TITULO. Gobernabilidad de TI & Seguridad de la Información

Transcripción

1 TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

2 Objetivo Identificar la importancia de la Seguridad de la Información como un elemento que forma parte del Gobierno Corporativo.

3 Agenda Introducción Importancia de la Seguridad de la Información Seguridad de la Información y TI La Gobernabilidad de SI. Conclusiones

4 Introducción La difusión de la tecnología y la proliferación de la información transforma el papel de la información, para convertirse en un recurso de igual importancia que los recursos: tierra, mano de obra y capital. Peter Drucker 1996

5 Introducción Gartner recientemente estimo que en menos de una década, las organizaciones tendrán treinta veces mas contacto con la información de lo que tienen hoy en día.

6 Introducción La INFORMACION es el NEGOCIO

7 Información como producto REQUERIMIENTOS Objetivos de Negocio Oportunidades de Negocio Regulaciones Riesgos Contratos con terceros. Privacidad de la Información Secretos Industriales Procesos de TI Datos Aplicaciones Recurso Humano Tecnología Instalaciones INFORMACION Confidencialidad Integridad Disponibilidad Cumplimiento Eficiencia Eficacia Confiabilidad

8 Antecedentes Cada vez mas regulaciones relacionadas con Seguridad de la Información La responsabilidad es del departamento de TI. Recurso humano. Foco únicamente en la información financiera.

9 Antecedentes Aumento de la dependencia de los sistemas y las comunicaciones que procesan la información. Dependencia de entidades que van mas allá del control de la organización. Aumento de la demanda para compartir información con socios, proveedores y clientes. Impacto en la reputación y el valor de la organización como resultado de fallas en la seguridad de la información. Los directivos no lo consideran un asunto estratégico.

10 Seguridad de la Información parte de la Governabilidad de IT Soporte a las políticas de seguridad. Soporte a las responsabilidades asignadas y los puntos de medición. Soporte a la clasificación de la información y la arquitectura.

11 Seguridad de la Información parte de la Governabilidad de IT Sirve como parte integral del sistema interno de control. Ayuda asegurar el cumplimiento legal y regulatorio. Privacidad de la información.

12 Gobierno Seguridad de la Información. Es un subconjunto del gobierno corporativo que provee dirección estratégica, asegura que los objetivos sean obtenidos, administra el riesgo apropiadamente, utiliza los recursos de la organización de manera responsable y monitorea el éxito o falla del programa corporativo de seguridad de la información.

13 Gobierno Seguridad de la Información Es la responsabilidad de la mesa directiva y los ejecutivos de alto nivel. Debe formar parte del Gobierno corporativo. Debe estar alineado con la estructura de Gobierno corporativo. Debe relacionarse con Gobernabilidad de TI.

14 Gobierno Seguridad de la Información Alineación de seguridad de la información con la estrategia del negocio para obtener los objetivos de negocio. Administración de riesgo para medir, mitigar y reducir el impacto a un nivel aceptable. Administración de los recursos para utilizar la infraestructura de manera eficiente y efectiva. Medición del desempeño

15 Gobierno Seguridad de la Información Definir una estructura para la administración de la seguridad de la información. Revisión y aprobación de las políticas de seguridad de la información. Asignar seguridad de la información a un comité.

16 Importancia Gobierno Seguridad de la Información Las organizaciones pueden sobrevivir si pierden un activo como el edificio, equipo, personas pero no la información. Riesgo de perdida de CIA de activos críticos de información. Asignar seguridad de la información a un comité.

17 TOP-DOWN : Enfoques. Alta Dirección consciente y conocedora del problema. Impone mecanismos para extender su Gobierno Corporativo a cubrir la Seguridad de la Información. BOTTOM-UP : Gerencia (o VP) de IT conciente de la necesidad. Capacidad de alinear función y organización a los objetivos y estrategias del negocio. Establece medios de comunicación sobre sus resultados y el cumplimiento de sus objetivos.

18 Gobierno Corporativo y de Activos Críticos Accionistas Monitoreo Gobierno Corporativo Junta Directiva Otros Accionistas Divulgación Alta Dirección Estrategia Comportamiento Deseable Activos Activos Humanos Activos Financieros Activos Físicos Activos Propiedad Intelectual Activos Información Activos de Relaciones Gobierno IT Gobierno de activos críticos 2003 MIT Sloan School Center for information System Research.

19 Framework Metodología para la administración del riesgo Estrategia de seguridad de la información relacionada con los objetivos de negocio y TI. Una efectiva estructura organizacional de seguridad. Una estrategia que hable acerca del valor de la información protegida y entregada. Políticas de seguridad que direccionen cada aspecto de la estrategia control y regulación. Estándares para cada una de las políticas que aseguren que los procedimientos y guías cumplen con la política. Proceso de monitoreo para asegurar cumplimiento y proveer retroalimentación sobre efectividad de los controles y mitigación del riesgo. Un proceso para asegurar evaluación continua y actualización de las políticas, estándares, procedimientos y riesgo.

20 Programa de Seguridad de la Información Desarrollo y mantenimiento de las políticas de seguridad Roles y responsabilidades, Desarrollo de estándares, procedimientos, indicadores, practicas y procedimientos Evaluación periódica de riesgos e impacto al negocio. Asignación de activos de información y su clasificación Controles adecuados, efectivos para las personas, procesos y tecnología Integración de seguridad en todos los procesos de la organización Administración de incidentes

21 Programa de Seguridad de la Información Proceso de administración de identidad y control de acceso para usuarios y proveedores de información. Monitores de los indicadores de gestión Educación de todos lo usuarios y miembros de la junta directiva acerca de los requerimientos de seguridad de la información. Evaluación anuales de seguridad de la información y desempeño a la junta directiva. Plan de acción para superar las deficiencias encontradas Desarrollo y pruebas de planes de continuidad de negocio en caso de una interrupción o desastre.

22 Políticas y Procedimientos Asignar responsabilidades Políticas y procedimientos para la prevención y detección. Procedimientos de monitoreo y reporte de incidentes.

23 Recurso Humano Tener las personas apropiadas en el lugar requerido Responsabilidades Alta dirección Usuarios toda la organización Proveedores Clientes. Dueños de la información Tecnología de la Información. Entrenamiento Cultura organizacional

24 Evaluación de Riesgo La evaluación de riesgo habilita a las organizaciones a entender como determinados eventos pueden inhibir la consecución de los objetivos de negocio.

25 Identificar Procesos Críticos. Marco Estratégico La organización y el ambiente en el que opera. Marco Organizacional Conocer Objetivos y estrategias. Identificar Procesos críticos. Definir los criterios bajo los cuales se pueda establecer la criticidad de un proceso con respecto a otro.

26 Impacto pérdida de Integridad. Pérdida financiera Fraude Decisiones de negocio equivocadas Demandas Pérdida de clientes Pérdida de reputación.

27 Impacto perdida de Confidencialidad. Perdida propiedad intelectual Privacidad de los clientes. Demandas Perdida de clientes Perdida de reputación. Fraudes.

28 Impacto Incumplimiento legal, contractual o regulatorio. Multas o Sanciones Perdida de clientes Perdida de valor de la compañía. Perdida de reputación.

29 Impacto perdida de Disponibilidad Un Evento Ocurre Seguido por el efecto Domino Cese de operaciones No hay comunicaciones No se puede ocupar la instalación Empleados enviados a casa Ocurrencia del Evento Pérdida de empleados claves Incumplimiento compromisos Multas contractuales Pérdidas económicas e imagen Pérdida compromisos clientes

30 Identificar activos de Información. Procesos de Negocio Mercadeo Finanzas Inv y Desarrollo Logística R.Humano Comercial R. Humano Aplicaciones S.O y Bases de Datos Comunicaciones Documentos

31 Riesgos Mayores Riesgos: Pérdida de Confidencialidad. Pérdida de Disponibilidad. Incumplimiento Regulatorio Incumplimiento Contractual Perdida de Integridad.

32 Evaluar y definir prioridades. Identifique controles existentes. Identifique la efectividad de los controles. Riesgos de Mayor a Menor. Identificar los riesgos sobre los cuales se deben plantear opciones de tratamiento.

33 Tratamiento de los Riesgos ITIL = Controles OTROS ISO COBIT

34 CobiT Planear Organizar PO PO Adquirir e Implementar AI AI Monitorear M Entrega y Soporte DS DS

35 IT. Governance 1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditoría independiente Seguimiento 1.Definición del nivel de servicio 2.Administración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Administración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones CobiT Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Prestación de Servicio y Soporte 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad Planeación y Organización Adquisición e Implementación 1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios

36 ISO Cumplimiento Política de seguridad Organización de la Seguridad Administración de la continuidad integridad Confidencialidad Clasificación y control de los activos Desarrollo y mantenimiento Información Seguridad del personal Control de accesos Manejo de Incidentes disponibilidad Gestión de comunicaciones y operaciones Seguridad física y medioambiental

37 Objetivos Básicos. Estratégico Táctico Clasificación y control De activos Política de Seguridad Seguridad en la organización Control de acceso Seguridad Organizacional Seguridad Lógica Seguridad Física Seguridad Legal ISO Objetivos de Control Operativo Manejo de Incidentes Seguridad de personal Cumplimiento Seguridad Física 132 Controles. Desarrollo y mantenimiento De sistemas Adm. de Comunicación y operaciones Gestión de Continuidad Negocio

38 Planear y Organizar Planear y Organizar Adquirir e implementar Adquirir e implementar Definir Definir Plan Plan Estrategico Estrategico Def. Def. Arquitectura Arquitectura Información Información Def Def Diercción Diercción Tecno. Tecno. Identificar Identificar Soluciones Soluciones Automatiza Automatiza das das Adquiir y Adquiir y Mantener Mantener Software de Software de aplicación aplicación Instalar Instalar Y acreditar Y acreditar sistemas sistemas Adm. Adm. cambio cambio Adquiir y Adquiir y Mantener Mantener Infraestru. Infraestru. tecnológica tecnológica Desarrollar Desarrollar Y mantener Y mantener Proc. Proc. IT IT Definir la Definir la Organización Organización De IT y De IT y Sus relaciones Sus relaciones Comunicar y Adm Comunicar y Adm De losobjetivos Inversion dede losobjetivos Inversion de De la TI De la TI gerencia gerencia Manejar Manejar Recurso Recurso humano humano Asegurar Asegurar cumplimiento cumplimiento Evaluar Evaluar riesgo riesgo Política de Seguridad Seguridad en la organización ISO Clasificación y control De activos Control de acceso Adm Adm proyectos proyectos Adm Adm calidad calidad Manejo de Incidentes Seguridad de personal Cumplimiento Seguridad Física Desarrollo y mantenimiento De sistemas Adm. de Comunicación y operaciones Gestión de Continuidad Negocio Monitorear Assess Monitor Assess Monitor Internal The Internal The Control Process Control Process Adequacy Adequacy Definir y Definir y Adm niveles Adm niveles Servicio Servicio Adm Adm Servicios Servicios Con terceros Con terceros Entrega y Soporte Entrega y Soporte Adm. Adm. capacidad capacidad Asegurar Asegurar Servicio Servicio continuo continuo Asegurar Asegurar Seguridad Seguridad De los De los sistemas sistemas Identificar Identificar Y asociar Y asociar costos costos Administrar Administrar La La operación operación Obtain Obtain Independent Independent Assurance Assurance Provide Provide Independent Independent Entrenar Entrenar usuarios usuarios Audit Audit Asistir Asistir Los Los Usuarios de Usuarios de IT IT Adm. Adm. Configuración Adm. Adm. Incidentes Configuración Incidentes Admi. Adm Admi. Adm datos Instalaciones datos Instalaciones

39 Evaluación y Monitoreo Indicadores (Guías de administración de COBIT). Medir los resultados para conocer el desempeño actual y las mejoras. Procedimientos de acciones correctivas y preventivas.

40 Análisis Costo/ Beneficio Estime el costo: Tenga en cuenta los recursos de personas, hardware, software. Estime la facilidad de implementación: Considere la disponibilidad de recursos, el alcance y la duración del trabajo. Estime los beneficios para el negocio: Considere el impacto sobre uno o mas de las cinco prioridades de la organización.

41 Definición de Indicadores Indicadores Implementación Eficiencia Eficacia

42 Información como producto Indicadores de Gestión REQUERIMIENTOS Objetivos de Negocio Oportunidades de Negocio Requerimientos externos Regulaciones Riesgos Requisitos de calidad de la información Procesos de TI Datos Aplicaciones Recurso Humano Tecnología Instalaciones INFORMACION Confidencialidad Integridad Disponibilidad Cumplimiento Eficiencia Eficacia Confiabilidad

43 Beneficios Habilitador para cumplir los objetivos de negocio. Requisito para el cumplimiento de regulaciones Ej.: SOX, ISO Reducción en costos de procesamiento. Incremento de las ventas debido a calidad de los datos de los clientes. Incremento en la automatización de las decisiones y procesos. Aumento de la disponibilidad de Servicios y Aplicaciones Aumento del valor patrimonial o de la acción.

44 Conclusiones La información activo necesario para la operación de las organizaciones Es responsabilidad de las directivas minimizar los riesgos sobre los activos de información. Asunto Corporativo. Se debe tener un proceso unificado que mire los procesos del negocio de principio a fin. Recurso Humano

45 Referencias Information Security Governance, IT Governance Institute. ISO 27000, IT Governance Institute, COBIT Security Baseline, USA, 2004,

46 Preguntas? Guillermo Angarita Morris Miembro de ISACA, ISC2 Information Security Advisor IQ Information Quality