El camino a la Seguridad de la Información pasa por el Gobierno Corporativo

Transcripción

1 El camino a la Seguridad de la Información pasa por el Gobierno Corporativo Corporate Governance Task Force

2 Corporate Governance Es el término que describe el compromiso y el accionar de la Alta Dirección Está formado por un conjunto de políticas y controles internos, por los cuales las organizaciones, sin importar su forma o tamaño, dirigen su core business. El Gobierno de la Seguridad de la Información es un subconjunto del programa de Gobierno Corporativo.

3 Objetivos - ISG Guiar la implementación de programas efectivos de Seguridad de la Información Proveer un marco metodológico que ayude a las organizaciones a implementar un programa de Gobierno de la Seguridad de la Información. Elevar la gestión de la seguridad al nivel estratégico del negocio.

4 Antecedentes Nace en el Cyber Security Summit de Diciembre de 2003 como una iniciativa para mejorar la seguridad del Cyberespacio. Su objetivo ulterior es fortalecer la seguridad nacional, previniendo ataques financieros y económicos. Se fundamenta en ISO/IEC y FISMA.

5 Recomendaciones del C.G.T.F. 1. Las organizaciones deben adoptar el ISG framework. 2. Las organizaciones deben mostrar su compromiso con ISG, expresando en sus páginas web la decisión de usar las herramientas de CGTF. 3. Las Asociaciones y Cámaras comerciales e industriales deberán alentar a sus miembros a adoptar las prácticas de ISG. 4. El Departamento de Seguridad Nacional respaldar y alentar al sector privado a integrar ISG a las prácticas de Corporate Governance.

6 Principios 1. El CEO deberá realizar una revisión anual de la Seguridad de la Información. 2. Se deberán realizar análisis de riesgo de los activos informáticos en forma periódica. 3. Implementar políticas y procedimientos basados en el análisis de riego. 4. Establecer una estructura de gerenciamiento de la seguridad, y asignar roles, responsabilidades y autoridad. 5. Desarrollar planes que aseguren una protección adecuada a las redes de comunicaciones, sistemas e información. 6. Tratar la seguridad de la información como una parte integral del ciclo de vida de los sistemas.

7 Principios 7. Proveer concientización y capacitación en seguridad, al personal de la Organización. 8. Ejecutar pruebas y evaluaciones periódicas de la efectividad de las políticas y procedimientos de seguridad. 9. Elaborar y ejecutar planes de remediación que resuelvan las deficiencias de la seguridad de la información. 10. Desarrollar e implementar procedimientos de respuesta a incidentes. 11. Establecer planes, procedimientos y pruebas que aseguren la continuidad del negocio. 12. Se deben utilizar guías de mejores prácticas, tales como la ISO/17799 para medir la efectividad de la seguridad.

8 1. ISG Framework. Componentes 2. ISG Functions & Responsibilities Guide. 3. IDEAL process. 4. ISG Assessment Tool.

9 ISG Framework Objetivo: Proveer un Marco Metodológico: Que asegure la efectividad de los controles de seguridad de la información. Que propicie un efectivo gerenciamiento y supervisión de los riesgos relacionados con la información. Que asegure el desarrollo de los controles mínimos requeridos para proteger la información de la Organización. Que provea un mecanismo de supervisión del programa de seguridad de la información.

10 ISG Framework Establece el compromiso y las responsabilidades con la seguridad de la información de: El Directorio de la Organización. Todas las capas gerenciales. La Unidad responsable de la Seguridad de la Información. Todos los empleados y usuarios de la información. Programa de seguridad en cada Unidad de Negocios Esquema de reporte de cada Unidad Organizacional. Evaluación de la seguridad por terceros.

11 ISG Functions & Responsibilities Guide

12 ISG Funciones y Responsabilidades

13 ISG Funciones y Responsabilidades

14 ISG IDEAL Process

15 Modelo IDEAL

16 Modelo IDEAL INICIO: El Gerente General o el Directorio de la Organización deben sembrar la necesidad de mejorar la seguridad. Definir qué nivel de riesgo es aceptable para la Organización Asociar la seguridad a factores críticos de éxito, a las tendencias del mercado, a las ventajas competitivas, o al nivel de riesgo. Conseguir sponsors para el proceso de cambio. Armar la infraestructura y designar quién ejecutará las acciones y coordinará el esfuerzo.

17 DIAGNÓSTICO: Modelo IDEAL Establecer estado actual y estado deseado. Desarrollar recomendaciones para lograr el estado deseado. ESTRATEGIA: Establecer prioridades de acuerdo a las tendencias del mercado, impacto al negocio o análisis de riesgo. Profundizar las recomendaciones, para lograr el cumplimiento de las prioridades. Desarrollar un Plan de Acción, con fechas, tareas y recursos.

18 ACTUAR: Modelo IDEAL Ejecutar el Plan de Acción. Probar las soluciones en un entorno en el que el riesgo pueda ser contenido, verificando el cumplimiento de los objetivos. Seleccionar e instalar la solución, en base al riesgo, recursos y factores de negocio. APRENDER: Analizar y validar que los objetivos se han cumplido. Identificar acciones adicionales que requieran planificación en el futuro.

19 ISG Assessment Tool

20 ISG Assessment Tool Objetivo: Ayudar a la Organización a determinar el grado de implementación de ISG Framework, en el nivel estratégico. La herramienta evalúa los RR HH y los procesos que componen la seguridad de la información, NO la tecnología utilizada. Sección I: Evaluación de la dependencia del negocio en la tecnología informática. Sección II: Evaluación de la gestión de riesgos. Sección III: Evaluación de la organización de S.I. Sección IV: Evaluación de los procesos que deben conformar un programa de seguridad.

21

22

23

24

25

26

27

28

29 Preguntas?

30 Gracias por su atención. n.