marcos seguridad-v040811
TRANSCRIPT
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
La estrategia de seguridad como un habilitador para el cumplimiento de los
objetivos estratégicos de las organizaciones
Pink Elephant Iberoamérica
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
"La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos
de las organizaciones."
Seguridad de la Información
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Seguridad de la Información• La Seguridad de la información se define como la preservación de las
siguientes características:– Confidencialidad: se garantiza que la información sea accesible sólo a aquellas
personas autorizadas a tener acceso a ella.– Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de
procesamiento.– Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la
información y a los recursos relacionados con ella toda vez que se requiera.
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
El Manejo Seguro de Información es una necesidad imperativa
El problema se gesta internamente• Empleados y socios de negocio, principal fuente• Incremento exponencial del riesgo operativo
Protección de información y cumplimiento• Normatividad basada en uso y manejo de datos• Diligencia en la protección de datos
Complejidad de las amenazas• Ataques complejos, dirigidos y bien planeados• Visibilidad limitada de información clasificadas
76%de incidentes
81%de compañías afectadas no
cumplían con estándares (PCI)
$6.7costo
de incidentes
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Crimen organizado Usuarios bien intencionados
Ataques internos
Anatomía de un Incidente
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Entorno del Manejo de Información
EXPL
OSIÓ
N DE
DA
TOS
EL PAPELDE LA SEGURIDAD
EMPRESAS
SIN MUROS
Un perímetro
que se
desvanece
La oficina se encuentra “en
cualquier lugar”
Tercerización y
relocalización
Riesgos y cumplimientoPresupuesto limitado
Habilitador de negocio
Los datos se encuentran en
todas partesDatos estructurados,
contenido no estructurado
PI, cliente y datos clasificados
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
23
Alineación de la seguridad informática al negocio
COSO COBIT ITIL ISO27001 CMM / RUP / ASL
Control y Auditoría Procesos y Calidad
ISO 9001
Alineación de la Seguridad al Negocio
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Objetivos Estratégicos de la Seguridad
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Principales Desafíos
• Eficiencia Operativa
• Aumento de la Rentabilidad
• Necesidad de mejores implementaciones• Madurez del Modelo de seguridad
• Alto volumen de transacciones
• Requerimientos explícitos de confidencialidad, disponibilidad y seguridad de la información
• Necesidad de continuidad operativa
• Diversidad de Regulaciones que agregan complejidad a las operaciones (PCI, SOX, Basil II, etc.)
• Baja tolerancia a incidentes de seguridad
Oportunidades en capacidades
actuales
Objetivos del
negocioCaracterísticas de la industria
Escrutinio de entidades
regulatorias
Estrategiade
Seguridad
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
$
Nivel de seguridad100%
Costo de pérdida de información
Costo de implementar seguridad
CostoTotal
Nivel óptimo de seguridad
Costo-Beneficio de la Seguridad
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Propósito fundamental de la Seguridad.
Alto
Probabilidad de que se aprovechen las brechas de seguridad
AltoBajo
Nivel de riesgo inaceptable
Nivel de riesgo aceptable
Impa
cto
al n
egoc
io
El propósito fundamental de la seguridad es:
“Administrar el riesgo al cual la organización se encuentra expuesta con respecto a la información”
EvitarTransferir
Aceptar Reducir
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Visión de los Sistemas de Gestión de Seguridad de la Información (SGSI).
SGSI
Compromiso
Directivo
FactorHumano
TecnologíaGestión
Ries
gos
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Modelo de Madurez
Nivel 0Sistema
Inexistente
Nivel 1Sistema
Intermitente
Nivel 2Sistema Intuitivo
Nivel 3Sistema Definido
Nivel 4Sistema
Administrado
Nivel 5Sistema
Optimizado
Procesos inexistentes
Procesos desorganizados
Procesos inconsistentes
Procesos documentados y
comunicados
Procesos medidos y
monitoreados
Mejores prácticas
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Cuestiones a responder con el Plan de Seguridad
Impactos económicos y
financieros
Características de la gestión de
información
Mecanismos de implementación
SESI
• ¿Cómo se estructura la relación entre la estrategia de negocio y la seguridad de información?
• ¿Cuál es el valor real de mis activos de información?• ¿Qué tipo de amenazas se encuentran presentes al día de hoy en
nuestra organización?• ¿Qué nivel de riesgo se presenta actualmente en la organización?• Nuestro personal, ¿se encuentra consciente del valor de nuestra
información?
• ¿Cuanto podemos ahorrar al implementar un SESI?• ¿Cuáles son los costos y gastos asociados a la falta de gestión de la
seguridad de información?
• ¿Cómo estructuramos el liderazgo de seguridad de información a manera de garantizar la aceptación de nuevos controles y prácticas?
• De acuerdo al nivel de seguridad y riesgo, ¿Cuáles deben ser nuestras prioridades de implementación de controles?
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
"La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos
de las organizaciones."
3.- Marcos de Referencia, Requerimientos y Regulaciones
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Definiciones Básicas
Estándar/Norma
Marcos de Referencia Regulaciones Mejores
Prácticas
Establece una serie de especificaciones y controles independientes de fabricantes. Además cuenta con reconocimiento internacional mediante procesos certificados.
Define una estructura básica de controles utilizados para resolver cuestiones complejas como el lograr el cumplimiento de ciertas regulaciones u objetivos o realizar auditorías sobre procesos específicos.
Consiste en una serie de requerimientos y reglas impuestos ya sea por el gobierno o la industria para la utilización de ciertos mecanismos y que en caso de no cumplirse pueden ocasionar multas o la prohibición de realizar ciertas actividades.Las regulaciones pretenden controlar salidas y/o entradas.
Se basa en técnicas, métodos, controles, etc., probadas en la industria que provocan esperados resultados y medibles al implementar controles y procesos.
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Esquemas referenciables
Guías deMejores prácticas
Normas o estándarescertificables
Regulatorio,Requerimientosde Industria
Marcos de referencia
Controles anivel compañía
Seguridad dela Información
Entrega de serv. TI / Operaciones
Desarrollode sistemas
Sistemas de reporte financiero
EspecificoTecnología/ Reqs. adicionales
COSO/COSO 2/COBIT
COSOCOSO 2 (ERM)
ISO27002ISO27005
ITILISO 20000-2
CMMISO21827RUP, ASL
ITGI SOX*COBIT, COSOSOX 404
X ISOX ANSI
ISO 27001 ISO 20000-1
PCAOB SOX
PCI, FFIECHIPAA, CNBVHL7, SHCP
SAS 70 TRUST SERVICES PCAOB
WebtrustFor CAs
CNBV, SHCPPCI, FFIECHIPAA, CNBVHL7, SHCP
PCI, FFIECHIPAA, CNBVHL7, SHCP
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Mapa de relación de marcos
Procedimientos de desarrollo y mantenimiento
Procedimientos de seguridad ITIL
Principios de Seguridad
(OECD)DRII
SSE - CMM
ISO 9001 ISO 20000
ISO 27001 BS 25999
COBIT
BSC Val IT COSO
DesempeñoMetas de negocio
Cumplimiento
SOX, BASILEA II, PCI, ETC
Procesos y procedimientos
PRINCE 2 / PM
BOK
ISO 27005CMMI
Estándares y normas
Gobierno de TI
Gobierno Corporativo
Motivadores
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Elementos de COSO
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
4 Dominios
34 ProcesosControles
215 ActividadesObjetivos de Control
Composición de Cobit
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Basilea II (Generalidades)• El comité de Basilea es un grupo compuesto por representantes de los
principales actores financieros del mundo, que se reunen de manera periódica para generar normativas internacionales.
• Entre estas se encuentra la normativa conocida como Basilea II, la cual define el riesgo operativo y la forma en que el mismo deberá de ser medido y tratado.
• Basilea II define el riesgo operativo como “el riesgo de la pérdida resultante de procesos internos inadecuados o fallidos, personas o sistemas vulnerables o por eventos externos. Esta definición incluye el riesgo legal y tecnológico pero excluye el riesgo estratégico y reputacional.
• Así mismo, define 8 líneas de negocio básicas y 7 tipos de riesgo operativo.
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Sarbanes Oxley (Sección 404)• La sección 404 requiere que la administración y auditorías externas
reporten la efectividad y lo adecuado que son los controles internos de la organización acerca de los reportes financieros.
• Es de sobra conocido que en la mayoría de las organizaciones los procesos de reporteo financiero se encuentran habilitados por TI, por lo que esta sección tiene un impacto directo en TI.
• COSO define cinco áreas principales de atención para esta sección:• Análisis de riesgo.• Control de ambiente.• Control de actividades.• Monitoreo.• Información y comunicación.
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Requerimientos PCI
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Estructura ISO/IEC 27001:2005
• 0. Introducción• 1. Alcance• 2. Referencias Normativas• 3. Definiciones y Terminología• 4. Sistema de Gestión para la Seguridad
de la Información• 5. Responsabilidad de la gerencia..• 6. Auditorias Internas para el SGSI• 7. Revisión Gerencial del SGSI• 8. Mejora del SGSI• Anexo A: Objetivos y controles
Dominio
A.5 Política de Seguridad
A.6 Organización de la SI
A.7 Gestión de activos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y ambiental
A.10 Gestión de comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición, desarrollo y mantenimiento de sistemas de información
A.13 Gestión de incidentes de SI
A.14 Gestión de la continuidad
A.15 Cumplimiento
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
"La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos
de las organizaciones."
Sistema Estratégico de Seguridad de la Información
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Existen 3 problemas típicos que incrementan complejidad en las implementaciones y crean barreras para el logro de los beneficios esperados
Fuente: Análisis Dicta
Falta de objetivos claros de negocioFalta de objetivos claros de negocio
“Exhaustividad” en el enfoque de implementación
“Exhaustividad” en el enfoque de implementación
Minimización del factor humano (cultural)
Minimización del factor humano (cultural)
Dificultades primarias experimentadas por los líderes de los esfuerzos de implementación
Dificultades primarias experimentadas por los líderes de los esfuerzos de implementación
Dificultad experimentada por toda la organización
Dificultad experimentada por toda la organización
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Factor humano La mayoría de los esfuerzos de mejora se ven frustrados en la etapa de realización por
enfocarse en la parte “visible” de la complejidad del proceso o por la falta de experiencia de los líderes del esfuerzo
Etapa de planeación Etapa de
ejecución
Etapa realización de resultados
Área visible, (formal, medible)
Área situacional y psicológica (no visible)
ProcesosTecnología
Estructura organizacional
Indicadores de desempeño
InteresesMotivación
DisposiciónCapacidades
Valores Miedos
Comportamientos no deseados Resistencia a
cambios
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Sistema Estratégico de Seguridad de la Información (SESI)
• Un Plan Estratégico de Seguridad permite definir la estrategia y el plan para la implantación de un buen Gobierno de Seguridad alineado con los objetivos estratégicos de la organización basado en el valor y el riesgo presente de la información protegida.
• Proporciona además un modelo de procesos para enmarcar las necesidades de Gobierno de Seguridad y sobre el cual se definan los componentes tácticos y operativos, así como las políticas, metodologías, estándares, procedimientos y controles asociados a cada componente.
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Modelo Integral de la Seguridad de la Información
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Componentes Mínimos de la Estrategia de Seguridad
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Integración Negocio-Tecnología
Identificación de procesos de negocio
Definición de Criticidad de Procesos
Análisis de Riesgo Procesos-Personas-Tecnología
Plataforma Habilitadora de los Procesos
Identificación de información por procesos
Definición y Desarrollo de Estrategia
Controles y Gestión Procesos-Personas-Tecnología
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Estrategia
Cumplimiento Política
Monitoreo (Nivel de Riesgo) Conciencia
Implementación
Prevención Detección
Corrección
Ciclo del SESI
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Road Map Sistema Estratégico de Seguridad de la Información
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Ciclo de Mejora Continua
Partes interesadas:
ClientesProveedoresUsuariosAccionistasOtros
Requerimientos y Expectativas de
Seguridad de Información
Partes interesadas:
ClientesProveedoresUsuariosAccionistasOtros
Requerimientos y Expectativas de
Seguridad de Información
Establecimiento del SGSI
PLAN
Implementación del SGSI
DO
Monitoreo y revisión del SGSI
CHECK
Mejora del SGSI
ACT
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
• Miedo y resistencia al cambio.• Miedo a la exposición• Falta de conocimiento de los usuarios• Falta de conciencia
• Creencia que existirá un incremento en gastos de operación• Creencia que existirá entorpecimiento de operaciones y procesos• Expectativas de generación de burocracia• Incremento inicial en cargas de trabajo
• Incremento de incidentes de atención• Posible generación inicial en exceso de falsos positivos• Falta de habilidades y conocimientos técnicos para implementar
controles
Algunas Realidades en la Implementación
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Factores Críticos de Exito• COMPROMISO de la Dirección.• Participación ACTIVA.• Criterios de aceptación de riesgo basados en el negocio.• Iniciativas de mitigación y NO solo acciones de mitigación.• Métricas reales y fáciles de dar seguimiento.• Sistema de documentación simple.• Establecimiento de cultura de seguridad.• Mecanismo de Gestión que garantice la conversión del
proyecto en un PROCESO continuo.
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
"La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos
de las organizaciones."
Beneficios
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
• Reducción de gastos derivados de errores humanos en el manejo seguro de información
• Incremento del retorno de inversión sobre iniciativas de seguridad, derivado de la planeación adecuada del tratamiento del riesgo.
• Reducción de costos en mesa de ayuda y de servicio.
• Justificación basada en riesgos de negocio para proyectos de TI.• Reducción del riesgo tecnológico a través de metodologías de
analisis y gestión basadas e estándares. • Facilidad de integración con otros sistemas ISO.• Medición del desempeño de seguridad
• Alineación estratégica de la estrategia de seguridad con la estrategia de la organización.
• Mejora continua de procesos a través de acciones derivadas de procesos de revisión.
• Afianzar el compromiso corporativo.• Generación de cultura orientada a a la seguridad.• Análisis de riesgo orientado a impactos de negocio.
Beneficios de contar con un SESI
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
• Para los accionistas:– Retribución sobre la inversión en
tecnología y sobre el negocio– Ahorro en costos y gastos– Disminuir el riesgo– Robustecer el control corporativo– Menor TCO– Protección a la inversión– Cumplimiento con regulaciones aplicables– …
Operación exitosa del SESI
• Para los colaboradores:– Calidad de vida.– Satisfacción mejorada.– Lealtad y productividad– …
• Para la comunidad:– Garantía de operación continua que
genera fuentes de empleo y satisface el apoyo social.
– Responsabilidad civil.– Responsabilidad legal.– …
• Para los clientes:– Mayor nivel de confianza– Mayor nivel de servicio– …
• Para los proveedores:– Relaciones seguras, de calidad, confianza y
transparencia.– Nivel de confianza– …
Relación de valor por el logro de un Sistema de Gestión de Seguridad de la Información
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
"La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos
de las organizaciones."
6.- Preguntas
Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.
Knowledge translated into results
Pink Elephant - Expertos en Gestión de Servicios de TI