Nivel de madurez de seguridad en las Julio César Ardita jardita@cybsec.com 17 de Diciembre de 2013 Asunción - Paraguay
Agenda - Nivel de seguridad en Paraguay - Madurez del área de Seguridad de la Información - Ubicación y conformación del departamento de seguridad - Catálogo de servicios - Rol del CSO 2
Nivel de seguridad en Paraguay 3
Evolución de la madurez y estado de implementación de las normativas relacionadas con seguridad de la información en Paraguay Normativa SOX BCP MCIIEF Madurez PCI-DSS ISO 27001 / 27002 Las normativas llegaron para quedarse La mayoría de las mismas impactan en el sector de SI Se debe tomarlas como oportunidades 4
Evolución del nivel de seguridad informática en Paraguay (PT Ext e Int) Nivel de seguridad Alto Promedio Latinoamérica Medio- Alto Medio Medio- Bajo Bajo 2000 2002 2004 2006 2008 2010 2012 2013 5
Madurez del área de Seguridad de la Información 6
Quién administra los Firewalls de la Compañía? 7
La evolución de la Seguridad dentro de la Organización Nivel Estratégico Nivel de Negocio Nivel Gerencial Nivel Técnico 8
La evolución de las áreas de Seguridad (grados de madurez) Nivel Estratégico CISO Nivel de Negocio Gerente de Seguridad Nivel Gerencial Jefe de Seguridad Informática Nivel Técnico Administrador de Seguridad 9
Algunas variables que determinan cómo es la estructura del área de seguridad son las siguientes: - Tipo de Compañía - Cultura organizacional - Tamaño de la Compañía - Presupuesto a nivel de personal / gastos / inversión - Rol del CSO - Grado de madurez de la Compañía 10
La madurez de la Organización Es vital determinar en qué etapa del proceso de madurez se encuentran nuestra Organización y el área de Seguridad. Si no lo tenemos claro, podremos hacer nuestro trabajo de forma excelente, pero a destiempo de la Organización. 11
Ubicación y conformación del departamento de seguridad 12
A quién reporta el CSO? Depende del nivel de madurez que posee la Compañía y el programa de seguridad. Se habla de seguridad informática o seguridad de la Información? Tamaño y negocio de la Compañía. 13
Ubicando la Seguridad de la Información dentro de una Organización En las grandes organizaciones, el área de Seguridad de la Información está generalmente ubicada dentro del departamento de IT. Es dirigida por el CSO que reporta directamente al CIO. Por su propia naturaleza, un programa de Seguridad de la Información entra generalmente en contradicción con las metas y objetivos del departamento de IT como conjunto. 14
Ubicando la Seguridad de la Información dentro de una Organización Actualmente existe una tendencia o movimiento a separar a la seguridad de la información de la división de IT. El desafío está en diseñar una estructura de reporte para los programas de Seguridad de la Información que equilibre los requerimientos de cada una de las partes interesadas. 15
A quién reporta el CSO? Primer nivel: Función técnica dentro de IT. Segundo nivel: Área de SI (Seguridad Informática) dentro de IT. Tercer nivel: Reporting a un Comité. Cuarto nivel: División de funciones de seguridad en la Compañía. 16
Cuarto nivel: División de funciones de seguridad en la Compañía Quién define las directrices de seguridad? Area de seguridad funcional, políticas, concientización, riesgo y estrategia. Quién implementa la seguridad? Area de seguridad tecnológica. Administra e implementa. Quién controla la seguridad? Area de seguridad de monitoreo, control y respuesta ante incidentes. 17
El tamaño SI importa!!! Cuántas personas conforman el Departamento? Con quién me puedo comparar? Con un competidor de mi propia industria? Con otro de otro país?. Impacto de las tareas del Departamento. Impacto de las regulaciones y legislación que nos afecta. 18
El principal aspecto que define como está conformado un Departamento de Seguridad son las tareas que realiza. Las mismas son definidas por cada Compañía y dependen de los grados de madurez, de la cultura organizacional, de las regulaciones locales e internacionales, entre otros aspectos. Las tareas se pueden agrupar y así armar los sectores internos dentro del Departamento de Seguridad. 19
Los sectores que pueden conformar el Departamento de Seguridad son: - Gestión de accesos (ABM usuarios, perfiles y accesos). - Administración de la seguridad. - Ingeniería de seguridad. - Estandarización de seguridad. - Control y monitoreo. - Prevención y manejo de incidentes. - Etc. 20
Catálogo de servicios 21
22
23
24
25
26
La conformación del Departamento depende de cuáles tareas se llevarán a cabo. Si Seguridad no realiza las tareas, alguien más tendrá que realizarlas (IT, Auditoría, Proveedores, Riesgo, etc). Las tareas de Administración hay que negociarlas con IT. Las tareas de Gestión de Accesos hay que negociarlas con Help Desk. 27
Rol del CSO 28
En base a nuevas regulaciones internas/externas van surgiendo nuevas tareas. La tendencia es automatizar todas las tareas que sean posibles y que Seguridad gestione las herramientas automatizadas. Tener en cuenta: Outsourcing de Seguridad. Es muy importante definir el modelo de relación con el resto de la Organización y comunicarlo. El objetivo es dar VALOR AGREGADO. 29
El rol del CISO está cambiando de una función técnica de gestión de soluciones técnicas a una función de negocios de gestión de los riesgos y cumplimiento de la información. De la encuesta surge que las REGULACIONES SON DRIVERS CLAVES para llevar adelante un Plan de Seguridad. Se espera de nosotros que estemos al tanto, comprendamos y aseguremos el cumplimiento de estas regulaciones y leyes. 30
El CSO debe: - Tener visibilidad hacia la organización. - Moverse en un plano estratégico y de negocios (y no solamente en un plano técnico). - Ser proactivo y ayudar al negocio. - Aprovechar las oportunidades (reuniones, incidentes, etc.) y mostrar las capacidades de su equipo y gestión. - Moverse políticamente en la organización. - Tener la habilidad de presentar resultados para que el resto de la organización pueda entender claramente cuales son los riesgos y como estamos trabajando para mitigarlos. 31
- Muestren qué es lo que pasa en el mismo sector de su industria. Y qué es lo que está haciendo la competencia. - Júntense con sus colegas (incluidos los de la competencia) a analizar las problemáticas existentes. Es una de las pocas áreas donde esto se puede hacer. - Las organizaciones donde vemos un mayor nivel de madurez de la Seguridad, se debe en gran parte al éxito del CSO. - Apóyense en las regulaciones corporativas internacionales y en las auditorias. 32
Preguntas?