IBM Business Consulting Services

Gestin Integral de Riesgos

Seguridad de la Informacin

Manuel Martnez,
manuelm@ve.ibm.com
IBM Business Consulting services deeper
Security Consultant

Disclaimer
(Optional location for any required disclaimer copy.
To set disclaimer, or delete, go to View | Master | Slide Master)

Copyright IBM Corporation 20034

 IBM Business Consulting Services

Contenido Objetivo

Entorno Actual

Visin Integrada de Seguridad de la Informacin

Estrategia de Seguridad: Qu hacer?

Preguntas y Respuestas

2 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Objetivo

Demostrar cmo una estrategia integrada de Seguridad de la

Informacin puede contribuir de manera efectiva al logro de los
objetivos de Negocio de su empresa

3 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Entorno Actual

deeper

Disclaimer
(Optional location for any required disclaimer copy.
To set disclaimer, or delete, go to View | Master | Slide Master)

Copyright IBM Corporation 20034

 IBM Business Consulting Services

La manera de hacer negocios ha cambiado

Tradicional Electronica
Inicio de la
Transaccin

Autenticacin

Negociar los
detalles
Privacidad e
Integridad

Cerrar
Transaccin
No-repudio

5 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Tendencias y Mejores Prcticas en

Seguridad de la informacin
Estrategia
Planes de concientizacin y educacin para todos los empleados (user
awareness)
Desarrollo e implantacin de polticas y estndares de seguridad de la
informacin
Seguridad de la Informacin: Prioridad de los CIOs

Organizacin
Integracin de seguridad de la informacin y Seguridad Fsica
Independencia de TI
Incorporar el rol de Oficial de Seguridad (CSO) corporativo

Herramientas
Incorporar Sistemas de detecccin de Intrusos (IDSs)
Encripcin de Datos
Identity Management para proveer valor al negocio
Digital IDs y Biometrics

6 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Cmo estamos en Latinoamrica?

Qu estamos haciendo bien? Dnde debemos mejorar?

- Seguidores de los avances en el - Incorporar la figura de Oficial de
rea de seguridad de la Seguridad (CISO-CSO) en la
informacin organizacin
- Mayor uso de biomtricas y - Uso de metodologas probadas para
adopcin de los estndares de el manejo de riesgos
seguridad (ejemplo BS7799) - Uso de pruebas de penetracin o
- Control de acceso fsico a las ethical hacking, tcnicas de
instalaciones pruebas,
- Incorporar soluciones de Firewall - Manejo de incidentes de Seguridad
y Antivirus - Administracin del acceso de
terceros (Third party access)

Fuente: 2003 Global Security Survey. Deloitte, Touche and Tohmatsu. www.deloitte.com/gfsi. Encuesta realizada
nicamente a organizaciones de servicios financieros a nivel mundial (27% son privadas).
7 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Cunto dinero se ha perdido?, El mensaje entre lneas

Crimen Informtico

Robo de computadoras porttiles

Acceso interno no Autorizado

Virus

Negado de Servicio

Fraude Financiero

Abuso interno en el uso de recursos de

redes
Penetracin en los sistemas por parte de
los entes externos
Escuchar e intervenir las
Telecomunicaciones

Sabotaje de redes de Datos

Robo de Informacin confidencial

$- $10 $20 $30 $40 $50 $60 $70 $80

Millones

En el 2003, 75% de los encuestados reconocen que han tenido

prdidas financieras, sin embargo slo el 47 % puede cuantificarlo.

Fuente: Tendencias en Seguridad, encuesta del ao 2003, realizada por el FBI y el CSI (Federal Bureau of Investigation y el
Computer Security Institute), basado en 530 empresas encuestadas de todos los sectores.
8 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Qu Tan Segura est su empresa?

La respuesta est en una evaluacin integral de cmo estamos
soportando los objetivos de Negocio mediante la proteccin de los
activos de informacin

9Los Objetivos de Negocio

9Los riesgos en funcin del valor de los activos de Informacin
9Las Tendencias en Seguridad de la Informacin
9Los controles de seguridad (ISO-17799, BS7799) Tradicional Electronica

9La Arquitectura de Seguridad (ISO-7498-2) Inicio de la

Transaccin

Autenticacin

9Los Incidentes registrados versus incidentes reales Negociar los

detalles
Privacidad e
Integridad

Cerrar
Transaccin
No-repudio

Qu debemos buscar en una opinin externa?

9 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Visin Integrada de
Seguridad de la Informacin

deeper

Disclaimer
(Optional location for any required disclaimer copy.
To set disclaimer, or delete, go to View | Master | Slide Master)

Copyright IBM Corporation 20034

 IBM Business Consulting Services

El riesgo est en funcin del valor del activo de la informacin,

la magnitud de la amenaza y las vulnerabilidades existentes

Amenaza
Evento o circunstancia que potencialmente puede
provocar una prdida de disponibilidad, confidencialidad
o integridad de la informacin
ACTIVO

Vulnerabilidad
Debilidad que frente a una amenaza puede provocar
prdida de confidencialidad, integridad o disponibilidad
de la informacin RIESGO

VU
LN

ZA
E

NA
RA
Riesgo

E
BIL

AM
Probabilidad de que se presente una amenaza como

ID
consecuencia de una vulnerabilidad existente

AD
MEDIDA DE CONTENCIN

11 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

El ciclo continuo de Seguridad de la Informacin

Definicin de Organizacin
Definicin de una Poltica de Seguridad
Definicin de una Arquitectura de Seguridad
Definicin de Procesos de Seguridad

Poltica
Seleccin de Productos
Evaluacin de Riesgo
Implantacin de soluciones
Identificacin de
Activos de Informacin Implantacin de Procesos
Ciclo de
Riesgo Seguridad Implantacin
de la
Informacin

Auditora Administracin
Ethical Hacking Emergency Response Service
Evaluacin de madurez de los Sistemas de Deteccin de
procesos de seguridad Intrusos (IDS)
Auditora del Plan de Programa de Manejo de virus
Contingencia Desarrollo del Plan de
Contingencia
12 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Alcance del Programa de Seguridad Corporativo

Control
Confianza
Privacidad

Un efectivo Programa de Seguridad

requiere Tecnologa, Procesos y una
Organizacin apalancada por un
compromiso Gerencial a fin de integrar
estos elementos
Organizacin de
Seguridad

Tecnologa de Procesos de
Seguridad Seguridad

13 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Alcance de la Metodologa

El plano de los procesos del

Modelo de 4 Planos del negocio y ambiente de TI negocio est conformado
por todos los procesos
necesarios para soportar
ridad las metas del negocio
gu Procesos del
Se Negocio
El plano de la Organizacin
representa los grupos de
dad
usuarios , roles y
ri Organizacin responsabilidades necesarias
gu
Negocio Se para soportar los procesos del
negocio
ad
urid Soluciones El plano de soluciones
g
IT Se representan los elementos
de IT usados para apoyar al
negocio y usuarios
ridad Infraestructura
gu
Se El plano de la infraestructura
representan los elementos de
IT que apoyan al plano de
solucionese e.j. redes,
protocolos, instalaciones
fsicas

14 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Modelo de Seguridad

Valores fundamentales de una Organizacin

Principios
Directrices para el manejo y proteccin de Diseo tecnolgico
la informacin
Polticas Soporte tecnolgico de la arquitectura
de seguridad
Actividades y tareas de alto nivel requeridas
para implantar las Polticas y Normas

Estndares
Estndares
Normas
Normas
Procesos Arquitectura
Pasos operacionales en secuencia
correcta y ordenada, requeridos
para la realizacin de un proceso Reglas detalladas que especifican
Procedimientos Herramientas Tecnologas y metodologas
que soportan la norma

Personas / Usuarios

Personal de la Empresa que soporta la aplicacin del Acciones que desarrollan y detallan las polticas
Modelo de Seguridad, opera, administra y hace
uso de la tecnologa disponible en la Organizacin

15 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

ISO 17799
Mejores Prcticas

Efectivo: produce resultados que cubren los requerimientos del Negocio.

Eficiente: cumple con los requerimientos del cliente al menor costo posible, es decir, no malgasta recursos
Adaptable: Mantiene su efectividad y eficiencia a pesar de los cambios de requerimientos y del entorno.

Asset System System

Security Personnel Classification Development Access
Policy Security and Control and Control
Maintenance

Business
Continuity Compliance
Planning Physical and
Security Computer
and Environmental
Organization
Network Security
Management

16 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Criterios para Evaluar Procesos

Niveles de Madurez Caracter
Caractersticas reas Claves del Proceso (KPA)

5 Base cuantitativa para la inversi

inversin cont
contnua Administraci
Administracin de Cambios al Proceso
Prevenci
Prevencin de Defectos
Optimizado en automatizaci
automatizacin y mejora del proceso

4 Razonable control estad

estadstico sobre la calidad Administraci
Administracin Cuantitativa del Proceso
Administraci
Administracin de la Calidad del Proceso
Administrado de los productos.

Costos y cronogramas confiables y Administraci

Administracin Integrada
predecibles.
redecibles. Coordinaci
Coordinacin Intergrupal
3 Mejora cont
contnua de la calidad. Foco en los Procesos de la Organizaci
Organizacin
Definido Procesos consistentes y escalables a nuevos Programa de Capacitaci
Capacitacin
tipos de proyectos. Revisi
Revisin entre Colegas

Gran dispersi
dispersin en costos y calidad. Planificaci
Planificacin de Proyectos
2 Razonable control en cronogramas. Supervisi
Supervisin y Control de Proyectos
Repetible Mtodos y procedimientos informales Aseguramiento de la Calidad

xito basado en el talento.

1 Costos, cronograma y calidad impredecibles.
Procesos ajustado a la medida, "ad hoc"
hoc"
Inicial Requerimientos sin control.
Inconsistencia en el uso del proceso.

17 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Qu tan segura est su empresa?

Desarrollo y Mantenimiento

Plan de Contingencia Control de Acceso

Administracin
de Sistemas
100
Cumplimiento
75

50

25
Polticas Seguridad Fsica

Organizacin Seguridad del Personal

Clasificacin

18 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Estrategia de Seguridad
Qu Hacer?

deeper

Disclaimer
(Optional location for any required disclaimer copy.
To set disclaimer, or delete, go to View | Master | Slide Master)

Copyright IBM Corporation 20034

 IBM Business Consulting Services

Qu debemos hacer para implantar la estrategia?

Evaluar Construir Administrar

Area de Evaluaciones: Area de Soluciones Area de Administracin:
Servicios de Administracin
Evaluacin de Riesgo Programa de Seguridad Corporativo de la Seguridad
Empresarial
Workshops Enterprise Architecture
Security Health Check Security Managed Security Services
Internet Architecture
Privacy Secure Solution Design Intrusion Detection
Assessments: PKI Vulnerability Scanning
Secure Wireless Solution
Site W ireless Design Firewall Management
Process Policy Definition PKI enabled VPN Incident Management
System Standards Definition Managed anti-virus
Product Selection
Network email security
Process Developement Tivoli Services
Internet
Information Asset Profilee Risk Manager
Application implementation BCRS Recovery Services
W ireless
Privacy Strategy and Access Manager
Implementation implementation
Ethical Hacking Network Services
PKI Planning and Design
Secure Netw orks
BCRS Assessments Video Surveillance
BCRS Plan and Strategy
Development Other IBM and OEM
BCRS Impact Analysis Product Implementation

20 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Estrategia de implantacin del Programa de Seguridad

Qu
Qu debera
debera hacer?
hacer? Cmo?
Cmo? Quin
Quin yy Cmo?
Cmo?
Evaluar Planificar Diseo & Arquitectura Implantacin Administracin
Evaluar Definir
Seguridad Programa de
Empresarial Seguridad

Definir
Organizacin

Alinear Poltica

Definir
Estndares

Disear Procesos
Implantacin
Definir Programa
Concientizacin Implantacin

Administracin
Disear Desarrollo/Implantacin
Arquitectura

Herramientas de Seguridad
Herramientas de Administracin de Sistemas

Herramientas de Monitoreo de Sistemas

21 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Preguntas & Respuestas

22 IBM | Gestin Integral de Riesgos | Seguridad de la Informacin | 8/25/2004 Copyright IBM Corporation 2004
 IBM Business Consulting Services

Gracias por su atencin

Fin de la Presentacin
Manuel Martnez, manuelm@ve.ibm.com
deeper

Disclaimer
(Optional location for any required disclaimer copy.
To set disclaimer, or delete, go to View | Master | Slide Master)

Copyright IBM Corporation 20034