INFO-RIESGO 2014 Proceso de Remediación, Parche o Upgrade? Fabián Descalzo, Gerente de Governance, Risk & Compliance (GRC) Certificado en Dirección de Seguridad de la Información (Universidad CAECE) Instructor Certificado ITIL version 3:2011, Certification for Information Management Certificado ISO/IEC 20000-1:2011, Implementación de Sistemas de Gestión IT Internal Audit ISO/IEC 20000:2011, Auditor Interno en Sistemas de Gestión IT 1
Nuevas Regulaciones, Requerimientos por Certificación, Planes de Trabajo por Auditorías, Actualización Tecnológica El principio Lo regula NEGOCIO Lo elige Impactan en Procesos de Negocio Deben acompañar 2
IDENTIFICAR LA BRECHA Y DESPUÉS? Situaciones de Crisis Aplicaciones Software de Base Hardware Áreas de Negocio Tecnología y Seguridad 3
Situaciones de Crisis Tiempo + Recursos + Conocimiento 4
Decidiendo el remedio Cuál es la mejor versión que quiero de mis sistemas y procesos? Parche o Upgrade? Que el remedio cure la enfermedad 5
Necesidades del Negocio Asociándose con el Negocio Necesidades de los Procesos Tecnológicos 6
Asociándose con el Negocio Procesos de Áreas de Negocio Negocio soportados por la tecnología Operaciones Nivel de Cumplimiento Tecnología de la Información Arquitectura Desarrollo Sistemas de Procesamiento Seguridad Organizacional Seguridad de la Información Seguridad Informática Seguridad Física Seguridad Legal 7
Como llegar a la mejor versión Principales actividades para una remediación efectiva Definición de estrategias en función de observaciones, alcances y experiencia Identificación de recursos técnicos y humanos Definición de roles y funciones bien definidos Conformación de equipos de trabajo Capacitación a los diferentes equipos de acuerdo a su visión de objetivo y a su participación en la remediación Definición de las evidencias a obtener y su formato Seleccionar la documentación que nos sirva para operar, seguir y controlar la remediación 8
Resultado del análisis de brecha Cantidad de Plataformas Alcance de Observaciones Aplicaciones alcanzadas Configuraciones técnicas Magnitud de No- Conformidades Cuentas de usuario Accesos, permisos y privilegios Aporta a Documentación de Soporte Conformación de los Equipos de Trabajo 9
Orden lógico de ejecución 1 Sistema Operativo Parámetros Carpetas compartidas Cuentas de Usuario Permisos Servicios 2 Base de Datos Parámetros Cuentas de Usuario Permisos 3 Aplicación Parámetros Cuentas de usuario Funciones Inconsistencia en el software de base que generan demoras y retrabajo sobre la aplicación (Interfaces, Tareas Programadas, Cuentas Especiales, Servicios, etc.) 10
Equipos de Trabajo Capacitación y definiciones de cumplimiento Jefes de Aplicación o Líderes Funcionales de Sistemas Conocedores del funcionamiento aplicativo para responder a los requerimientos del Negocio Compliance Seguridad de la Información Tecnología Servicio consultivo y de soporte técnico Líderes de Proyecto Adm SO Adm BBDD Operación Acompañamiento y operación de relevamiento y remediación 11
Identificación de argumentos de remediación Normas Estándares Remediación posible y cumpliendo los plazos Remediación posible pero fuera de plazo con Plan de Trabajo Matriz de Revisión No se puede remediar y debe exceptuarse Aplicaciones Plataformas Definición de Registros y Documentos para Control y Seguimiento 12
Definición de registros para evidencias Tipo y formato de evidencia Completitud de datos a obtener por evidencia Estrategia de Generación y administración de evidencias Certifica que la remediación ha sido efectiva y evidencia aceptada por una probable Auditoría Optimiza la operación de obtención y el volumen de archivos de datos a tratar y almacenar 13
Gestión de Excepciones Análisis de mitigantes Respaldar Registrar Limitaciones Funcionales CIA Obsolescencia Tecnológica 14
Diseñar la Capacitación (Ampliar la Visión) Equipo Técnico Entendimiento del Proyecto y motivos de los cambios Equipo Funcional Estrategias asumidas Roles y funciones Contexto Aplicativo (Procesos de Negocio, Manuales) Componentes del Marco Normativo Excepciones 15
Plan definido para la mejora Análisis de brecha Orden de Ejecución Armado de Equipos de trabajo Argumentos de Remediación Diseño de Capacitación Gestión de Excepciones Definición de Registros Ejecución ordenada en el tiempo especificado, orientada al resultado y de bajo impacto en el Negocio 16
Recordemos que todos somos el Negocio Valoremos cada participación que tengamos en los diferentes frentes de trabajo y aprendamos que la tarea en equipo nutre de conocimiento y 17
Muchas gracias por su atención FABIÁN DESCALZO Gerente de Governance, Risk & Compliance CYBSEC S.A. - www.cybsec.com (5411) 4371-4444 fdescalzo@cybsec.com 18