You are on page 1of 40

VII Congreso Internacional de Seguridad de la Informacin

La seguridad agrega valor 10 y 11 de marzo de 2010 SHERATON Buenos Aires - Argentina

Cmo organizar el Departamento de Seguridad

organizado por:

VII Congreso Internacional de Seguridad de la Informacin


La seguridad agrega valor 10 y 11 de marzo de 2010 SHERATON Buenos Aires - Argentina

Presentada por:

Castellanos, Ral - CISM

Agenda
Cmo estn formados los departamentos de seguridad? Ubicacin del departamento de seguridad Grados de madurez de las reas de seguridad informtica Modelo de adopcin de la seguridad en las organizaciones

Cmo estn formados los departamentos de seguridad?

Cmo estn formados los departamentos de seguridad?


La seguridad en la Organizacin 1990 Administrador de Antivirus / Accesos 1995 Administrador de Firewalls 1999 Seguridad Informtica 2003 Seguridad de la Informacin 2005 Compliance y Riesgo

Cmo estn formados los departamentos de seguridad?


Organizacin de la Seguridad Algunas variables que determinan cmo es la estructura del departamento de seguridad son las siguientes: - Cultura organizacional - Tamao de la Compaa - Presupuesto a nivel de personal / gastos / inversin

Cmo estn formados los departamentos de seguridad?


Anlisis por tamao de la Compaa Muy Grande (>10.000 equipos) Grande (1.000<10.000 equipos) Mediana (100<1.000 equipos) Pequea (<100 equipos)

Cmo estn formados los departamentos de seguridad?


Organizaciones Muy Grandes
Caractersticas principales: * Los departamentos de seguridad en grandes organizaciones tienden a armarse y re-agruparse de acuerdo a los requerimientos del negocio, presupuesto o compliance. * El presupuesto de seguridad crece ms rpido que el presupuesto de IT. * Mas all de que tengan presupuestos grandes, el promedio de gasto en seguridad por usuario es ms pequeo que en otro tipo de organizaciones.

Cmo estn formados los departamentos de seguridad?


Tpica Estructura de Organizacin en Seguridad de la Informacin en una Muy Grande

Cmo estn formados los departamentos de seguridad?


Organizaciones grandes En este tamao de empresa, la seguridad de la informacin en muchos casos ya madur, integrndose a la cultura y planificacin de Organizacin. Uno de los principales problemas, es que no siempre poseen los recursos necesarios para los temas de seguridad.

Cmo estn formados los departamentos de seguridad?


Responsabilidades en las Grandes Organizaciones Contina siendo una responsabilidad del CISO velar porque las funciones en seguridad de la informacin sean adecuadamente desarrolladas dentro de la organizacin. La estructura a tiempo completo (full-time) del personal en seguridad depende de un nmero de factores, entre ellos: la sensibilidad de la informacin a ser protegida las regulaciones de la industria la rentabilidad general

Cmo estn formados los departamentos de seguridad?


Tpico Organigrama del Staff en Seguridad de la Informacin en las Grandes Organizaciones

Cmo estn formados los departamentos de seguridad?


La Seguridad en las Organizaciones Medias
Cuentan con un presupuesto total menor. Tienen un staff de seguridad de tamao similar a organizaciones ms pequeas, pero sus requerimientos son mayores. Dependen de la ayuda del staff de IT para planes y prcticas. En general, su habilidad para fijar polticas, estandarizar y asignar recursos eficientemente es baja.

Cmo estn formados los departamentos de seguridad?


Tpica Estructura de Organizacin en Seguridad de la Informacin en una Mediana Empresa

Cmo estn formados los departamentos de seguridad?


La Seguridad en Organizaciones Pequeas
Cuentan con un modelo simple y centralizado de organizacin de IT. Gastan desproporcionadamente ms en seguridad. La seguridad de la informacin en una pequea empresa es en general responsabilidad de un solo administrador de seguridad. Estas organizaciones tienen frecuentemente una escasa poltica formal, planeamiento o medidas de seguridad.

Cmo estn formados los departamentos de seguridad?


Tpica Estructura de Organizacin en Seguridad de la Informacin en una Pequea Empresa

Cmo estn formados los departamentos de seguridad?


Est cambiando el rol de la Seguridad de la Informacin los requerimientos regulatorios? El rol del CISO est cambiando de una funcin tcnica de gestin de soluciones tcnicas a una funcin de negocios de gestin de los riesgos y cumplimiento de la informacin. Los profesionales en Seguridad de la Informacin deben comprender y cumplir con una compleja combinacin de regulaciones.

Cmo estn formados los departamentos de seguridad?


Est cambiando el rol de la Seguridad de la Informacin los requerimientos regulatorios? Se espera de nosotros que conozcamos, comprendamos y aseguremos el cumplimiento de estas leyes y normas. Se espera de nosotros que lideremos los esfuerzos para implementar el cumplimiento de las soluciones.

Ubicacin del departamento de seguridad

Ubicacin del Departamento de Seguridad?


Ubicando la Seguridad de la Informacin dentro de una Organizacin En las grandes organizaciones el rea de Seguridad de la Informacin es generalmente ubicada dentro del departamento de IT. Es dirigida por el CISO que reporta directamente a los ms altos ejecutivos de Sistemas o al CIO. Por su propia naturaleza, un programa de Seguridad de la Informacin entra generalmente en contradiccin con las metas y objetivos del departamento de IT como conjunto.

Ubicacin del Departamento de Seguridad?


Ubicando la Seguridad de la Informacin dentro de una Organizacin Actualmente existe una tendencia o movimiento a separar a la seguridad de la informacin de la divisin de IT. El desafo est en disear una estructura de reporte para los programas de Seguridad de la Informacin que equilibre los requerimientos de cada una de las partes interesadas.

Ubicacin del Departamento de Seguridad?


Opciones de Dependencia:
Administracin Riesgo Legal Auditoria Interna Finanzas Recursos Humanos Operaciones

Ubicacin del Departamento de Seguridad?


A quin reporta el CISO?
Depende del nivel de madurez que posee la Compaa y el programa de seguridad. Se habla de seguridad informtica o seguridad de la Informacin? Tamao y negocio de la Compaa.

Ubicacin del Departamento de Seguridad?


A quin reporta el CISO?
Primer nivel: Funcin tcnica dentro de IT. Segundo nivel: Armado del rea de SI (Seguridad Informtica) dentro de IT. Tercer nivel: Cambio de Reporting (Comit). Cuarto nivel: Divisin de funciones de seguridad en la Compaa.

Grados de madurez de las reas de seguridad de la informacin

Grado de madurez de las reas de Seguridad de la Informacin


La evolucin de la Seguridad

Nivel Estratgico Nivel de Negocio Nivel Gerencial Nivel Tcnico

Grado de madurez de las reas de Seguridad de la Informacin


La evolucin de las reas de Seguridad

Nivel Estratgico CISO Nivel de Negocio Gerente de Seguridad Nivel Gerencial Jefe de Seguridad Informtica Nivel Tcnico Administrador de Seguridad El rea de seguridad de la informacin es una de las reas con ms posibilidad de visibilidad de la Direccin.

Grado de madurez de las reas de Seguridad de la Informacin

Grado de madurez de las reas de Seguridad de la Informacin


La madurez del rea de seguridad Es vital determinar en qu proceso de madurez se encuentra nuestra Organizacin porque sino podremos hacer nuestro trabajo de forma excelente pero a destiempo de la Organizacin.

Modelo de adopcin de la seguridad en las organizaciones

Modelo de adopcin de la seguridad en las organizaciones


Planificacin de la seguridad de la informacin Se debe conocer: Misin (Intranet) Define los negocios de la Organizacin y sus reas de operacin. Explica lo que la Organizacin hace. Visin (Intranet) Expresa lo que la Organizacin quiere ser. Planificacin estratgica (CEO) Plan Director de IT (CIO)

Modelo de adopcin de la seguridad en las organizaciones


Planificacin de la seguridad de la informacin

Modelo de adopcin de la seguridad en las organizaciones


Planeamiento estratgico de la seguridad

Modelo de adopcin de la seguridad en las organizaciones


Planificacin Tctica El CISO debe elaborar una planificacin tctica de la seguridad (usualmente a 1/3 aos). Aqu la idea es basarse en la Planificacin Estratgica, el Plan Director de IT, la misin y visin y desarrollar un Plan Director de Seguridad de la Informacin (dnde estamos ahora y dnde queremos llegar en 3 aos).

Modelo de adopcin de la seguridad en las organizaciones


Planificacin Operacional Esta tarea debe ser llevada a cabo por el Jefe de Seguridad. Consiste en organizar y coordinar las tareas del da a da para poder cumplir con la planificacin tctica. Basndonos en nuestros recursos (humanos, tecnolgicos y econmicos) cmo cumplimos con los objetivos y las metas definidas.

Estructura del Area de Seguridad de la Informacin

Modelo de adopcin de la seguridad en las organizaciones


Modelo ISO 27001-2005

Modelo de adopcin de la seguridad en las organizaciones


CISO

Polticas y Cumplimiento

Administracin De Riesgos

Gestin de Incidentes y Continuidad 1.Elaboracin y mantenimiento del Plan de Continuidad de Negocios 2.Gestin de contingencias 3.Coordinacin de acciones en casos de crisis 4.Registro, investigacin y monitoreo de incidentes

Administracin de Procedimientos Internos 1.Control de Accesos: Plataformas Aplicaciones Bases de datos Externos Admin passwords 2.Seguridad en redes Admin Firewalls Admin Antivirus Admin IDS/IPS Transf VPNs Monitoreo red interna Monitoreo navegacin web Control de correo 3.Ejecucin de Planes de Remediacin 4.Implementacin de intercambio con terceros

Control de Normas y Procedimientos de Seguridad 1.Auditora de seguridad 2.Monitoreo de normas en las reas de T. I.: Desarrollo y prueba de aplicaciones Uso Bases de Datos Actualizacin SW Blindaje Produccin Control de Inventario HW/SW Licenciamiento SW. Back up/restore Seguridad Fsica Centro de Cmputo 3.Monitoreo de normas en reas usuarias Actualizacin de passwords 4.Seguimiento de planes de remediacin y de resolucin de hallazgos de auditoria

1.Evaluacin de 1.Creacin y riesgos: mantenimiento de Plataformas polticas y normas de Procesos seguridad Aplicaciones 2.Cumplimiento de leyes Controles y requerimientos 2.Anlisis de corporativos de vulnerabilidades seguridad 3.Pruebas de 3.Investigacin de: resistencia Herramientas 4.Elaboracin de Amenazas Planes de Metodologa Remediacin Best Practices 5.Monitoreo del 4.Implantacin de la Cultura de Seguridad Tablero de Control de Seguridad en la Organizacin (Concientizacin)

Modelo de adopcin de la seguridad en las organizaciones


Interaccin Sectores de Seguridad
Polticas y Cumplimiento Nuevas amenazas y soluciones

Solicitudes de Normas

Solicitudes de Normas Normas Y Leyes

Gestin de Incidentes y Continuidad

Contingencias e incidentes

Administracin De Riesgos

Hallazgos de Auditoria

Control de Normas y Procedimientos de Seguridad

Planes de Remediacin

Irregularidades

Irregularidades

Resolucin De incidentes

Seguimiento Planes de Remediacin y Cumplimiento

Administracin de Procedimientos Internos

Para mayor informacin:


Ral Castellanos (rcastellanos@cybsec.com)

Para descargar esta presentacin visite www.segurinfo.org


Los invitamos a sumarse al grupo Segurinfo en
40