Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTRODUCCION AL GOBIERNO DE
SEGURIDAD DE LA INFORMACION
GOBIERNO DE LA SEGURIDAD DE
LA INFORMACION
EDWIN VALENCIA CASTILLO
Seguridad de la Informacin
Definicin
Introduccin al gobierno de la seguridad de informacin
Gobierno eficaz de la seguridad de informacin
Conceptos de seguridad de informacin
Gerente de seguridad de informacin
Alcance y estatutos del gobierno de seguridad de la informacin
Mtricas del gobierno de seguridad de la informacin
Estrategia de seguridad de la informacin
Desarrollo de una estrategia de seguridad de la informacin
Objetivos de la estrategia de seguridad de la informacin
Determinacin del estado actual de la seguridad
Recursos de la estrategia
Limitaciones a la estrategia
Plan de accin para implementar la estrategia
Seguridad de la Informacin
Seguridad de la Informacin
Seguridad de la Informacin
INTRODUCCION AL GOBIERNO DE
SEGURIDAD DE LA INFORMACION cont.
Seguridad de la Informacin
INTRODUCCION AL GOBIERNO DE
SEGURIDAD DE LA INFORMACION cont.
Seguridad de la Informacin
Seguridad de la Informacin
INTEGRAR
ADMINISTRACION DE RIESGOS
Ejecutando medidas apropiadas para mitigar riesgos y reducir el
posible impacto que tendrn en los recursos de informacin a un nivel
aceptable
ENTREGA DE VALOR
Optimizando las inversiones en la seguridad en apoyo a los objetivos
del negocio
ADMINISTRACION DE RECURSOS
1.
para
que de
selaalcancen
Thursday, September
25,garantizar
2014
Seguridad
Informacin los
11
Seguridad de la Informacin
Seguridad de la Informacin
Seguridad de la Informacin
Consejo
de
administr
acin
Direccin
Ejecutiva
Alineacin
estratgica
Administracin de
riesgos
Entrega de
valor
Medicin del
desempeo
Administraci
n de recursos
Aseguramient
o del proceso
Requiere de
una alineacin
comprobable
Poltica de
administracin de
riesgos en todas las
actividades.
Requiere
reportar los
costos de las
actividades
relacionadas
con la
seguridad
Requiere
reportar la
efectividad de
la seguridad
Poltica de
administracin
del
conocimiento y
utilizacin de
recursos
Poltica para la
integracin del
proceso de
aseguramiento
Requiere
estudios de
business case
de las
iniciativas de
seguridad
Requiere
monitoreo y
mtricas para
las actividades
de seguridad
Verifica los
procesos para
captar
conocimiento y
mtricas de
eficiencia
Supervisa
todas las
funciones de
aseguramiento
y planes de
integracin.
Verifica el
cumplimiento
regulatorio
Instituye
procesos para
integrar a la
seguridad en
los objetivos
del negocio
12
Seguridad de la Informacin
Alineacin
estratgica
Administracin de
riesgos
Entrega de
valor
Medicin del
desempeo
Administraci
n de
recursos
Aseguramiento
del proceso
Comit
directivo
Revisa la
estrategia de
seguridad e
integracin, y
verifica que esta
cuenta con el
apoyo de los
dueos del
negocio
Revisa la
suficiencia de
las iniciativas
de seguridad
para ayudar a
las funciones
del negocio
Revisa e
informa que
las iniciativas
de seguridad
cumplan con
los objetivos
del negocio
Revisa
procesos
para captar y
difundir el
conocimiento
Identifica
procesos de
negocio crticos
y proveedores
de
aseguramiento
Desarrolla la
estrategia de
seguridad; vigila el
programa y sus
iniciativas y
coordina con los
dueos del
proceso del
negocio para una
alineacin
constante
Thursday,
September 25, 2014
Verifica las
evaluaciones de riesgo
e impacto al negocio,
desarrolla estrategias
de mitigacin de
riesgos.
Director
de
seguridad
de
informaci
n (CISO)
13
CONCEPTO DE SEGURIDAD DE LA
INFORMACION cont.
Dirige la
integracin del
aseguramiento
Monitorea la
utilizacin y
efectividad de
los recursos de
seguridad
Exige el cumplimiento
regulatorio y de
polticas
Seguridad de la Informacin
Comunica con
Desarrolla
otros
tanto
proveedores de
mtodos
para captar y aseguramiento.
difundir el
conocimiento Garantiza que
se identifiquen y
asi como
Dirige y
monitorea las mtricas para resuelvan los
actividades de determinar la vacios y
efectividad y superposiciones
seguridad
eficienciaCastillo.
2010 EdwinlaValencia
Desarrolla e
implementa
enfoques de
monitoreo y
mtricas.
16
CONCEPTO DE SEGURIDAD DE LA
INFORMACION
Seguridad de la Informacin
CONCEPTO DE SEGURIDAD DE LA
INFORMACION cont.
Seguridad de la Informacin
17
CONCEPTO DE SEGURIDAD DE LA
INFORMACION cont.
15
Seguridad de la Informacin
Seguridad de la Informacin
CONCEPTO DE SEGURIDAD DE LA
INFORMACION cont.
18
Seguridad de la Informacin
Firewalls
Administracin de cuentas de
usuario
Deteccin y prevencin de
intrusos
Antivirus
Infraestructura de llave publica
(PKI)
Capa de socket segura (SSL)
Conexin nica single-sign-on
(SSO)
Biometra
Encriptacin
Cumplimiento de privacidad
19
DIFICULTADES COMUNES
Acceso remoto
Firma digital
Intercambio electrnico de
datos (EDI) y Transferencia
electrnica de fondos (EFT)
Redes privadas virtuales
(VPNs)
Transferencia electrnica
segura (SET)
Forense
Tecnologa de monitoreo
Seguridad de la Informacin
22
ALTA DIRECCION
COMIT DIRECTIVO Y
DIRECCION EJECUTIVA
IMPLEMENTAR
+ Contribuciones del
plan de accin
+ Recursos
disponibles y
limitaciones
Seguridad de la Informacin
OBJETIVOS DE SEGURIDAD
Seguridad de la Informacin
OBJETIVOS DE LA ESTRATEGIA DE
SEGURIDAD DE LA INFORMACION
PROGRAMAS
DE
SEGURIDAD
CONTRIBUCIONES DE LA
ESTRATEGIA:
+ Estado actual y estado
deseado de la seguridad.
+ Procesos y requerimientos
del negocio
+ Evaluacin de riesgos
+ Anlisis del impacto del
negocio
+ Requerimientos
regulatorios
20
ATRIBUTOS
DE
SEGURIDAD
Tendencia a la confirmacin
Recuerdos selectivos
Evaluacin subjetiva
Pensamiento de grupo
QUE?
Impulsores del
negocio
POR QUE?
Factores cruciales
de xito
CUANDO?
COMO?
QUIEN?
DONDE?
Tiempo
Funcin
Cliente
Ubicacin
ACTIVOS
RIESGOS
CRITICIDAD
DEPENDENCIA
RESPONSABILIDAD
Seguridad de la Informacin
OBJETIVOS DE LA ESTRATEGIA DE
SEGURIDAD DE LA INFORMACION
LOGISTICA
Objetivos de
control
Capa conceptual
21
Modelo de
confianza
Modelo de
tiempo
p
Modelo de
dominio
Estrategia de
seguridad
Seguridad de la Informacin
24
Seguridad de la Informacin
Definicin de objetivos
COBIT
25
Seguridad de la Informacin
28
Seguridad de la Informacin
.. Un ejemplo
COBIT cont.
26
Seguridad de la Informacin
29
Seguridad de la Informacin
El Estado deseado
CMM
Seguridad de la Informacin
30
Seguridad de la Informacin
31
Seguridad de la Informacin
ESTRATEGIA DE SEGURIDAD DE
INFORMACION
34
32
Seguridad de la Informacin
Seguridad de la Informacin
Gente
Procesos
Tecnologas
Entre otros recursos.
Poltica de seguridad
Organizacin de la seguridad de la informacin
Administracin de activos
Seguridad de los recursos humanos
Seguridad fsica y ambiental
Manejo de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de la seguridad de informacin
Manejo de incidentes relacionados con la seguridad de informacin
Manejo de la continuidad del negocio
Cumplimiento
Seguridad de la Informacin
Seguridad de la Informacin
36
Polticas
Normas
Procedimientos
Lineamientos
Arquitectura(s)
Controles fsicos, tcnicos y de
procedimientos
Contramedidas
Defensas estratificadas
Tecnologas
Seguridad del personal
Estructura organizacional
Roles y responsabilidades
Habilidades
Seguridad de la Informacin
Capacitacin
Concientizacin y formacin
Auditorias
Exigencia de cumplimiento
Anlisis de amenazas
Anlisis de vulnerabilidad
Evaluacin de riesgos
Evaluacin del impacto del negocio
Anlisis de dependencia de
recursos
Proveedores externos de seguridad
Otros proveedores de soporte y
aseguramiento organizacional
Instalaciones
Seguridad ambiental
2010 Edwin Valencia Castillo.
Limitaciones
37
Seguridad de la Informacin
Seguridad de la Informacin
RECURSOS DE LA ESTRATEGIA
POLITICAS Y NORMAS
CONTRAMEDIDAS
38
Seguridad de la Informacin
TECNOLOGIAS
Permiten contrarrestar las amenazas a las que estn expuestos los
recursos de informacin.
La tecnologa no compensara por las deficiencias gerenciales,
culturales u operativas, por lo que no hay que depender demasiado
de ellas.
Para alcanzar defensas efectivas es preciso conjugar la tecnologa
con una combinacin de polticas, normas y procedimientos.
41
PREVENCION
CONTENCION
DETECCION/
NOTIFICACION
REACCION
RECOPILACION DE
EVIDENCIAS/MONITOREO
DE INCIDENTES
RECUPERACION/
RESTABLECIMIENTO
39
Seguridad de la Informacin
Seguridad de la Informacin
42
Gerencia
Seguridad fsica
Prevencin de intrusos
Monitoreo de virus
Seguridad del personal
Monitoreo
Mediciones/ mtricas
Auditoria/registros en bitcoras
Respuesta a incidentes
Administracin / monitoreo
Auditoria/registros en bitcoras
Administracin/monitoreo
Deteccin de intrusos
Deteccin de virus
Respaldo/restablecimiento
Conexin de apoyos/sitios remotos
Seguridad de la Informacin
Firewalls/dominios de seguridad
Segmentacin de redes
Seguridad fsica
PERSONAL
AUDITORIAS
Las auditorias internas y/o externas son procesos principales que
permiten identificar deficiencias en la seguridad de la informacin
desde la perspectiva de controles y cumplimiento.
EXIGENCIA DE CUMPLIMIENTO
Los procedimientos de seguridad deben estar aprobados y
respaldados por la alta direccin, sobretodo en lo que respecta a
exigir su cumplimiento.
Seguridad de la Informacin
Seguridad de la Informacin
ESTRUCTURA ORGANIZACIONAL
ANALISIS DE AMENAZAS
ANALISIS DE VULNERABILIDAD
Realizar una evaluacin exhaustiva de las vulnerabilidades en los
procesos, tecnologas y equipos. Por lo general, los procesos y
equipos son los mas vulnerables, sin embargo con frecuencia son los
menos evaluados, por la complejidad que implica aplicarles
evaluaciones.
ROLES Y RESPONSABILIDADES
Los roles, responsabilidades y las capacidades que se
requieren para cada puesto de trabajo deben estar definidos y
documentados (MOF, ROF)
44
Seguridad de la Informacin
47
Seguridad de la Informacin
CAPACIDADES
EVALUACION DE RIESGOS
Aun cuando la evaluacin de amenazas y vulnerabilidades se
considere importante, es necesario evaluar el riesgo al que esta
expuesta la organizacin., aun cuando estas no representen
ningn riesgo para la organizacin.
CONCIENTIZACION Y FORMACION
Considerar la necesidad de desarrollar mtodos y procesos que
permitan que las polticas, normas y procedimientos sean mas fciles
de seguir, implementar y monitorear. Reforzar la importancia de la
seguridad ante los usuarios a travs de un programa de
concientizacin.
Ejemplo. 11 de setiembre..
Existen varias formas de tratar el riesgo:
Aceptar el riesgo
Mitigar el riesgo
Transferir el riesgo (ej. contrato de seguros)
Cesar la actividad que da origen al riesgo
Nota. Se puede transferir el riesgo,.. Pero no la responsabilidad legal
Seguridad de la Informacin
48
Seguridad de la Informacin
Seguridad de la Informacin
52
50
Seguridad de la Informacin
ELABORACION DE POLITICAS
ELABORACION DE NORMAS
Seguridad de la Informacin
CAPACITACION Y CONCIENTIZACION
Uno de los aspectos mas importantes del plan de accin ser crear o
modificar polticas y normas.
Las polticas son la constitucin del gobierno, las normas son la ley.
Seguridad de la Informacin
Seguridad de la Informacin
54
Seguridad de la Informacin
PREGUNTAS Y RESPUESTAS
Seguridad de la Informacin
10