10 años especializados en seguridad y control de riesgos. Visión integral de la seguridad, vinculando a. Sistemas Procesos Personas Instalaciones

Transcripción

1 Sobre GCP Global 10 años especializados en seguridad y control de riesgos Visión integral de la seguridad, vinculando a Sistemas Procesos Personas Instalaciones Premio Nacional de Tecnología Certificados en Seguridad ISO: Entidad certificadora para el Institute for Security and Open Methodologies. Organismos de Regulación, utilizan nuestra tecnología para cumplir con sus obligaciones. Certification Authority & Best Strategic Partner World Wide 2005 / 2006 / 2007

2 Implementación de un Modelo de Seguridad de Información en Dependencias Gubernamentales Taller Nacional. Seguridad de la Información en el Sector Público de México Por: Alejandro Gómez Omar Hernández Julio 2009

3 Agenda!! Objetivo!! Seguridad de la Información "! Qué No es? "! Qué Si es? "! Qué busca "! Ámbito "! Como ven.. "! Mejores Prácticas!! Un Modelo de Seguridad de la Información "! Objetivos "! Marco Normativo "! Modelo de Seguridad de la Información de GCP Global "! Porqué es Necesario? "! Obstáculos en la Implementación "! Factores Críticos de Éxito!! Preguntas?

4 Objetivo Presentar a los Servidores Públicos de las áreas de Seguridad de la Información y Te c n o l o g í a s d e l a I n f o r m a c i ó n y Comunicaciones, un Método para aplicar los lineamientos que en materia de Seguridad de la Información publicará la Secretaría de la Función Pública

5 Agenda!! Objetivo!! Seguridad de la Información "! Qué No es? "! Qué Si es? "! Qué busca "! Ámbito "! Como ven.. "! Mejores Prácticas!! Un Modelo de Seguridad de la Información "! Objetivos "! Marco Normativo "! Modelo de Seguridad de la Información de GCP Global "! Porqué es Necesario? "! Obstáculos en la Implementación "! Factores Críticos de Éxito!! Preguntas?

6 Qué NO es Seguridad de Información (SI)?!! Seguridad Industrial (Puntos en común en el área de seguridad física, tiene diferentes enfoques)!! Seguridad Informática (Muchas veces utilizado como sinónimo, Presenta un enfoque meramente tecnológico)!! Ofuscación (Confundir el ocultar la información con protegerla)!! Análisis de seguridad basado únicamente en resultados de herramientas!! Riesgo Operativo, Riesgo Financiero!! Poner llave/candado a todo

7 Qué Si es la Seguridad de la Información?

8 Qué busca la Seguridad de la Información

9 Ámbito de la Seguridad de Información

10 Como ven la Seguridad de Información los Profesionales SI A mas controles, mas seguro será el ambiente Es bueno tener múltiples niveles de autenticación Nuevas capacidades y tecnologías para transacción en línea, aumentan los riesgos a la seguridad Usuario Proteger mis datos es bueno Por qué continúan solicitándome mas y mas información personal? La tecnología es conveniente. Hace la transacción mas fácil Funcionarios/DGA s Añadir controles solo si no afecta los ingresos, egresos o el servicio al público Con esto se Disminuye la cantidad de quejas de la ciudadanía Las nuevas tecnologías ayudan a cumplir con la normatividad de una forma más fácil

11 Mejores prácticas para la Seguridad de Ia Información. (Qué hacer y Como hacerlo)!! BS e ISO/IEC serie 27001!! Open Source Security Testing Methodology Manual (OSSTMM)!! Open Web Application Security Project (OWASP)!! Control Objectives for Information and related Technology (COBIT)!! Information Technology Infraestructure Library, (ITIL)!! ISO 20000!! Committee of Sponsoring Organizations (COSO)!! Metodología de análisis y gestión de riesgos de los sistemas de información (MAGERIT)

12 Agenda!! Objetivo!! Seguridad de la Información "! Qué No es? "! Qué Si es? "! Qué busca "! Ámbito "! Como ven.. "! Mejores Prácticas!! Un Modelo de Seguridad de la Información "! Objetivos "! Marco Normativo "! Modelo de Seguridad de la Información de GCP Global "! Porqué es Necesario? "! Obstáculos en la Implementación "! Factores Críticos de Éxito!! Preguntas?

13 Qué es un Modelo de Seguridad de la Información?!! Es un proceso metódico que promueve consistentes y efectivos mecanismos para la definición e implementación de una serie de actividades que deben realizarse mediante procesos sistemáticos, documentados y conocidos con la finalidad de contar con un Sistema de Gestión de la Seguridad de la Información.

14 Objetivos del Modelo de Seguridad de la Información de GCP Global?!!Ser una guía para la implementación de un SGSI!!Establecer controles para incrementar la protección de la información!!proteger a los Funcionarios Públicos de exposiciones innecesarias!!evitar al máximo que los activos de información se vean comprometidos!!implementar mecanismos que minimicen la presencia de incidentes!!establecer mecanismos que permitan la continuidad de los servicios

15 Marco Normativo del Modelo de SI

16 Marco Normativo del Modelo de SI

17 Modelo de Seguridad de la Información de GCP Global El modelo esta basado en el PDCA y puede servir de base para que las Dependencias y Entidades cumplan con los lineamientos en materia de seguridad de la información que emitirá la Secretaría de la Función Pública

18 Modelo de Seguridad de la Información de GCP Global

19 Modelo de Seguridad de la Información de GCP Global

20 Modelo de Seguridad de la Información de GCP Global

21 Porqué es Necesario un Modelo de Seguridad de la Información?!!Es fácil implementar un SGSI.!!Cumplir con lo establecido por la Secretaría de la Función Pública.!!Se Incrementa el manejo de la Información.!!Hay un Incremento de las amenazas y de vulnerabilidades.!!cambios Tecnológicos (convergencia en la Tecnología).!!Complejidad operacional debido a la normatividad vigente.!! Límites de Actuación de los Funcionarios Públicos.

22 Obstáculos en la Implementación de un Modelo de Seguridad de la Información!! Bajo Patrocinio de los Funcionarios Públicos de Alto Nivel.!! Fallas en las campañas de concientización.!! Malos hábitos laborales de los Funcionarios Públicos.!! Uso inadecuado de las infraestructura de TIC.!! No se incluye a las Áreas de Negocio.!! No existe un área de SI o no tiene un nivel jerárquico alto.!! La Seguridad de la Información es un gasto.!! Se cree que la SI es algo puramente tecnológico.!! Concesiones a funcionarios VIP contraviniendo lo dispuesto en las políticas de seguridad.!! No se realiza un adecuado Proceso de Gestión de Activos y/o de Riesgos adquiriéndose antes Infraestructura Tecnológica de Seguridad.

23 Factores Críticos de Éxito "!Exista un responsable de la SI. "!El responsable tenga un nivel alto (Director General o DGA). "!Patrocinio del Secretario u Homólogo. "!Las políticas no busque solo la sanción si no la prevención y aplicarse sin distinciones. "!Antes de adquirir Tecnología realizar un proceso de Análisis de Brechas, Gestión de Activos y Gestión de Riesgos.

24 Gracias Preguntas? El Modelo de Seguridad de la Información presentado es es propiedad intelectual de Global Consulting Professionals, S.A. de C.V. (GCP Global) y es de uso confidencial. No debe duplicar ni reproducir este documento para propósitos distintos a los establecidos; incluyendo su divulgación. No se considera como información confidencial aquella que se encuentra disponible al público en general.