DIA 23, Taller SGSI. Andreu Bravo. Seguridad de la Información - Grupo Gas Natural º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Transcripción

1 DIA 23, Taller SGSI Andreu Bravo Seguridad de la Información - Grupo Gas Natural º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2 Índice 1. Introducción 2. Objetivos 3. Claves para garantizar el éxito Estructura organizativa Identificación de activos Clasificación de activos Interpretación del análisis de riesgos Priorización de acciones Gestión operativa de la Seguridad 4. Otras consideraciones 2

3 Introducción Toda oportunidad implica un riesgo La información se ha convertido en uno de los activos más importantes de las empresas. Agilizar y potenciar el negocio mediante la apertura de fronteras y el uso de nuevas tecnologías aporta grandes oportunidades de mejora para las empresas pero también agrava el riesgo de pérdida del control Disponibilidad de los servicios, Pérdida de confidencialidad, Corrupción de la información, Incumplimiento legal. Saber evaluar el riesgo es la clave para garantizar el éxito o, como dice una cita célebre, el cementerio está lleno de valientes. 3

4 Objetivos Un único objetivo: La misión de la seguridad de la información es alcanzar el nivel de calidad adecuado para lograr los objetivos del negocio Disponibilidad Integridad Confidencialidad CALIDAD Beneficio económico Liderazgo en el sector Consolidación El plan estratégico de la Compañía marca las pautas para la definición del plan de seguridad de la información Las medidas de seguridad deben formar parte de los procesos de negocio: dinámicas, mesurables y efectivas. 4

5 Adaptación de la Estructura Organizativa 5 Define, actualiza y propone Aprueba, publica e impulsa implementa y gestiona Valida y detecta

6 Identificación de activos Inventario de activos (CMDB) Disponibilidad de un inventario de activos actualizado periódicamente por los propietarios, responsables y actores involucrados en cada uno de los procesos de negocio (CMDB). El inventario de activos debe identificar: Procesos de negocio Aplicaciones, entornos, dispositivos asociados a cada proceso Las dependencias entre todos ellos Los propietarios, responsables y actores implicados en la gestión y toma de decisiones de cada uno de los activos. Valorar los activos es una responsabilidad de los propietarios de cada proceso que puede delegarse en sus responsables funcionales. 6

7 Clasificación de activos (I) Criterios Existen múltiples criterios para determinar la prioridad y la importancia de los activos de información: Balance de resultados (facturación, beneficio ) Riesgos financieros (impacto en el negocio por pérdida) Visión estratégica del negocio (futuras inversiones) Requerimientos de seguridad (confidencialidad, disponibilidad, integridad ) Interlocutores Escoger a los interlocutores adecuados para ponderar el valor de los activos no es algo trivial: Propietarios de procesos de negocio Responsables funcionales Consejo de Administración 7

8 Clasificación de activos (II) Elaboración de la tabla de clasificación de activos Distinción entre procesos de negocio y de soporte al negocio Distribución multinivel de pesos porcentuales 8

9 Interpretación del análisis de riesgos Aceptación e interpretación del análisis del riesgo Deben ser los propietarios de los procesos o, en último término, la Alta Dirección quien establezca los niveles de riesgo aceptables que garanticen la buena marcha del negocio. Es fundamental disponer de estadísticas de niveles de riesgo o informes de niveles de riesgo aceptables del sector de negocio para conocer el posicionamiento global de la Compañía y determinar correctamente las acciones a tomar. Asociaciones como ISMS Forum Spain, basándose en la participación y experiencia de sus socios, dedica sus esfuerzos a la confección y divulgación de entregables que ofrezcan información de valor en materia de Seguridad de la Información. 9

10 Priorización de acciones Definición del plan de acciones Aspectos importantes al establecer el plan de acciones: Desde una perspectiva vertical, un nivel de riesgo alto sobre un proceso de negocio crítico justifica la ejecución de acciones orientadas específicamente a mitigar dicho riesgo Analizar los mapas de dependencias entre activos desde una perspectiva transversal permite identificar las acciones con mayor grado de mitigación sobre todos los procesos de negocio Identificar relaciones de precedencia (sin la ejecución de una acción no puede realizarse la siguiente) entre las acciones a realizar El tiempo es una variable que juega un papel importante en la elección de contramedidas No todas las acciones pueden justificar o demostrar su ROI. En estos casos debe ser el sentido común y el criterio de la Dirección del negocio quienes determinen su prioridad o realización 10

11 Gestión de la Seguridad Servicio externo de Gestión Operativa de la Seguridad Orientado a reducir los niveles de riesgo ante vulnerabilidades y amenzas: Identificación y seguimiento de incidencias de seguridad desde su detección hasta su resolución mediante la correlación de eventos Alerta temprana de nuevas vulnerabilidades Elaboración de informes periódicos y bajo demanda Mantenimiento del cuadro de mando de seguridad de la información Implicaciones de la externalización del servicio: Definición de ANS básicos pero estrictos que garanticen la validez de los informes y del contenido del cuadro de mando. La detección de incidencias y nuevas vulnerabilidades/amenazas debe incluir el análisis y recomendación de contramedidas/controles sin intervenir en la implantación. 11

12 Otras consideraciones Formación y Concienciación Informar, formar y concienciar a los usuarios sobre el valor de la información que manipulan y fomentar la adopción e interiorización de buenas prácticas para protegerla es, con toda seguridad la contramedida preventiva con mejor relación coste/beneficio en todas las empresas. Cláusulas contractuales Por otro lado, la inclusión en todos los contratos de cláusulas legales orientadas a proteger la información (confidencialidad, propiedad intelectual, responsabilidades, penalizaciones, derecho a la auditoría, etc.) es un control inexcusable e imperativo que deben implementar todas las empresas. 12

13 Preguntas 13