Grado de madurez de la organización en Seguridad de la Información

Transcripción

1 Grado de madurez de la organización en Seguridad de la Información

2 Presentada por: Taich, Diego Director, PwC

3 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

4 Agenda Introducción El grado de madurez de las Organizaciones (Encuesta PwC) Modelos de madurez Madurez en Seguridad de la Información Iniciativas y Proyectos Factores clave para madurar la función de SI SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

5 Introducción Qué es? La madurez hace referencia a la adopción y uso de buenas prácticas de Seguridad en la Organización. Hoy en día, el alcance de los modelos de madurez se ha expandido a la Ciberseguridad. Definición de madurez (según la Real Academia Española): madurez. (De maduro). 1. f. Sazón de los frutos. 2. f. Buen juicio o prudencia, sensatez. 3. f. Edad de la persona que ha alcanzado su plenitud vital y aún no ha llegado a la vejez.

6 Encuesta anual de PwC El grado de madurez en las organizaciones Porcentaje de los encuestados que tiene en marcha un estrategia de Seguridad de la información alineada con los procesos de negocio. Q14 49% 54% 60% Global América del Sur Argentina 50% 7% 43% La mitad de los encuestados desconoce si su estrategias de gestión de riesgos incluye la CiberSeguridad como un componente clave. Q21 50% No Si No lo saben 24% La mitad de los encuestados desconoce cuales serán sus prioridades para los próximos 5 años. Q3 Monitoreo Continuo 7% Ciber comando 15% Seguridad en la nube 2% 2% Seguridad en disp. Móviles HSDP-12 No lo saben

7 Respuesta Detección Protección Prevención Encuesta anual de PwC (cont.) Aplicación de Prácticas de SI Control de accesos Acceso a usuarios privilegiados Entrenamiento y concientización de empleados Cumplimiento de políticas por parte de terceros 51% 59% 56% 54% Evolución del Presupuesto de SI $2.2 millones $2.7 millones $2.8 millones $4.3 millones $4.1 millones Control de antecedentes 55% Cifrado de s IPS 55% 55% 3.6% 3.8% 3.5% 3.8% 3.8% DLP Patch management Protección de APTs IDS Detección de malware Herramientas de monitoreo de acceso Monitoreo activo Herramientas de análisis de vulnerabilidades Herramientas de correlación de eventos BCP / DRP Respuesta de incidentes 52% 53% 49% 55% 59% 55% 52% 54% 55% 61% 52% Presupuesta para Seguridad de la Información para 2014 % de presupuesto de IT gastado en Seguridad de la Información Participación del Directorio en actividades clave de SI Presupuesto en Seguridad Revisión de Roles y Responsabilidades de Seguridad Políticas de Seguridad Tecnologías de Seguridad Estrategias de Seguridad Total Revisión de nivel de Seguridad actual y riesgos 20% 30% 25% 40% 36% 42%

8 Modelos de Madurez de SI Marcos de referencia para la evaluación de la madurez NICE CMM C2M2 ISM3 ISO/IEC SSE CMM ISF CMM. SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

9 Modelos de Madurez de SI Modelos de Madurez NICE-CMM El modelo CMM desarrollado y provisto por NICE en Enfoque orientado a la evaluación de madurez sobre los requerimientos de CiberSeguridad. Fuerte foco en el desarrollo de la fuerza de trabajo para soportar la práctica de CiberSeguridad. Gobierno integrado Procesos y análisis Profesionales cualificados y tecnologías

10 Modelos de Madurez de SI Modelos de Madurez C2M2 El modelo C2M2 fue desarrollado y provisto por el Departamento de Seguridad Nacional y el Departamento de Energía de Estados Unidos en Enfoque orientado a la evaluación de madurez sobre los requerimientos de CiberSeguridad. Está alineado al framework desarrollado por NIST y se enfoca en la protección de infraestructuras críticas. Se han desarrollado modelos de madurez específicos para Oil&Gas y Electricidad SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

11 Modelos de Madurez de SI Modelos de Madurez SSE CMM Desarrollado por Information Systems Security Engineering Association. Enfocado en logra que el proceso de ingeniería de seguridad esté definida y sea medible.

12 Modelos de Madurez de SI Modelos de Madurez ISM3 Desarrollado y provisto por ISM3 Consortium. Enfocado en alinear la Seguridad con los Objetivos de la Organización. Cubre las sgtes. actividades: Evaluación de Riesgo Auditoría de cumplimiento con las normas internas Cumplimiento de estándares externos (ej. ISO 27001) Monitoreo Prueba Diseño y Mejora Optimización Basada en procesos, incluye métricas para medir su evolución.

13 Modelos de Madurez de SI Modelos de Madurez ISF Desarrollado por el Information Security Forum. Enfocado en la aplicación de los modelos de madurez. Incluye un modelo de madurez de alto nivel basado en sus propias buenas prácticas.

14 Modelos de Madurez de SI Principales beneficios Visión holística sobre el estado de la seguridad. Comparación de la situación actual con otras organizaciones y con mejores prácticas. Identificación y priorización de focos de inversión en Seguridad de la Información. Base para el desarrollo tanto del plan estratégico como de los planes operativos y mapas de ruta para alcanzar el nivel de madurez deseado. Establecer y consensuar nuevos requerimientos entre áreas de las organización. Evaluar la factibilidad de éxito en nuevos proyectos de Seguridad de la Información. SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

15 La Madurez de SI Iniciativas y proyectos La determinación del grado de madurez de SI permite iniciar distintos proyectos, por ej.: Remediación en el corto plazo situaciones de alto riesgo/probabilidad de ocurrencia. Determinación de la necesidad de ampliación de capacidades (personas, tecnología, etc.). Establecimiento de planes de acción para pasar de los niveles iniciales de madurez a niveles aceptables para la organización. SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

16 La Madurez de SI Iniciativas y proyectos (cont.) En Organizaciones con mayor grado de madurez: Definición de una estrategia y gobierno de seguridad de la información alineada a los requerimientos del negocio. Definición de un plan de gestión de riesgos y amenazas a las que se encuentra expuesto. Definición de un programa de concientización y cultura de seguridad de la información en la organización. Establecimiento de un programa de continuidad y recuperación de las funciones del negocio. Definición de un programa de gestión de crisis y respuesta a incidentes. Certificación de estándares internacionales (ej.: ISO 27001) SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

17 La Madurez de SI Factores claves para madurar la SI Perspectiva histórica en Seguridad de la información Qué hacen los líderes hoy Alcance del desafío Quién es dueño y quién es responsable Características de los adversarios Protección de activos de información Postura defensiva Inteligencia de Seguridad e intercambio de información Limitada a sus "4 paredes" y la empresa extendida Liderado y Operado por IT Ataque de una sola vez y oportunista; motivado por la notoriedad, el desafío técnico, y la ganancia individual Enfoque "One-size-fits-all" Proteger el perímetro; responder si es atacado "Manténgalo para sí mismo" Expansión del ecosistema de negocio: interconectado y global El negocio está alineado y es dueño del tema; el CEO y el Directorio tienen responsabilidad Ataques organizados, financiados y dirigidos; motivados por los acontecimientos económicos, monetarios, y para obtener beneficios políticos Enfoque de priorización y protección de los activos importantes de la organización. Planificar, monitorear y responder rápidamente para cuando es atacado Asociación con otras organizaciones públicas y privadas; colaboración con los grupos de trabajo de la industria

18 La Madurez de SI Agregando valor al Negocio: 5 pasos para lograr la madurez Asegurarse que su estrategia de ciberseguridad se encuentra alineada con los objetivos del negocio y sea estratégicamente financiada. Identificar los activos más valiosos y priorizar la protección de los datos de mayor valor. Conocer sus principales adversarios / amenazas, sus motivos, recursos y principales técnicas de ataque para reducir los tiempos de detección y respuesta. Evaluar la seguridad de proveedores y socios de negocio, y asegurarse que los mismos acepten sus políticas y prácticas de seguridad. Colaborar con otros para aumentar la concientización sobre las amenazas a la seguridad y las tácticas de repuesta. SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

19 Gracias por asistir a esta sesión

20 Para mayor información: Diego Taich Para descargar esta presentación visite Los invitamos a sumarse al grupo Segurinfo en