridad 7- La Administración de Riesgos en un Gobierno de Seguridad 8- Consideraciones de mejores prácticas en un Gobierno de Seguridad 9- Factores Críticos del éxito de un Gobierno de Seguridad

54 Factores Críticos del éxito de un GSI. Los siguientes puntos son los detalles finos que garantizan el éxito de un GSI 1- La Política de Seguridad de SI deberá estar firmada por el director general, debe responder a un análisis de riesgos previo y responder a requerimientos legales y regulatorios de la organización. La misma deberá aplicarse a los terceros con actividades relacionadas a la organización. 2- Debe de diseñarse una Estrategia de SI que considere metas a corto, mediano y largo plazo que se oriente a implementar lo establecido en la Política de SI. 3- Debe desarrollarse e implementar un Modelo de Administración de Riesgos en base a las necesidades de la empresa y que considere riesgos residuales y bandas de riesgos aprobadas por la Dirección General.

55 Factores Críticos del éxito de un GSI. 4- Se debe de considerar establecer un Plan de Continuidad de Negocios que responda a eventos que puedan interrumpir procesos críticos de negocio. 5- Se debe Concientizar sobre la relevancia de SI al grupo de directores así como a las diferentes audiencias pensando en la especialización, esto debe de enfocarse a explicar a como transformar el costo de cumplimiento de la Política de SI a beneficios tangibles a la Organización. 6- Se debe de establecer un Comité de SI que sea representativo de la organización de acuerdo al alcance del GSI, es mandatario involucrar a Recursos Humanos y a Legal. 7- Deben establecerse los diversos Dueños y Custodios de los Activos de Información y su adecuado Accountability.

56 Factores Críticos del éxito de un GSI. 8- La dirección general debe Aprobar Objetivos Anuales de SI clasificados en estratégicos, relacionados a mejoras en procesos básicos de SI y objetivos operativos. 9- Se debe establecer una Medición del Cumplimiento de la Política de SI basado en un adecuado monitoreo del GSI. 10- La función de SI deberá contar con un Presupuesto Independiente de cualquier área funcional. 11- Se debe de establecer la Normatividad basada en las mejores prácticas internacionales de SI y disciplinas relacionadas necesarias para que sean la base estructural de los controles de SI administrativos, tecnológicos y procedurales.

57 Factores Críticos del éxito de un GSI. 12- La función de SI debe de Cubrir a los procesos más Críticos de la Organización. 13- Se debe de considerar establecer un Equipo de Respuesta a Incidentes que considere un adecuado proceso de comunicación y procedimientos de respuesta a incidentes. 14- Se debe de considerar establecer un Proceso de Control de Accesos que brinde Seguridad efectiva y optimice los recursos dedicados a TI. 15- La Selección de controles de SI deberá contar con el nivel de efectividad solicitada por el Análisis de Riesgos de forma que el riesgo residual se maneje adecuadamente.

58 Factores Críticos del éxito de un GSI. 16- Todos los Contratos de la Organización deberán considerar siempre aspectos de SI como acuerdos de confidencialidad, propiedad intelectual, etc. 17- Debe de establecerse la función de Auditoria de TI/SI para contar con un adecuado balance entre las normas y las operaciones relacionadas a SI. 18- Debe de mantenerse un Inventario de Activos de Información que considere procesos de negocio, personas e infraestructura en general. 19- Debe de establecerse una Organización de SI que administre la función de SI y encuentre el adecuado balance con el Comité de SI.

59 Factores Críticos del éxito de un GSI. Aportar Valor Debe de ser primero Valor vs Esfuerzo Difícil de justificar + -Política -Comité -Organización de SI -Aprobar objetivos anuales - Concientizar -Presupuesto independiente -Medición del Cumplimiento - Contratos -Estrategia -Auditorias -Procesos más Críticos - Normatividad -Dueños y Custodios -Administración de Riesgos -Inventario -Equipo de de activos respuesta -Selección de Controles -Plan de continuidad -Control de acceso Zona de no valor No se Justifica Esfuerzo

60 Factores Críticos del éxito de un GSI. Aportar Valor Gran Valor Debe de ser primero Valor vs Esfuerzo Difícil de justificar + -Política -Comité -Organización de SI -Aprobar objetivos anuales - Concientizar -Presupuesto independiente -Medición del Cumplimiento - Contratos -Estrategia -Auditorias -Procesos más Críticos - Normatividad -Dueños y Custodios -Administración de Riesgos -Inventario -Equipo de de activos respuesta -Selección de Controles -Plan de continuidad -Control de acceso Zona de no valor No se Justifica Esfuerzo

61 Factores Críticos del éxito de un GSI. Aportar Valor Debe de ser primero Valor vs Esfuerzo Difícil de justificar + -Política -Comité -Organización de SI -Aprobar objetivos anuales - Concientizar -Presupuesto independiente -Medición del Cumplimiento - Contratos -Estrategia -Auditorias -Procesos más Críticos - Normatividad -Dueños y Custodios -Administración de Riesgos -Inventario -Equipo de de activos respuesta -Selección de Controles -Plan de continuidad -Control de acceso Zona de no valor No se Justifica Mucho Esfuerzo (Marathon) Esfuerzo

62 Factores Críticos del éxito de un GSI. Aportar Valor Gran Valor Debe de ser primero Valor vs Esfuerzo Difícil de justificar + -Política -Comité -Organización de SI -Aprobar objetivos anuales - Concientizar -Presupuesto independiente -Medición del Cumplimiento - Contratos -Estrategia -Auditorias -Procesos más Críticos - Normatividad -Dueños y Custodios -Administración de Riesgos -Inventario -Equipo de de activos respuesta -Selección de Controles -Plan de continuidad -Control de acceso Zona de no valor No se Justifica Mucho Esfuerzo (Marathon) Esfuerzo

63 Gracias Ricardo Morales, CISA, CISM, ISO27001 LA, ITIL ALESTRA (AT&T) Information Security and Service Planning Manager

AS04006 Proyecto Integrador de TI. Planeación y organización de la función de seguridad

AS04006 Proyecto Integrador de TI. Planeación y organización de la función de seguridad AS04006 Proyecto Integrador de TI Actividad 12. Planeación y organización de la función de seguridad. 1 Modelo de procesos de seguridad de información (ejemplo) Administración Desarrollo de de Normas y

Más detalles

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C. Tendencias en la Implementación de Sistemas de Gestión de Servicios y Seguridad de TI Septiembre, 2008 Maricarmen García CBCP maricarmen.garcia@secureit.com.mx Contenido Introducción a ALAPSI Situación

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Actualización en Protección Contra Incendios y Continuidad del Negocio. Bernardo Lenis Duque

Actualización en Protección Contra Incendios y Continuidad del Negocio. Bernardo Lenis Duque Actualización en Protección Contra Incendios y Continuidad del Negocio Bernardo Lenis Duque Entorno Social y Ambiental Agresión Instrumental Sociedad informada y tecnológicamente compleja Identidad

Más detalles

Recuperación y Continuidad del Negocio

Recuperación y Continuidad del Negocio Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

Manuel Ballester, CISA, CISM

Manuel Ballester, CISA, CISM Conferencia Latin America CACS 2007 #333 Lecciones aprendidas sobre la certificación en el estándar ISO 27001 y su relación con Cobit. Preparada por Manuel Ballester, CISA, CISM Reflexión Inicial Cuanto

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011 MONTEVIDEO - URUGUAY SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL Ricardo Correa F. - CIA, CGAP, CCSA, MCAG

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Cómo Asegurar la Calidad de Servicios de TI?

Cómo Asegurar la Calidad de Servicios de TI? Cómo Asegurar la Calidad de Servicios de TI? Martín Ugarteche Crosby Southern Peru Copper Corporation Cuales son los pasos para construir un Sistema de Gestión de Servicios de TI? 1. Voluntad de querer

Más detalles

#233 Seguridad desde el punto de vista SOX y Gobernalidad

#233 Seguridad desde el punto de vista SOX y Gobernalidad Conferencia Latin America CACS 2006 #233 Seguridad desde el punto de vista SOX y Gobernalidad Preparada por José Ángel Peña a Ibarra CCISA-Alintec Alintec México Agenda 1. Sarbanes Oxley 2. Gobierno Corporativo

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

La Seguridad de las Tecnologías

La Seguridad de las Tecnologías 22 Certificaciones de Seguridad TI: un valor en alza EN EL PRESENTE ARTÍCULO SE REVISAN LAS CARACTERÍSTICAS Y BENEFICIOS DE LAS CERTIFICACIONES DE SEGURIDAD TI, ANALIZANDO EN DETALLE LAS TRES MÁS EXTENDIDAS

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS ISO 27001 INTEGRANTE: CARLA CUEVAS ADRIAN VILLALBA MATERIA: AUDITORIA DE SISTEMAS FECHA: 11 DE

Más detalles

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010 Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio Adela Garzón Bejarano Septiembre 1 de 2010 Agenda 1. Riesgo en la banca electrónica Contexto Gestión de Riesgo en la

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST.

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Servicios en seguridad de la información Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción a la seguridad Evaluación de Riesgo. Implementación de la seguridad Planes para

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Technology and Security Risk Services Planes de Continuidad de Negocio

Technology and Security Risk Services Planes de Continuidad de Negocio Technology and Security Risk Services Planes de Continuidad de Negocio AS TSRS Planes de Continuidad de Negocio Conjunto de tareas que permite a las organizaciones continuar su actividad en la situación

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

Auditoría BCP, DRP SISTESEG CORPORATION RISK MANAGEMENT FOR YOUR BUSINESS

Auditoría BCP, DRP SISTESEG CORPORATION RISK MANAGEMENT FOR YOUR BUSINESS Auditoría BCP, DRP Fernando Ferrer Olivares, CISA, CISM, PMP, CCSA Rodrigo Ferrer CISSP, CISA, ABCP, CSSA, CST, COBIT F. RISK MANAGEMENT FOR YOUR BUSINESS Agenda 1. Objetivos 2. Qué auditar? 3. Rol del

Más detalles

IT Guardian auditing & consulting services. IT Guardian auditing & consulting services

IT Guardian auditing & consulting services. IT Guardian auditing & consulting services IT Guardian Enero 2012 Servicios profesionales de IT Guardian CONTENIDO Presentación de la empresa Misión Visión Valores Principales servicios Costos Metodología Certificaciones Principales Clientes Contactos

Más detalles

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco?

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Presentado por: Sergio Quiroz, CISSP CISM CISA CRISC CEH CFI, Asesor Principal en Gestión de Riesgo de las TI

Más detalles

DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014

DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014 DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014 1. UNIDAD ORGANIZADORA Facultad de Ingeniería y Administración 2. NOMBRE DEL PROGRAMA Diplomado en Gestión IT Seguridad y Continuidad

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN 1. Toma de decisiones y sistemas de información. Sistemas e apoyo a la toma de decisiones. Sistemas de apoyo a ejecutivos y en grupos 2. Construcción

Más detalles

Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales

Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Enero de 2014 Quién está ahí? Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Gobierno de la Seguridad y el. Modelo del Negocio para la Seguridad de la Información

Gobierno de la Seguridad y el. Modelo del Negocio para la Seguridad de la Información Gobierno de la Seguridad y el Modelo del Negocio para la Seguridad de la Información Lucio Augusto Molina Focazzio, CISM, CRISC, CISA, ITIL CoBiT Accredited Trainer Consultor Bogotá, Junio 15 de 2011 Agenda

Más detalles

Estrategia para la protección de datos. Viviana Romo Subdirectora Auditoría TI, Scotiabank AGENDA

Estrategia para la protección de datos. Viviana Romo Subdirectora Auditoría TI, Scotiabank AGENDA Estrategia para la protección de datos Viviana Romo Subdirectora Auditoría TI, Scotiabank AGENDA Planeación de la estrategia de protección de datos. Implementación y operación de la estrategia de protección

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes José Luis Reyes Noviembre de 2015 AGENDA Quienes somos? Definiciones: Awareness, Previsión, COB, Riesgo y Activos

Más detalles

LAFSA Latin America Financial Services Advisory

LAFSA Latin America Financial Services Advisory VI Congreso Regional de Riesgos CORERIF 2014 Gestión de Riesgo Tecnológico y Continuidad Operacional en Entidades Financieras Guatemala, 7 de Noviembre de 2014 Continuidad Operacional en el Sector Financiero

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de:

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de: OWASP AppSec Aguascalientes 2011 The OWASP Foundation http://www.owasp.org Citas La seguridad 2.0 Pablo Lugo G - La seguridad no es un producto, es un proceso. Bruce Schneier. Experto en seguridad. - La

Más detalles

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Agenda Antecedentes Situaciones que no se consideran regularmente Factores críticos de éxito Sistema de Gestión de

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

Gestión de riesgo operacional

Gestión de riesgo operacional Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática Agenda Sección 1: Principios

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

COBIT 5 Qué cambia y cómo amplía la última edición de la guía de ISACA para proveer un nuevo enfoque integrador de alto nivel para el gobierno de IT

COBIT 5 Qué cambia y cómo amplía la última edición de la guía de ISACA para proveer un nuevo enfoque integrador de alto nivel para el gobierno de IT COBIT 5 Qué cambia y cómo amplía la última edición de la guía de ISACA para proveer un nuevo enfoque integrador de alto nivel para el gobierno de IT Dr. Lic. Jorge Medin Hidalgo C.I.S.A., C.I.S.M., C.G.E.I.T

Más detalles

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Evolución de la estrategia de seguridad de la información basada en indicadores Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Agenda Planeación estratégica de seguridad Gobierno de Seguridad Indicadores

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

ISO 17799: Metodología práctica para la gestión de la seguridad de la información

ISO 17799: Metodología práctica para la gestión de la seguridad de la información ISO 17799: Metodología práctica para la gestión de la seguridad de la información Andrés Boré Pineda, Ms.Cs., CISSP Gerente de Investigación Orión 2000 bore@orion.cl Agenda Factores relacionados con la

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales

Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales Ana Lucia Hill M. Crisis, Disaster & Risk Manager Business Continuity and Constinuity

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

Haga clic para cambiar el estilo de título

Haga clic para cambiar el estilo de título Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Seguridad Tercer nivel la Información Cuarto nivel Quinto nivel Curso de Capacitación Mayo

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa IT Project Portfolio Management y su vinculación con la Estrategia Corporativa Norberto Figuerola Mayo 2014 IT Management Los CIO deben gestionar eficazmente la entrega de los servicios de TI para lograr

Más detalles

Gobierno, riesgo y cumplimiento

Gobierno, riesgo y cumplimiento Gobierno, riesgo y cumplimiento Gobierno, Riesgo y Cumplimiento GOBIERNO Proceso por el cual políticas y objetivos son establecidas, mantenidas y efectivamente comunicadas a toda la organización. 2014

Más detalles

Gestión de Riesgos Corporativos (ERM) Act. Marcela Flores Lockton México Octubre 2014

Gestión de Riesgos Corporativos (ERM) Act. Marcela Flores Lockton México Octubre 2014 Gestión de Riesgos Corporativos (ERM) Act. Marcela Flores Lockton México Octubre 2014 Enterprise Risk Management (ERM) La administración integral de riesgos ha venido cambiando y el concepto ha tomado

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD

DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD Tristan RAMAGET Director Área Seguridad Información ECIJA 23-nov-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD Índice 1. SGSI

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Metodología para la Gestión de la Continuidad del Negocio

Metodología para la Gestión de la Continuidad del Negocio Metodología para la Gestión de la Continuidad del Negocio Por: Rodrigo Ferrer V. Año: 2015 Resumen Este artículo, busca exponer los pasos requeridos para diseñar e implementar un proceso de Gestión de

Más detalles

Modelos de Madurez de Seguridad de la. seguridad en las organizaciones

Modelos de Madurez de Seguridad de la. seguridad en las organizaciones Modelos de Madurez de Seguridad de la Información: cómo debe evolucionar la seguridad en las organizaciones Roberto Arbeláez CISSP, CISA Security Program Manager for Latin America Microsoft Corp. QUÉ ES

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Continuidad de Negocio DRII/BCI/ISO

Continuidad de Negocio DRII/BCI/ISO Continuidad de Negocio DRII/BCI/ISO Jorge Garibay j.garibay@pinkelephant.com Pink Elephant Leading The Way In IT Management Best Practices Agenda del Curso Introducción al DRII BCI ISO 22K Reseña Histórica

Más detalles

BS 25999 - Gestión de la Continuidad del Negocio MINIMIZANDO LA INTERRUPCIÓN MAXIMIZANDO LA RECUPERACIÓN. raising standards worldwide TM

BS 25999 - Gestión de la Continuidad del Negocio MINIMIZANDO LA INTERRUPCIÓN MAXIMIZANDO LA RECUPERACIÓN. raising standards worldwide TM BS 25999 - Gestión de la Continuidad del Negocio MINIMIZANDO LA INTERRUPCIÓN MAXIMIZANDO LA RECUPERACIÓN raising standards worldwide TM QUÉ PODRÍA DETENER A SU NEGOCIO? Un marco de referencia para la capacidad

Más detalles

EN CONTINUIDAD DEL NEGOCIO

EN CONTINUIDAD DEL NEGOCIO Herramientas Gerenciales NUEVO ESTÁNDAR INTERNACIONAL EN DEL NEGOCIO ISO 22301:2012 El pasado 15 de mayo, el comité técnico 223 de la Organización Internacional para la Normalización (ISO, por sus siglas

Más detalles

Jornadas de Auditoria Interna Septiembre 8, 2011. Plan de Continuidad del Negocio

Jornadas de Auditoria Interna Septiembre 8, 2011. Plan de Continuidad del Negocio Jornadas de Auditoria Interna Septiembre 8, 2011 Plan de Continuidad del Negocio Glosario BCP - Business Continuity Planning (Plan de Continuidad del Negocio) DRP - Disaster Recovery Plan COOP - Continuity

Más detalles

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI Seminario de Actualización: Gobernabilidad de Tecnología de Información Organismos relacionados con TI Catedra Sistemas de Información para la Gestión Docentes: - Martha Medina de Gillieri Jorge López

Más detalles

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Implementación efectiva de un SGSI ISO 27001.

Implementación efectiva de un SGSI ISO 27001. MÉXICO COSTA RICA PANAMÁ COLOMBIA ECUADOR PERÚ BRASIL URUGUAY CHILE ARGENTINA Implementación efectiva de un SGSI ISO 27001. Rodrigo Baldecchi Q. Gerente Corporativo de Calidad 04-SEP-14 ÍNDICE 1. Encuadre

Más detalles

examen de muestra ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009

examen de muestra ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009 examen de muestra IS20FB.LA_1.0 ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009 índice 2 introducción 3 examen de muestra 8 soluciones 18 evaluación

Más detalles

Sistemas de Gestión de la Seguridad de la Información.

Sistemas de Gestión de la Seguridad de la Información. Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz 1, Gustavo Adolfo Herazo Pérez

Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz 1, Gustavo Adolfo Herazo Pérez 1 IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN LA COMUNIDAD NUESTRA SEÑORA DE GRACIA, ALINEADO TECNOLÓGICAMENTE CON LA NORMA ISO 27001 Andrés Fabián Díaz, Gloria Isabel

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas 9 El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas LEZAMA- Valeria Universidad Iberoamericana. Recibido 21 de Enero, 2014; Aceptado

Más detalles

ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios

ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios Judit Laguardia jlaguardia@orcilatam.com ORCI Latam Agenda Introducción a la Gestión de Servicios (ITIL ) ISO/IEC 20000: Qué es y por qué se

Más detalles

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de 2002. Mario López de Ávila Muñoz

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de 2002. Mario López de Ávila Muñoz I Programa Sectorial ANEI Gestión de la Seguridad de la Información Presentación Madrid, 4 noviembre de 2002 Mario López de Ávila Muñoz Introducción Sobre la Información, la Seguridad y cómo facilitar

Más detalles