La Seguridad en las Oficinas de Proyectos. Raúl Orantes F. Consultor de Procesos de TI ITERA

Transcripción

1 La Seguridad en las Oficinas de Proyectos Raúl Orantes F. Consultor de Procesos de TI ITERA

2 Contenido La gestión y oficinas de proyectos Seguridad de la información Buenas prácticas, Marcos de Referencia y Estándares La convergencia de la Seguridad con la gestión de proyectos El reto Lámina 2

3 Muchas organizaciones concentran sus esfuerzos en arreglar los errores en vez de prevenirlos Lámina 3

4 Introducción Cancelados Con dificultades Exitosos 24% 44% 32% Fuente: Standish Group International, Extreme Chaos, The Standish Group International, Inc. Con dificultades Arriba de Presupuesto: 47% en el 2006, 54% en el 2009 Fuera de Tiempo: 72% en el 2006, 79% en el 2009 Promedio de Funcionalidad entregada: 66% en el 2006, Standish Group % en el 2009 para todo problema siempre existe una solución!! Lámina 4

5 La PMO en la Organización Plan Estratégico Objetivos Beneficios 1. Riesgos identificados 2. Proyectos seleccionados Beneficios 1. Portafolio balanceado 2. Proyectos con recursos de acuerdo a capacidades Trabajo actual y futuro Beneficios 1. Proyectos alineados 2. Vista de todo el portafolio Criterios Reasignación de recursos Archivo de proyectos terminados Cancelación de proyectos Proyectos con fondos Beneficios 1. Decisiones basadas en hechos 2. Detección temprana de proyectos con problemas Evaluación del portafolio: Valor al negocio y Contribución a objetivos Sistema de Administración de Portafolios Revisiones Regulares Control Recopila Evalúa Administra Acciones de la Dirección Lámina 5

6 Algunas Estadísticas El 75% de las PMO son cerradas después de 3 años!! Razones: - Falta de Patrocinio - Poca alineación a negocio - Sin una gestión de cambio 41% de proyectos fallaron en la entrega del valor del negocio & ROI (IBM CIO Study) 50% de las aplicaciones liberadas a producción, se regresan por cambios (Gartner) 1 Michael Stanleigh,Business Improvement Architects Lámina 6

7 Estrategia general implementación de proyectos INICIO y PLANEACIÓN Entendimiento & evaluación preliminar EJECUCIÓN, MONITOREO y CONTROL Diseño & Desarrollo de Procesos Soporte a la Implementación CIERRE Acompañamiento en el Despliegue Adaptación de la Automatización Visión Estrategia Lineamientos Procesos Herramienta Conocimiento Experiencia Confianza Satisfacción Lámina 7

8 Retos Gestión de proyectos Los proyectos no dan valor al negocio y hay cambios arbitrarios en la selección y priorización de proyectos Cumplimiento de fechas compromiso Ajustarse al presupuesto del proyecto Balanceo de cargas de trabajo Análisis de riesgos Documentar el producto y el proyecto Generación de lecciones aprendidas Lograr un entendimiento común del alcance de las soluciones tecnológicas Contar con personal especializado en AP Coordinación de recursos Elaboración de Entregables con calidad Manejo apropiado de proveedores Facilidad para auditar los trabajos Lámina 8

9 Seguridad de la Información Lámina 9

10 Situación actual Hacker roba más de 130 millones de números de tarjetas de crédito y débito Es el mayor caso de delitos informáticos y de robo de identidad procesado sobre números de tarjetas de crédito y débito Los objetivos fueron las redes de Heartland Payment Systems (un procesador de pagos en Princeton), 7-Eleven, Hannaford Brothers, una cadena regional de supermercados y otros dos minoristas. El robo de tarjetas de crédito y débito números fueron vendidos en línea, y algunos se utilizaron para hacer compras no autorizadas y retirar dinero de bancos. Los ataques en línea se aprovecharon de las fallas de seguridad en SQL utilizando programas tipo sniffer sobre redes corporativas que interceptan transacciones con tarjeta de crédito. Lámina 10

11 Situación actual Lámina 11

12 Situación actual Durante 17 meses, alguien tenía acceso libre a las computadoras de TJX Companies. Sin que nadie lo notara, más y más código se instaló en los equipos de la cadena minorista de descuentos para descubrir, recolectar y transmitir información de las tarjetas de crédito y débito de sus clientes, que representaban más de 45.7 millones de dólares. Lámina 12

15 Situación actual Suplantación de imagen del sito web del Senado de la República Lámina 15

16 Ahora analice Tiene la seguridad de estar seguro? Lámina 16

17 Amenazas, riesgos e impactos Amenazas por parte de Empleados Proveedores Socios de Negocio Hackers Competidores Enemigos? Riesgos Robo o alteración de información Fuga de información Fraudes Deterioro de niveles de servicio. Imposibilidad para entregar servicios. Falta de elementos para fincar responsabilidades Robo de identidades Impactos Pérdida de credibilidad o confianza (imagen) Pérdida de ingresos (finanzas) Pérdida de oportunidades (posicionamiento) Incumplimiento de regulaciones (legalidad) Lámina 17

18 La Seguridad de la Información Es un estado sobre como la información, su procesamiento y comunicación es protegida para cumplir con los pilares de la Seguridad: Confidencialidad Disponibilidad Integridad Autenticación de la información Desde el punto de vista de las buenas prácticas en la Seguridad de la Información es importante la aplicación de métricas y mecanismos de monitoreo para un correcto mantenimiento y procesos de mejora, tratando de que sea más. Lámina 18

19 Esfuerzos e inversiones 75% de los ataques son directos a aplicaciones WEB 2/3 de las aplicaciones WEB son vulnerables Lámina 19

20 Costo relativo por reparar errores Costos en la detección de vulnerabilidades en aplicaciones 200 El tiempo que no se invierte en etapas tempranas cuesta muchos retrabajos Análisis Diseño Desarrollo Pruebas AceptaciónTest Etapa en la que las vulnerabilidades son descubiertas Producción Lámina 20

21 Buenas prácticas, Marcos de Referencia y Estándares Lámina 21

22 Ciclo de Vida del Desarrollo Seguro (SDLC) Requerimientos Diseño Desarrollo / QA Versiones Seguridad Mantenimiento Plan Documento de arquitectura Especificaciones funcionales Desarrollo de código Corrección de errores Pasajes entre ambientes Parches Soporte Lineamientos de calidad Especificaciones de diseño Pruebas funcionales Pasajes a producción Características Arquitectura Pruebas desempeño Kick Off de seguridad Requerimientos de seguridad Criterios de entrega de seguridad Mejores prácticas de diseño seguro Arquitectura de seguridad y revisión de superficie de ataque Modelado de amenazas Mejores prácticas de desarrollo seguro Revisión de código Pruebas de seguridad Evaluación de seguridad Plan de respuesta a incidentes de seguridad Auditorías Revisiones Respuesta a incidentes Monitoreo 1 Mejores prácticas para la seguridad de las aplicaciones Lámina 22

23 Estándar para la seguridad de la información Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el Ciclo de Deming: PDCA. El estándar esta conformado por la serie de normas ISO Aspectos que contempla: Política de seguridad Organización de la Seguridad de la información Gestión de activos Seguridad de los recursos humanos Seguridad física y ambiental Gestión de las comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de los sistemas de información Gestión de incidentes en la seguridad de la información Gestión de continuidad comercial Cumplimiento Lámina 23

24 Esquema de Implementación de la norma Mejora continua del sistema de Gestión Partes Interesadas Establecer Sistema Implementar y operar Partes Interesadas Plan Do Requerimientos y expectativas de seguridad de la información Mantener y mejorar Act Check Monitorear y revisar Seguridad de la información gestionada Modelo PDCA aplicado a los procesos del SGSI Lámina 24

25 Gobierno de TI Objetivos de Control sobre la Información y Tecnologías Relacionadas Procesos y Ciclo de Vida de COBIT ME1 ME2 ME3 ME4 Monitor and evaluate IT performance. Monitor and evaluate internal control. Ensure regulatory compliance. Provide IT governance. DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. C O B I T F R A M E W O R K MONITOR AND EVALUATE Efficiency Effectiveness Compliance DELIVER AND SUPPORT INFORMATION Reliability IT RESOURCES Applications Information Infrastructure People Integrity Availability Confidentiality ACQUIRE AND IMPLEMENT PLAN AND ORGANIZE PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organization, and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identify automated solutions. Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and change. Lámina 25

26 El Objetivo Lámina 26

27 Alineación del Trabajo en la Organización PMO Planeación Estratégica Lámina 27

28 Valor para la Organización Auditar Validar información Reforzar gobernabilidad Detectar riesgos Administrar Proyectos Programas Portafolios Recursos Inversión Aprender Capacitación Consultoría Aplicación de mejores prácticas Analizar y decidir Toma de decisiones Consulta de reportes Tableros de control Comunicar Situación real y tendencias Riesgos, problemas y soluciones Entregables y avances Priorización de objetivos y proyectos Colaborar Interna y externa De manera segura Lámina 28

29 Cloud Computing El reto

30 Lámina 30

31 Gracias Raúl Orantes F. Lámina 31