Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la Información

Transcripción

1 Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la Información Del proyecto a la gestión del día a día MSc. Fabián Cárdenas Varela CISSP, CISM, LA BS NewNet S.A Propiedad Intelectual de Fabián Cárdenas Varela. Prohibida su reproducción, cesión, publicación, distribución comunicación al público, traducción, y uso contrario a los usos honestos de la Propiedad Intelectual, sin autorización de su titular fcardenas@newnetsa.com, fabian.cardenas@novasec.info

2 Agenda 1. Lecciones Aprendidas 2. Herramientas 3.Visión de Futuro

3 Lecciones Aprendidas (1) Proyecto Tiene un principio y un fin. Tiene un patrocinio temporal para generar un producto específico. No es un fin, es un medio. Proceso de Seguridad Es continuo. Es bueno, pero Tiene patrocinio permanente, para realizar unas no suficiente. actividades que son importantes para la empresa. Sistema de Gestión Es continuo y con gestión formal. Tiene patrocinio permanente, para gestionar una problemática que esimportante para el negocio. Es de tipo corporativo.

4 Lecciones Aprendidas (2) Ámbito Corporativo (Ejemplos) Políticas Concientización Gestión de Activos Gestión de Riesgos Gestión de Incidentes Auditoría Deben ser patrocinados por más de un área de la organización. Deben tener visualización corporativa y hacer parte de la gestión. Ámbito Específico (Ejemplos) Pruebas de Intrusión Administración de Controles Tecnológicos. Arquitectura de Seguridad Monitoreo de la seguridad. Deben convertirse en actividades de la operación. Podrían ser tercerizados.

5 Lecciones Aprendidas (3) Se venden proyectos para obtener productos y no se están vendiendo planes para obtener una mejora en la gestión empresarial. Mediano Plazo Largo Plazo Objetivos Corto Plazo Nivel de Madurez 1 Nivel de Madurez n Gestión Metas Nivel de Madurez 2

6 Lecciones Aprendidas (4) Hay que adquirir todo lo que necesitamos para poder andar Entrenamiento Mantenimiento Seguros Impuestos Accidentes Cumplimiento Repuestos

7 Agenda 1. Lecciones Aprendidas 2. Herramientas 3.Visión de Futuro

8 Herramientas (1) 1 Viabilidad de una inversión en seguridad 2 Ciclo de vida de la gestión de la seguridad 3 Medir la Inseguridad 4 Asegurar el patrocinio

9 Herramientas (2) 1 Cost to Break (CTB) Vulnerabilities Information Assets Threats Attack Defence Mechanisms Breach Information Assets at Stake IT Budget CTB>B+F IT Security Budget Cost to Build (B) Viable? B+F<L+R Cost to Fix Vulnerabilities bl (F) Cost of Immediate Revenue (L) CIA Cost to Rebuild (R) Adrian Mizzi 2004

10 Herramientas (3) 1 Utilidad Apto para el negocio? Apoya la mejora de los procesos del Negocio Apoya la gestión de riesgos del negocio OR Verdadero/Falso cuenta con: La iniciativa Las Competencias La s Capacidades La Medición La Continuidad AND Verdadero/Falso AND Verdadero/Falso Genera Valor? Garantía Apto para establecerlo y mantenerlo?

11 Herramientas (4) 2 Ejecución del Proyecto Entrega de Productos Operación Gestión Puede involucrar consultoría externa, adquisiciones de productos o servicios. Culmina entregando productos tales como: resultados, recomendaciones, modelos, documentación o diagnósticos. Es necesaria la Transferencia de conocimiento Varias áreas o procesos quedan con responsabilidades sobre cada producto. Actividades de implementación que generan nuevos proyectos que se llevan a cabo con recursos internos o con el apoyo de terceros. Actividades finales que comienzan a hacer parte del día a día de la organización. Medición del desempeño y mejora continua. Monitoreo de las actividades a cargo de cada área o proceso. Reporte.

12 Herramientas (5) 2 Función del Negocio 1 Gestión de Activos Gestión de Riesgos Función del Negocio 2 Mejora Continua Función del Negocio 3

13 Herramientas (6) 3 Estadísticas Riesgos del Negocio Encuestas Valor de la Información Debida Diligencia Riesgos de Procesos (operación, control) Datos del Sector Pay Per View Caso de Negocio Riesgos de Activos (Sistemas de Información, bases de datos, personas, servicios) Casos de fraude, robo, etc. Riesgos de Componentes (Hardware, Software, Medios) Buenas Prácticas Valor de la Información

14 Herramientas (7) 4 Planeación Auditoría & Control Información y Tecnología Jurídica Riesgos Despliegue Efectivo de Planes de Tratamiento Recursos Humanos Calidad ld d Seguridad Física

15 Herramientas (8) 4 Nivel 3 Nivel 2 Nivel 1 Indicadores de Grupo Empresarial Indicadores Corporativos Indicadores de Áreas o Gerencias Indicadores de Procesos Indicadores de Seguridad Indicadores Técnicos

16 Agenda 1. Lecciones Aprendidas 2.Herramientas 3.Visión de Futuro

17 Visión de Futuro (1) ISO ISO 9000 ISO Actuar Planear ISO ISO Verificar Hacer La seguridad de la información cada vez más integrada a la gestión integral corporativa

18 Visión de Futuro (2) Concientización Gestión de la Seguridad Monitoreo y Control (SAAS, HAAS) Control y Dirección Atención de Incidentes Gestión de Vulnerabilidades Seguridad como un Servicio Actividades operativas de la gestión de la seguridad de la información cada vez más tercerizadas.

19 Visión de Futuro (3) Salud, Estado, Telecomunicaciones, TLC, Minero Energético. Empresas de diferentes sectores por competitividad y por necesidad (Proveedores de Servicios). Financiero, Seguros, Bursatil, empresas en Bolsas internacionales. Incremento del cumplimiento legal y regulatorio.

20 Visión de Futuro (4) Reporte Vulnerabilidades Incidentes Indicadores d Auditoría Normatividad Controles Gestión de Activos Gestión de Riesgos Mayor automatización de actividades de la gestión de la seguridad.

21 Visión de Futuro (5) Industria Gobierno Mayor demanda y profesionalización de la gestión de la seguridad d de la información Academia

22 Agenda 1. Lecciones Aprendidas 2.Herramientas 3.Visión de Futuro

23 Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la Información Del proyecto a la gestión del día a día fcardenas@newnetsa.com fabian.cardenas@novasec.info i f Propiedad Intelectual de Fabián Cárdenas Varela. Prohibida su reproducción, cesión, publicación, distribución comunicación al público, traducción, y uso contrario a los usos honestos de la Propiedad Intelectual, sin autorización de su titular fcardenas@newnetsa.com, fabian.cardenas@novasec.info