FACTORES DE ÉXITO EN EL DESARROLLO DE UN SGSI Fabián Cárdenas Varela Área de Consultoría NewNet S.A.
Agenda Introducción Qué es un SGSI? Conclusiones 3 Introducción
Introducción INFORMACIÓN Los activos de las empresas no sólo son aquellos que se registran en los libros contables. La información en sí es un activo intangible que se debe valorar y Proteger. Cómo valoramos la información que manejamos en nuestros procesos? 5 Introducción QUÉ ES SEGURIDAD DE LA INFORMACIÓN? Es la Protección de los activos de información contra una amplia gama de amenazas, para preservar el negocio, reduciendo a un nivel aceptable los riesgos. 6
Situación actual Cumplimiento Introducción? Habeas Data, Delitos Informáticos, Normatividad Interna Revisoría Fiscal 7 Situación actual - Negocio Introducción Adaptado de EL ECONOMISTA 8
Situación actual - Riesgos Introducción Riesgos de TI & SI Riesgos Proceso Riesgos de Negocio Gestión Integral de Riesgos? 9 Qué es un SGSI?
Qué es un SGSI? El SGSI es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. 11 Qué es un SGSI? 12
Procedimientos, Instrucciones, Registros Qué es un SGSI? Imposibilidad de Restaurar Backups Materiales, Información Modificación no autorizada de información Acceso no autorizado a la información Fuga de información Repudio de Acciones Suplantación Mecanismo Control PROCESO Producto Indisponibilidad de los sistemas de Información y servicios (Correo, Internet) Espionaje Industrial Desastre Natural Pérdida de exactitud de la información Incumplimiento Legal Robo de información Personas, Equipos, Recursos 13 Qué es un SGSI? Organización de la Seguridad (Roles, Responsabilidades, Autoridades) Normatividad de Seguridad (Políticas, Normas, Procedimientos) Procesos de Seguridad (Revisión, Monitoreo, Medición, Mejora) Gestión de Activos Gestión de Riesgos Gestión de Incidentes Gestión de la Continuidad Gestión del Cumplimiento Gestión de la Cultura Gestión de Vulnerabilidades Gestión de la Arquitectura SGSI Otros Sistemas de Gestión Cuadros de Mando Gerenciales Auditoría, Control Interno 14
1. Apoyo de la Dirección Mejora Continua Mitigación ROSI Eficacia Controles 16
2. Definición del alcance ALCANCE FASE I Planear Hacer 1 FASE II Hacer 2 Hacer 3 FASE III Verificar Actuar 17 3. SGSI en el día a día de los procesos Función del Negocio 1 Gestión de Activos Gestión de Riesgos Función del Negocio 2 Mejora Continua Función del Negocio 3 18
4. Gestionar el cambio y la cultura Informarse y conocer Practicar y Mejorar Hacerlo parte del día a día. 19 5. Integrar la Gestión de Riesgos Riesgos del Negocio Riesgos de Procesos (operación, control) Riesgos de Activos (Sistemas de Información, repositorios, personas, contrato) Riesgos de Componentes (Hardware, Software, Servicios, Medios) 20
6. Integrarse a los cuadros de mando Nivel 3 Nivel 2 Nivel 1 Indicadores de Grupo Empresarial Indicadores Corporativos Indicadores de Áreas o Gerencias Indicadores de Procesos Indicadores de Seguridad Indicadores Técnicos 21 7. Integrarse a otros sistemas de gestión ISO 27000 ISO 9000 ISO 18000 Actuar Planear ISO 14000 Verificar Hacer ISO 20000 22
8. Integrar planes de acción 23 9. Automatizar actividades Reporte Vulnerabilidades Incidentes Indicadores Auditoría Normatividad Controles Gestión de Activos Gestión de Riesgos 24
10. Planeación estratégica de seguridad Largo Plazo Objetivos Mediano Plazo Corto Plazo Nivel de Madurez 1 Nivel de Madurez n Gestión Metas Nivel de Madurez 2 25 11. Capacitarse y Crear Competencias 26
Conclusiones Conclusiones Un SGSI en el corto plazo se diseña y se establece, en el mediano plazo se implementa, y en el largo plazo se mantiene y se mejora. A través de un SGSI se puede abordar efectivamente la implementación de un marco de gobierno de seguridad de la información. Es una de las mejores herramientas para la gestión del riesgo y del cumplimiento en seguridad de la información. 28
Conclusiones El SGSI no está en un destino, este hace parte del día a día de la organización. La certificación es la consecuencia de haber logrado un primer nivel de madurez en el SGSI y de haber cerrado como mínimo un primer ciclo PHVA. Es uno de los estándares más aceptados a nivel nacional e internacional y es base de varias iniciativas de cumplimiento. 29 Gracias http://www.newnetsa.com Diagonal (Calle) 16 No. 60-72 Teléfono: 57.1. 4173400 Fax: 57.1. 2605475 BOGOTA DC Carrera 49 No. 52.170 Of. 406 Teléfono: 57.4. 2516353 Fax: 57.4. 2516353 MEDELLIN Calle 18 No. 8-41 Of. 406 Teléfono: 57.6. 3330759 Fax: 57.6. 3359968 PEREIRA Calle 23N No. 3N-33 Piso 6 Teléfono: 57.2. 6671892 Fax: 57.2. 6671892 CALI