gestión de seguridad de datos - dama.gxpsites.com
TRANSCRIPT
Seguridad para todos ¿para qué me sirve? ¿lo necesito? ¿cómo lo hago?
• LaseguridadesuntemaFUNDAMENTALparacualquierorganizaciónpúblicaoprivada
• Unincidentedeseguridadpuedesignificar• Parodeservicio[temporalodefinitivo]• Usoderecursosnoprevistospararecuperarse[Gastos]• Pérdidadereputación
DMBoKeslareferenciaporexcelenciaeniniciativasdegestióndedatoseinformación
Seguridad para todos • DataSecurityManagementproveereferenciasestratégicasparaprotegerrecursosdeinformación
• Regulacionesdeprivacidadyconfidencialidad• Cumplimientoregulatorio• Contratosyrequerimientosdelnegocio
5
MarcodeGestióndeDatosDAMA-DMBOK2(LaruedadeDAMA)
Fuente:DAMA-DMBOK2Guide
AlmacenamientoyOperacióndeDatos
ModeladoyDiseñodeDatosArquitecturade
Datos
CalidaddeDatos
Metadatos
DataWarehousing&BusinessIntelligence
DatosMaestrosydeReferencia
SeguridaddeDatos
GobiernodeDatos
IntegracióneInteroperabilidad
deDatos
GestióndeDocumentosyContenido
11áreasdeconocimiento
Seguridadde
DatosDAMA-DMBoK2
6
Proveedores: • Proveedor 1 • Proveedor 2
Consumidores: • Consumidor 1 • Consumidor 2
Diagrama de Contexto – Área de Conocimiento
(P) Planeación, (C) Control, (D) Desarrollo, (O) Operación
Participantes: • Rol 1 • Rol 2
Definición: Descripción de alto nivel del área de conocimiento
Metas: Propósitos del área de conocimiento 1. Meta 1 2. Meta 2
Entradas: • Entrada 1 • Entrada 2 Son generalmente salidas de otras áreas de conocimiento
Entregables: • Entregable 1 • Entregable 2 Son generalmente entradas de otras áreas de conocimiento
Actividades: 1. Actividad de Planeación / Grupo de Actividades
(P) 1. Sub actividad 2. Sub actividad
2. Actividad de Control / Grupo de Actividades (C) 3. Actividad de Desarrollo / Grupo de Actividades (D) 4. Actividad de Operación / Grupo de Actividades (O)
Técnicas: • Métodos y procedimiento
para ejecutar las actividades
Herramientas: • Tipos de programas de software para soportar las actividades
Métricas: • Resultados medibles del
proceso
FuerzasimpulsorasdelNegocio
FuerzasimpulsorasTécnicasSupplier
Inputs Process
Output
Customer SIPOC, representación gráfica de un proceso de gestión, utilizado
p.ej. en SixSigma
7
Proveedores: • ComitédirectivodeTI• PersonaldeGobiernode
Datos• Arquitectosdesistema• Personaldecumplimiento
regulatorio
Consumidores: • Usuariosdenegocio• Auditoresdecumplimientoy
regulación
Diagrama de Contexto – Seguridad de los Datos
(P) Planeación, (C) Control, (D) Desarrollo, (O) Operación
Participantes: • CustodiosdeDatos(DataStewards)• Equipodeseguridaddelainformación• Auditoresinternos• AnalistasdeProcesos
Definición: Definición,planeacióndesarrolloyejecucióndepolíticasyprocedimientosdeseguridadparaproveerautenticación,autorización,accesoycapacidaddeauditoríasobrelosrecursosdedatoseinformación. Metas:1. Habilitaraccesosapropiadosalosrecursosdedatosdelaorganizaciónyprevenirlosaccesosnoapropiadosalosmismos.2. Comprenderafondoyalinearlaoperaciónconregulacionesrelevantesypolíticasparacontroldeprivacidad,proteccióndedatosyconfidencialidad.3. Garantizarquelaprivacidadyconfidencialidadrequeridasenlaorganizaciónsonhabilitadasparacumplimientoyapropiadamenteauditadas.
Entradas: • Requerimientosde
Negocioyestrategia• Reglasdenegocioy
procesos• Requerimientos
regulatorios• Estándaresde
arquitecturaempresarial
• ModeladodeDatosinstitucional
Entregables: • Arquitecturadeseguridadde
datos• Políticasdeseguridaddedatos• Estándaresdeconfidencialidady
privacidaddedatos• Controlesdeaccesoalosdatos• Cumplimientoregulatorioenvistas
deaccesoalosdatos• Clasificacióndeseguridaddedatos• Autenticaciónehistorialdeacceso
deusuariosalosdatos• Reportesdeauditoría
Actividades: 1. IdentificarrequerimientosrelevantesdeSeguridaddeDatos(P)2. Definirpolíticasdeseguridaddedatos(C)3. Definirestándaresdeseguridaddedatos(D)4. MediryconocerelestadoactualdeRiesgosLatentesdeSeguridad
(P)5. Implementarcontrolesyprocedimientosdeseguridad(O)
Técnicas: • Sanitizacióndedocumentos• Considerarseguridadpara
RequerimientosdeProyecto• Atributosdeseguridaden
Metadatos• Desarrollode“parchesde
seguridad”inmediatos• UsodematrizCRUD
Herramientas: • Sistemasdecontroldeacceso• Softwaredeprotección• Tecnologíadegestióndeidentidad• Softwareparadetecciónyprevencióndeintrusiones• SeguimientoaMetadatos• Encripciónyenmascaradodedatos
Métricas: • Métricadeimplementaciónde
seguridad• Proteccióndedatos• Incidentesdeseguridad• Indicedeproliferaciónde
datosconfidenciales
FuerzasimpulsorasdelNegocio
FuerzasimpulsorasTécnicas
DMBoK recomienda en seguridad de datos 1. EstablecerymantenerunaestrategiadeSeguridaddeDatos2. AsegurarunpatrocinioconprotagonismoyapoyodelaAltaDirección3. Tenerunaperspectivaconalcanceatodalaorganización4. DesarrollarlaestrategiadeSeguridadantesdeseleccionartecnologías5. Crearoadoptarestándaresdeseguridaddedatos6. Garantizarelcumplimientoregulatorioyderequerimientosdeseguridadpor
partedeusuariosclavedelaorganización7. Mediryconocerelimpactodeunincidentedeseguridad8. Entenderycomunicarlanecesidaddecumplirconpolíticasyprocedimientos9. Establecerymantenerelinvolucramientodetodalaorganización10. Establecerymonitorearprocesosyprocedimientosdeadquisiciónygestiónde
datosacordeapolíticasyestándares
DAMAMéxicoGestióndeMetadatos 8