FACTORES DE ÉXITO EN EL DESARROLLO DE UN SGSI. Fabián Cárdenas Varela Área de Consultoría NewNet S.A.

Transcripción

1 FACTORES DE ÉXITO EN EL DESARROLLO DE UN SGSI Fabián Cárdenas Varela Área de Consultoría NewNet S.A.

2 Agenda Introducción Qué es un SGSI? Conclusiones 3 Introducción

3 Introducción INFORMACIÓN Los activos de las empresas no sólo son aquellos que se registran en los libros contables. La información en sí es un activo intangible que se debe valorar y Proteger. Cómo valoramos la información que manejamos en nuestros procesos? 5 Introducción QUÉ ES SEGURIDAD DE LA INFORMACIÓN? Es la Protección de los activos de información contra una amplia gama de amenazas, para preservar el negocio, reduciendo a un nivel aceptable los riesgos. 6

4 Situación actual Cumplimiento Introducción? Habeas Data, Delitos Informáticos, Normatividad Interna Revisoría Fiscal 7 Situación actual - Negocio Introducción Adaptado de EL ECONOMISTA 8

5 Situación actual - Riesgos Introducción Riesgos de TI & SI Riesgos Proceso Riesgos de Negocio Gestión Integral de Riesgos? 9 Qué es un SGSI?

6 Qué es un SGSI? El SGSI es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. 11 Qué es un SGSI? 12

7 Procedimientos, Instrucciones, Registros Qué es un SGSI? Imposibilidad de Restaurar Backups Materiales, Información Modificación no autorizada de información Acceso no autorizado a la información Fuga de información Repudio de Acciones Suplantación Mecanismo Control PROCESO Producto Indisponibilidad de los sistemas de Información y servicios (Correo, Internet) Espionaje Industrial Desastre Natural Pérdida de exactitud de la información Incumplimiento Legal Robo de información Personas, Equipos, Recursos 13 Qué es un SGSI? Organización de la Seguridad (Roles, Responsabilidades, Autoridades) Normatividad de Seguridad (Políticas, Normas, Procedimientos) Procesos de Seguridad (Revisión, Monitoreo, Medición, Mejora) Gestión de Activos Gestión de Riesgos Gestión de Incidentes Gestión de la Continuidad Gestión del Cumplimiento Gestión de la Cultura Gestión de Vulnerabilidades Gestión de la Arquitectura SGSI Otros Sistemas de Gestión Cuadros de Mando Gerenciales Auditoría, Control Interno 14

8 1. Apoyo de la Dirección Mejora Continua Mitigación ROSI Eficacia Controles 16

9 2. Definición del alcance ALCANCE FASE I Planear Hacer 1 FASE II Hacer 2 Hacer 3 FASE III Verificar Actuar SGSI en el día a día de los procesos Función del Negocio 1 Gestión de Activos Gestión de Riesgos Función del Negocio 2 Mejora Continua Función del Negocio 3 18

10 4. Gestionar el cambio y la cultura Informarse y conocer Practicar y Mejorar Hacerlo parte del día a día Integrar la Gestión de Riesgos Riesgos del Negocio Riesgos de Procesos (operación, control) Riesgos de Activos (Sistemas de Información, repositorios, personas, contrato) Riesgos de Componentes (Hardware, Software, Servicios, Medios) 20

11 6. Integrarse a los cuadros de mando Nivel 3 Nivel 2 Nivel 1 Indicadores de Grupo Empresarial Indicadores Corporativos Indicadores de Áreas o Gerencias Indicadores de Procesos Indicadores de Seguridad Indicadores Técnicos Integrarse a otros sistemas de gestión ISO ISO 9000 ISO Actuar Planear ISO Verificar Hacer ISO

12 8. Integrar planes de acción Automatizar actividades Reporte Vulnerabilidades Incidentes Indicadores Auditoría Normatividad Controles Gestión de Activos Gestión de Riesgos 24

13 10. Planeación estratégica de seguridad Largo Plazo Objetivos Mediano Plazo Corto Plazo Nivel de Madurez 1 Nivel de Madurez n Gestión Metas Nivel de Madurez Capacitarse y Crear Competencias 26

14 Conclusiones Conclusiones Un SGSI en el corto plazo se diseña y se establece, en el mediano plazo se implementa, y en el largo plazo se mantiene y se mejora. A través de un SGSI se puede abordar efectivamente la implementación de un marco de gobierno de seguridad de la información. Es una de las mejores herramientas para la gestión del riesgo y del cumplimiento en seguridad de la información. 28

15 Conclusiones El SGSI no está en un destino, este hace parte del día a día de la organización. La certificación es la consecuencia de haber logrado un primer nivel de madurez en el SGSI y de haber cerrado como mínimo un primer ciclo PHVA. Es uno de los estándares más aceptados a nivel nacional e internacional y es base de varias iniciativas de cumplimiento. 29 Gracias Diagonal (Calle) 16 No Teléfono: Fax: BOGOTA DC Carrera 49 No Of. 406 Teléfono: Fax: MEDELLIN Calle 18 No Of. 406 Teléfono: Fax: PEREIRA Calle 23N No. 3N-33 Piso 6 Teléfono: Fax: CALI