www.isaca.org.uy seguridad integrada como respuesta al negocio fabián descalzo, ciso uruguay -...
TRANSCRIPT
www.isaca.org.uy
Seguridad integrada como Seguridad integrada como respuesta al Negociorespuesta al Negocio
Fabián Descalzo, CISO
Uruguay - ArgentinaUruguay - Argentina
www.isaca.org.uy
AgendaAgendaRequerimientos del Negocio¿Donde encontrar las respuestas?Conociendo el interiorLa seguridad del lado del NegocioSeguridad integrada como respuesta al Negocio
2
www.isaca.org.uy
Requerimientos del NegocioRequerimientos del Negocio
3
www.isaca.org.uy
Requerimientos del NegocioRequerimientos del Negocio
Establecer objetivos es Establecer objetivos es esencial para el éxito esencial para el éxito de una empresade una empresa
• Permiten enfocar esfuerzos hacia una misma dirección.
• Sirven de guía para la formulación de estrategias.
• Sirven de guía para la asignación de recursos.
• Sirven de base para la realización de tareas o actividades.
• Generan coordinación, organización y control.
• Generan participación, compromiso y motivación; y, al alcanzarlos, generan un grado de satisfacción.
• Revelan prioridades.• Producen sinergia.• Disminuyen la incertidumbre.
Establece un único resultado a lograr y es coherente con la misión de la empresa
4
www.isaca.org.uy
Requerimientos del NegocioRequerimientos del Negocio
5
www.isaca.org.uy
Disponer de una gestión que asegure los
procesos de negocio y el tratamiento de los datos propios o de
terceros alineados a:
Frameworks que Frameworks que aportan valor aportan valor
agregadoagregado
Requerimientos Requerimientos legales y legales y
reglamentariosreglamentarios
Requerimientos del NegocioRequerimientos del Negocio
6
www.isaca.org.uy
SEGURIDADSEGURIDADOBJETOS DEOBJETOS DEINFORMACIÓNINFORMACIÓN
Requerimientos del NegocioRequerimientos del Negocio
7
www.isaca.org.uy
Identificar funciones, obligaciones del personal y establecer un marco operativo acorde a las Requerimientos del Negocio.
Conformar grupos interdisciplinarios (Legales / Desarrollo / Seguridad Informática, y representante del área involucrada) con el fin de analizar los requerimientos del Negocio.
8
Requerimientos del NegocioRequerimientos del Negocio
www.isaca.org.uy
¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?
9
www.isaca.org.uy
Aporte de soluciones de y a cada SectorAporte de soluciones de y a cada Sector
¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?
10
www.isaca.org.uy
Cada nivel de la Organización hace a la seguridad y calidad en el Negocio
¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?
11
www.isaca.org.uy
Desarrollar y fomentar una cultura de la organización y el comportamiento que debe aplicarse en todas las actividades
empresariales
VISIONVISION
¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?
12
www.isaca.org.uy
Conociendo el interiorConociendo el interior
13
www.isaca.org.uy
Conociendo el interiorConociendo el interior
14
www.isaca.org.uy
Conociendo el interiorConociendo el interior
15
www.isaca.org.uy
Conociendo el interiorConociendo el interior
16
www.isaca.org.uy
Físico: Documentos en papel, incluyendo faxes y copias fotostáticas. Puede ser almacenada en archivos físicos, carpetas o gabinetes.
Electrónico: Documentos electrónicos en procesador de texto, hojas de cálculo, etc. Puede ser almacenada en varios medios electrónicos, incluyendo CD ROM cintas de audio, memorias USB, discos duros, Asistentes Digitales Personales (p.e. Blackberries) y otros dispositivos similares
Interpersonal: La información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión, por ejemplo: oralmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico.
Conociendo el interiorConociendo el interior
17
www.isaca.org.uy
Conociendo el interiorConociendo el interior
18
www.isaca.org.uy
La seguridad del lado del NegocioLa seguridad del lado del Negocio
19
www.isaca.org.uy20
Principales objetivos de controlPrincipales objetivos de controlControlControl AlcanceAlcance
1,00 Auditoría, evidencias y monitoreo2,00 Autenticación y control de acceso3,00 Confidencialidad y No-Repudiación4,00 Personal externo y contratistas5,00 Tolerancia a fallas, backup y recuperación6,00 Respuesta y reporte de incidentes7,00 Mantenimiento y operaciones8,00 Red de datos9,00 Acceso físico
10,00 Documentación electrónica y en papel11,00 Accesos remotos12,00 Concientización y entrenamiento en Seguridad13,00 Política de administración de la seguridad14,00 Configuración del sistema15,00 Desarrollo de sistemas y control de cambios16,00 Proveedores, profesionales y prestadores
InterpretaciónTecnología
InterpretaciónUnidades
Administrativas
InterpretaciónUnidades de
Servicio
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy21
Nuevo Modelo de SeguridadNuevo Modelo de SeguridadNuevo Modelo de SeguridadNuevo Modelo de Seguridad
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy
27000
22
Calidad + Seguridad + GobernabilidadCalidad + Seguridad + Gobernabilidad
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy
La seguridad del lado del NegocioLa seguridad del lado del Negocio
23
www.isaca.org.uy
Política de SeguridadPolítica de Seguridad
Aspectos organizativos de la seguridadAspectos organizativos de la seguridad
Clasificación y control de activosClasificación y control de activos Control de accesosControl de accesosControl de accesosControl de accesos
ConformidadConformidadConformidadConformidad
Seguridad del personalSeguridad del personal Seguridad del entorno físicoSeguridad del entorno físico Seguridad del entorno Seguridad del entorno tecnológicotecnológico
Seguridad del entorno Seguridad del entorno tecnológicotecnológico
Desarrollo y mantenimiento Desarrollo y mantenimiento de sistemasde sistemas
Desarrollo y mantenimiento Desarrollo y mantenimiento de sistemasde sistemas
Gestión de comunicaciones y Gestión de comunicaciones y operacionesoperaciones
Gestión de comunicaciones y Gestión de comunicaciones y operacionesoperaciones
Gestión de continuidad Gestión de continuidad de negociode negocio
Seguridad OrganizativaSeguridad Organizativa
Seguridad lógicaSeguridad lógicaSeguridad lógicaSeguridad lógica
Seguridad físicaSeguridad física
Seguridad legalSeguridad legalSeguridad legalSeguridad legal
Táctico
Táctico
Op
erativoO
perativo
Estraté
gico
Estraté
gico
La seguridad del lado del NegocioLa seguridad del lado del Negocio
24
www.isaca.org.uy25
Calidad +Calidad +Seguridad +Seguridad +GobernabilidadGobernabilidad
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy
• Implementación de frameworks integrados para facilitar el cumplimiento de leyes y regulaciones, asociados a los estándares y las políticas corporativas
• El enfoque integradorenfoque integrador, todos los participantes son involucrados en los logros del proyecto
• Resultados concretos en cortos plazos, con avances graduales hacia el cumplimiento de los objetivos
Requerimientos del ServicioRequerimientos del Servicio
TecnologíaTecnología ProcesosProcesos PersonasPersonas
Assessment(GAP, Plan Preliminar)
• Herramientas• Interfaces
• Documentación• Nivel de Madurez• GAP
• Estructura • Instituciones • Nivel de destrezas • Capacitación
Implementación(Procesos implantados)
• Herramientas • Migraciones• Interfaces
• Diseño lógico • Diseño Físico • Vinculaciones • Documentación • Validación de
Funcionamiento
• Roles y responsabilidades
• Entrenamiento • Cambio Cultural • Herramientas de
capacitación
Mejoramiento continuo• Herramientas • Interfaces
• Seguimiento • Ajustes • Refinamientos • Nuevos Procesos
• Entrenamiento • Capacitación
26
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy27
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy
Seguridad integrada como Seguridad integrada como respuesta al Negociorespuesta al Negocio
28
www.isaca.org.uy
• El Negocio debe comunicar cuáles son sus futuros objetivos, para conseguir el soporte conseguir el soporte necesario por parte de la Organizaciónnecesario por parte de la Organización, ya sea desde sus áreas administrativas como de sus áreas tecnológicas.
• La organización, desde las diferentes áreas brindará el soporte necesario acorde a los brindará el soporte necesario acorde a los requerimientos del Negociorequerimientos del Negocio
Seguridad Integrada al NegocioSeguridad Integrada al Negocio
29
www.isaca.org.uy30
Seguridad Integrada al NegocioSeguridad Integrada al Negocio
www.isaca.org.uy
Seguridad Seguridad OrganizativaOrganizativa
SeguridadSeguridadLógicaLógica
SeguridadSeguridadLógicaLógica
SeguridadSeguridadFísicaFísica
SeguridadSeguridadLegalLegal
SeguridadSeguridadLegalLegal
Mejor calidad deMejor calidad deServicios y Servicios y ProductosProductos
Aseguramiento Aseguramiento de activos del de activos del negocionegocio
Asegurar la Asegurar la continuidad en continuidad en el tiempoel tiempo
Seguridad Integrada al NegocioSeguridad Integrada al Negocio
31
www.isaca.org.uy
Mé
trica
s de S
eg
urid
ad
Mé
trica
s de S
eg
urid
ad
Pro
gra
ma
de
Pro
tecc
ión
Pro
gra
ma
de
Pro
tecc
ión
32
Políticas de Políticas de SeguridadSeguridad
Políticas de Políticas de SeguridadSeguridadProcedimientos de Procedimientos de
SeguridadSeguridad
ProcesosProcesos
PlanesPlanes
ProyectosProyectos
SeguridadSeguridad es parte del Plan de Negocios en el marco es parte del Plan de Negocios en el marco empresario actual, brindando a través de ella empresario actual, brindando a través de ella Calidad y Calidad y Gobernabilidad Gobernabilidad sobre todos los servicios de ITsobre todos los servicios de IT
Objetivos de la Objetivos de la EmpresaEmpresa Leyes y RegulaciónLeyes y Regulación
www.isaca.org.uy
Seguridad Integrada al NegocioSeguridad Integrada al Negocio
33
www.isaca.org.uy
Preguntas?Preguntas?Muchas Gracias Muchas Gracias Fabián Descalzo, CISO
Uruguay - ArgentinaUruguay - Argentina
34