ISACA CyberSecurityDay 2018, Gobernanza Efectiva de Seguridad de La Información

CLAVES PARA UNA GOBERNANZA
EFECTIVA DE SEGURIDAD DE LA
INFORMACIÓN
MG. Sebastián Vargas
AGENDA SLIDE
1. Presentación exponente
2. Reflexiones principales
3. Tips de gobernanza efectiva
4. Concluciones
5. Consultas
Mg. Sebastián Vargas

Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
PRESENTACIÓN EXPONENTE
Sebastián Alejandro Vargas Yáñez

Magíster en Gestión de Tecnologías de la información
Diplomado en Gerencia de Seguridad de la información
Ingeniero Civil en informática
Licenciado en Ciencias de la Ingeniería.
Oficial de Seguridad de la información del INE

Más de 10 años de experiencia profesional.
• Secretario General de Fundación Whilolab

• Impulsor de la Mesa Técnica de Ciberseguridad del Estado de Chile.
• Miembro impulsor de la Comunidad de Seguridad de la información del estado de Chile.
• Miembro de Party/Hack
• Adherente de OWASP Chile, Cloud Security Alliance Chile
• Colaborador de la Conferencia 8.8 Infinity, seguridadyfirewall.cl y directorio de ISACA Santiago
• Autor del blogdelciso.com
¡LOS ATACANTES SE ACERCAN!

¿NUESTRAS TROPAS ESTÁN PREPARADAS?

DETÉNGANSE A PENSAR UN MINUTO…
¿Cuál es nuestro aporte en el ecosistema de
seguridad de la información?

DETÉNGANSE A PENSAR UN MINUTO…
¿Qué quiero ser, profesionalmente?

• CISO – Chief Information Security Officer
• LISO – Local Information Security Officer
• DPO – Data Protection Officer
• Director de en Seguridad de la Información
• Director de Seguridad Corporativa
• Director en Ciberseguridad
• Auditor de sistemas de información
• Auditor en Ciberseguridad
• Consultor especializado en seguridad de la información
• Consultor / Asesor en seguridad de la información
• Responsable de Gestión de Riesgos y Cumplimiento Normativo en el área de
tecnología
• IT Security Arquitect
• Analista en seguridad de la información
• Hacker ético
• Pentester
• Analista NOC/SOC/CSIRT
• Muchos otros más.

¡NUESTRO CAMINO COMIENZA!

¿CÓMO ENTENDEMOS LA SEGURIDAD DE LA
INFORMACIÓN?
ORGANIZACIÓN
Diseño/Estrategía
GOBIERNO
AR
RA
Q
UI
U
LT
TE
CU
CT
UR
PROCESO
A
HA
BIL
I TA
IA CIÓ
E NC N YS
E RG OP
EM OR
TE
PERSONAS TECNOLOGÍAS
FACTORES HUMANOS
Fuente: ISACA ® - Manual de preparación para el examen CISM 15º edición

¿CUÁL ES EL GIRO DEL NEGOCIO
DE LA ORGANIZACIÓN?
CORE

¡COMPRA MÁS CAJAS MÁGICAS DE HARDWARE Y SOFTWARE, LAS NECESITAS!

¿CUÁLES SON LOS PROCESOS DE LA ORGANIZACIÓN?
Debe identificar los procesos críticos.
Procesos estratégicos
Procesos operacionales
Procesos de apoyo

¿CUÁL ES NUESTRO ESTADO ACTUAL?
Estado Estado Estado

actual deseado futuro

¿CUÁL ES NUESTRA ESTRATEGIA?
¡Defina su estrategia con la ayuda de estos seis principios!
1. Establecer responsabilidad con respecto a la

seguridad de la información en toda la organización.
2. Adoptar una aproximación basada en el riesgo.
3. Establecer la dirección de las decisiones de inversión
en Seguridad de la Información
4. Asegurar conformidad con los requerimientos internos
y externos.
5. Fomentar un entorno positivo respecto de la
seguridad.
6. Revisar el rendimiento en relación a los resultados de
negocio.

¡CREE LA CULTURA DE LA SEGURIDAD!
La cultura de Seguridad de la Información es el factor principal de éxito y el más complejo, las personas
debe ser su foco.
¡Forme agentes de cambio de

Seguridad de la Información!
¡Empodere a lideres dentro de

la organización!

¡CREE LA CULTURA DE LA SEGURIDAD!
La cultura de Seguridad de la Información es el factor principal de éxito y el más complejo, las personas
debe ser su foco.
Debe crear un plan de concientización anual y

medible, por ej: 300 personas del negocio
capacitadas anualmente en introducción a
seguridad de la información.
Debe crear un plan de marketing de la seguridad

de la información, el foco pasar de tema difícil de
entender a un tema que los colaboradores hagan
propio.
Los mensajes deben ser segmentados y

personalizados pensados en la audiencia que los
recibirá, puesto es clave su entendimiento.
• Promoción para gerentes

• Promoción trabajadores del negocio
• Promoción trabajadores administrativos

¡FORME EL COMITÉ DE SEGURIDAD DE LA
INFORMACIÓN!
Gerente General
Oficial de
Gerente de Gerente de Representante Gerente de Gerente Gerente de Seguridad de la
Operaciones RR.HH legal Tecnologías Comercial Comunicaciones información
Esquema básico de Comité de seguridad de la información.
Objetivo: Alinear la estrategia de Seguridad de la información con los objetivo de negocio

Reuniones: trimestral

¡FORME EL COMITÉ DE TÉCNICO SEGURIDAD DE LA
INFORMACIÓN!
Oficial de Seguridad de la
información
Coordinadores Especialistas
Agentes de cambio
internos internos
Esquema básico de Comité de técnico seguridad de la información.
Objetivo: Implementar las medidas necesarias para el fiel

Cumplimiento del programa de seguridad de la información.
¡IDENTIFIQUÉ QUÉ DESEA PROTEGER!
Gestión de activos de información.
“Identifiqué lo crítico para llegar a todo.”
1. Matriz de activos de información actualizada.

2. Documentación asociada oficializada.
3. Un procedimiento definido para:
a) Etiquetar los activos.
b) Clasificar los activos.
c) Asignar un propietario.
d) Asignar un custodio.
Fuente: http://www.normas-iso.com/iso-27001/

¿CÓMO GESTIONAR LOS RIESGOS?
Tips para riesgos.
1. Hay diferentes metodologías de gestión de riesgos.

Utilice la que mejor se adapte a su negocio: ISO
27.005, COBIT para riesgos, MAGERIT, ISO
31.000, COSO ERM.
2. Nosotros soló podemos hacernos cargo de lo que
declaramos como tal.
3. No reinvente la rueda. Hay organizaciones que
llevan años en esto, apóyese en los cuerpos de
buenas practicas para identificar correctamente las
amenazas y vulnerabilidades: OWASP, CIS, NIST,
SANS, ISACA, ISC2…
4. El compliance es vital. Apóyese en el equipo jurídico,
para revisar las implicancias de la ley vigente.
5. Jamás se podrá hacer cargo del 100%. ¡ Priorice !
6. Soló hay que mitigar lo que la organización estime,
recuerde que hay 3 respuestas más.
7. Una mala gestión de riesgos puede terminar en
incidentes críticos.
Fuente: http://www.normas-iso.com/iso-27001/

AHORA IMPLEMENTEMOS NUESTRO SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Dominios Norma Chilena 27.001:2013 Dominios Norma Chilena 27.002:2013
Estratégico
Política de Seguridad
Cláusula Aspectos organizativos
1 Contexto de la Organización para la seguridad
2 Liderazgo
Clasificación y control
3 Planeación Control de accesos
de activos
4 Soporte
5 Operación Conformidad
Táctico
6 Evaluación de rendimiento
Seguridad en los Seguridad física Relaciones con
7 Mejora personas Y ambiental Proveedores
Adquisición, Desarrollo y
Seguridad de Gestión de continuidad
mantenimiento
comunicaciones del negocio
Operacional
de sistemas
Seguridad en a las Gestión de incidentes de

Criptografía operaciones Seguridad de la información

AHORA IMPLEMENTEMOS COMPONENTES DE
CIBERSEGURIDAD
Dominios Norma Chilena 27.035:2015

¡APOYÉMONOS DE LAS MEJORES PRÁCTICAS!
CENTER SECURITY INTERNET (CIS) TOP 20 CONTROLES CRITICOS DE CIBERSEGURIDAD

Conjunto de acciones prioritarias para proteger su organización y los datos de los vectores conocidos de ataque cibernético.
Fuentes: https://www.cisecurity.org/controls/

¿TENEMOS UNA POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN ROBUSTA?
DECLARACIÓN INSTITUCIONAL
PRINCIPIOS
CONTENIDOS
OBJETIVO DE LA POLÍTICA
ALCANCE
GOBERNANZA
COMITÉ DE SEGURIDAD DE LA INFORMACIÓN
COMITÉ TÉCNICO DE SEGURIDAD DE LA INFORMACIÓN
ENCARGADO(A) DE SEGURIDAD DE LA INFORMACIÓN
ROLES Y RESPONSABILIDADES
ÁMBITOS DE LA SEGURIDAD DE LA INFORMACIÓN
ORGANIZACIÓN DE LA SEGURIDAD
GESTIÓN DE ACTIVOS DE INFORMACIÓN
SEGURIDAD LIGADA A LAS PERSONAS
SEGURIDAD FÍSICA Y AMBIENTAL
SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES
SEGURIDAD EN EL ACCESO A LA INFORMACIÓN
SEGURIDAD EN LA ADQUISICIÓN, DESARROLLO Y MANTENCIÓN DE SISTEMAS DE
INFORMACIÓN
GESTIÓN DE INCIDENTES DE SEGURIDAD
¿Le gustaría aprender a hacer una política? SEGURIDAD EN LAS RELACIONES CON LOS PROVEEDORES
https://blogdelciso.com/politica-general-de-seguridad-de-la-informacion/ SEGURIDAD Y CRIPTOGRAFÍA
SEGURIDAD Y CONFORMIDAD
GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
CONTROL NORMATIVO
EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA
DIFUSIÓN
CUMPLIMIENTO Y SANCIONES
CONTROL DE VERSIONES

¿CUALES SON LAS POLÍTICAS LÍNEA BASE QUE
DEBEMOS TENER?
DEPENDE 100% DEL GIRO DEL NEGOCIO Y LOS RIESGOS QUE DECIDIERON
MITIGAR A TRAVÉS DE CONTROLES.

¡PARA MEJORAR LA GOBERNANZA RECOMIENDO!
Política de Seguridad de la información.
Política de Recursos Humanos.
Política de gestión de riesgos de seguridad de la información.
Política de gestión de incidentes.

¿TENEMOS EL PERSONAL ADECUADO?

¡PARTICIPE EN GRUPOS ESPECIALES
DE ÍNTERES!

¡DEFINA UN MODELO DE SEGURIDAD DE LA
INFORMACIÓN, QUE SEA ACORDE A SU NEGOCIO.!
Modelo de seguridad por capas.

DESARROLLE CASOS
DE NEGOCIO Y UNA CARTERA
DE INVERSIÓN EN SEGURIDAD
DE LA INFORMACIÓN

LECCIONES APRENDIDAS
Conozca su estado actual, para modificar el deseado y proyectar

el futuro.
Entender la seguridad de la información como un todo y que

incluye aspectos de ciberseguridad.
Entender el giro de negocio es clave, para invertir con inteligencia

y ser estratega en las decisiones
Conócete para triunfar, debes tener claros tus procesos de

negocio

LECCIONES APRENDIDAS
Para proteger, debes saber que la matriz de activos de

información es vital
La gestión de riesgo no es trivial: la seguridad es la consecuencia

de tener riesgos.
El liderazgo de la seguridad debe promover un cambio de cultura.

Empodere a gente del negocio, forme agentes de cambio, aliados
estratégicos.
Sin gobernanza los sistemas están destinados a perecer. Lidere ,

luego gerencie.

!SIN ESTRATEGIA,
USTED NO NECESITA
MÁS CAJAS
INVIERTA EN LAS
PERSONAS PRIMERO!
CONCLUSIÓN
“Llegó el momento que dejemos de actuar como islas, y

compartamos. Hoy más que nunca se necesita a múltiple nivel la
cooperación.
Las amenazas y riesgos son globales, los ciberdelincuentes

invierten y están más preparados que las organizaciones.
Si queremos un Chile más ciberseguro y resiliente es tarea de

todos los actores público-privado-independientes, con énfasis en
la tolerancia, respeto profesional, acá todos tienen algo qué
pueden decir, aportar, contribuir, y con esto crear cultura de
ciberseguridad en nuestro país.”

COMUNIDADES DE CIBERSEGURIDAD
Fundación Whilolab Comunidad Party/Hack Blogdelciso
https://whilolab.cl https://partyhack.cl https://blogdelciso.com


ISACA CyberSecurityDay 2018, Gobernanza Efectiva de Seguridad de La Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISACA CyberSecurityDay 2018, Gobernanza Efectiva de Seguridad de La Información

Cargado por

Copyright:

Formatos disponibles

CLAVES PARA UNA GOBERNANZA

Mg. Sebastián Vargas

Sebastián Alejandro Vargas Yáñez

Oficial de Seguridad de la información del INE

• Secretario General de Fundación Whilolab

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Mg. Sebastián Vargas

¿Qué quiero ser, profesionalmente?

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Debe identificar los procesos críticos.

Mg. Sebastián Vargas

Estado Estado Estado

Mg. Sebastián Vargas

¡Defina su estrategia con la ayuda de estos seis principios!

1. Establecer responsabilidad con respecto a la

Mg. Sebastián Vargas

¡Forme agentes de cambio de

¡Empodere a lideres dentro de

Mg. Sebastián Vargas

Debe crear un plan de concientización anual y

Debe crear un plan de marketing de la seguridad

Los mensajes deben ser segmentados y

• Promoción para gerentes

Mg. Sebastián Vargas

Esquema básico de Comité de seguridad de la información.

Objetivo: Alinear la estrategia de Seguridad de la información con los objetivo de negocio

Mg. Sebastián Vargas

Esquema básico de Comité de técnico seguridad de la información.

Objetivo: Implementar las medidas necesarias para el fiel

Gestión de activos de información.

“Identifiqué lo crítico para llegar a todo.”

1. Matriz de activos de información actualizada.

Mg. Sebastián Vargas

Tips para riesgos.

1. Hay diferentes metodologías de gestión de riesgos.

Mg. Sebastián Vargas

Dominios Norma Chilena 27.001:2013 Dominios Norma Chilena 27.002:2013

Seguridad en a las Gestión de incidentes de

Mg. Sebastián Vargas

Dominios Norma Chilena 27.035:2015

Mg. Sebastián Vargas

CENTER SECURITY INTERNET (CIS) TOP 20 CONTROLES CRITICOS DE CIBERSEGURIDAD

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Política de Seguridad de la información.

Política de Recursos Humanos.

Política de gestión de riesgos de seguridad de la información.

Política de gestión de incidentes.

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Modelo de seguridad por capas.

Mg. Sebastián Vargas

Mg. Sebastián Vargas

Conozca su estado actual, para modificar el deseado y proyectar

Entender la seguridad de la información como un todo y que

Entender el giro de negocio es clave, para invertir con inteligencia