SEGURIDAD DE INFORMACIÓN EN LAS EMPRESAS PERUANAS

Transcripción

1 SEGURIDAD DE INFORMACIÓN EN LAS EMPRESAS PERUANAS Ing. Víctor Arturo Simich 01/02/2013

2 Agenda Los Gobiernos frente a la revolución de la información. Retos en la Gestión de la Seguridad de alineada a la Gestión Empresarial. Conceptos y Fundamentos para la Seguridad de. Riesgos de un Manejo inseguro de Ámbitos de la Seguridad de Marco Internacional para la Seguridad de Marco Nacional para la Seguridad de Formación Profesional de los responsables de Seguridad de. Lineamientos para lograr una Seguridad de alineada a la Gestión Empresarial

3 Los Gobiernos frente la Revolución de la. Riesgo País

4 Agenda Los Gobiernos frente a la revolución de la información. Retos en la Gestión de la Seguridad de alineada a la Gestión Empresarial. Conceptos y Fundamentos para la Seguridad de. Riesgos de un Manejo inseguro de Ámbitos de la Seguridad de Marco Internacional para la Seguridad de Marco Nacional para la Seguridad de Formación Profesional de los responsables de Seguridad de. Lineamientos para lograr una Seguridad de alineada a la Gestión Empresarial

5 RETOS DE LA GESTION DE LA SEGURIDAD DE INFORMACION ALINEADA A LA GESTION EMPRESARIAL ASPECTOS CRÍTICOS DE LA GESTIÓN Requiere mayor involucramiento del nivel directivo. Es necesaria una administración de riesgos mas pro activa LIDERAZGO Y DIRECCION ENFOQUE DEL PROCESO Modelo de Gestión vs Modelo de Control Confusión en el vinculo entre procesos de tecnología y activos de tecnología Organización adecuada 1 Controles vs Riesgos Falta de lenguaje en común entre participantes 2 Seguridad de vs Seguridad Informática 3 COMUNICACION Y CULTURA No existe un lenguaje en común entre las áreas de tecnología y las áreas usuarias o de negocio La seguridad de la información no se entiende como un proceso que involucra a toda la empresa y stakeholders.

6 Agenda Los Gobiernos frente a la revolución de la información. Retos en la Gestión de la Seguridad de alineada a la Gestión Empresarial. Conceptos y Fundamentos para la Seguridad de Riesgos de un Manejo inseguro de Ámbitos de la Seguridad de Marco Internacional para la Seguridad de Marco Nacional para la Seguridad de Formación Profesional de los responsables de Seguridad de. Lineamientos para lograr una Seguridad de alineada a la Gestión Empresarial

7 CONCEPTOS Y FUNDAMENTOS. QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN? Característica de la que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de: Confidencialidad Integridad Disponibilidad. Políticas Estructura + Procedimientos + organizacional + Herramientas

8 CONCEPTOS Y FUNDAMENTOS FUNCIONES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACION Lograr un Sistema de Gestión que apoye una adecuada administración de Riesgos. Mejora Establecimiento del Modelo SGSI Implementación Monitoreo Lograr adecuado niveles de control anivelde las organización A C T I V I D A D E S A P O Y O P R I M A R I A S Logística Interna Operaciones Infraestructura Gerencial Desarrollo de Tecnología Gestión de Recursos Humanos Adquisiciones Logística Externa Marketing Servicio V A L O R V A L O R

9 CONCEPTOS Y FUNDAMENTOS Cuál es el objetivo de los Controles? ACTIVIDADES TAREAS ROLES TECNOLOGIA PROVEEDOR CLIENTE CONTROLES

11 RIESGOS DE UN MANEJO INSEGURO DE LA INFORMACION FUGA DE INFORMACIÓN Y FRAUDES

12 RIESGOS DE LA MANEJO INSEGURO DE LA INFORMACION FUGA DE INFORMACIÓN Y FRAUDES Ataque a Citigroup en la primera semana de Junio del Impacto 200 a 300 mil clientes perjudicados con impacto en información de tarjetas de crédito Robo de datos a Google entre Febrero y Marzo del 2011, Impacto : 35 millones de perfiles(cuentas de usuario) afectadas) Febrero de 2012, Fuga de de tarjetas de crédito de VISA y Mastercard. Junio 2012 Operación Medre: Primer caso de espionaje industrial detectado en Latinoamérica. Surgimiento de Colectivos como Anonymous que realizan diversas protestas mediante ataques informáticos, a) Operación Andes Libre con impacto en diversos portales del Gobierno Peruano. b) Ataques contra diversas webs gubernamentales y de la industria discográfica norteamericana

13 RIESGOS DE UN MANEJO INSEGURO DE LA INFORMACION FUGA DE INFORMACIÓN Y FRAUDES Ataque a Citigroup en la primera semana de Junio del Impacto 200 a 300 mil clientes perjudicados con impacto en información de tarjetas de crédito Febrero de 2012, Fuga de de tarjetas de crédito de VISA y Mastercard. Junio 2012 Operación Medre : Primer caso de espionaje industrial detectado en Latinoamérica.

14 RIESGOS DE UN MANEJO INSEGURO DE LA INFORMACION FUGA DE INFORMACIÓN Y FRAUDES Ataque a Citigroup en la primera semana de Junio del Impacto 200 a 300 mil clientes perjudicados con impacto en información de tarjetas de crédito Febrero de 2012, Fuga de de tarjetas de crédito de VISA y Mastercard. Junio 2012 Operación Medre : Primer caso de espionaje industrial detectado en Latinoamérica.

16 AMBITOS DE LA SEGURIDAD DE INFORMACIÓN ALCANCE EMPRESARIAL La seguridad implica la participación conjunto de personas, procesos y tecnología SOFTWARE Y COMPONENTES PERSONAS Y SISTEMAS SOPORTE DE PROCESOS Y REDES INGRESOS Y OPERACIÓN El lugar de penetración de los Intrusos El objetivo de los Intrusos

17 AMBITOS DE LA SEGURIDAD DE INFORMACIÓN ALCANCE METODOLÓGICO Seguridad de Manejo seguro de la información por el personal Seguridad de y procesos de negocios Riesgo Tecnológico Riesgos en los Procesos de Sistemas y Tecnología Riesgos en los controles residentes en los Sistemas de Seguridad Informática Segregación de Funciones del Personal del Banco. Segregación de funciones del personal de sistemas. Hacer frente a los Hackers.

19 MARCO INTERNACIONAL PARA LA SEGURIDAD DE INFORMACION PROCESOS DE NEGOCIO PROCESO A PROCESO B PROCESO C PROCESO D PROCESO E APLICACIONES Riesgos y calidad en aplicaciones (test de controles) Riesgos y calidad en procesos de TI / SI COBIT ISO / CMMI / ITIL SISTEMAS DE INFORMACION TECNOLOGIA Bases de datos Servidores, Redes y Comunicaciones Riesgos y calidad en tecnología (estándares NIST/CIS/DISA/NSA) INFRAESTRUCTURA TECNOLOGICA

21 MARCO NACIONAL PARA LA SEGURIDAD DE INFORMACION Norma Técnica peruana NTP-ISO/IEC Ley de protección de datos personales. LEY Nº RM Adecuación de las Empresas Públicas a la Gestión de la Seguridad de Circular SBS-G Gestión de la Seguridad de la Resolución Requerimiento de Patrimonio Efectivo por Riesgo Operacional

22 RESULTADOS MARCO NACIONAL PARA LA SEGURIDAD DE INFORMACION 7 BANCOS QUE HAN LOGRADO LA CERTIFICACION AL METODO ESTANDARIZADO DE RIESGO OPERACIONAL 5 EMPRESAS CON CERITIFICACIONES ISO EMPRESAS CON CERTIFICACION SAS70.

24 Formación Profesional del Responsable de Seguridad de

26 LINEAMIENTOS PARA UNA GESTION DE LA SEGURIDAD DE INFORMACION ALINEADA A LA GESTION EMPRESARIAL El Responsable de Seguridad de en la Encrucijada Alta Dirección Responsable de la Seguridad de Regulaciones y Auditoría Personal de la Empresa

27 LINEAMIENTOS PARA UNA GESTION DE LA SEGURIDAD DE INFORMACION ALINEADA A LA GESTION EMPRESARIAL Un Enfoque alineado al Negocio DIMENSION Prácticas Internacionales de Seguridad COMITE ESTRATEGICA DIMENSION ORGANIZACIONAL Regulación DIMENSION Negocio LEGAL DIMENSION FINANCIERA DIMENSION TECNOLOGICA

28 SEGURIDAD DE INFORMACIÓN EN LAS EMPRESAS PERUANAS PREGUNTAS?

29 SEGURIDAD DE INFORMACIÓN EN LAS EMPRESAS PERUANAS MUCHAS GRACIAS ING. ARTUROSIMICH