COBIT 5 for Information Security. Presentado por: Cilliam Cuadra, CISA, CISM, CRISC, MSc

COBIT 5 for Information Security Presentado por: Cilliam Cuadra, CISA, CISM, CRISC, MSc

El Marco COBIT 5 En pocas palabras, COBIT 5 ayuda a las empresas a crear valor óptimo de TI, manteniendo un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. COBIT 5 permite que la información y la tecnología relacionada a ser gobernados y administrados de manera integral para toda la empresa, pasando por el pleno de negocio de extremo a extremo y las áreas funcionales de la responsabilidad, teniendo en cuenta los intereses relacionados con la tecnología de las partes interesadas internas y externas. Los COBIT 5 principios y facilitadores son genéricos y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o en el sector público. 2012 ISACA. All rights reserved. 2

COBIT 5 Integra los anteriores Frameworks de ISACA COBIT 5 clarifica el nivel de administración de los procesos e integra COBIT 4.1, Val IT y Risk IT en un modelo de referencia COBIT 5 también toma las ideas valiosas de de un modelo de componentes holíticos e interrelacionados definidos en el Business Model for Information Security (BMIS).

COBIT 5 Integra los anteriores Frameworks de ISACA

Cómo se pueden realizar estos beneficios para crear valor para los accionistas (stakeholder) de la empresa? Beneficios Corporativos Mantener la calidad de la información para apoyar las decisiones de negocios. Generar valor para el negocio de las inversiones posibilitadas por TI, es decir, alcanzar los objetivos estratégicos y darse cuenta de los beneficios del negocio a través del uso efectivo e innovador de las TI. Las empresas y sus ejecutivos tienen el reto de: Lograr la excelencia operativa mediante la aplicación confiable y eficiente de la tecnología. Mantener el riesgo relacionado con TI a un nivel aceptable. Optimizar el costo de los servicios y tecnología de la información. 2013 ISACA. All rights reserved. 5

Valor para los Stakeholder La entrega de valor para los stakeholders de la empresa requiere de un buen gobierno y gestión de los activos de tecnología de información (IT assets). Las Juntas Directivas, ejecutivos y administración tienen que gestionar la TI como cualquier otra parte importante del negocio. Los requisitos de cumplimiento legal, regulatorio y contractual externos relacionados con el uso empresarial de la información y tecnología de están aumentando, por lo que el valor está más expuesto si existen brechas. COBIT 5 ofrece un marco global que ayuda a las empresas para alcanzar sus objetivos y ofrecer valor a través de gobernabilidad y gestión eficaz de las TI corporativas. 2012 ISACA. All rights reserved. 6

Los Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 5. Separar el Gobierno de la Administración 2. Cubrir la Organización de forma integral Principios de COBIT 5 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado Fuente: COBIT 5, Figura 2. 2012 ISACA Todos los derechos reservados. 7

Facilitadores de COBIT 5: Enablers 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos 5. Información 6. Servicios, Infraestructura y Aplicaciones RECURSOS 7. Personas, Habilidades y Competencias Source: COBIT 5, figure 12. 2012 ISACA All rights reserved. 2012 ISACA. All rights reserved. 8

Governance y Management La Gobernabilidad asegura que las necesidades, las condiciones y las opciones de los stakeholders son evaluadas para determinar el equilibrio y acordadas en los objetivos empresariales a alcanzar; estableciendo la orientación a través de la priorización y toma de decisiones, y el monitoreo del rendimiento, cumplimiento y conformidad de la dirección y objetivos acordados (EDM). La administración planifica, Implementa, ejecuta y monitorea las actividades de alineación establecidas por el cuerpo de gobierno para alcanzar los objetivos de la empresa. 2012 ISACA. All rights reserved. 9

Governance y Management

En Resumen COBIT 5 reúne a los cinco principios que permiten a la empresa construir una gobernabilidad efectiva y un marco de administración basado en un conjunto holístico de siete facilitadores que optimizan la inversión en información y tecnología y su uso para el beneficio de los stakeholders. 2012 ISACA. All rights reserved. 11

COBIT 5 for Information Security

La Familia de Productos de COBIT 5 13

COBIT 5 for Information Security Explica cada componente desde la perspectiva de la Seguridad de información Es una vista extendida de COBIT5 2012 ISACA. All rights reserved. 14

Audiencia COBIT 5 for Information Security está dirigido como audiencia a todos los stakeholders de la seguridad de la información: Chief information security officers (CISOs), Information security managers (ISMs) y Otros profesionales de la seguridad de información Sin embargo, dado que la seguridad de la información se extiende a todos los stakeholders de la organización, incluyendo terceros; esta publicación está destinada a todos los profesionales de control en las organizaciones

Qué contiene COBIT 5 for Information Security? Enablers y sus beneficios Principios desde la perspectiva de Seguridad Soporte de enablers Alineamiento con estándares 2012 ISACA. All rights reserved. 16

Qué contiene COBIT 5 for Information Security? Sección I Se centra en la definición de la seguridad de la información y describe brevemente como la arquitectura de COBIT 5 puede ser interpretada para las necesidades específicas de seguridad. Esta sección provee una base conceptual que es necesaria en todo el resto de la publicación. Sección II-Profundiza en el uso de los enablers o facilitadores de COBIT 5 específicos para la seguridad de la información. Reconoce que la Gobernabilidad de TI en la empresa es sistémica y colabora con la presentación y el apoyo de un conjunto de ejemplos de facilitadores específicos. Sección III-Trata la adaptación de COBIT 5 para la Seguridad de la Información en el entorno empresarial. Esta sección contiene orientación sobre cómo las iniciativas de seguridad de la información se pueden implementar y contiene un mapeo con otras normas y marcos de referencia en materia de seguridad de la información Apéndices: Detallan los facilitadores o enablers presentados en la sección II

Habilitadores (Drivers) La necesidad de describir la seguridad de la información en un contexto empresarial La necesidad de interconexión y alineamiento con otras normas y marcos principales La necesidad de unir los principales productos de investigación, marcos y guías de ISACA. La creciente necesidad de las empresas para: Mantener el riesgo a niveles aceptables. Mantener la disponibilidad de los sistemas y servicios. Cumplir con las leyes y reglamentos pertinentes. 2012 ISACA. All rights reserved. 18

Beneficios El uso de COBIT 5 for Information Security puede acarrear muchos beneficios entre los que se destacan : Reducción de la complejidad y el aumento de la rentabilidad debido a una mejor y más fácil la integración de las normas de seguridad de la información El aumento de la satisfacción del usuario en relación con la seguridad de información y resultados Integración mejorada de seguridad de la información en la empresa Decisiones de riesgo informadas y una mayor conciencia sobre el mismo Mejora de la prevención, detección y recuperación Reducción del impacto de los incidentes de seguridad Mayor apoyo a la innovación y la competitividad Mejora de la gestión de los costos relacionados con la función de seguridad de la información Una mejor comprensión de la seguridad de la información 2012 ISACA. All rights reserved. 19

Definición de Seguridad de la Información ISACA define la Seguridad de la Información como: Asegurar que a nivel empresarial la información es protegida contra la revelación a usuarios inautorizados (confidencialidad), modificación inadecuada (integridad) y problemas de acceso ( disponibilidad) cuando es requerida. 2012 ISACA. All rights reserved. 20

COBIT 5 for Information Security provee guías específicas relacionadas con todos los habilitadores: Los Enablers de COBIT 5 para implementar la SI Las políticas, principios y marcos de seguridad de la información Personas, habilidades y competencias específicas para la seguridad de la información Procesos, incluyendo información adicional y actividades específicas de seguridad Capacidades de servicio requeridas para proporcionar las funciones de seguridad de la información en toda la organización Información específica de las estructuras organizativas de seguridad Información específica de seguridad sobre los tipos de información En cuanto a la cultura, la ética y el comportamiento, los factores que determinan el éxito del Gobierno y administración de la Seguridad información 2012 ISACA. All rights reserved. 21

Enabler: Principios, Políticas y Marcos de Referencia Principios, políticas y marcos de referencia son los mecanismos de comunicación establecidos para transmitir la dirección e instrucciones de los organismos de administración y de gobierno, entre ellos: Principios, políticas y el modelo de referencia Los principios de seguridad de la información Las políticas de seguridad de la información Tropicalización de políticas relativas al medio ambiente empresarial Ciclo de vida de la política 2012 ISACA. All rights reserved. 22

Enabler: Principios, Políticas y Marcos de Referencia(cont.) Policy Framework Input Information Security Principles Information Security Policy Specific Information Security Policies Information Security Procedures Information Security Requirements and Documentation Mandatory Information Security Standards, Frameworks and Models Generic Information Security Standards, Frameworks and Models Source: COBIT 5 for Information Security, figure 10. 2012 ISACA All rights reserved 2012 ISACA. All rights reserved. 23

Principios de Seguridad de la Información Los principios de seguridad de la información comunican las directivas de la empresa. Estos principios deben ser: Limitados en número Expresado en un lenguaje sencillo En 2010 ISACA, ISF y el ISC 2 trabajaron juntos para crear los 12 principios* que ayudarán a los profesionales de la Seguridad de la información para elevar el nivel de valor aportado por la Seguridad de la información a la organización. Los principios aportan principalmente a 3 tareas: Soporte al Negocio. Defensa del Negocio. Promover la responsabilidad sobre la Seguridad de la información. * Estos principios están incluidos en COBIT 5 Information Security y el interesado puede ubicarlos en www.isaca.org/standards 2012 ISACA. All rights reserved. 24

Política de Seguridad de la Información Las políticas describen más detalladamente el sentir organizacional de como llevar a la práctica los principios de Seguridad de la Información. Algunas empresas desarrollan políticas de: Seguridad de la Información Control de Acceso Información Personal y uso de recursos Administración de Incidentes Administración de Activos 2012 ISACA. All rights reserved. 25

Política de Seguridad de la Información 2012 ISACA. All rights reserved. 26

Enabler: Procesos COBIT 5 Information Security examina cada uno de los procesos desde una perspectiva de seguridad.

Enabler: Procesos El modelo de procesos de COBIT subdivide las practices de TI y sus actividades en dos grandes áreas Gobierno y Administración denominadas dominios de procesos Alinear, Planificar y Organizar El dominio Gobierno contiene cinco procesos; con cada proceso se definen las prácticas de Evaluar, Orientar y Supervisar(EDM). Los cuatro dominios de Adminitración están en línea con la responsabilidad en las áreas de: Construir, Adquirir e Implementar Entregar, dar Servicio y Soporte Supervisar,Evaluar y Valorar

Enabler: Procesos (cont.) Source: COBIT 5 for Information Security, figure 7. 2012 ISACA All rights reserved 2012 ISACA. All rights reserved. 29

Enabler: Estructuras Organizacionales COBIT 5 analiza el modelo de estructura organizacional desde una perspectiva de seguridad de la información. Se definen las funciones de seguridad de información y estructuras, y también examina la rendición de cuentas sobre seguridad de la información, proporcionando ejemplos de las funciones y estructuras específicas y cuál es su rol o mandato También presenta las rutas posibles de entrega de información: informes de seguridad y las diferentes ventajas e inconvenientes de cada posibilidad. Chief information security officer (CISO) Information security steering committee (ISSC) Information security manager (ISM) Otros roles relacionados y estructuras 2012 ISACA. All rights reserved. 30

Enabler: Cultura, ética y comportamiento Examina la cultura, la ética y el modelo de referencia del comportamiento desde una perspectiva de seguridad de la información proporcionando detallados ejemplos específicos de seguridad de: El Ciclo de Vida de la Cultura- midiendo el comportamiento en el tiempo para comparer la cultura de Seguridad. Algunos elementos de comportamiento son: Complejidad de contraseñas Ausencia de un enfoque hacia la seguridad Adherencia a las practices de adminitración de cambios 2012 ISACA. All rights reserved. 31

Enabler: Cultura, ética y comportamiento Liderazgo y "Champions explora la necesidad de personal que ejemplifique con el liderazgo y ejerza su poder de influencia en la cultura de Seguridad de la información: Adminitradores de Riesgo Profesionales de Seguridad Personal del nivel ejecutivo (C-level) Comportamiento deseado un número de comportamientos han sido identificados como elementos que ayudan en la influencia positive de la cultura de seguridad: La seguridad de información se practica en las operaciones diarias. Los Stakeholders están conscientes de la respuesta oportuna a las amenazas. La alta adminitración reconoce el valor para el negocio de la Seguridad de la información. 2012 ISACA. All rights reserved. 32

Enabler: Información La información no es sólo el tema principal de seguridad de la información, también es un factor clave Los tipos de información se examinan y se ponen de manifiesto los tipos específicos relevantes a la seguridad de información de seguridad, entre los que están: Estrategia de seguridad de la información Presupuesto de seguridad de la información Políticas Material de concientización, etc. Se identifican los Stakeholders de la información, así como el ciclo de vida de la información y se detallan desde una perspectiva de seguridad. Estos detalles específicos pueden incluir: almacenamiento intercambio uso y eliminación 2012 ISACA. All rights reserved. 33

Enabler: Servicios, Infraestructura y Aplicaciones Los servicios, la infraestructura y el modelo aplicativo identifica las capacidades de los servicios que se requieren para proporcionar seguridad de la información y sus funciones relacionadas con la empresa. La siguiente lista contiene ejemplos de posibles servicios relacionados con la seguridad que pudieran aparecer en un catálogo de servicios de seguridad: Proporcionar una arquitectura de seguridad. Proporcionar la conciencia de seguridad. Proporcionar evaluaciones de seguridad. Proporcionar una adecuada respuesta a incidentes. Proporcionar una protección adecuada contra software malicioso, ataques externos y los intentos de intrusión. Proporcionar servicios de vigilancia y alerta de eventos relacionados con la seguridad. 2012 ISACA. All rights reserved. 34

Enabler: Personal, Destrezas y Competencias Para operar efectivamente una función de seguridad de información dentro de una empresa, las personas con conocimientos y experiencia adecuados deben ejercer esa función. Algunas de las destrezas relacionadas con la seguridad típicas y competencias enumeradas son: Gobierno de seguridad Administración de riesgos de la información Operaciones seguridad de la información 2012 ISACA. All rights reserved. 35

Enabler: Personal, Destrezas y Competencias COBIT 5 Information Security define los siguientes atributos para cada destreza y competencia: Definición de la destreza Metas Habilitadores relacionados 2012 ISACA. All rights reserved. 36

Sección 2: Implementando las iniciativas de Seguridad de la Información La ética y la cultura relacionados con la seguridad de la información Teniendo en cuenta el contexto de seguridad de la información empresarial, COBIT 5 for Information Security aconseja que toda empresa necesita definir e implementar sus propios facilitadores seguridad de la información en función de los factores incluidos en el entorno de la empresa, como : Las leyes, reglamentos y políticas aplicables Políticas y prácticas existentes Capacidades de seguridad de la información y los recursos disponibles 2012 ISACA. All rights reserved. 37

Sección 2: Implementando las iniciativas de Seguridad de la Información(cont.) Además, los requisitos de seguridad de la información de la empresa se deben definir con base en: Plan de negocios y las intenciones estratégicas estilo de gestión Perfil de riesgos de la información El apetito de riesgo El enfoque necesario para la implementación de las iniciativas de Seguridad de la informacion será diferente en cada organización y las necesidades contextuales deben ser adaptadas para una implementación adecuada de COBIT 5 for Information Security. 2012 ISACA. All rights reserved. 38

Sección 2: Implementando las iniciativas de Seguridad de la Información(cont.) Crear el ambiente apropiado Reconocer los puntos débiles y los eventos de activación Habilitación del cambio Entendiendo que la aplicación de las prácticas de seguridad de la información no es un evento único, es un ciclo de vida Otras áreas claves de importancia cuando se implementa COBIT 5 for Information Security son: 2012 ISACA. All rights reserved. 39

Sección 3: COBIT 5 for Information Security conectando Frameworks, Modelos, Buenas Prácticas y estándares COBIT 5 for Information Security pretende ser un marco general para conectar a otros marcos de seguridad de la información, las buenas prácticas y normativas. COBIT 5 for Information Security describe la omnipresencia de la seguridad de la información en toda la empresa y proporciona un marco global de facilitadores, pero los otros pueden ser útiles también porque pueden profundizar en temas específicos. Ejemplos incluyen: Business Model for Information Security (BMIS) ISACA Standard of Good Practice for Information Security (ISF) ISO/IEC 27000 Series NIST SP 800-53a PCI-DSS 2012 ISACA. All rights reserved. 40

Recomendaciones Conozca las implicaciones de habilitar COBIT 5 Security en su organización Considere la implementación de nuevos procesos de TI a la luz de COBIT 5 Verifique la simplificación de marcos de referencia y sus beneficios Recuerde que puede utilizar servicios de Expertos en su camino hacia COBIT 5

Recomendaciones Adicionales Los conceptos holísticos incorporados presentan un visión que incluye la diferenciación e innovación de su empresa El incremento de las opciones de integración a la nube requiere consideraciones de gobierno de seguridad como las que ofrece este producto Permítase conocer los detalles del producto y tenerlo como una fuente de referencia en su gestión

Muchas Gracias por su atención! Cilliam Cuadra, CISA, CISM, CRISC, M.Sc Banco Nacional de Costa Rica