estandarización de seguridad de la información...estandarización de seguridad de la información...
TRANSCRIPT
Estandarización de Seguridad de la Información
Estandarización de Estandarización de
Seguridad de la Seguridad de la Seguridad de la Seguridad de la
InformaciónInformación
Mara Misto MaciasGerencia Principal de Seguridad de la Información
Estandarización de Seguridad de la Información
BCRA: Entidad Rectora – Entre otras actividades regula ydicta las Normativas a otras entidades financieras, cambiarias,tarjetas de crédito y entidades relacionadas con la ActividadFinanciera.
Debe cumplir las Pautas de Jefatura de Gabinete. La controlanAuditorias Internas, externas y AGN.
Con respecto a la seguridad recorrimos un largo camino, conesfuerzo, proponiéndonos objetivos a largo plazoesfuerzo, proponiéndonos objetivos a largo plazoimplementando proyectos a corto-mediano plazo para ofrecerresultados y demostrar cambios.
Transformación del área, dejar de ser quienes siempre dicen“NO” para ser vistos como un área que aporta al Negociominimizando los riesgos.
Estandarización de Seguridad de la Información
LaLa GerenciaGerencia PrincipalPrincipal dede SeguridadSeguridad dede
lala InformaciónInformación responderesponde aa lala GerenciaGerencia
GeneralGeneral..Directorio
Comité de
Seguridad de la InformaciónSeguridad de la Información
SeSe creacrea elel ComitéComité dede SeguridadSeguridad dede lalaInformaciónInformación queque reúnereúne aa loslosprincipalesprincipales referentesreferentes dede lalaorganizaciónorganización yy tienetiene unun representanterepresentantedeldel DirectorioDirectorio deldel BCRABCRA..
..
Gerencia
General
Sub
Gerencias
GeneralesSeguridad
de la
Información
Comité de
Seguridad
Estandarización de Seguridad de la Información
Gerencia GeneralGerencia General
DirectorioDirectorio
Gobierno de Seguridad de la InformaciónGobierno de Seguridad de la Información
Administración y Servicios CentralesAdministración y Servicios Centrales
Preside un miembro del Directorio Preside un miembro del Directorio
Análisis y Auditoria Análisis y Auditoria
Seguridad GeneralSeguridad General
Régimen Informativo y Central de BalancesRégimen Informativo y Central de Balances
Seguridad de la InformaciónSeguridad de la Información
Sistemas y Organización Sistemas y Organización
Comité de Comité de
SeguridadSeguridad
ImplementaciónImplementación
de Políticas de Políticas
y Controlesy Controles
Administración y Servicios CentralesAdministración y Servicios Centrales
Auditoría GeneralAuditoría General
Estandarización de Seguridad de la Información
La Política de Seguridad está compuesta por 9 La Política de Seguridad está compuesta por 9
directivas que conforman los objetivos de directivas que conforman los objetivos de
seguridad determinados por la organización. Cada seguridad determinados por la organización. Cada
Directiva es tratada en el Comité de Seguridad Directiva es tratada en el Comité de Seguridad
con objeto de formular y aprobar la normativa con objeto de formular y aprobar la normativa
correspondiente.correspondiente.
Elaboración de Normas de Seguridad de la InformaciónElaboración de Normas de Seguridad de la Información
correspondiente.correspondiente.
La Directiva relativa a la Clasificación de la La Directiva relativa a la Clasificación de la
Información es central y medular en la generación Información es central y medular en la generación
de las demás directivas y de toda definición de las de las demás directivas y de toda definición de las
necesidades de seguridad de una organizaciónnecesidades de seguridad de una organización
Estandarización de Seguridad de la Información
Elaboración de Normas de Seguridad de la InformaciónElaboración de Normas de Seguridad de la Información
OBJETIVOS DE SEGURIDAD NIVELES DE CRITICIDAD
CONFIDENCIALIDADCuando se debe garantizar que la información de los procesos sea sólo accedida por aquellos a quienes está destinada y con el CONFIDENCIALIDAD ó ápropósito para el que fue generada
BAJA / MEDIA / ALTAINTEGRIDAD
Cuando la información debe protegerse ante modificaciones por fallas de los sistemas, errores humanos o accidentes deliberados o fortuitos, que afectan las condiciones de legitimidad y utilidad de la misma.
DISPONIBILIDADCuando la información necesita estar disponible en tiempo y forma para aquellas entidades (personas o procesos) que lo requieran.
Estandarización de Seguridad de la Información
Fortalecer la integridad, confidencialidad y disponibilidad de la información crítica protegiendo los activos informáticos de soporte mediante:
•Diseño, desarrollo y prueba de requisito de seguridad
Proyecto: Diseño, desarrollo, prueba y documentación de Requisitos de Seguridad y pautas para su control .
•Diseño, desarrollo y pruebas de pautas de control
•Documentación para el seguimiento y control
Estandarización de Seguridad de la Información
Descripción general del proyecto.
La contratación del servicio se hizo mediante una licitación publica. Se solicitaronrequisitos de Seguridad para 11 componentes de la Infraestructura
•Sistemas Operativos•Bases de Datos•Servidor de correo •Directorio Activo •Directorio Activo •IIS •Jboss •BES •VMWare
Plazo Máximo de ejecución: Doce mesesSe participo en tiempo y forma a las restantes áreas Involucradas.
Estandarización de Seguridad de la Información
Circuito de trabajo Por cada componente/etapa, 5 actividades en forma secuencial.
Relevamiento
situación actual
Procedimientos
de control
Definir objetivos
limitaciones y
alcance
Diseño de
estándaresPrueba de
estándares
Estandarización de Seguridad de la Información
Interacción con las áreas
Relevamiento
situación
actual
Procedimientos
de control
Definir
objetivos y
alcance
Diseño de
estándaresPrueba de
estándaresActividad
G
EBD Y SO BD Y SO
E
R
E
N
C
I
A SEGURIDAD INFORMATICA
COMUNICACIONES COMUNICACIONES
CYBSEC SAProveedor
Estandarización de Seguridad de la Información
Metodología del proyecto:
a) Coordinación General del proyecto (metodología, fechas, tiempos, etc.)
b) Cinco Actividades definidas para cada Componente.1. Relevamiento de situación actual. Ejecución de scripts (no invasivo)
2. Definición de alcances y objetivos.
3. Armado de primera versión del estándar.
Posterior ajuste del estándar.Posterior ajuste del estándar.
4. Prueba en un entorno de laboratorio.
Ajuste y entrega del estándar final
5. Entrega del procedimiento de control- checklist.
Estandarización de Seguridad de la Información
Tips a tener en cuenta
•Trabajar primero para proteger la información critica.•Involucrar desde el inicio del proyecto a las áreas de TI : BD, SO, Aplicaciones. •Resaltar los puntos favorables encontrados sobre la configuración.•Acomodarse a la forma de trabajo de Tecnología /Infraestructura.•Aprovechar la presión que genera un contrato con gente externa.
Estandarización de Seguridad de la Información
Gracias por su atención