gobierno de seguridad de la informacion
DESCRIPTION
Gobierno de la seguridad de la informacionTRANSCRIPT
GOBIERNO DE LA INFORMACION
FABIO ANDRES LIZARAZO ORTIZ
PROFESOR: GUILLERMO MOLINA
MODULO: SEGURIDAD BD Y WEB
GRUPO: SI2
UNIVERSITARIA DE INVESTIGACION Y DESARROLLO
ESPECIALIZACION SEGURIDAD INFORMATICA
BUCARAMANGA
2015
INTRODUCCION DEL GSI
Información se puede definir como “datos dotados de propósito”. En la actualidad,
la información desempeña una función cada vez más importante en todos los
aspectos de nuestra vida y se ha vuelto un componente indispensable para
realizar negocios para casi todas las organizaciones y en un número cada vez
mayor de empresas, la información es el negocio.
Sería difícil encontrar un negocio que se haya mantenido al margen de la
tecnología de la información y que no dependa de la información que procesa. Los
sistemas de información han dominado la sociedad y los negocios, y la
dependencia de estos sistemas y la información que manejan, es casi,
indiscutiblemente absoluta.
De acuerdo con el Instituto de Brookings, tanto la información como otros activos
intangibles de una organización representan más del 80 por ciento de su valor de
mercado. En consecuencia, los daños a la integridad de la información pueden ser
devastadores para una empresa y sus altos directivos, a quienes se les
responsabiliza cada vez más por la información financiera de su organización.
Peter Ducker afirmó en su libro Management Challenges for the 21st Century, que
la información es un recurso que tiene igual relevancia que los recursos
importantes por tradición como la tierra, el trabajo y el capital.
Durante los últimos 12 años, la tendencia al alza en el valor de la información y la
dependencia de ésta se han incrementado de manera exponencial.
Recientemente, Gartner calculó que en menos de 10 años, las organizaciones
trabajarán con 30 veces más información de la que trabajan ahora. Sin embargo,
con el caos, las vulnerabilidades, los delitos y el vandalismo informáticos, la
información se ha vuelto la opción de un creciente grupo de delincuentes
discretos. Los terroristas y otros enemigos de la sociedad han acogido con
descaro a la misma tecnología de la información que afirman despreciar
profundamente para anunciar su cosmovisión y revelar sus actos hostiles.
A fin de cumplir con la tarea de brindar una protección adecuada a los recursos de
la información, el tema tiene que elevarse a una actividad a nivel de consejo tal
como sucede con otras funciones críticas de gobierno. La complejidad, la
importancia y la criticidad de la seguridad de la información y su gobierno exigen
un tratamiento de respaldo por parte de los niveles más altos dentro de la
organización.
De manera progresiva, aquellos que comprenden el alcance y la profundidad de
los riesgos están tomando la postura de que, al ser un recurso crítico, la
información debe tratarse con el mismo cuidado, precaución y prudencia que
recibiría cualquier otro activo esencial para la supervivencia de la organización y,
tal vez, de la sociedad misma.
La seguridad de TI trata la seguridad de la tecnología y, por lo general, se maneja
desde el nivel del director de información (CIO). La seguridad de la información
abarca la totalidad de riesgos, beneficios y procesos que están relacionados con la
información y debe ser impulsada por la dirección ejecutiva y respaldada por el
consejo de administración.
El gobierno de la seguridad de la información es responsabilidad de la junta
directiva y la dirección ejecutiva. Debe ser una parte integral y transparente del
gobierno de la empresa, y consiste en el liderazgo, las estructuras y los procesos
organizacionales que protegen la información.
¿QUÉ ES GOBIERNO DE SEGURIDAD DE LA INFORMACIÓN?
Es el conjunto de responsabilidades y prácticas ejercidas por el grupo directivo
con el objetivo de proveer dirección estratégica, asegurar que los objetivos sean
alcanzados, validar que los riesgos de la información sean apropiadamente
administrados y verificar que los recursos de la empresa sean usados
responsablemente.
IMPORTANCIA DEL GSI
Desde la perspectiva de una organización, el gobierno de la seguridad es cada
vez más crucial a medida que aumenta la dependencia de la información. Tal
como dijo Arthur Sulzberger Hays en 1947 “El juicio de un hombre no puede ser
mejor que la información en la cual ha basado dicho juicio”.
La información definida como “datos dotados de significado y propósito” es la
esencia del conocimiento. El conocimiento a su vez, se capta, transporta y
almacena como información organizada. Tal como comentó Peter Drucker, “El
conocimiento se está volviendo rápidamente en el único factor de la productividad,
dejando de lado al capital y la mano de obra”.
Para la mayoría de las organizaciones, la información y el conocimiento en el que
ésta se basa se han vuelto uno de sus activos cada vez más importantes sin los
cuales sería imposible dirigir el negocio. Tanto los sistemas como los procesos
que manejan dicha información han invadido el negocio y las organizaciones
gubernamentales en todo el mundo. Esta creciente dependencia de las
organizaciones de su información y los sistemas que la manejan, junto con los
riesgos, beneficios y oportunidad que representan dichos recursos, han hecho del
gobierno de la seguridad de la información un aspecto cada vez más crucial del
gobierno en su conjunto. Las gerencias prudentes han llegado a entender que
ofrece una serie de beneficios significativos, entre los que se encuentran:
‐ Tratar la creciente posibilidad de que la organización y su alta dirección se enfrenten de manera habitual a la responsabilidad civil o legal como resultado de imprecisiones en la información o la ausencia del debido cuidado para protegerla.
‐ Brindar la confianza en el cumplimiento de las políticas. ‐ Aumentar la previsibilidad y reducir la incertidumbre en las operaciones de negocio al reducir los riesgos a niveles definibles y aceptables.
‐ Proporcionar la estructura y el marco para optimizar la distribución de los recursos limitados de seguridad.
‐ Brindar un nivel de certeza de que las decisiones cruciales no se basan en información errónea. ‐ Proporcionar un fundamento sólido para tener una administración de riesgos y una mejora de procesos eficientes y eficaces, así
como una respuesta rápida a incidentes. ‐ Brindar una mayor confianza en las interacciones con socios comerciales. ‐ Mejorar la confianza en las relaciones con los clientes.
‐ Proteger la reputación de la organización.
‐ Posibilitar nuevas y mejores formas para procesar las transacciones electrónicas. ‐ Establecer la responsabilidad para proteger la información durante actividades críticas de negocio, tales como fusiones y adquisiciones, recuperación del proceso de negocio y respuestas regulatorias. Por último, dado que la nueva tecnología de información brinda la posibilidad de
una mejora radical en el desempeño del negocio, una seguridad eficaz de
información puede añadir un valor significativo a la organización al reducir las
pérdidas derivadas de incidentes que estén relacionados con la seguridad y
brindar la confianza de que tales incidentes y las violaciones a la seguridad, no
son catastróficos. Además, algunas pruebas demuestran que una mejor
percepción en el mercado resulta en un mayor valor por acción.
OBJETIVOS DE UN GSI:
1.- Alineación estratégica: Alinear la seguridad de la información con la estrategia de negocio para apoyar los objetivos organizacionales. 2.- Administrar los riesgos: Ejecutar medidas apropiadas para mitigar los riesgos y reducir el posible impacto que tendrían en los recursos de información a un nivel aceptable. 3.-Entrega de valor: Optimizar las inversiones en la seguridad en apoyo a los objetivos del negocio. 4.- Administración de recursos: Utilizar el conocimiento y la infraestructura de la seguridad de la información con eficiencia y eficacia. 5.- Medición del desempeño: Monitorear y reportar procesos de seguridad de la información para garantizar que se alcancen los objetivos.
OBJETIVOS DE SEGURIDAD DEL GSI:
La información está disponible y utilizable cuando sea requerida, los sistemas que proporcionan esta información pueden resistir o recuperarse apropiadamente de ataques (Disponibilidad)
La información es observada o revelada sólo a entidades que tienen una necesidad de conocerla (Confidencialidad)
La información es protegida contra modificaciones no autorizadas (Integridad)
Las transacciones del negocio así como intercambios de la información entre diversas áreas de la organización o con entidades externas que tengan relaciones de negocio deben ser confiables (Autenticidad y no repudiación).
BENEFICIOS DE UN GSI
ROLES Y RESPONSABILIDADES EN UN GSI
Responsabilidades de Dirección General
Garantizar que se establezcan objetivos y planes de SI.
Establecer, comunicar y revisar la Política de SI.
Proveer Recursos para: Constituir, Implementar, Operar, Monitorear,
Revisar,
Mantener y Mejorar el SASI (Sistema de Administración de Seguridad de
Información)
Aprobar Niveles de Aceptación Riesgos de SI y documentación requerida
por norma Seleccionada.
Responsabilidades del Presidente Constitución del SASI:
Aprobar los objetivos y planes de SI.
Establecer Roles y Responsabilidades de SI.
Proveer Recursos Suficientes para: Constituir Implementar, Operar, Monitorear,
Revisar, Mantener, Mejorar el SASI. Administrativos:
Aprobación de documentación del Comité de SI (CSI).
Presidir las reuniones del Comité de SI.
Convocar reuniones extraordinarias del CSI.
Aprobación de Cambios de Procesos de Gobierno.
Aprobación de Cambios Estructurales al SASI. Revisiones del SASI:
Garantizar que se conduzcan Auditorías Internas.
Conducir Revisiones de la Dirección del SASI.
Verificar el cumplimiento de objetivos y planes de SI.
Responsabilidades Área de la Seguridad de la Información
Constitución del SASI:
- Elaboración de Procedimientos y Controles del SASI.
Administrativos:
– Establecer y operar control documental del SASI.
Administración de Riesgos:
– Elaboración de modelos, análisis de brechas y tratamiento de riesgos.
Seguimiento del desempeño del SASI:
– Consolidar resultados de efectividad del SASI.
Mejora Continua:
– Identificación y Revisión de Áreas de Oportunidad y de acciones correctivas.
MODELO DE UN GSI: ESTANDARES
EVOLUCION DE LA NORMA ISO27001
PAREJA DE DOCUMENTOS ISO 17799:2005 Guía de Implementación de controles Código de práctica para un ISMS BS 7799-2:2002 _Evoluciona en ISO27001 Especificaciones para un ISMS RESUMEN DE CAMBIOS Revisión ISO17799:2005 – ISO17799:2000 es retirada – Se publicó en Julio 2005 – 17 nuevos controles – ahora hay 134 en lugar de 127 – 11 Capítulos antes 10, se agrega manejo de incidentes – Evolucionará en ISO 27002 en Abril 2007 _ BS7799- Parte 2_ISO 27001 – Se transformó en ISO27001 en Octubre 2005 – BS7799 Parte 2 es retirada.
DOMINIOS ISO27001
Política de seguridad
Organización de la Seguridad de la Información
Gestión de activos
Recursos de Seguridad Humana
Seguridad Física y Ambiental
Comunicaciones y Operaciones
Control de acceso
Sistemas de Información de adquisición, Desarrollo y Mantenimiento
Seguridad de la Información de Incidentes
Continuidad del negocio
Cumplimiento ESTANDARES DE PROCESO
4. Sistema de gestión de la seguridad de la información.
4.1Requerimientos generales 4.2 El establecimiento y la gestión de los SGSI 4.2.1 Establecer el SGSI • Identificar los riesgos • Analizar y evaluar los riesgos • Objetivos de control y controles deben seleccionarse e implementarse para cumplir con los requerimientos identificados en el proceso de análisis y tratamiento de riesgo 4.2.2 Implementar y operar el SGSI • Implementar los controles seleccionados para cumplir los objetivos de control 4.2.3 Monitorear y revisar el SGSI • Llevar a cabo revisiones regulares de la efectividad del SGSI 4.2.4 Mantener y mejorar el SGSI • Implementar las mejoras identificadas en el SGSI. CONSTRUYENDO UN GSI (BASADO EN ISO27001) 1-Definición y Establecimiento de: – Alcance y límites del SASI. – Política de seguridad de información. – Metodología de Administración de Riesgos. • Que identifique riesgos asociados a los activos de información definidos. • Análisis y evalúan los riesgos identificados. • Evalúan las opciones para el tratamiento de los riesgos identificados. 2-Nivel de riesgo aceptable 3-Reducción de Riesgo mediante seleccionan de controles de la norma ISO 27001:2005 4-Aprobación de Riesgo Residual por Dirección general. 5-Autorización de Implementación del SASI por Dirección General. 6-Relación de controles aplicables para lograr el nivel de riesgo residual aprobado por la Dirección General documentados en un “Declaración de Aplicabilidad, SoA”. PLAN DE TRABAJO: CERTIFICACION ISO27001
LA ADMINISTRACION DE RIESGOS EN GSI Objetivo: Administrar los riesgos de negocio en materia de SI en forma de costo-beneficio para la organización a través de: – Identificación de activos críticos, sus vulnerabilidades y amenazas. – Cuantificar los impactos al negocio debido a las amenazas. – Calcular los riesgos. – Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los impactos en el negocio ($$). – Implementación de controles que ayuden a mitigar los riesgos. – Monitoreo de la efectividad de los controles y su impacto en los riesgos. TRATAMIENTO DE RIESGOS Objetivos: – Identificar controles de seguridad que mitigan riesgos – Calcular los riesgos residuales – Seleccionar opciones de tratamiento de riesgos (Aceptar, mitigar, transferir, evitar) – Desarrollar un plan de tratamiento de riesgos
CONTROLES DE SEGURIDAD:
Cortafuegos
Administración de cuentas de usuarios
Detección y prevención de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexión única "Single Sign on- SSO"
Biométria
Cifrado
Cumplimiento de privacidad
Acceso remoto
Firma digital
Intercambio electrónico de Datos "EDI" y Transferencia Electrónica de Fondos "EFT"
Redes Virtuales Privadas "VPNs"
Transferencia Electrónica Segura "SET"
Informática Forense
Recuperación de datos
Tecnologías de monitoreo
MEJORES PRÁCTICAS DEL GSI
Estrategia de Seguridad de Información ligada a los objetivos del negocio y basada en el valor de la información protegida.
Políticas de Seguridad de Información que incluyan aspectos de la estrategia, el control y las regulaciones, que además estén basadas en las mejores prácticas internacionales relacionadas a Seguridad de Información.
Una estructura organizacional efectiva que permita la implementación de la Estrategia de Seguridad de Información.
Metodología de Administración de Riesgos de Seguridad de Información que facilite la toma de decisiones basadas en riesgos de negocio.
Un proceso de mejora continua y de monitoreo de políticas, procesos y controles de Seguridad de Información para asegurar su cumplimiento.
FACTORES CRITICOS DEL GSI 1- La Política de Seguridad de SI deberá estar firmada por el director general, debe responder a un análisis de riesgos previo y responder a requerimientos legales y regulatorios de la organización. La misma deberá aplicarse a los terceros con actividades relacionadas a la organización. 2- Debe de diseñarse una Estrategia de SI que considere metas a corto, mediano y largo plazo que se oriente a implementar lo establecido en la Política de SI.
3- Debe desarrollarse e implementar un Modelo de Administración de Riesgos en base a las necesidades de la empresa y que considere riesgos residuales y bandas de riesgos aprobadas por la Dirección General. 4- Se debe de considerar establecer un Plan de Continuidad de Negocios que responda a eventos que puedan interrumpir procesos críticos de negocio. 5- Se debe Concientizar sobre la relevancia de SI al grupo de directores así como a las diferentes audiencias pensando en la especialización, esto debe de enfocarse a explicar a cómo transformar el costo de cumplimiento de la Política de SI a beneficios tangibles a la Organización. 6- Se debe de establecer un Comité de SI que sea representativo de la organización de acuerdo al alcance del GSI, es mandatario involucrar a Recursos Humanos y a Legal. 7- Deben establecerse los diversos Dueños y Custodios de los Activos de Información y su adecuado “Accountability”. 8- La dirección general debe Aprobar Objetivos Anuales de SI clasificados en estratégicos, relacionados a mejoras en procesos básicos de SI y objetivos operativos. 9- Se debe establecer una Medición del Cumplimiento de la Política de SI basado en un adecuado monitoreo del GSI. 10- La función de SI deberá contar con un Presupuesto Independiente de cualquier área funcional. 11- Se debe de establecer la Normatividad basada en las mejores prácticas internacionales de SI y disciplinas relacionadas necesarias para que sean la base estructural de los controles de SI administrativos, tecnológicos y procedurales. 12- La función de SI debe de Cubrir a los procesos más Críticos de la Organización. 13- Se debe de considerar establecer un Equipo de Respuesta a Incidentes que considere un adecuado proceso de comunicación y procedimientos de respuesta a incidentes. 14- Se debe de considerar establecer un Proceso de Control de Accesos que brinde Seguridad efectiva y optimice los recursos dedicados a TI. 15- La Selección de controles de SI deberá contar con el nivel de efectividad solicitada por el Análisis de Riesgos de forma que el riesgo residual se maneje adecuadamente. 16- Todos los Contratos de la Organización deberán considerar siempre aspectos de SI como acuerdos de confidencialidad, propiedad intelectual, etc. 17- Debe de establecerse la función de Auditoria de TI/SI para contar con un adecuado balance entre las normas y las operaciones relacionadas a SI. 18- Debe de mantenerse un Inventario de Activos de Información que considere procesos de negocio, personas e infraestructura en general. 19- Debe de establecerse una Organización de SI que administre la función de SI y encuentre el adecuado balance con el Comité de SI.
BIBLIOGRAFIA http://www.bscconsultores.cl/descargas/C.7%20Gobierno%20%20de%20la%20Seguridad%20de%20la%20Informacin.pdf http://www.isaca.org/chapters7/Monterrey/Events/Documents/20061023%20 Gobierno%20de%20Seguridad%20de%20Informaci%C3%B3n.pdf http://52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/PresentacionJavierEvans.pdf