“seguridad en los marcos de trabajo” · n y evaluación prestación de servicio y soporte 1....

16 de Octubre de 2008

“Seguridad en los marcos de trabajo”

Ciclo de Conferencias Rafael Bernal 2008

Albert MartínezJefe de Servicio de Informática

Departamento de Salud 12Agència Valenciana de Salut


El contexto

� Tendencias en el mercado de las TIC– Incremento de los costes.– Incremento de los requisitos de calidad.– Aumento de la complejidad de las infraestructuras.– Incremento de la frecuencia de los cambios.– Aumento de la dependencia de los servicios de TIC

� Las organizaciones han incrementado su dependencia de las TIC para conseguir los objetivos corporativos.

� El aumento de la dependencia conlleva un aumento en la calidad de los servicios de TIC prestados a la organización.



El contexto

� Importancia de una aproximación metódica y sistemática para la gestión de TIC.– Para usuarios y clientes de los servicios de TIC– Para los proveedores de servicios de TIC

� Algunas barreras– Insuficiente reconocimiento corporativo.– Tendencia al “sobrecompromiso” en la atención a las necesidades

de los clientes.– Escasez de recursos.



Nuevo escenario en la gestión de TIC

A : Focalizada en Servicios de TISoportando el Negocio

Servicios de TI

Prioridades Del Negocio

Procesos de TIDe: Focalizada en losComponentes de Tecnología



La seguridad de la información

• La información es un activo que tiene valor para una organización y por consecuencia necesita ser protegida de manera adecuada Fuente: ISO 27002

� Proteger la información, significa lograr los siguientes objetivos:– Confidencialidad– Integridad– Disponibilidad

• Política de Seguridad• Dar una dirección y soporte a las iniciativas de protección de la información,

de acuerdo con los requerimientos de negocio y de acuerdo con las leyes y regulaciones aplicables.



¿Que pretendemos con la seguridad en TI?

� Proveer el aseguramiento a la dirección de que los riesgos son definidos y administrados apropiadamente

� Hacer uso de procesos, técnicas y herramientas (tecnología) de Seguridad de TI para contribuir al logro de los objetivos delnegocio.

� Establecer y mantener un marco de garantías y estrategias de seguridad de la información.



Entorno Actual



Factor Organizacional

� Solución de seguridad de la información debe cubrir los tres ámbitos fundamentales para que sea integral



Seguridad de la Información

� No existe la seguridad total.� Siempre existe un riesgo que debe ser aceptado.� Existe un balance entre la solución de Seguridad, Inversión y

Riesgo Aceptado.



Desarrollo de programa de seguridad

� Identificar riesgos� Cualificarlos� Cuantificarlos� Evaluar controles� Mantenimiento� Requerimientos por ley, y regulaciones.� Costos.� Procedimientos� Documentación



SGSI

� Sistema de Gestión de Seguridad de la Información� Enfoque sistemático para la administración de información� Engloba gente, procesos y sistemas de Tecnología de

Información� Un SGSI permite la coordinación efectiva de los diferentes

esfuerzos de seguridad y Continuidad� Enfoque holístico� Hace de la mejora continua, un proceso obligatorio y constante


16 de Octubre de 2008Ciclo de Conferencias Rafael Bernal 2008


Dominios de control de un SGSI



Implementación de un SGSI

� Alinear SGSI, área de TI y el negocio.

SGSI



� Gobierno de las tecnologias de la información.– Subconjunto de la disciplina de Gobierno Corporativo con foco

en la tecnología de la información (TI), su desempeño y manejo de riesgo.

ITSG



ITSG



� El difundido uso de la tecnología ha creado que se dependa en gran medida de IT.

� Las organizaciones con éxito entienden y manejan los riesgos relacionados con la implementación de nuevas tecnologías.

� Se administran los riesgos y las restricciones originados en IT y su importancia estrategica para la organización.

El enfoque de la seguridad



� Alinear la estrategia de TI con la operación empresarial� Difundir la estrategia y las metas por toda la empresa� Proporcionar las estructuras de la organización que faciliten la

puesta en practica de las mentas y estrategias� Insistir en que la estructura de control de ti se adopte e

implemente� Medir el desempeño de la TI

Que se busca con IT Governance?



� ITG tiene como objetivo principal establecer procesos de alta calidad, bien definidos y repetibles.

� Implementar un grupo de “best practices”.� Utilizar la capacidad habilitadora para crear nuevos modelos

de negocio.� Mantener los riesgos relacionados con IT en niveles

aceptados.� En una frase “Certidumbre y Control”.

Que se busca…



Dirección de IT Governance



Integración de procesos ITG



� Cobit, ITIL, ISO 17799, CMM…

Frameworks



Beneficios en Seguridad de IT Governance

� Disminución y control de las vulnerabilidades

� Cultura de procesos y mejora continua

� Manejo del riesgo, inversiones, y la seguridad de la Información por servicios



SERIE ISO27000

• La norma 27001 proporciona el marco para establecer un SGSI

• ISO 27002, Origen BS7799• Estándar para la seguridad de la información • “Information technology - Security techniques - Code of practice for

information security management”• Proporciona recomendaciones de las mejores prácticas en la

gestión de la seguridad de la información.

• 27000. Vocabulario.• 27003. Guia de implementación.• 27004. Métricas.• 27005. Análisis de riesgos.



Dominios de Control ISO27002

1. Política de Seguridad2. Seguridad Organizacional3. Manejo de Activos de Información4. Seguridad en recursos Humanos5. Seguridad física6. Manejo de comunicaciones y operaciones7. Control de acceso8. Adquisición, desarrollo y mantenimiento de sistemas de

información9. Manejo de incidentes de seguridad.10. Gestión de continuidad de operaciones11. Cumplimiento con legislaciones



SGSI Beneficios

� Facilita la trasparencia, al ser un sistema auditable por terceros.

� Permite establecer una comparación con otras organizaciones.� Proporciona una medición objetiva del desempeño de la

seguridad.� Permite a la Alta Dirección tomar responsabilidad y control de

los esfuerzos de seguridad.� La Implementación y éxito depende del nivel de madurez de la

organización en sus procesos internos.



� Control OBjectives for Information and related Technology.� Actualmente versión 4.1� Estandar Abierto de IT Governance Institute.� Publicado por ISACA (The Information Systems Audit and

Control Association & Foundation).

COBIT



Cobit


DominiosAgrupación natural de procesos, normalmente corresponden a una responsabilidad organizacional

Procesos

Conjuntos de actividades unidas con delimitación o cortes de control.

Actividadeso tareas Acciones requeridas para lograr un

resultado medible. Las Actividadestienen un ciclo de vida mientras que las tareas son discretas.



Cobit


REQUISITOS DE INFORMACIÓN DEL NEGOCIO

RECURSOSDE TI

PROCESOS DE TI


Cobit. Requisitos de la información


Requisitos de Calidad

Requisitos Financieros

Requisitos de Seguridad

Efectividad y eficiencia operacional.

Confiabilidad financiera.

Cumplimiento de leyes y regulaciones.

Calidad (cumplimiento de requisitos)

Costo (dentro del presupuesto).

Oportunidad (en el tiempo indicado)

Confidencialidad.

Integridad.

Disponibilidad.




Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.

Efectividad

Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.

Eficiencia

Relativa a la protección de la información sensitiva de su revelación no autorizada.

Confidencialidad

Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio.

Integridad




Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.

Disponibilidad

Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio.

Cumplimiento

Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los informes de su gestión.

Confiabilidad


Recursos de TIDatos, Aplicaciones

Infraestructura, Recurso Humano

Req. InformaciónEfectividad, Eficiencia,

Confidencialidad, Integridad, Disponibilidad,

Cumplimiento, Confiabilidad

CobiT

Objetivos del Negocio

Planificación y Organización

Adquisición eImplementación

Monitorización y Evaluación

Prestación de Servicio y Soporte

1. Seguimiento de los procesos2. Evaluar lo adecuado del control Interno3. Obtener aseguramiento inndependiente4. Proveer una auditoría independiente

1. Identificación de soluciones2. Adquisición y mantenimiento de SW aplicativo3. Adquisición y mantenimiento de arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de TI5. Aprovisionamiento recursos6. Administración de Cambios7. Instalación y Acreditación de sistemas

IT. Governance1. Definir un plan estratégico de TI2. Definir la arquitectura de información3. Determinar la dirección tecnológica4. Definir la organización y relaciones de TI5. Manejo de la inversión en TI6. Comunicación de la directrices Gerenciales7. Administración del Recurso Humano8. Administración de Calidad9. Evaluación de Riesgos10. Administración de Proyectos

1.Definición del nivel de servicio2.Admistración del servicio de terceros3.Admon de la capacidad y el desempeño4.Asegurar el servicio continuo5.Garantizar la seguridad del sistema6.Identificación y asignación de costos7.Capacitación de usuarios8.Soporte a los clientes de TI. Service Desk9.Admistración de la configuración10.Administración de problemas11.Administración de datos12.Administración de Instalaciones13.Administración de Operaciones


� 34 Objetivos de Control de TI◦ 10 Planificación y Organización◦ 7 Adquisición e implementación◦ 13 Entrega y Soporte◦ 4 Monitorización y evaluación

� 318 Detallados objetivos de control y guias de auditoria.◦ 3-30 objetivos de control detallados por proceso.

� Cada proceso de TI es soportado por:◦ 8-10 Factores críticos de éxito.◦ 5-7 Indicadores de metas◦ 6-8 Indicadores de desempeño

Cobit Arquitectura



Mapping entre Cobit e ISO 27002



� Conjunto de conceptos y técnicas para administrar iT (Infraestructura, desarrollo y operaciones).

� Conjunto de mejores prácticas para la Gestión de Servicios de Tecnología de la Información. Es un marco de referencia de IT Management.

� Fue desarrollado en los 80’s y adoptado hasta mediado de los 90’s.� ITIL provee una aproximación sistematica para proveer y administar los

servicios de IT, desde su diseño, implementación, operación y mejora continua.� ITIL v3◦ Service Strategy◦ Service Design◦ Service Transition◦ Service Operation◦ Continual Service Improvement

� La mayor diferencia entre v2 y v3 es que v3 ha adoptado una aproximacion al ciclo de vida de la administracion del Servicio, opuesto a girar alrededor de Service Delivery and Support.

ITIL (IT Infraestructure Library)



Procesos de ITIL

Gobierno de las TIC Alineamiento de norm

as

Case S

tud

ies

Quick W

ins

Calificaciones

Artículos de estudio

Conoci

mie

ntos

y per

files

As

un

tos

es

pec

iale

sIn

troducció

n e

jecutiv

a

Pla

ntilla

s



Procesos de ITIL

Procesos ITIL V3


Procesos de ITIL



Objetivos ITIL

� Favorecer la organización del departamento de TI� Contar con una visión clara de las capacidades reales de TI, aumentando la posibilidad de

medirlas y por tanto de mejorarlas� Incrementar el aprovechamiento de los recursos de TI

� Justificar el costo de los servicios de TI hacia sus clientes

� Establecer mecanismos formales para el aprendizaje de experiencias previas

� Mejorar los tiempos de implementación de los cambios a los servicios de TI, e incrementar en el número de éxitos de los mismos

� Aumentar la motivación y satisfacción del personal respecto a su trabajo gracias al mejor entendimiento de sus capacidades y mejor manejo de sus expectativas

� Disponer de información más completa sobre los servicios de TI



� Compromiso de la dirección general� Implementar las funciones de ITIL juntas.� Integrar y automatizar las mejores practicas.� Crear CMDB (base de datos de configuraciones).� Romper la inercia cultural. � Implementar las prácticas que hagan sentido al negocio,

dimensionar los requerimientos.

Implementación de ITIL



Mapping Cobit Itil v3



� ITS Governance es la base para una implementación exitosa y rápida de Seguridad de la Información.

� NO es obligatorio implementar todas las funcionalidades, ni todos los controles de los Marcos de referencia de IT y Seguridad.

� Implementar un SGSI (Sistema de Gestión de Seguridad de la Información) es necesario para evaluar el desempeño y nivel de seguridad de la organización.

� Es necesario personalizar el SGSI de acuerdo al perfil de riesgo y alinearlo al negocio.

� Todos los riegos deben estar identificados y administrados.

Resumen



Resumen

ES TIEMPO DE INTRODUCIRSE EN LOS MARCOS DE

TRABAJO PARA LA GESTIÓN DE LA SEGURIDAD

EN LAS TIC



GraciasAlbert Martínez

Jefe del Servicio de InformáticaDepartamento de Salud 12. Agència Valenciana de Salut

“seguridad en los marcos de trabajo” · n y evaluación prestación de servicio y soporte 1....

Documents