Nuestra empresa

JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES

GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
Ingeniería de Sistemas y Seguridad
• Cliente: USB
• Proyecto: Titulación 2016
• Versión: 1.0
• Fecha: 16/09/2016

Agenda Introducción
ITIL®
GESTIÓN DE LA
SEGURIDAD DE LA COBIT®
INFORMACIÓN ISO/IEC 27001
ISO/IEC 31000

[un] Modelo de gestión
Recomendaciones [finales]
Rueda de preguntas

Mg. Ing. Jack Daniel Cáceres Meza
Datos del
facilitador • Auditor ISO27001 (IRCA)
• Planeamiento Estratégico de las Tecnologías de
Información
• ITIL® EXPERT
• Project Management Professional -PMP
• ISO/IEC20000
• Certified Integrator in Secure Cloud Services
• ISO/IEC27002
• Maestría en Ingeniería de Seguridad
Informática
• Maestría en Dirección estratégica de las
telecomunicaciones
• Administración de Empresas
• Proyectos de Mejora
• Diseño de centros de datos
proyectos_tic@jagi.pe

De manera correcta documentación.En el momento preciso . criterios de • Documentados • Estables • Comunicados medición) • Consistentes • Entendidos Informes/revisiones Informes/revisiones • Medidos • Repetibles • Controlados • Seguidos consistentemente • Alcanzar resultados esperados • Capacidad de realización Mecanismos/herramientas/ • Efectividad recursos-capacidades (Eficiencia en el empleo de recursos) .Por quien debe hacerlas (propietario. generalmente REQUISITOS REQUISITOS • Datos • Sistemas de información útiles y usables implícita u obligatoria • Materia prima • Producto terminado –o entregado • Materiales • Hardware instalado y software personalizado • Servicios • Servicio desarrollado e implantado • Servicio gestionado PROCESO Salidas Entradas Procesos anteriores “Conjunto de actividades (lo que desencadena el mutuamente relacionadas o [entrega un resultado posteriores Procesos proceso) que interactúan. ATRIBUTOS ATRIBUTOS procedimientos. Elementos de un proceso En un proceso las cosas deben hacerse: Controles . . retroalimentación) –> desde la primera vez Necesidad o expectativa [es sujeto de medición] establecida. objetivos. roles. mejoras. instrucciones • Definidos • Predecibles de trabajo. políticas. las cuales específico a clientes y a transforman elementos de interesados] entrada en resultados – ISO9000” PROVEEDOR [responde a eventos CLIENTE específicos] (actividades.

Qué (objeto) • ¿Qué hacer? Who .Cómo (método) Where . secuencia) • ¿Cuánto está costando? • ¿Cuándo hacerlo? • ¿Cuánto debería costar? • ¿Cuándo está siendo hecho? • ¿Cuánto deberíamos ahorrar? • ¿Cuándo debería hacerse? • ¿Es necesario hacerlo en ese momento? How much .Dónde (localización) • ¿Cómo hacerlo? • ¿Dónde hacerlo? • ¿Cómo es hecho? • ¿Dónde está siendo hecho? • ¿Cómo debería ser hecho? • ¿Dónde debería ser hecho? • ¿Existe otra forma de hacerlo? • ¿Dónde más puede hacerse? • ¿Es ésta la mejor forma de hacerlo? • ¿Dónde más debería hacerse? • ¿Por qué tiene que hacerse allí? How much .Por qué (propósito) • ¿Por qué él/ ella lo hace? To Whom (a/para quién) • ¿Por qué lo hace? • ¿A quién le sirve? • ¿Por qué lo hace allí? • ¿Quién se beneficia a continuación? • ¿Por qué de esta manera? • ¿Quién emplea directamente mi entregable? • ¿Por qué en ese momento? How .Cuánto (costo) • ¿Cuánto cuesta? When .Quién (persona) • ¿Quién hace la tarea? • ¿Qué se está haciendo? • ¿Quién la está haciendo? • ¿Qué debería hacerse? • ¿Quién debería estarla haciendo? • ¿Qué otra cosa puede ser hecha? • ¿Quién más puede hacerla? • ¿Qué otra cosa debería hacerse? • ¿Quién más debería estar haciéndola? • ¿Por qué soy yo (él/ella) el que hace esto? Why .6W-2H: What .Cuándo (tiempo.Cuánto (tiempo) • ¿Cuánto toma? • ¿Tiene un hito? .

ITIL® • Gestión de servicios JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES .

trazados por la empresa • Flexibilidad. FIDELIDAD • Ganar dinero –y más dinero (comprobado –con cualquier.indicador de rendimiento económico) • Respuesta rápida (CONOCEMOS NUESTRO ECOSISTEMA) • Lograr los objetivos –ESTRATÉGICOS.Retos del negocio • Desarrollar nuevos productos/SERVICIOS y [ampliar] mercados  CRECIMIENTO – EXPANSIÓN – POSICIÓN .DIFERENCIACIÓN • Clima organizacional  BENEFICIO ECONÓMICO (expectativas) • Generar mayores utilidades a MENORES COSTOS EFECTIVIDAD • Cumplimiento normativo y legal • LEALTAD VS. agilidad (frente al MERCADO –usualmente CAMBIANTE –POR REQUERIMIENTOS DEL CLIENTE) • Entre otros No he hablado de TI .

peor. no estandarizados • Los servicios no están definidos -porque los Carencia procesos subyacentes no lo están • Nuestro corazón se centra en [La culpa la de un tiene] la tecnología –¿o negamos esto? • El área [de TI] es reactiva –sí.Situación típica de las áreas de TI 9 • Procesos no establecidos (documentados) -y.en el área de TI • El valor [de TI] no es visible para el negocio -¿o Servicios creemos que sí? . no se ofendan enfoque pero estadísticamente es la realidad • Falta de alineamiento/articulación con el de Gestión negocio -¿quién tiene la culpa? • Falta de comunicación –oportuna apropiada y de consistente.

METAS ¿dónde ¿dónde estamos? PROGRAMAS. DESEMPEÑO . re-planificación.. PROYECTOS ¿cómo lo hacemos y cómo sabemos si hemos llegado? ¿cómo mantenemos (seguimiento. INDICADORES seguridad…) . PLANES estamos? TÁCTICOS Y OPERATIVOS. Para enfrentarlos desarrolla un Proceso de Planificación Estratégica VISIÓN ¿quiénes somos y MISIÓN por qué estamos aquí? 10 ANÁLISIS DIAGNÓSTICO Fortalezas y debilidades OBJETIVOS INTERNO EXTERNO ESTRATÉGICOS Oportunidades Unidades estratégicas Amenazas y Factores regulatorios (¿a dónde Estructura Económicos queremos llegar? Procesos Tecnológicos Marco Funciones Presupuestario ÁREAS CLAVES DE Recursos . el impulso? procesos.... mejora continua.

Esto implica –o debería implicar Visión 11 Misión Metas Definir Objetivos Verificar CSF KPI Métricas Medidas .

configuración • Información  Aplicaciones • Disponibilidad  Continuidad • Políticas  Normas  Procedimientos • Seguridad de la información • Estandarización  Documentación • Herramientas BI. BPM • Mejores prácticas y normas internacionales • Desarrollo de aplicaciones . PERSONAS • Cultura de servicio ¿TI en el negocio? • Clima organizacional • Experiencia • Competencias  Transparencia • Motivación • Actitud de servicio  Integridad • Identidad .compromiso 12  Responsabilidad • Trabajo en equipo • Gestión humana  Gobernabilidad • Gestión del servicio de TI  Ser consistentes • Gestión del conocimiento  Generar confianza Estrategia  Superar expectativas Alcance Riesgos Gestión Calidad PDCA Indicadores (PKI) TECNOLOGÍA PROCESOS • Infraestructura y plataforma tecnológica • Soporte y entrega del servicio • Recursos. capacidad • Alineamiento con estrategia del negocio • Personalización.

haciéndolos propios. trabajo basado en mejores se adopta –y adapta prácticas Implantar (RAE) No debemos imponer •Establecer y poner en ejecución nuevas doctrinas. JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES . avenirse a diversas circunstancias. doctrinas. otros. métodos. prácticas o costumbres Adoptar (RAE) Pero sí interiorizar •Recibir. ideologías. ITIL® es un marco de ITIL® no se implanta. que han sido creados por otras personas o comunidades. etc. condiciones. pareceres. Adaptar (RAE) Y además personalizar •Acomodarse a las condiciones de su entorno.. modas. Acomodarse. instituciones.

ITIL® y otros marcos reconocidos 14 .

ha funcionado de cambio organizacional .. prioridades TQM… ISO… BPR… CMM… No tengo presupuesto Sólo más burocracia Mis jugadores Formemos estrella están comités de trabajando en trabajo otros proyectos Use una Ya lo hemos metodología intentado y no .. Espere que haya resistencia al cambio • Hábitos • Amenaza las relaciones • Temor a lo desconocido de poder ya establecidas • Impacta la zona de • Paradigmas enraizados Somos No me voy No tengo • Inercia estructural comfort a deshacer tiempo – • Barrera intelectual diferentes y • Inercia del grupo no podemos de mi lista estoy • Barrera emocional de activos demasiado Barrera de creencias tener • procesos en excel ocupado estándar Hay otras Otra moda .

Tradicional Gestión de servicios Foco en tecnología Foco en el negocio Administrar Proveer servicios infraestructura Usuarios Clientes Modalidad “bombero” Prevención y control Siempre detrás de las Generando nuevas necesidades posibilidades Islas de información Integrado Estandarización y Procesos informales mejores prácticas .

¿Valor del servicio? ¿Quién lo determina? UTILIDAD Lo que hace el servicio UTILIDAD APTO PARA 17 Los requerimientos funcionales EL • ¿Apoya la ejecución? O PROPÓSITO • ¿Elimina limitaciones? Y GARANTÍA Qué tan bien se entrega el servicio GARANTÍA APTO PARA (desempeño) EL USO Los requerimientos no funcionales • ¿Está disponible? Y • ¿Tiene capacidad suficiente? Y • ¿Provee la continuidad apropiada? Y • ¿Es confiable? Y VALOR • ¿Cuenta con soporte? Y CREADO Todo necio • ¿Es seguro? confunde valor y precio … Antonio Machado .

planes. patrones y validez financiera necesarios para articular los servicios proporcionados por TI con los objetivos estratégicos del negocio . 18 posición.Ciclo de vida del servicio de TI Definir perspectiva.

mantener . Planear. implementar.Ciclo de vida del servicio de TI Diseñar 19 servicios. evaluar. políticas y procesos capaces de materializar la estrategia. prácticas.

Ciclo PDCA . previniendo fallas e interrupciones.Ciclo de vida del servicio de TI Asegurar que los servicios nuevos.20 modificados y retirados alcanzan las expectativas de negocio.

alcanzar la efectividad y eficiencia en la entrega y soporte de servicios .Ciclo de vida del servicio de TI Coordinar y llevar a término las 21 actividades requeridas para entregar y gestionar servicios en los niveles acordados.

Ciclo de vida del servicio de TI Mejorar la eficacia y la eficiencia de22 los servicios y procesos de forma continuada. preocupándose de mantener y crear valor para el cliente. identificando las oportunidades para mejorar las debilidades o fallas dentro de cualquiera de las etapas .

COBIT® • Gobierno corporativo de TI JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES .

FUENTE COBIT® 5. los líderes de TI tienen la presión de ayudar a generar ingresos y brindar una ventaja competitiva. © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS . más que nunca. La tecnología ha jugado un papel clave en el éxito de las empresas y.

¿Inquietudes o exigencias de (o para) TI? 25 .

que no se logra determinar el valor entregan los beneficios estratégico que entrega esperados Los contratos con las software Los contratos de servicios TI son factory se encarecen.¿Hemos experimentado algo de esto (o todavía lo experimentamos)? Los proyectos de TI se justifican La alta gerencia recibe métricas en lenguaje técnico. pero la administrados por personas que disponibilidad es baja no saben de administración TI se entera a última hora de que habrá una fusión/cambios Los usuarios entienden que estructurales. o que la adopción quien debe proteger la de estándares. normas y otros le información es TI. no sistemas de información. no ellos traerá serios cambios radicales Cada nuevo marco que se quiere Todo se consolida en Excel implementar tiene su propia terminología Aquí falta Gobierno de TI . cuesta de TI que no logra entender en entender y justificar sus términos de negocio beneficios Se desarrollan/compran TI se mira como “caja negra”.

Usualmente padecemos de… (pain points) .

Construye.Gobierno y Gestión 28 Gobierno Gestión • Asegura el • Planea. cumplimiento de Opera y Supervisa objetivos (Monitorea): empresariales • La utilización • Evalúa necesidades. prácticas) • Dirige a través de la para lograr un fin priorización y toma de específico decisiones • Supervisa (Monitorea) el desempeño y cumplimiento contra la dirección y los objetivos acordados . de los interesados procesos. prudente de medios condiciones y opciones (recursos. personas.

• Es un compendio de mejores prácticas ya sea comercial. sin aceptadas internacionalmente fines de lucro o del • Se enfoca en el control sector público más que en la ejecución • Porque: • Puede implementarse • Las organizaciones deben tratar con acorde a las la cada vez más creciente cantidad necesidades de información • Y las áreas de TI deben proporcionar orientación adicional en el ámbito de la innovación y las tecnologías emergentes .Entra COBIT® 5 El marco COBIT® 5 es en la ecuación de carácter genérico y útil para las empresas • NO es un estándar o una metodología de todos los tamaños.

Estructura COBIT 30 El control de los Procesos de TI Que satisfacen Requerimientos del los negocio El control es Declaraciones de control facilitado por Que consideran Prácticas de control .

Entendamos entonces que COBIT es 31 .

© 2012 ISACA® TODOS LOS DERECHOS RESERVADOS . y transparencia FUENTE COBIT® 5. riesgos. recursos.COBIT aporta al Gobierno corporativo… 32 Integrando tecnología al Gobierno Corporativo Definiendo cuál es el rol del directorio en el Gobierno de Tecnología Separando claramente las actividades de Gestión de las de Gobierno A comprender que Negocio y Tecnología están fusionadas Vinculando cada inversión en Tecnología con beneficios.

COBIT aporta al Gobierno corporativo… DECISIONES ¿Estamos haciendo lo correcto? ¿Estamos obteniendo los beneficios? • La pregunta estratégica: • La pregunta de valor: ¿Está la inversión: ¿Tenemos: 33 • De acuerdo con nuestra visión • Un conocimiento claro y compartido de los • Coherente con nuestros objetivos de negocio beneficios esperados • Contribuyendo a nuestros objetivos • Una responsabilidad clara para realizar los estratégicos beneficios • Proporcionando valor a un costo económico y • Una métrica relevante niveles de riesgo aceptable? • Un proceso eficaz de realización de beneficios? ¿Lo estamos logrando bien? ¿Lo estamos haciendo correctamente? • La pregunta de arquitectura: • La pregunta de entrega: ¿Está la inversión: ¿Tenemos: • De acuerdo con nuestra arquitectura • Procesos eficaces y disciplinados de dirección. • Coherente con nuestros principios entrega y gestión de cambios arquitectónicos • Recursos técnicos y de negocio competentes y • Contribuyendo a la población de nuestra disponibles para entregar: arquitectura • Las capacidades necesarias • En línea con otras iniciativas? • Los cambios de organización necesarios para potenciar las capacidades? COBIT .

además de Fuente: http://www.madrimasd. software. sistemas. interrupción.org.unam.org/blog/auditoria-de- poseer la misma importancia ti/827-riesgo-tecnologico-su-medicion-como- prioridad-para-el-aseguramiento-del-negocio para el logro de los resultados.asp http://revista. que se La tecnología se vuelve parte incrementa continuamente. trae consigo la decisión los procesos de de administrar el correspondiente: riesgo tecnológico negocio 34 Pérdida potencial por daños.seguridad. aislarse de los demás elementos del proceso. redes y cualquier otro canal de distribución de Información por el empleo de herramientas y aplicaciones tecnológicas.Relación de la La decisión de incorporar tecnología con tecnología en los procesos del negocio.dseinfonavit.org/revista/revista23/tribuna /tribuna1.auditool.mx/035/documentos/ ManualNormativodeRiesgoTecnologico. alteración o fallas derivadas del uso [mal uso] o usabilidad dependencia en el hardware. todos los integrantes en conjunto tienen un solo objetivo.pdf . y que no de la operación y su cuentan con una gestión adecuada en funcionamiento no puede seguridad. http://www.mx/printpdf/356 http://boletin. asimismo. aplicaciones.

37 procesos de gobierno y gestión FUENTE COBIT® 5. © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS .

Cobertura de COBIT® 5 de Otros Estándares y Marcos de Trabajo 36 .

. Las buenas prácticas se siguen y automatizan. Los controles se monitorean y se miden. Los procesos han sido redefinidos Optimizado 100 hasta el nivel de mejores prácticas. Escala de valoración del nivel de madurez Escala % Descripción NoCobIT Aplica N/A Nofor (Control Objectives aplica. Information and related Technology) Falta de un proceso reconocible. Los procesos y los controles siguen un patrón regular. Hay un alto grado de confianza en los conocimientos de cada persona. no hay procesos estandarizados. basándose en los resultados de una mejora continua. No se aplican controles. Los procesos y los controles se documentan y se comunican. Se evidencia de que la Organización ha reconocido que existe un problema y que hay que tratarlo. para una detección de desviaciones efectiva. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por Repetible 40 diferentes personas. ni hay comunicación formal sobre los procedimientos desarrollados. Es posible monitorear y medir el Gestionado 80 cumplimiento de los procedimientos y tomar medidas de acción donde los procesos no estén funcionando eficientemente. No se han Definido 60 establecido mecanismos de monitoreo. La Inicial 20 implementación de un control depende de cada individuo y es muchas veces es reactiva. La Organización no ha reconocido que hay un37 Inexistente 0 problema a tratar. Sin embargo. Pero no están formalizados.

¿Cuáles son los motivos? ¿Qué es preciso hacer? ¿Dónde estamos ahora? ¿Cómo conseguiremos ¿Dónde queremos ir? llegar? ¿Hemos conseguido llegar? ¿Cómo mantenemos vivo el impulso? En resumen… Es un marco de gestión cuyos principios rectores y procesos facilitadores optimizan la información y la inversión en tecnología y el uso de TI para el beneficio de las partes interesadas FUENTE COBIT® 5. © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS .

ISO/IEC 27001 • Gestión de la seguridad de la información JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES .

Consideraciones –de peso • Aspectos legales • Respaldos • Regulaciones • Persistencia ¿modas pasajeras? • Interoperabilidad • Disponibilidad ¿legacy? • Confidencialidad otra ¿solución web? • Integración • Integridad ¿fusiones? • Compatibilidad • Protección ¿riesgos? ¡qué va! • Confianza • Localización ¿TCO? Privacidad ¿SLA? • • Comunicaciones ¿movilidad? • Riesgos • Mantenimiento • Personalización • Capacitación ¿mercado? • Licenciamiento • Actualizaciones ¿competencia? • Continuidad • Procesos ¿benchmark? • Soporte • Cumplimiento ¿presupuesto? • Documentación • Sustentabilidad ¿organización? • Carga • Sostenibilidad ¿globalización? • Normas técnicas • Concurrencia • Sistemas de gestión ¿contenido? • QA/QC • Elementos de configuración (CI) ¿media? • Estándares • Base de Datos de la gestión de configuraciones ¿avances tecnológicos? • Mejora continua (CMDB) … • • Activos Gestión de configuraciones • . ...

Contexto general de seguridad valoran Propietarios Quieren minimizar definen Salvaguardas Pueden tener RECURSOS conciencia de Que pueden Reducen tener Vulnerabilida Daño Amenazas explotan Permiten o des facilitan RECURSOS .

Tarea grupal • Identificar una empresa para trabajar • Identificar un proceso • Desarrollar la matriz RACI del proceso • Identificar los activos de información del proceso. categorizarlos. etiquetarlos y tratarlos • Identificar las vulnerabilidades y amenazas de estos activos de información • Identificar la probabilidad de ocurrencia y su impacto • Establecer una declaración de los riesgos hallados .

Modelo de Seguridad de la Información La información es un recurso que. como el Puede tomar estos estados resto de los activos. y entrenamiento Tecnología Políticas y procedimientos Se adoptan medidas para su Disponibilidad seguridad (salvaguardas) Integridad Confidencialidad La seguridad de la información se basa en estos pilares (metas) . tiene valor para una 43 organización y por consiguiente debe ser Procesada debidamente protegida. Almacenada Transmitida Conciencia. educación.

software. etc. la información: pilares reglamentos. etc. Data consistente Autorización Continuidad del negocio y Válida Autenticación operaciones Persistente Privacidad Canales adecuados Sin manipulaciones Acceso controlado siguiendo los procesos Sin alteraciones correctos Organización (capacitación. políticas. códigos de conducta. auditorías. (leyes.) . mejores prácticas) Normativo – Legal Seguridad decontratos.) Tecnología (hardware. seguridad física. aplicación práctica. normas técnicas.

NO es un proceso puntual –o único. es un proceso CONTINUO .Eventualmente TODO sistema de seguridad FALLARÁ • Entonces. ya que debemos garantizar el CID: • Confidencialidad: Que nadie más lo vea • Integridad: Que nadie más lo cambie • Disponibilidad: Que siempre esté ahí • … debemos implantar las Reglas de Oro • Autenticación: Quién es • Autorización: Qué puede hacer • Auditoría: Qué ocurrió La seguridad –informática.

La norma .

.

Primer nivel de Ámbito de la mejora madurez continua (madurar cada alcanzado vez más) Línea base sobre la que empezaremos las auditorías internas y externas Mejora evidente resultante de sincerar el trabajo necesario para acortar la brecha (GAP análisis) inicial .

lrqa. las mejores prácticas de competencia –industria. para cerrar la brecha Fuente: http://www. etc.es/certificacion-formacion/gap-analisis/index. con un informe presentado con • Descubrir las necesidades indicaciones sobre dónde están las deficiencias y de su organización para “qué” falta para cumplir con cada requisito de la alcanzar la certificación – norma.y costo – auditoría –constructiva.es/certificacion-y-auditoria/Sistemas-de-gestion/Nuestros-servicios/Gap-Analysis/ http://www. controles seleccionados. • El resultado de este análisis establece la Beneficios del Gap análisis • Identificación de riesgos en diferencia entre el desempeño actual y el sus procesos esperado.in situ.Análisis de brecha • Es un análisis que mide cómo una organización está llevando a cabo su desempeño con respecto a una serie de criterios establecidos en base a normas o procedimientos internos.aspx . espacio para mejorar • Establecer calendario –de • El Gap Analysis se lleva a cabo a través de una implementación.bsigroup.

Análisis de brecha • Permite a la organización comparar sus procesos actuales contra procesos del mercado o estándares de la industria relacionados con Seguridad Informática. documentación y aprobación de variaciones entre los requisitos del negocio y las capacidades actuales.com/index.php/component/content/article/11-contenidos/19- servicio-gap-norma-iso-27000 http://www.bogota.edu.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.molanphy. • El proceso incluye la determinación. Fuente: http://arcanus-group.net/category/gap_analysis/ . • Necesario para llevar a cabo la implantación de un SGSI (NTP ISO/IEC 27001:2014).pdf http://sergio.unal.

pdf http://sergio.Análisis de brecha • Pasos para llevar a cabo el análisis de brecha: 1.net/category/gap_analysis/ . Decidir cuál es la situación actual que se desea analizar ("lo que es") y se quiere resolver.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.unal.molanphy. En este paso se responde a la pregunta: ¿Dónde estamos? 2. Determinar los planes y las acciones requeridas para alcanzar el estado deseado Responde a la pregunta de ¿Cómo llegamos al 2018 planteado? Fuente: http://www. Respondería la pregunta ¿En el año 2018 a dónde deberíamos llegar? 3.bogota. Delinear el objetivo o estado futuro deseado ("lo que debería ser"). Responde a la pregunta ¿Cuán lejos estamos de donde queremos estar? 4.edu. Identificar la brecha entre el estado actual y el objetivo.

Conceptos Básicos para el Desarrollo
de un SGSI

Fuente: http://www.intypedia.com/

SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información, protege ésta de una amplia gama de amenazas,
tanto de orden fortuito como de destrucción, incendio o inundaciones, como de 53
orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.

Política de Seguridad de la Información

Estrategia de la Seguridad de la Información

Situaciones no habituales Correo electrónico

Seguridad de las instalaciones
Realización de copias
información en PC

cuentas de usuario
Instalación de

Creaciones de
de seguridad
Borrado de

Protección de antivirus Formación
Software

Uso de internet

Control de accesos
Instrucciones Políticas Formación

Sugerencias Previas
• La implantación de un SGSI
depende del ámbito, el
tamaño y complejidad de la
organización (no debe
pasar de 1 año).
• Optar siempre por escoger
la solución más sencilla de
implantar y mantener.
• No es necesario cubrir
inicialmente todas las
áreas

Quien podrá ayudar con la
implementación de un SGSI
Empresas Consultores
Especializadas

Especialistas Interesados / TI

MODELO PDCA APLICADO A LOS PROCESOS DEL SGSI Ciclo de desarrollo. mantenimiento y mejora Partes PLAN Partes Establecer involucradas el SGSI involucradas DO ACT Implementar y operar Mantener y mejorar el SGSI el SGSI Expectativas y requisitos CHECK Seguridad de la del sistema Monitorear y revisar información de información el SGSI gerenciada .

Algunos Requisito y Conceptos Previos • Conocimiento del negocio • Plan Estratégico de la Organización • Memoria • Estructura Orgánica • ROF. MOF • PETI/POI entre otros planes de TI • Otros • Análisis de Riesgos • Lista de riesgos • Matriz de riesgos • Plan y estrategias para riesgos • Otros .

Proceso de Implantación ISO 27001 Definir el Crear Crear Soporte AG Perímetro de Organización Política seguridad InfoSec Análisis Implantar Auditar Documentar de Controles Riesgo .

Ejemplo de metodología para implantar un SGSI .

Ejemplo de metodología para implantar un SGSI .

Ejemplo de metodología para implantar un SGSI .

Tarea grupal • Resolver el cuestionario • Realizar el análisis de brecha • Establecer el BIA del proceso • Establecer el enunciado de aplicabilidad • Elaborar el plan de tratamiento de riesgos • Elaborar el plan de formación/capacitación del personal involucrado .

ISO/IEC 31000 • Gestión de riesgos JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES .

Fuentes de incertidumbre y riesgos Rotación de Conflictos Devaluaciones Recesiones Huelgas personal sociales Contratos. Desconocimiento asociaciones legales. códigos de responsabilid de la industria inconsistentes regulaciones ética ad social Ataques contra la Inestabilidad Demografía y Inestabilidad Globalización seguridad de política cultura laboral la información Incapacidad Cambios en los procesos de responder y en la gestión ante fallas en organizacional productos o servicios ¡algunas! . Aspectos Violaciones a Falta de acuerdos.

avantium. administrar y comunicar estos riesgos de una manera integral.Riesgos • Tradicionalmente. • La tendencia moderna es utilizar un enfoque integral de manejo de los mismos conocido como “Enterprise Risk Management” (ERM). La experiencia ha demostrado que los elementos que conforman los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema. con el fin de evaluar.es . basados en los objetivos estratégicos de la organización. son los mismos que intervienen para todos los • riesgos en una organización. las organizaciones han tratado estos riesgos mediantes estrategias de reacción y soluciones puntuales.

contar con un equipo de trabajo inapropiado. el vocabulario de gestión de riesgos. que complementa la norma ISO 31000. • Entre las razones detectadas que contribuyen al fracaso de los proyectos se encuentran la poca especificación del alcance en su planteamiento. costo y calidad. un mal manejo de los cambios requeridos durante el desarrollo de la parada y/o carecer de una buena gestión y dirección en la coordinación y manejo de eventos inciertos. • La ISO publica la Guía ISO 73:2009.Gestión de riesgos • Risk Management es un mecanismo que ayuda a predecir y manejar eventos que puedan evitar que el proyecto culmine en plazo. proporcionando una colección de términos y definiciones relativas a la gestión del riesgo. planificación poco realista en cuanto a plazo. . no cumplir con las expectativas del usuario.

principios y guías Relación entre los principios. estructura de soporte y gestión del riesgo 67 Proceso de gestión del riesgo (cláusula 6) .Norma ISO 31000:2009 – Gestión del riesgo.

Gestión del riesgo 68 .

• Pérdida de gobernabilidad. ISO: International Organization for Standardization • Integración débil. • Negativa del proveedor a ser NIST auditado. prácticas de seguridad para la Nube Técnicos • Incompatibilidad para migración. CSA: Cloud Security Alliance . • Denegación de servicio. • Abuso de privilegios. • Deslocalización de la Riesgos información. COBIT CSA • Compromiso de la interfaz de gestión. NIST: National Institute of Standards and Technology COBIT:Control Objectives for Information and Related Technology • Inter operabilidad incompleta. ISO Legales • Dependencia en el proveedor. • Proveedores sin experiencia. • Usurpación de datos. • Ley de contrataciones. • Sabotaje • Normativas internas. • Desconocimiento • Comunicaciones inseguras. • Personal técnico no especializado. Controles y guías de buenas Riesgos • Compartición de recursos. • Titularidad de los derechos.

es un elemento que permite a los responsables de seguridad tomar decisiones sobre en qué activos existe mayor riesgo y de esta forma proponer y tomar las medidas necesarias para minimizarlas. Adquisición de Datos Automatización Procesos 1 2 Corrección Automatizada 5 3 Correlación de Datos 4 Valorización de Datos . Panel de Administración de Riesgos El Panel de Administración de Riesgos.

REPOSITORIO DE RISK AND GESTIÓN PRTG Network Monitor DATOS COMPLIANCE DE Nagios (GRC) WhatsUp Gold RIESGOS MANAGEMENT Tivoli OpenView SOLUTIONS Patrol ORCA SERVICIOS Evitar MODULO Risk Manager Risk IT Framework Mitigar @RISK Transferir Epicor OpManager Aceptar Microsoft System Center PxIxR . Magerit Controles COBIT KPI ISO27000 ISO31000 FISMA (Federal Information Security Management) NIST 800-53A (Guide for Assessing the Security Nmap Snort Controls in Federal Information Nessus GFI Systems) Ethereal Iptraf … GOVERNANCE.

Tarea grupal • Elaborar la política de seguridad de la información • Establecer el contenido del manual de seguridad de la información • Elaborar el plan de continuidad de negocio .

[un] Modelo de gestión JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES .

excederlos. Estructura. Hay que propiciar una estructura horizontal que le ser rápido y flexible. Cumplir con los objetivos establecidos y. Las compañías y organizaciones exitosas son rápidas porque asumen con rapidez los cambios necesarios para reducir la burocracia y simplificar el trabajo y establecen objetivos en marcha para volverse más rápidas y sencillas en todo lo que hacen. Ejecución. Cultura. entrega y captura valor Estrategia. si es posible.Modelo de gestión • Un modelo de gestión describe la lógica de cómo una organización crea. Es clave que la empresa se mantenga concentrada en sus estrategias de negocio y que busque un modo de propiciar un constante crecimiento del negocio central. Con el fin de que sus operaciones sean ejecutadas con excelencia. . Hay que crear una cultura que esté ampliamente inspirada en el desempeño. Las compañías y organizaciones exitosas poseen una cultura que favorece el buen desempeño sobre cualquier opción y tienen el coraje de enfrentarse a quienes no se desempeñan con excelencia.

las cuales conforman un ciclo cerrado para la mejora continua de los controles de seguridad informática.-abr. Automática y Comunicaciones. • Mejora continua: la gestión de los controles debe verse como un proceso dinámico que consta de varias acciones. EAC vol. • Medición objetiva: se debe medir la efectividad de los controles mediante indicadores objetivos obtenidos de forma automática a partir de los datos suministrados por las diferentes herramientas de seguridad informática. • Generalidad: el modelo debe ser aplicable en una gran variedad de organizaciones. versión ISSN 1815-5928.34 no. • Integración: la gestión de los controles de seguridad informática debe realizarse desde un sistema centralizado que permita la monitorización y la revisión de los mismos. • Síntesis: debe realizarse un adecuado proceso de agrupación y síntesis de los controles automatizables para gestionar un número relativamente pequeño de controles.Modelo para la gestión automatizada e integrada de controles de seguridad informática • Automatización: se deben tener en cuenta todos los controles de seguridad informática automatizables.1 La Habana ene. 2013 . Ingeniería Electrónica.

AAAAEyz6Ewk~.De Gartner 76 Fuente: http://link.com/services/player/bcpid684460143001?bckey=AQ~~.brightcove.- FJ7fdGkfeRUKStrh_JZ0iMqAB2rH3bk&bctid=4826469068001 .

ING. JACK DANIEL CÁCERES MEZA. PMP . 77 MG.

• Actualizar la política interna de seguridad de la información. • Aplicar metodologías para la gestión de proyectos como PMBoK. Recomendaciones • Implementar políticas de seguridad. • Aplicar metodologías para la gestión de servicios de TI. • Establecer políticas y procedimientos de gestión de activos de información y realizar capacitaciones continuas sobre el tema. • Realizar e implementar metodologías y buenas prácticas descritas en el documento de detalle referidas a la gestión de la seguridad de la información y controles COBIT. . • Aplicar criterios de seguridad de la información basándose en los controles estipulados en las buenas prácticas de organismos internacionales como ISO. • Realizar la definición de las políticas de acceso a la información de acuerdo a los roles y funciones establecidos para los empleados. apoyar la concientización y las capacitaciones continuas a los usuarios.

Cualquier esfuerzo resulta siempre y cuando no te detengas ligero con el hábito Confucio Tito Livio .Rueda de preguntas Gracias por su atención No importa cuán lento vayas.

Evaluación • Presentación (PPT) de un plan para gestionar la seguridad de la información del proceso evaluado • Sustento del trabajo presentado (responder a preguntas) .