Julio César Ardita jardita@cybsec.com. 17 de Diciembre de 2013 Asunción - Paraguay



Documentos relacionados
Cómo organizar el Departamento de Seguridad

Organizando el área de Seguridad de la Información

Proceso: AI2 Adquirir y mantener software aplicativo

EL ÁREA DE SEGURIDAD INFORMÁTICA. Lic. Julio C. Ardita (*)

POLITICA DE SISTEMA DE CONTROL INTERNO

La Seguridad de la Información en la Gestión del Negocio Financiero

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

Gestión por Procesos o BPM Mitos y realidades sobre su aplicación en nuestras organizaciones

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD

Gestión de la Seguridad de Activos Intelectuales

Certificación Profesional de Auditoria Interna

EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Principales Cambios de la ISO 9001:2015

Julio César Ardita 21 de Octubre de 2014 Buenos Aires - Argentina

Sistema de Gestión de Seguridad de la Información

Problemática Ambiental

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Un administrador es una persona con visión, que es capaz de aplicar y. desarrollar todos los conocimientos acerca de la planeación, organización,

Educación superior desde Curso. Ley Sarbanes Oxley. Duración 25 horas. Conocimiento en acción

Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.


Aproximación práctica a ITIL. Proyecto VeredaCS. F r00

Bechtle Solutions Servicios Profesionales

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

Auditoría Interna: El Nuevo Pilar de la Alta Dirección Octubre, 2015

Áreas de Mejora de Procesos de IT y sus Problemáticas. Marzo 2013

Boletín Asesoría Gerencial*

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente

Modelos de Help Desk

CUESTIONARIO AUDITORIAS ISO

Sistema de Seguridad y Salud. Cada persona de regreso a casa sana y salva todos los días

Hoja Informativa ISO 9001 Comprendiendo los cambios

CCPA Costa Rica. Como establecer criterios para la evaluación de la Auditoría Interna. Michael Delgado Gerente de Riesgos EY.

Mesa de Ayuda Interna

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

Riesgo: Se puede llegar al destino sin información veraz y oportuna?

PRE-ENCUENTRO DE AUDITORÍA INTERNA 2009

Nombre del Documento: RECURSOS, FUNCIONES, RESPONSABILIDADES Y AUTORIDAD. Referencia a la Norma ISO 9001: e ISO

LAZOS QUE UNEN LA ESTRATEGIA DEL NEGOCIO E&P Y LA GESTIÓN DE PROYECTOS COMO COMPETENCIA EMPRESARIAL ESTRATÉGICA

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

Administración de la identidad en el cumplimiento regulatorio Política Digital Óscar Caballero, CISSP

SOLUCIONES TECNOLÓGICAS FLEXIBLES PARA LAS NECESIDADES DE SU NEGOCIO

Rosa Marina AGÜERA SAURA Delegación AENOR en la Región de Murcia. Nuevas ISO 9001 e ISO 14001

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

EL BENCHMARKING COMO HERRAMIENTA ESTRATÉGICA Equilibrio entre el Cuánto y el Cómo de la Gestión del Capital Humano. Dr.

EXPERIENCIA APRENDIZAJE SUPER DE ALIMENTOS

Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina

Julio César Ardita 12 de Septiembre de 2012 Buenos Aires - Argentina

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

beservices 2015 Resumen de características técnicas

PROCEDIMIENTO GESTIÓN DE CAMBIO

Capacitación, Consultoría, Auditoría y Proyectos

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL.

Índice. Quiénes Somos? Nuestra Razón de Ser. Nuestros Valores. Nuestra visión. Catálogo de Servicios. Por qué elegirnos

Carrera: SCE Clave de la asignatura: 4-0-8

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

CONSTRUCCIÓN DEL PROCESO MESA DE AYUDA INTERNA. BizAgi Process Modeler

PROCEDIMIENTO COMUNICACIÓN, PARTICIPACION Y CONSULTA CÓDIGO: IG-P-08

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

EMPRESA DE ENERGÍA DE BOGOTÁ PROCESO DE CONVERGENCIA A NORMAS INTERNACIONALES DE INFORMACIÓN FINANCIERA NIIF

LA SUSTENTABILIDAD DE LAS EMPRESAS Y LOS SISTEMAS INTEGRADOS DE GESTIÓN OHSAS /ISO

Auditorías Proactivas del Gobierno de TI

Implementando un ERP La Gestión del Cambio

Presentada por: Ricardo José Gadea Gerente General Assertiva S.A.

MANAGEMENT FACILITY. Dirigido a

INFORMACIÓN RELACIONADA

El papel del liderazgo en la Continuidad del Negocio.

CAPÍTULO 5 CONCLUSIONES

MINISTERIO DE ADMINISTRACIÓN PÚBLICA Dirección de Reclutamiento, Selección y Evaluación del Personal

INFORME ANUAL DE EVALUACIÓN DEL CONTROL INTERNO CONTABLE CONTRALORIA MUNICIPAL DE ENVIGADO VIGENCIA 2011

CAPITULO I. Introducción. En la actualidad, las empresas están tomando un papel activo en cuanto al uso de sistemas y

Administración por Procesos contra Funciones

ISO 9001:2015 Cuestionario de autoevaluación

DIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN

Cómo aprovechar mejor el Webinar

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

El Estado del Arte de la Seguridad Informática

"IT Governance" Diciémbre 06, Copyright 2004 Rendón&Asociados Derechos Reservados.

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

DIAGNÓSTICO INICIAL OHSAS Nicolás Duque A. Jefe División Gestión Técnica SURATEP

CURSOS IN-HOUSE PARA FORTALECER HABILIDADES DE GESTIÓN Y MEJORAR LA PRODUCTIVIDAD

3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRC

agility made possible

Sistema de aseguramiento de la calidad. Certificación ISO y su proceso en una ONG

Portafolio de Servicios

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

ADMINISTRACION Y ADMINISTRADORES

Introducción a los Sistemas de Gestión

En la misma dirección. Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

M.T.I. Arturo López Saldiña

Evolución del Área de Seguridad Informática

ESET Security Report. Latinoamérica. protegemos su mundo digital

a) La autoridad y responsabilidad relativas a la SST en la organización se desprende de :

Lo invitamos a solicitar una reunión para conocer más sobre nuestro servicio de Consultoría Gerencial.

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

Como relacionamos los principios con la gestión o administración de una empresa

Gobierno Corporativo: una visión global. Mayo, 2009

Transcripción:

Nivel de madurez de seguridad en las Julio César Ardita jardita@cybsec.com 17 de Diciembre de 2013 Asunción - Paraguay

Agenda - Nivel de seguridad en Paraguay - Madurez del área de Seguridad de la Información - Ubicación y conformación del departamento de seguridad - Catálogo de servicios - Rol del CSO 2

Nivel de seguridad en Paraguay 3

Evolución de la madurez y estado de implementación de las normativas relacionadas con seguridad de la información en Paraguay Normativa SOX BCP MCIIEF Madurez PCI-DSS ISO 27001 / 27002 Las normativas llegaron para quedarse La mayoría de las mismas impactan en el sector de SI Se debe tomarlas como oportunidades 4

Evolución del nivel de seguridad informática en Paraguay (PT Ext e Int) Nivel de seguridad Alto Promedio Latinoamérica Medio- Alto Medio Medio- Bajo Bajo 2000 2002 2004 2006 2008 2010 2012 2013 5

Madurez del área de Seguridad de la Información 6

Quién administra los Firewalls de la Compañía? 7

La evolución de la Seguridad dentro de la Organización Nivel Estratégico Nivel de Negocio Nivel Gerencial Nivel Técnico 8

La evolución de las áreas de Seguridad (grados de madurez) Nivel Estratégico CISO Nivel de Negocio Gerente de Seguridad Nivel Gerencial Jefe de Seguridad Informática Nivel Técnico Administrador de Seguridad 9

Algunas variables que determinan cómo es la estructura del área de seguridad son las siguientes: - Tipo de Compañía - Cultura organizacional - Tamaño de la Compañía - Presupuesto a nivel de personal / gastos / inversión - Rol del CSO - Grado de madurez de la Compañía 10

La madurez de la Organización Es vital determinar en qué etapa del proceso de madurez se encuentran nuestra Organización y el área de Seguridad. Si no lo tenemos claro, podremos hacer nuestro trabajo de forma excelente, pero a destiempo de la Organización. 11

Ubicación y conformación del departamento de seguridad 12

A quién reporta el CSO? Depende del nivel de madurez que posee la Compañía y el programa de seguridad. Se habla de seguridad informática o seguridad de la Información? Tamaño y negocio de la Compañía. 13

Ubicando la Seguridad de la Información dentro de una Organización En las grandes organizaciones, el área de Seguridad de la Información está generalmente ubicada dentro del departamento de IT. Es dirigida por el CSO que reporta directamente al CIO. Por su propia naturaleza, un programa de Seguridad de la Información entra generalmente en contradicción con las metas y objetivos del departamento de IT como conjunto. 14

Ubicando la Seguridad de la Información dentro de una Organización Actualmente existe una tendencia o movimiento a separar a la seguridad de la información de la división de IT. El desafío está en diseñar una estructura de reporte para los programas de Seguridad de la Información que equilibre los requerimientos de cada una de las partes interesadas. 15

A quién reporta el CSO? Primer nivel: Función técnica dentro de IT. Segundo nivel: Área de SI (Seguridad Informática) dentro de IT. Tercer nivel: Reporting a un Comité. Cuarto nivel: División de funciones de seguridad en la Compañía. 16

Cuarto nivel: División de funciones de seguridad en la Compañía Quién define las directrices de seguridad? Area de seguridad funcional, políticas, concientización, riesgo y estrategia. Quién implementa la seguridad? Area de seguridad tecnológica. Administra e implementa. Quién controla la seguridad? Area de seguridad de monitoreo, control y respuesta ante incidentes. 17

El tamaño SI importa!!! Cuántas personas conforman el Departamento? Con quién me puedo comparar? Con un competidor de mi propia industria? Con otro de otro país?. Impacto de las tareas del Departamento. Impacto de las regulaciones y legislación que nos afecta. 18

El principal aspecto que define como está conformado un Departamento de Seguridad son las tareas que realiza. Las mismas son definidas por cada Compañía y dependen de los grados de madurez, de la cultura organizacional, de las regulaciones locales e internacionales, entre otros aspectos. Las tareas se pueden agrupar y así armar los sectores internos dentro del Departamento de Seguridad. 19

Los sectores que pueden conformar el Departamento de Seguridad son: - Gestión de accesos (ABM usuarios, perfiles y accesos). - Administración de la seguridad. - Ingeniería de seguridad. - Estandarización de seguridad. - Control y monitoreo. - Prevención y manejo de incidentes. - Etc. 20

Catálogo de servicios 21

22

23

24

25

26

La conformación del Departamento depende de cuáles tareas se llevarán a cabo. Si Seguridad no realiza las tareas, alguien más tendrá que realizarlas (IT, Auditoría, Proveedores, Riesgo, etc). Las tareas de Administración hay que negociarlas con IT. Las tareas de Gestión de Accesos hay que negociarlas con Help Desk. 27

Rol del CSO 28

En base a nuevas regulaciones internas/externas van surgiendo nuevas tareas. La tendencia es automatizar todas las tareas que sean posibles y que Seguridad gestione las herramientas automatizadas. Tener en cuenta: Outsourcing de Seguridad. Es muy importante definir el modelo de relación con el resto de la Organización y comunicarlo. El objetivo es dar VALOR AGREGADO. 29

El rol del CISO está cambiando de una función técnica de gestión de soluciones técnicas a una función de negocios de gestión de los riesgos y cumplimiento de la información. De la encuesta surge que las REGULACIONES SON DRIVERS CLAVES para llevar adelante un Plan de Seguridad. Se espera de nosotros que estemos al tanto, comprendamos y aseguremos el cumplimiento de estas regulaciones y leyes. 30

El CSO debe: - Tener visibilidad hacia la organización. - Moverse en un plano estratégico y de negocios (y no solamente en un plano técnico). - Ser proactivo y ayudar al negocio. - Aprovechar las oportunidades (reuniones, incidentes, etc.) y mostrar las capacidades de su equipo y gestión. - Moverse políticamente en la organización. - Tener la habilidad de presentar resultados para que el resto de la organización pueda entender claramente cuales son los riesgos y como estamos trabajando para mitigarlos. 31

- Muestren qué es lo que pasa en el mismo sector de su industria. Y qué es lo que está haciendo la competencia. - Júntense con sus colegas (incluidos los de la competencia) a analizar las problemáticas existentes. Es una de las pocas áreas donde esto se puede hacer. - Las organizaciones donde vemos un mayor nivel de madurez de la Seguridad, se debe en gran parte al éxito del CSO. - Apóyense en las regulaciones corporativas internacionales y en las auditorias. 32

Preguntas?

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback