VII Congreso Internacional de Seguridad de la Informacin

La seguridad agrega valor

10 y 11 de marzo de 2010 SHERATON Buenos Aires - Argentina

Cmo organizar el Departamento de

Seguridad

organizado por:

1
 VII Congreso Internacional de Seguridad de la Informacin
La seguridad agrega valor
10 y 11 de marzo de 2010 SHERATON Buenos Aires - Argentina

Presentada por:
Castellanos, Ral - CISM

2
Agenda

Cmo estn formados los departamentos de

seguridad?
Ubicacin del departamento de seguridad
Grados de madurez de las reas de seguridad
informtica
Modelo de adopcin de la seguridad en las
organizaciones
 Cmo estn formados los
departamentos de seguridad?
 Cmo estn formados los
departamentos de seguridad?
La seguridad en la Organizacin

1990 Administrador de Antivirus / Accesos

1995 Administrador de Firewalls

1999 Seguridad Informtica

2003 Seguridad de la Informacin

2005 Compliance y Riesgo

 Cmo estn formados los
departamentos de seguridad?
Organizacin de la Seguridad

Algunas variables que determinan cmo es la estructura

del departamento de seguridad son las siguientes:

- Cultura organizacional
- Tamao de la Compaa
- Presupuesto a nivel de personal / gastos / inversin
 Cmo estn formados los
departamentos de seguridad?
Anlisis por tamao de la Compaa

Muy Grande (>10.000 equipos)

Grande (1.000<10.000 equipos)
Mediana (100<1.000 equipos)
Pequea (<100 equipos)
 Cmo estn formados los
departamentos de seguridad?
Organizaciones Muy Grandes

Caractersticas principales:
* Los departamentos de seguridad en grandes
organizaciones tienden a armarse y re-agruparse de
acuerdo a los requerimientos del negocio, presupuesto o
compliance.
* El presupuesto de seguridad crece ms rpido que el
presupuesto de IT.
* Mas all de que tengan presupuestos grandes, el promedio
de gasto en seguridad por usuario es ms pequeo que en
otro tipo de organizaciones.
 Cmo estn formados los
departamentos de seguridad?
Tpica Estructura de Organizacin en Seguridad de la
Informacin en una Muy Grande
 Cmo estn formados los
departamentos de seguridad?
Organizaciones grandes

En este tamao de empresa, la seguridad de la informacin

en muchos casos ya madur, integrndose a la cultura y
planificacin de Organizacin.

Uno de los principales problemas, es que no siempre

poseen los recursos necesarios para los temas de
seguridad.
 Cmo estn formados los
departamentos de seguridad?
Responsabilidades en las Grandes Organizaciones

Contina siendo una responsabilidad del CISO velar

porque las funciones en seguridad de la informacin sean
adecuadamente desarrolladas dentro de la organizacin.

La estructura a tiempo completo (full-time) del personal en

seguridad depende de un nmero de factores, entre ellos:
la sensibilidad de la informacin a ser protegida
las regulaciones de la industria
la rentabilidad general
 Cmo estn formados los
departamentos de seguridad?

Tpico Organigrama del Staff en Seguridad de la

Informacin en las Grandes Organizaciones
 Cmo estn formados los
departamentos de seguridad?

La Seguridad en las Organizaciones Medias

Cuentan con un presupuesto total menor.

Tienen un staff de seguridad de tamao similar a organizaciones

ms pequeas, pero sus requerimientos son mayores.

Dependen de la ayuda del staff de IT para planes y prcticas.

En general, su habilidad para fijar polticas, estandarizar y

asignar recursos eficientemente es baja.
 Cmo estn formados los
departamentos de seguridad?
Tpica Estructura de Organizacin en Seguridad de la
Informacin en una Mediana Empresa
 Cmo estn formados los
departamentos de seguridad?
La Seguridad en Organizaciones Pequeas

Cuentan con un modelo simple y centralizado

de organizacin de IT.

Gastan desproporcionadamente ms en seguridad.

La seguridad de la informacin en una pequea

empresa es en general responsabilidad de un
solo administrador de seguridad.

Estas organizaciones tienen frecuentemente una escasa poltica

formal, planeamiento o medidas de seguridad.
 Cmo estn formados los
departamentos de seguridad?

Tpica Estructura de Organizacin en Seguridad de la

Informacin en una Pequea Empresa
 Cmo estn formados los
departamentos de seguridad?
Est cambiando el rol de la Seguridad de la Informacin
los requerimientos regulatorios?

El rol del CISO est cambiando de una funcin tcnica de

gestin de soluciones tcnicas a una funcin de negocios
de gestin de los riesgos y cumplimiento de la informacin.

Los profesionales en Seguridad de la Informacin deben

comprender y cumplir con una compleja combinacin de
regulaciones.
 Cmo estn formados los
departamentos de seguridad?
Est cambiando el rol de la Seguridad de la Informacin
los requerimientos regulatorios?

Se espera de nosotros que conozcamos, comprendamos

y aseguremos el cumplimiento de estas leyes y normas.

Se espera de nosotros que lideremos los esfuerzos para

implementar el cumplimiento de las soluciones.
Ubicacin del departamento
de seguridad
 Ubicacin del Departamento de
Seguridad?
Ubicando la Seguridad de la Informacin dentro de una
Organizacin
En las grandes organizaciones el rea de Seguridad de la
Informacin es generalmente ubicada dentro del
departamento de IT.
Es dirigida por el CISO que reporta directamente a los
ms altos ejecutivos de Sistemas o al CIO.

Por su propia naturaleza, un programa de Seguridad de la

Informacin entra generalmente en contradiccin con las
metas y objetivos del departamento de IT como conjunto.
 Ubicacin del Departamento de
Seguridad?
Ubicando la Seguridad de la Informacin dentro de una
Organizacin

Actualmente existe una tendencia o movimiento a separar

a la seguridad de la informacin de la divisin de IT.

El desafo est en disear una estructura de reporte

para los programas de Seguridad de la Informacin
que equilibre los requerimientos de cada una de las
partes interesadas.
 Ubicacin del Departamento de
Seguridad?
Opciones de Dependencia:

Administracin
Riesgo
Legal
Auditoria Interna
Finanzas
Recursos Humanos
Operaciones
 Ubicacin del Departamento de
Seguridad?
A quin reporta el CISO?

Depende del nivel de madurez que posee la Compaa y

el programa de seguridad.

Se habla de seguridad informtica o seguridad de la

Informacin?

Tamao y negocio de la Compaa.

 Ubicacin del Departamento de
Seguridad?

A quin reporta el CISO?

Primer nivel: Funcin tcnica dentro de IT.

Segundo nivel: Armado del rea de SI (Seguridad

Informtica) dentro de IT.

Tercer nivel: Cambio de Reporting (Comit).

Cuarto nivel: Divisin de funciones de seguridad en la

Compaa.
Grados de madurez de las reas
de seguridad de la informacin
 Grado de madurez de las reas de
Seguridad de la Informacin
La evolucin de la Seguridad

Nivel Estratgico

Nivel de Negocio

Nivel Gerencial

Nivel Tcnico
 Grado de madurez de las reas de
Seguridad de la Informacin
La evolucin de las reas de Seguridad

Nivel Estratgico CISO

Nivel de Negocio Gerente de Seguridad
Nivel Gerencial Jefe de Seguridad Informtica
Nivel Tcnico Administrador de Seguridad

El rea de seguridad de la informacin es una de las

reas con ms posibilidad de visibilidad de la Direccin.
Grado de madurez de las reas de
Seguridad de la Informacin
 Grado de madurez de las reas de
Seguridad de la Informacin
La madurez del rea de seguridad

Es vital determinar en qu proceso de madurez se encuentra

nuestra Organizacin porque sino podremos hacer nuestro
trabajo de forma excelente pero a destiempo de la
Organizacin.
 Modelo de adopcin de la
seguridad en las organizaciones
 Modelo de adopcin de la seguridad
en las organizaciones
Planificacin de la seguridad de la informacin

Se debe conocer:
Misin (Intranet)
Define los negocios de la Organizacin y sus reas de
operacin. Explica lo que la Organizacin hace.

Visin (Intranet)
Expresa lo que la Organizacin quiere ser.

Planificacin estratgica (CEO)

Plan Director de IT (CIO)
 Modelo de adopcin de la seguridad
en las organizaciones
Planificacin de la seguridad de la informacin
Modelo de adopcin de la seguridad
en las organizaciones
Planeamiento estratgico de la seguridad
 Modelo de adopcin de la seguridad
en las organizaciones
Planificacin Tctica

El CISO debe elaborar una planificacin tctica de la

seguridad (usualmente a 1/3 aos).

Aqu la idea es basarse en la Planificacin Estratgica, el

Plan Director de IT, la misin y visin y desarrollar un
Plan Director de Seguridad de la Informacin (dnde
estamos ahora y dnde queremos llegar en 3 aos).
 Modelo de adopcin de la seguridad
en las organizaciones

Planificacin Operacional

Esta tarea debe ser llevada a cabo por el Jefe de Seguridad.

Consiste en organizar y coordinar las tareas del da a da

para poder cumplir con la planificacin tctica.

Basndonos en nuestros recursos (humanos, tecnolgicos y

econmicos) cmo cumplimos con los objetivos y las metas
definidas.
 Estructura del Area de
Seguridad de la Informacin
Modelo de adopcin de la seguridad
en las organizaciones
Modelo ISO 27001-2005
 Modelo de adopcin de la seguridad
en las organizaciones
CISO

Polticas y Administracin Gestin de Administracin de Control de Normas

Cumplimiento De Riesgos Incidentes y Procedimientos y Procedimientos de
Continuidad Internos Seguridad

1.Creacin y 1.Evaluacin de 1.Elaboracin y 1.Control de Accesos: 1.Auditora de seguridad

mantenimiento de riesgos: mantenimiento del Plataformas 2.Monitoreo de normas en
polticas y normas de Plataformas Plan de Continuidad Aplicaciones las reas de T. I.:
seguridad Procesos de Negocios Bases de datos Desarrollo y prueba
2.Cumplimiento de leyes Aplicaciones 2.Gestin de Externos de aplicaciones
y requerimientos Controles contingencias Admin passwords Uso Bases de Datos
corporativos de 2.Anlisis de 3.Coordinacin de 2.Seguridad en redes Actualizacin SW
seguridad vulnerabilidades acciones en casos de Admin Firewalls Blindaje Produccin
3.Investigacin de: 3.Pruebas de crisis Admin Antivirus Control de
Herramientas resistencia 4.Registro, Admin IDS/IPS Inventario HW/SW
Amenazas 4.Elaboracin de investigacin y Transf VPNs Licenciamiento SW.
Metodologa Planes de monitoreo de Monitoreo red Back up/restore
Best Practices Remediacin incidentes interna Seguridad Fsica
4.Implantacin de la 5.Monitoreo del Monitoreo Centro de Cmputo
Cultura de Seguridad Tablero de Control de navegacin web 3.Monitoreo de normas en
en la Organizacin Seguridad Control de correo reas usuarias
(Concientizacin) 3.Ejecucin de Planes de Actualizacin de
Remediacin passwords
4.Implementacin de 4.Seguimiento de planes
intercambio con de remediacin y de
terceros resolucin de hallazgos
de auditoria
Modelo de adopcin de la seguridad
en las organizaciones
Interaccin Sectores de Seguridad
Polticas y
Cumplimiento

zas y soluciones
Nuevas amena-
Solicitudes de Solicitudes de
Normas Normas

Normas
Y Leyes

Contingencias e Hallazgos de
Gestin de incidentes Administracin Auditoria Control de Normas
Incidentes y De Riesgos y Procedimientos de
Continuidad Seguridad
Remediacin

Irregularidades
Irregularidades
Planes de

Seguimiento
Resolucin Planes de
De incidentes Remediacin y
Cumplimiento

Administracin de
Procedimientos
Internos
Para mayor informacin:

Ral Castellanos

(rcastellanos@cybsec.com)

Para descargar esta presentacin visite

www.segurinfo.org

Los invitamos a sumarse al grupo Segurinfo en

40