KPMG ADVISORY SERVICES LTDA.

Proteccin de la informacin
Servicios Profesionales

kpmg.com.co

Participacin en la implementacin del programa Rumbo Empresas ntegras y Transparentes (Diciembre de 2009)

Visin general de la proteccin de la informacin

La informacin se ha convertido en un aspecto fundamental para toda organizacin y por ende su proteccin es un aspecto cada vez ms importante. Las organizaciones no escatiman esfuerzos para evitar el compromiso de lo que se ha tornado en uno de sus activos ms valiosos. La adecuada proteccin de la informacin de su organizacin, implica la adopcin de un enfoque sistemtico para el desarrollo de iniciativas que propendan por la preservacin de su integridad, confidencialidad y disponibilidad, contribuyendo consistentemente con el cumplimiento de los objetivos y requerimientos normativos, legales y del negocio. Consideraciones de Seguridad de la Informacin Cualquier organizacin debe considerar los siguientes aspectos para la seguridad de la informacin, que le facilite la administracin de los riesgos, optimizacin de los costos y mejoramiento de su rentabilidad: Administrar el riesgo: entender, gestionar y controlar los riesgos asociados a la informacin. Optimizar los costos: establecer un nivel de control apropiado para la proteccin de la informacin, sin incurrir en medidas que generen sobre costos a la organizacin. Definir la estrategia: velar por que los activos de informacin que soportan la operacin y los objetivos estratgicos de negocio, cumplan con los requerimientos en materia de seguridad de la informacin.

Proteccin de la Informacin en Colombia

La prctica de Proteccin de la Informacin se estableci en Colombia en 1999. Desde entonces, nuestros profesionales han proporcionado asesora a clientes en Colombia, Panam, Venezuela, Nicaragua, Chile, Per, Uruguay, Costa Rica, Argentina y Estados Unidos. Contamos con un laboratorio de Seguridad ubicado en la ciudad de Medelln, Colombia. Los profesionales de KPMG tienen el conocimiento de las condiciones de mercado locales, as como de los requerimientos regulatorios. A travs de nuestros servicios, las organizaciones se pueden beneficiar de: Asesora fundamentada en la perspectiva de negocio, objetividad e imparcialidad. Excelentes antecedentes proporcionando servicios globales de proteccin de la informacin. Entendimiento claro de los riesgos relacionados con los procesos de negocio. Conocimiento especfico del mercado de Proteccin de la Informacin y los principales proveedores de tecnologa. Conocimiento de los procesos y funciones de la industria. Entendimiento riguroso de los entes regulatorios. Equipos multidisciplinarios. Cobertura global, conocimiento local. Certificaciones en materia de seguridad de la informacin (CISSP, CISM, COBIT, CISA, CEH y CCNA entre otros).

Enfoque general de KPMG

La prctica de la Proteccin de la Informacin es la encargada de proveer a nuestros clientes servicios profesionales de asesora en seguridad de la informacin. Ayudamos a nuestros clientes a: Desarrollar estrategias que permitan habilitar la seguridad de la informacin como medio para alcanzar los objetivos de negocio. Entender, priorizar y mitigar los riesgos asociados al uso, transferencia, almacenamiento y gestin de sus activos de informacin crticos. Construir marcos de referencia y mecanismos de gobierno de la informacin para gestionar y controlar la informacin. Proteger y mantener la integridad, disponibilidad y confidencialidad de la informacin como activo para proveer beneficios medibles. El enfoque de KPMG en cuanto a la proteccin de la informacin hace referencia a la creacin y preservacin del valor de la informacin. Los servicios de Proteccin de la Informacin de KPMG ayudan a las organizaciones a proteger apropiadamente sus activos de informacin y a obtener beneficios en la optimizacin de los costos asociados a la proteccin de la informacin.

Servicios de proteccin de la informacin

Los servicios de Proteccin de la informacin apoyan a las organizaciones en la transformacin de los controles de seguridad y privacidad en habilitadores primordiales de negocio, manteniendo la confidencialidad, la integridad y la disponibilidad de las funciones crticas de la organizacin.

Gobierno de Seguridad y Cumplimiento de TI

En la economa actual dominada por la informacin, el xito depende de tener y proveer acceso a la informacin por medio de sistemas de negocio sofisticados y cada vez ms evolucionados. La dependencia creciente en tecnologa de la informacin y redes altamente integradas puede presentar riesgos substanciales: penalidades severas por el incumplimiento de nuevas regulaciones que ordenan una seguridad de la informacin verificable, as como prdida de imagen, demandas, y prdida de la confianza de clientes debido a brechas de seguridad. Preguntas clave El programa actual de seguridad de la organizacin soporta nuestros esfuerzos para el cumplimiento del marco legal y regulatorio? Son los controles de seguridad adecuados para soportar nuestros procesos crticos de negocio? Cunto invierte nuestra organizacin en materia de seguridad de la informacin? Es suficiente? Como podemos medir la efectividad de los esfuerzos en materia de seguridad de la informacin? Cmo es posible evidenciar el retorno de la inversin en seguridad de la informacin? Cules son los verdaderos riesgos de negocio para nuestra organizacin y cmo podemos desarrollar una estrategia de seguridad de la informacin rentable para administrar dichos riesgos? Cmo apoya KPMG a su negocio? El enfoque de KPMG est basado en los siguientes tres componentes relacionados: estrategias y gobierno de seguridad, cumplimiento de seguridad y TI, y evaluaciones de seguridad. Las interrelaciones entre los componentes permiten flexibilidad en el enfoque de la organizacin para encaminar sus recursos. En muchas instancias, las organizaciones pueden no estar preparadas para adoptar un enfoque empresarial para desarrollar su arquitectura de seguridad. Algunas de las razones para que esto suceda incluyen: falta de conciencia, recursos limitados y falta de iniciativas. En consecuencia, este servicio puede prestarse de manera puntual para satisfacer estas preocupaciones. Los criterios que hacen parte de cada uno de los componentes reflejan las demandas del mercado y se podran adaptar de acuerdo con las necesidades del mismo.

Los beneficios para su negocio son:

Estrategias en materia de seguridad orientadas al cumplimiento de los objetivos del negocio. Inclusin dentro de la planeacin estratgica, de pruebas peridicas de vulnerabilidades y penetracin (Ethical Hacking) a los sistemas crticos que soportan la operacin del negocio. (aplicaciones, servidores, dispositivos de comunicacin, bases de datos, estaciones de trabajo, entre otros). Evaluacin peridica del cumplimiento de las polticas de seguridad de la informacin y el comportamiento de los funcionarios de la organizacin, ante situaciones que comprometan la confidencialidad, la integridad y la disponibilidad de la informacin crtica de la organizacin. Diseo de lineamientos mnimos de seguridad, de acuerdo con los objetivos de negocio y las mejores prcticas. Cumplimiento de los requerimientos de ley que apliquen. Gestin adecuada de los riesgos asociados a la plataforma tecnolgica que soporta la operacin de la organizacin. Reaccin efectiva ante situaciones de ataque que puedan conllevar a la materializacin de las amenazas existentes. Identificacin proactiva de problemas que puedan comprometer la seguridad de la informacin.

Gobierno de la Informacin
En un medio globalizado las organizaciones se enfrentan a situaciones complejas en cuanto a la administracin y proteccin de los activos de informacin se refiere. La definicin e implementacin de un Gobierno de la informacin permite a la organizacin soportar los objetivos de negocio eficientemente, mientras se cumple con los requerimientos regulatorios. Preguntas clave Cmo puede nuestra organizacin obtener ayuda para administrar adecuadamente la informacin? S cul es la informacin ms valiosa para mi negocio? S donde se encuentra ubicada? Los funcionarios de nuestra organizacin tienen acceso a informacin que no deberan? S cmo manejar, etiquetar, proteger y trasmitir informacin reservada o confidencial? La informacin sensible que es transmitida dentro y fuera de nuestra organizacin se encuentra protegida? Nuestra organizacin cumple con todas las disposiciones legales asociadas al negocio y/o industria? Nuestra informacin es eliminada adecuadamente y en el momento oportuno? Existe informacin innecesaria que hace que nuestra organizacin incurra en procesos y recursos adicionales que hacen que aumente los costos? Cmo apoya KPMG a su negocio? El servicio de Gobierno de la Informacin que provee KPMG, ayuda a las organizaciones en la gestin de los activos de informacin, desde los principios fundamentales Gente, Procesos y Tecnologa. El enfoque de KPMG abarca el ciclo de vida de Gobierno de Informacin, el cual permite a las organizaciones identificar una variedad de servicios para solventar las necesidades especficas de negocio en materia de gestin de la informacin.

Los beneficios para su negocio son:

Reduccin de la probabilidad de robo de datos e informacin de la organizacin. Reduccin de los riesgos asociados a seguridad de la informacin. Conocimiento de cul es y donde est la informacin ms valiosa para el negocio. Controles adecuados de acuerdo con la importancia de la informacin de la organizacin. Manejo adecuado de la informacin reservada, confidencial o secreta. Proteccin de la informacin sensible que es transmitida dentro y fuera de la organizacin. Cumplimiento con las disposiciones legales asociadas al negocio y/o industria. Eliminacin y/o destruccin de la informacin de manera segura y en el momento oportuno.

IERN B O
Privacidad
n olo ga Te c
GESTIN DEL CICLO DE VIDA DE LA INFORMACIN

Privacidad Gestionar y proteger la informacin que es procesada y transmitida en la organizacin. Seguridad de TI Mantener la confidencialidad, la integridad y la disponibilidad de la informacin en la organizacin. Administracin de terceros Gestionar la informacin de la organizacin que es procesada, compartida o almacenada por terceros. Administracin de registros Gestin del registro de eventos de la informacin sensible de la organizacin. Anlisis de flujo de datos Identificar y valorar los activos de informacin basados en los flujos de los procesos que hacen parte de la organizacin. Clasificacin de datos Definicin e implementacin de un esquema de clasificacin de la informacin, de acuerdo a las necesidades del negocio.

de Datos

Seguridad de TI

oc Anlisis de o c Administracin es os de Neg Flujo de Datos de Terceros

INF A M OR
Administracin de Registros

Gestin del Ciclo de Vida de la Informacin (ILM) Nuestro enfoque se centra en el ciclo de vida de la informacin (ILM), el cual comprende el uso de polticas, procesos, prcticas y herramientas, que tienen como objetivo alinear la informacin de negocio con una infraestructura rentable de TI, desde cuando se origina la informacin hasta cuando se elimina.

CI N

DE L

io

Pr

Los beneficios para su negocio son:

Procesos idneos de gestin de usuarios, autenticacin, autorizacin, accesos, aprovisionamiento y monitoreo. Mecanismos de control sobre el acceso lgico y fsico a los recursos de TI, para evitar el uso no autorizado de aplicaciones e informacin. Automatizacin del proceso de certificacin de acceso, pudiendo conocer quin tiene acceso a qu en cualquier momento y en tiempo real. Procedimientos para la administracin de las cuentas de usuario, que faciliten el control sobre las transacciones y operaciones que se llevan a cabo en los sistemas de la organizacin. Simplicidad en la gestin de las contraseas de acceso a los funcionarios (autoservicio, uso de contraseas nicas para mltiples sistemas, actualizacin de informacin de la cuenta de acceso). Disminucin de los costos asociados a la atencin de requerimientos comunes en las reas de soporte tcnico, tales como restablecimiento de contraseas y solicitudes de acceso. Administracin centralizada que facilita la disminucin de cuentas hurfanas y de mltiples cuentas de acceso para un mismo usuario. Procesos de administracin de identidad que faciliten el cumplimiento de los requerimientos de ley. Mayor control de las acciones ejecutadas sobre los sistemas de informacin que hacen parte de la organizacin a travs de la segregacin de funciones y de la gestin de roles y perfiles.

Gestin de Identidad y Acceso - IAM

Las organizaciones se enfrentan constantemente a retos relacionados con la Gestin de Identidad y Acceso. Por ejemplo, las organizaciones podran no controlar su ambiente tecnolgico debido a: Uso de contraseas compartidas. Mltiples aplicaciones que involucran mtodos de autenticacin y polticas de contraseas independientes. Las autorizaciones se otorgan a diferentes niveles de la organizacin y las funciones no son claramente segregadas. Los costos de la mesa de ayuda (Helpdesk) son altos para cambio de contraseas, aprovisionamiento y desaprovisionamiento de cuentas de acceso de usuario, y sus autorizaciones. Preguntas clave Los nuevos empleados de nuestra organizacin obtienen acceso a los recursos que requieren para desempear sus funciones de manera oportuna? Es posible saber con certeza y oportunidad quien tiene acceso a nuestros sistemas de informacin? Es posible optimizar los costos asociados a la mesa de ayuda proporcionando facilidades de autoservicio? IAM se integra adecuadamente a nuestra estrategia general corporativa? Podramos ahorrar dinero si nuestros procesos de IAM fueran ms eficientes? Quin dirige IAM en nuestra organizacin, incluyendo polticas, estndares, operaciones, y mantenimiento? Qu reas funcionales y funcionarios estn involucrados en ayudar a definir nuestra estrategia de IAM? Dnde se encuentra nuestra organizacin en la curva de madurez de IAM? Cmo aseguramos que nuestra capacidad de IAM mantiene el ritmo con la naturaleza dinmica de nuestra organizacin? Podemos obtener reportes de nuestra solucin de IAM para facilitar la auditora de controles de seguridad, requerimientos regulatorios y procesos de negocio? Cmo apoya KPMG a su negocio? Los servicios de KPMG ayudan a las organizaciones a manejar efectiva y eficientemente sus identidades electrnicas, autorizaciones, y requerimientos de ley. KPMG ofrece un amplio conjunto de servicios basados en nuestra metodologa propia de IAM. Este enfoque basado en procesos est fundamentado en prcticas lderes, experiencia en tecnologas, arquitecturas y herramientas para ejecutar un proyecto de IAM eficientemente.

El siguiente es el enfoque utilizado para implementar un proyecto de IAM, y tambin para evaluar proyectos de IAM ya existentes.
im
i

M onitoreo
Gestin de Accesos
ov

yR

t en

ep

o
e rt

Auditora y Cu m

pl

Gestin de Autorizacin

pr

isio n a m ie

nt
o

Gestin de Autenticacin

Identidad
G
s

G o bi e

es

ti n

a de D

to

rno

Gestin de Usuarios

Identidad Conjunto de atributos e identificacin para cada elemento (persona, dispositivo, recurso o servicio). Aprovisionamiento Manejo de datos de identidad y autorizacin a los recursos de TI a travs de procesos manuales o automatizados. Gestin de Datos Es el proceso y conjunto de tecnologas que permiten la administracin de la identidad de los usuarios. Gestin de Accesos Aplicacin de las polticas de control de acceso a toda solicitud cuya intencin sea acceder a un recurso de TI dentro de la organizacin. Gestin de Autenticacin Gestin efectiva del proceso para determinar que un elemento o persona que pretende usar los recursos de la organizacin es quin dice ser. Gestin de Autorizacin Gestin efectiva del proceso en el que se determinan los derechos y permisos que cada elemento o persona que pretende usar los recursos, debe tener de acuerdo con las polticas de la organizacin. Gestin de Usuarios Actividades para administrar eficientemente el ciclo de vida de la identidad.

Ag ilida d

Polticas, procesos y herramientas que facilitan la administracin efectiva de los accesos de las personas a los sistemas de informacin de la organizacin.

Gobierno Desarrollo y gestin de polticas, procesos y una estructura organizacional para IAM. Agilidad Capacidad de adaptarse al entorno cambiante del usuario y a la robustez de los sistemas y aplicaciones para satisfacer estas condiciones sin comprometer su integridad. Auditora y Cumplimiento / Monitoreo y Reporte Monitoreo, auditora y reportes de cumplimiento del acceso de los usuarios a los recursos de la organizacin de acuerdo a las polticas definidas.

KPMG es una red global de firmas profesionales que proveen servicios de auditora, impuestos y asesora. Operamos en 156 pases y tenemos ms de 152,000 profesionales que trabajan en las firmas miembro alrededor del mundo. Las firmas miembro independientes de la red de KPMG estn afiliadas a KPMG International Cooperative (KPMG International), una entidad suiza. Cada firma miembro de KPMG es una entidad legal separada e independiente y cada una se describe a s misma como tal.

Contctenos: Ignacio Corts Castan Socio KPMG Advisory Services Ltda. ignaciocortes1@kpmg.com Enrique Mendoza Daz Gerente Information Protection Advisory KPMG Advisory Services Ltda. emendoza@kpmg.com Nuestras oficinas: Bogot D.C. Calle 90 No. 19C - 74 Tel: + 57 (1) 618 8000 / 618 8100 Fax: + 57 (1) 218 5490 / 610 3245 / 623 3316 Medelln Carrera 43A No. 16A Sur - 38, Piso 3 Tel: + 57 (4) 355 6060 Fax: + 57 (4) 313 2554 Cali Calle 4 Norte No. 1N - 10, Piso 2 (Torre Mercurio) Tel: + 57 (2) 668 1480 / 668 1481 Fax: + 57 (2) 668 4447 Barranquilla Carrera 53 No. 82 - 86, Oficina 803 Tel: + 57 (5) 378 4232
Participacin en la implementacin del programa Rumbo Empresas ntegras y Transparentes (Diciembre de 2009)

kpmg.com.co

2013 KPMG Advisory Services Ltda., sociedad colombiana de responsabilidad limitada y firma miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (KPMG International), una entidad suiza. Derechos reservados. Tanto KPMG como el logotipo de KPMG son marcas comerciales registradas de KPMG International Cooperative (KPMG International), una entidad suiza. Tanto Transparencia por Colombia como el logotipo de Transparencia por Colombia son marcas comerciales registradas de Corporacin Transparencia por Colombia La informacin aqu contenida es de naturaleza general y no tiene el propsito de abordar las circunstancias especficas de ningn individuo o entidad en particular. Aunque procuramos proveer informacin correcta y oportuna, no puede haber garanta de que dicha informacin sea correcta en la fecha que se reciba o que continuar siendo correcta en el futuro. Nadie debe tomar medidas basado en dicha informacin sin el debido asesoramiento profesional despus de un estudio detallado de la situacin en particular.