Gobernando la seguridad hacia los objetivos corporativos. Antonio Ramos 3 de abril de 2013

Transcripción

1 Gobernando la seguridad hacia los objetivos corporativos Antonio Ramos 3 de abril de 2013

2 Agenda Qué es ISACA? Qué se entiende por gobierno? La cascada de objetivos Catalizadores corporativos Conclusión 1

3 QUÉ ES ISACA? 2

4 Qué es ISACA? Non-profit association of individual members: IT auditors IT security professionals IT risk and compliance professionals IT governance professionals and more! Nearly all industry categories: financial, public accounting, government/public sector, technology, utilities and manufacturing. Formerly, the Information Systems Audit and Control Association -- ISACA now goes by its acronym only. 3

5 Qué es ISACA? ISACA s vision (to aspire to as an organization) Trust in, and value from, information systems ISACA s mission (to guide decision making and investments) For professionals and organizations be the leading global provider of knowledge, certifications, community, advocacy and education on information systems assurance and security, enterprise governance of IT, and IT-related risk and compliance 4

6 Qué es ISACA? Formación a nivel global 5

7 Qué es ISACA? Certificaciones certificados en Madrid +350 horas de formación ofertadas cada año 6

8 Qué es ISACA? Certificaciones CISA Información Certified Information Systems Auditor Auditor Certificado de Sistemas de CATEGORÍA Certificación de personas AÑO 1978 BoK (áreas de conocimiento) - Proceso de auditoría de sistemas de información - Gobernanza de TI - Ciclo de vida de sistemas e infraestructura - Soporte y entrega de servicios de TI - Protección de los activos de información CONVOCATORIAS OTROS Junio, septiembre y diciembre 5 años y CPE 7

9 Qué es ISACA? Certificaciones CISM Certified Information Security Manager Gerente Certificado de Seguridad de la Información CATEGORÍA Certificación de personas AÑO 2002 BoK (áreas de conocimiento) - Gobernanza de Seguridad de la Información - Gerencia de riesgo de la Información - Desarrollo de programa de seguridad de la información - Gerencia de programa de seguridad de la información - Gestión y respuesta a incidentes CONVOCATORIAS Junio, septiembre y diciembre OTROS 5 años y CPE 8

10 Qué es ISACA? Certificaciones CGEIT CATEGORÍA Certified in the Governance of Enterprise IT Certificación profesional AÑO 2007 DOMINIOS (áreas de conocimiento) - Marco de referencia para la Gobernanza de TI - Alineamiento estratégico - Entrega de valor - Gestión del riesgo - Gestión de los recursos de TI - Medida del rendimiento EXÁMENES OTROS REQUISITOS Junio y diciembre 5 años de experiencia y CPE 9

11 Qué es ISACA? Certificaciones CRISC Certified in Risk and Information Systems Control Certificado en Riesgo y Control de los SSII CATEGORÍA Certificación de personas AÑO 2010 BoK (áreas de conocimiento) - Identificación, evaluación y valoración del riesgo - Respuesta al riesgo - Supervisión (vigilancia) del riesgo - Diseño e implantación de marcos de control de SSII - Supervisión y mantenimiento de marcos de control de SSII CONVOCATORIAS OTROS Junio y diciembre 5 años y CPE 10

12 Qué es ISACA? Investigación COBIT5 COBIT5: Procesos Catalizadores COBIT5: Catalizador Información COBIT5: Implementación COBIT5 Toolkit COBIT5 para Seguridad de la Información COBIT5 Online BMIS The Business Model for Information Security 11

13 Qué es ISACA? Investigación COBIT 5 consolida e integra: COBIT 4.1 Val IT 2.0 Risk IT Y, aprovecha de manera significativa: BMIS (Business Model for Information Security), and ITAF 12

14 Qué es ISACA? Dimensión global en 82 países 13

15 Qué es ISACA? Dimensión global Total miembros ISACA a octubre Oceanía Norteamérica Europa/África Latinoamérica Asia 14

16 Qué es ISACA? Dimensión nacional Total miembros ISACA en España a octubre Valencia Barcelona Madrid 15

17 Qué es ISACA? Objetivos de ISACA Madrid Difundir y desarrollar las actividades de Auditoría de Sistemas de Información, Seguridad de la Información y Gestión y Gobierno de la Tecnologías de la Información. Formar a los profesionales y mantenerlos actualizados sobre las principales novedades de la materia. Promover y asistir en la certificación internacionalmente a los profesionales como cualificados para el ejercicio de la profesión (Certificados CISA, CISM, CGEIT, CRISC) Realizar estudios sobre la profesión y desarrollar estándares de la industria. Asistir a los profesionales (Bolsa de trabajo, orientación, etc.) 16

18 Qué es ISACA? Beneficios de los miembros Desarrollo profesional Investigación y Conocimiento Comunidad & Liderazgo Capítulo Local Incrementar tu valor avanzando en tu carrera ELibrary Webinars, Seminarios Virtuales y esymposia archivados (CPE gratis) Career Centre Descuentos en exámenes y tasas mantenimiento anual de CISA, CISM, CGEIT, CRISC Mentoring (CPE gratis) Descuentos en conferencias / formación Descuentos en la Librería Abrir la puerta a un robusto liderazgo, investigación y conocimiento Journal (CPE gratis) Publicaciones de investigación (muchas gratis para miembros) COBIT 5 - Abril 2012 Val IT Risk IT ITAF BMIS Mapeos de COBIT COBIT Security Baseline 2 nd Ed. Sitio web interactivo Programas de auditoría Conectarte con una comunidad global de Networking Oportunidades de Liderazgo a nivel local y global Nuevas comunidades online en el nuevo sitio web de ISACA Proporcionar una red local de profesionales Educación barata Formación presencial Preparación a exámenes Eventos de negocios y sociales Encuentro con personas que entienden tus necesidades profesionales 17

19 Qué es ISACA? Oferta para el Sector Educativo Academic Advocate Membership Complimentary membership to faculty members who use ISACA teaching materials and agree to share their own Classroom support materials Receive discounts and complimentary access to professional resources Prepare your students to enter the job market 18

20 Qué es ISACA? Oferta para el Sector Educativo Model Curricula 18 universities around the world specialize in use of the ISACA Model Curricula ISACA Model Curriculum for IS Audit and Control (2nd Edition) ISACA Model Curriculum for Information Security Management Information Security Using the CISM Review Manual and BMIS 19

21 Qué es ISACA? Oferta para el Sector Educativo Student Membership Online access to ISACA journal, webcasts, and many resources for education beyond the classroom Opportunities to network with local chapter members for meaningful interactions with professionals Knowledge and experience to put students far ahead of the competition when it comes time to begin their careers. 20

22 Qué es ISACA? Oferta para el Sector Educativo ISACA Student Groups Affiliated, if possible, with an ISACA chapter Recognized by an educational institution; student membership in ISACA is not required Recognized by ISACA HQ with an official student group logo. 21

23 Qué es ISACA? Oferta para el Sector Educativo Local Chapter Student Support Assist with the formation of ISACA Student Groups on campus Provide speakers and networking opportunities with professionals Invite students and faculty to local chapter events 22

24 Qué es ISACA? Oferta para el Sector Educativo Fees anuales Cuota Internacional Fee para Nuevos Miembros Cuota Capítulo Madrid Total 25 $ - 15 $ 40 $ Certificaciones Concepto Miembros No-miembros Registro examen 460 $ (410 $) 635 $ (585 $) Renovación 45 $ c.u. (-15 $ si más de 3) 85 $ c.u. (-35 $ si más de 3) 23

25 QUÉ SE ENTIENDE POR GOBIERNO? 24

26 Conflicto principal - agente 25

27 Conflicto principal - agente Bruce Schneier (2012). Liars and Outliers: Enabling the Trust that Society Needs to Thrive 26

28 Concepto El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar los objetivos empresariales equilibrados y acordados a alcanzar; estableciendo dirección para la priorización y la toma de decisiones; y monitorizando el rendimiento y el cumplimiento con la dirección y objetivos acordados 27

29 Concepto La Gestión planifica, construye, ejecutiva y supervisa las actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar los objetivos empresariales. 28

30 Concepto 1. Cumplir necesidades de interesados 5. Separar Gobierno de Gestión Principios de COBIT5 2. Cubrir la empresa extremo-aextremo 4. Habilitar un enfoque holístico 3. Aplicar un marco integrado único 29

31 Gobierno vs Gestión Realización de beneficios Objetivos de Gobierno: Creación de Valor Optimización de riesgos Optimización de recursos Facilitadores de Gobierno Alcance de Gobierno Roles, actividades y relaciones 30

32 Gobierno vs Gestión Delega Establece dirección Instruye y alinea Propietarios y partes interesadas Cuerpo de Gobierno Gestión Operación y Ejecución Responsable Supervisa Informa 31

33 CASCADA DE OBJETIVOS 32

34 Cascada de objetivos Necesidades de las partes interesadas Conducen Objetivos de Gobierno: Creación de Valor Realización de beneficios Optimización de riesgos Optimización de recursos 33

35 Cascada de objetivos Internos Consejo CEO CFO CIO CRO Ejecutivos de negocio Propietarios de procesos HHRR Auditoría Seguridad DPO Usuarios Externos Socios Proveedores Accionistas Legislador / Gobierno Usuarios externos Clientes Auditores externos Consultores Etc. 34

36 Cascada de objetivos Necesidades de las partes interesadas Objetivos empresariales Objetivos para Seguridad de la Información Objetivos para los Catalizadores 35

37 Cascada de objetivos 36

38 Cascada de objetivos Necesidades de las partes interesadas Objetivos empresariales Objetivos para Seguridad de la Información Objetivos para los Catalizadores 37

39 Cascada de objetivos 38

40 Cascada de objetivos Árbol de Objetivos Intermedios 39

41 Quién es el dueño del sistema? 40

42 Cascada de objetivos Necesidades de las partes interesadas Objetivos empresariales Objetivos para Seguridad de la Información Objetivos para los Catalizadores 41

43 Cascada de objetivos 42

44 Cascada de objetivos Cualquier inversión en seguridad está justificada siempre que: el nivel de seguridad sea el factor limitante para que la organización alcance su meta o la seguridad se subordine al factor limitante de la organización y contribuya a que éste rinda a su máxima capacidad 43

45 Cascada de objetivos Necesidades de las partes interesadas Objetivos empresariales Objetivos para Seguridad de la Información Objetivos para los Catalizadores 44

46 Cascada de objetivos 45

47 CATALIZADORES CORPORATIVOS 46

48 Catalizadores Corporativos 2. Procesos 3. Estructuras organizativas 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos de Referencia 5. Información 6. Servicios, Infraestructura y Aplicaciones Recursos 7. Personas, Habilidades y Competencias 47

49 1. Principios, Políticas y Marcos de Referencia Mecanismos de comunicación puestos en marcha para transmitir la dirección y las instrucciones de los cuerpos de gobierno y gestión. El marco de políticas debe definir: Los aprobadores de las políticas corporativas Las consecuencias de no cumplir Los medios para gestionar las excepciones La forma en que el cumplimiento será comprobado y medido 48

50 1. Principios, Políticas y Marcos de Referencia Principios (ISACA, ISF & ISC 2 ) Soportar el negocio 1. Enfocarse en el negocio 2. Entregar calidad y valor a los interesados 3. Cumplir con los requisitos legales y regulatorios 4. Proporcionar información a tiempo y precisa sobre el rendimiento de la seguridad de la información 5. Evaluar las amenazas actuales y futuras 6. Promover una mejora continua en seguridad de la información Defender el negocio 7. Adoptar un enfoque basado en el riesgo 8. Proteger la información clasificada 9. Concentrarse en aplicaciones de negocio críticas 10.Desarrollar sistemas de manera segura Promover un comportamiento responsable 11.Actuar de una manera ética y profesional 12.Fomentar una cultura positiva hacia la seguridad de la información 49

51 1. Principios, Políticas y Marcos de Referencia Es necesario adaptarse el entorno corporativo. Ron Collette, Mike Gentile, and Skye Gentile (2008), CISO Soft Skills. Securing Organizations Impaired by Employee Politics, Apathy, and Intolerant Perspectives 50

52 2. Procesos Conjunto de prácticas influidas por las políticas y los procedimientos corporativos que toman entradas de varias fuentes (incluyendo otros procesos), manipulan las entradas y producen salidas. 51

53 2. Procesos Necesidades de Negocio Gobierno Evaluar Dirigir Feedback de la Gestión Supervisar Gestión Plan (APO) Construir (BAI) Ejecutar (DSS) Supervisar (MEA) 52

54 2. Procesos Gobierno EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno EDM02 Asegurar la Entrega de Beneficios EDM03 Asegurar la Optimización del Riesgo EDM04 Asegurar la Optimización de Recursos EDM05 Asegurar la Transparencia con las partes interesadas Alinear, Planificar y Organizar Construir, Adquirir e Implementar Supervisar, Evaluar y Valorar Entregar, Dar servicio y Soporte 53

55 2. Procesos 54

56 3. Estructuras organizativas Entidades de toma de decisión claves en una organización. Su definición debe incluir: Composición Mandato, principios operativos, ámbito de control y nivel de autoridad Matriz RACI de alto nivel Entradas / Salidas 55

57 3. Estructuras organizativas Accountability El Comité de Dirección carga con la responsabilidad final para todo los aspectos, incluyendo la seguridad de la información. Puede ser delegada Como elemento crítico, la responsabilidad final debería ser asignada consecuentemente En caso contrario, podría considerarse como una negligencia. 56

58 4. Cultura, ética y comportamiento Cultura: Patrones de comportamientos, creencias, actitudes y maneras de hacer las cosas. Cultura de seguridad Todas las empresas tienen una cultura de seguridad de la información. En la mayoría de casos, carece de intencionalidad y es inconsistente hasta el punto de que no exista; es decir, es robusta y orienta las actividades diarias de empleados y otras personas en contacto con la empresa. ISACA, Creating a Culture of Security, EE.UU.,

59 Cuál es el factor limitante de nuestro sistema de seguridad? 58

60 5. Información La información (y, en consecuencia, la comunicación) no es solo el principal sujeto de la seguridad de la información, sino un catalizador fundamental para la misma. La información como catalizador se refiere a que la dirección puede usar la información como base para la toma de decisiones. 59

61 6. Servicios, infraestructura y aplicaciones Catálogo de servicios Provide a security architecture. Provide security awareness. Provide secure development (development in line with security standards). Provide security assessments. Provide adequately secured and configured systems, in line with security requirements and security architecture. Provide user access and access rights in line with business requirements. Provide adequate protection against malware, external attacks and intrusion attempts. Provide adequate incident response. Provide security testing. Provide monitoring and alert services for security-related events. 60

62 6. Servicios, infraestructura y aplicaciones Requieren: Información (entradas y salidas) Estructuras organizativas (matrices RACI, funciones o roles específicos de seguridad ) Componentes: Descripción detallada Atributos Objetivos 61

63 7. Personas, habilidades y competencias Se necesitan individuos con un apropiado nivel de conocimiento y experiencia si se quiere operar de manera efectiva la función de seguridad de la información. Ejemplos: Gobierno de seguridad de la información Formulación de estrategia de seguridad de la información Gestión de riesgos de la información Desarrollo de arquitecturas de seguridad de la información Operaciones de seguridad de la información Evaluaciones, pruebas y cumplimiento 62

64 Conclusiones La seguridad de la información es responsabilidad del Consejo de Administración. Los árboles no nos dejan ver el bosque. Gestionar no es gobernar. 63

65 07/ Ruegos y preguntas 64

66 Muchas gracias Antonio Ramos, Presidente ISACA, Capítulo de Madrid