Soluciones para la Gestión Corporativa del Esquema Nacional de Seguridad Taller T11

Transcripción

1 Soluciones para la Gestión Corporativa del Esquema Nacional de Seguridad Taller T11 Manuel Lorenzo, CISSP, ITIL, RSA CSE Solution Principal para Iberia, Sudáfrica y CEA RSA, The Security Division of EMC

2 Índice 1. Introducción 2. Introducción al egrc 3. Modelo de Gestión aplicada al ENS 4. Ventajas de la Gestión egrc 5. Conclusiones 6. Para debate: madurez de la gestión 2

3 1 Introducción Principios de gestión del ENS Los principios básicos del ENS se basan en una gestión de la seguridad integral y la aplicación de la seguridad de manera transversal a todos los servicios de la administración. Una definición la seguridad como una función diferenciada de la gestión y operación de los sistemas, la integración de seguridad física y lógica, la definición de las políticas basadas en una evaluación de los riesgos, la supervisión no solo de los sistemas y comunicaciones sino también de las personas y proveedores involucrados en los procesos y la definición de unos requisitos mínimos a cumplir por todas las administraciones unido a un proceso de auditoría bi-anual y de mejora continua. 3

4 1 Introducción Principios de gestión del ENS Para cubrir todos estos principio se necesita una gestión integral y continua de los distintos factores de la seguridad: Políticas Riesgos Incidentes Controles técnicos Control de Personal Control de Proveedores Disponibilidad de los procesos Gestión de la Auditoría Los proveedores de seguridad hemos estado ofreciendo soluciones completas para reducir el coste de la gestión y control de todo el proceso mediante egrc 4

5 2 Introducción al egrc Qué es el egrc Enterprise Governance, Risk and Compliance Corporativa: se aplica a todos los departamentos y procesos de la entidad Gobierno: es la cultura, políticas, procesos, leyes e instituciones que definen la estructura que dirige y gestiona una entidad. Riesgo: es el efecto de lo incierto en los objetivos de la entidad; la gestión del riesgo son las actividades dirigidas a controlar la organización en la realización de sus actividades mientras se gestionan el impacto de los eventos negativos. Cumplimiento: es el acto de adhesión a, y ser capaz de demostrar la adhesión a, leyes y reglamentos externos, así como las políticas y procedimientos internos. 5

6 2 Introducción al egrc Qué es la gestión del egrc 6

7 3 Modelo de Gestión aplicada al ENS Modelo de Gestión Integral mediante egrc Definir Política Mapear los Controles OBJETIVOS CORPORATIVOS Gestión de Gobierno, Riesgos y Cumplimiento Evaluar Riesgos Añadir Contexto Monitorizar Auditar Informar Correlar Recolectar IDENTIDADES INFRASTRUCTURA INFORMACIÓN Gestionar Monitorizar Detectar Aplicar 7

8 3 Modelo de Gestión aplicada al ENS Relaciones entre la Gestión del ENS y el egrc Artículo 9. Reevaluación periódica Artículo 34. Auditoría de la seguridad Artículo 6. Gestión de la seguridad basada en los riesgos Artículo 14. Gestión de personal Artículo 13. Análisis y gestión de los riesgos Artículo 18. Adquisición de productos de seguridad Artículo 5. La seguridad como un proceso integral. Artículo 24. Incidentes de seguridad (Registro) Artículo 7. Prevención, reacción y recuperación Artículo 35. Informe del estado de la seguridad 8

9 4 Ventajas de la Gestión egrc Ventajas Principales de Gestión del ENS mediante egrc Reducción de Costes Reducción de costes de gestión operativa de la seguridad en cada proceso bajo control, automatización de los puntos de control Reducción de tiempos para la obtención de los informes del estado de la seguridad (Art. 35) Reducción de costes de preparación de auditorías (Art. 34) Mejora de la Visibilidad Ver en cada momento el nivel de adecuación al ENS Visibilidad global de los incidentes y su impacto en el cumplimiento (Art. 24) Facilita la Adecuación al Modelo Gestión de la seguridad basada en los riesgos y su gestión (Art. 6, Art. 13) Aplicación de manera integral (Art. 5) 9

10 5 Conclusiones Gestión del ENS mediante egrc El ENS requiere una extensión de la gestión de la seguridad: Aplicación de la seguridad de manera integral a todos los servicios Una gestión de la seguridad basada en los riesgos, su definición y control y el impacto en las políticas de la entidad La supervisión, no solo de los sistemas y comunicaciones, sino también de las personas y proveedores El modelo de gestión de la seguridad mediante herramientas de egrc facilita la adecuación del ENS: Reduciendo los costes de cumplimiento Mejorando la visibilidad de la seguridad Facilitando la adecuación al modelo desde el principio del proceso 10

11 6 Para debate: madurez de la gestión Análisis de Madurez de GRC por AMR Research (ahora Gartner) Dónde están las organizaciones hoy (según AMR) Fase 1: Reaccionando Pánico Hacerlo como SEA! Gestión aislada Paracaidistas para arreglar lo que haga falta! Fase 2: Anticipando Aceptación Búsqueda de Eficiencia Automatización Buscar conexiones entre los programas Planificar la aproximación futura Fase 3: Colaborando Coordinación Identificar Riesgos Evaluar la Exposición Priorizar Acciones Reusar componentes tecnológicos para múltiples propósitos Fase 4: Dirigiendo Gestión al unísono Fijar los Objetivos Corporativos Análisis y las tareas coordinadas Visibilidad del riesgo, exposición y eficiencia Mostar el valor (de la seguridad) GRC Táctica Madurez varía por Sector / Geografía Estratégica Source: AMR Research Cumplir Mejorar Transformar 11

12 Fin de la presentación Muchas gracias 12