Seguridad de la Información

Transcripción

1 ESTRATEGIAS CORPORATIVAS y Seguridad de la Información Carlos Ormella Meyer Ing. Carlos Ormella Meyer & Asoc ECySI - 1

2 Planificación estratégica Misión, valores. Visión, metas y objetivos. Planificación. Análisis FODA (SWOT), Fortalezas, Oportunidades, Debilidades, Amenazas. PEST. Factores externos: Políticos, Económicos, Sociales y Tecnológicos. Implementación de estrategias, BSC. Perspectivas: Finanzas, Clientes, Procesos internos, y Aprendizaje y crecimiento. Iniciativas, métricas y targets. Mapa estratégico. Desempeño. Six Sigma, mejoras en la calidad. Kaizen, personal, participación y mejora continua. ECySI - 2

3 Corporate Governance y Riesgos Principios del Corporate Governance, OECD. Del Directorio: Política de riesgos, tipos y nivel. Riesgos de negocios. Modelo multicapa: Procesos y funciones de negocios, recursos/activos. Criticidad/sensibilidad. Taxonomía de riesgos. Guía OECD, valuación. Tipos de Riesgos: Técnicos TIC + Organizacionales + Operacionales + Físicos. Factores de riesgos: Activos, Vulnerabilidades y Amenazas, niveles. Riesgo intrínseco. Salvaguardas para reducción. Riesgo residual. ECySI - 3

4 Factores de Riesgo Activos Salvaguardas Amenazas Riesgo Residual Vulnerabilidades ECySI - 4

5 Corporate Governance y Riesgos Vulnerabilidades Técnicas y Físicas, blanco/negro. Vulnerabilidades Organizacionales y Operacionales, gama de grises. Datos históricos. Trazabilidad, calidad. Bayes. Combinación datos cuantitativos y cualitativos. Método de Delphi. Opiniones, subjetividad, entrevistas. ECySI - 5

6 Seguridad: Información vs. Informática Seguridad de la la Información Seguridad Informática Riesgos Organiz., Operac. y Físicos Ausencia de Normas y Políticas Control insuficiente de cambios Actitud y comportamiento personal Errores, actos deliberados personal etc. Vulnerab. y Amen. TIC Virus Spam - Phising Contraseñas Ataques DoS etc. ECySI - 6

7 Normas de seguridad de la información Lista de controles recomendados ISO (antes ISO 17799) Extens. Especif. Selección de controles Requisitos para implementar controles y establecer el Sistema de Gestión de Seguridad de la Información, SGSI ISO Auditoría y Certificación Riesgos ISO Métricas ISO ECySI - 7

8 El factor gente Resistencia a los cambios. Medidas de seguridad y conflicto con esquemas personales. Conocimiento, actitud y comportamiento (qué sabe, qué siente, qué hace) ante medidas. Comunicación, quién, qué, cómo. Participación y Compromiso. Resiliencia, reacción, inteligencia emocional. Cultura corporativa. Concientización e integración de la seguridad de la seguridad. Psicología Social, Coaching y PNL. El aporte del Kaizen. ECySI - 8

9 Evaluación de proyectos de seguridad Reducción pérdidas, Salvaguardas: Valor y Costo.» Valor = Reducción de pérdidas = Ahorro.» ROSI, ROI de Seguridad. Retorno = Valor Costo ROSI = (Valor Costo) / Costo Pérdidas antes y después de salvaguardas: Impactos y frecuencias de ocurrencia, ALE. Incertidumbre y estadísticas. Métodos estocásticos, probabilidades, entropía. Simulación Monte Carlo, valores, VaR. Business Case, análisis, riesgos, solución. BSC de seguridad como herramienta de gestión de desempeño, iniciativas y métricas, integración. ECySI - 9

10 Reducción de Pérdidas con Monte Carlo Histograma limitado a 250 muestras ECySI - 10

11 Escenarios de aplicación Plan de Continuidad de negocios, BCP. Riesgos operacionales en el nuevo Acuerdo de Capitales Basilea II para bancos. Conformidad con cuestiones de seguridad para la Sección 404 (a) de Sarbanes-Oxley. Gestión de cambios organizacionales. Protección de datos personales. Capacitación. ECySI - 11

12 ESTRATEGIAS CORPORATIVAS y Seguridad de la Información Muchas gracias Ing. Carlos Ormella Meyer ECySI - 12