gobierno de seguridad de la informacion

16
GOBIERNO DE LA INFORMACION FABIO ANDRES LIZARAZO ORTIZ PROFESOR: GUILLERMO MOLINA MODULO: SEGURIDAD BD Y WEB GRUPO: SI2 UNIVERSITARIA DE INVESTIGACION Y DESARROLLO ESPECIALIZACION SEGURIDAD INFORMATICA BUCARAMANGA 2015

Upload: fabio-andres-lizarazo

Post on 18-Feb-2016

223 views

Category:

Documents


0 download

DESCRIPTION

Gobierno de la seguridad de la informacion

TRANSCRIPT

Page 1: Gobierno de Seguridad de La Informacion

GOBIERNO DE LA INFORMACION

FABIO ANDRES LIZARAZO ORTIZ

PROFESOR: GUILLERMO MOLINA

MODULO: SEGURIDAD BD Y WEB

GRUPO: SI2

UNIVERSITARIA DE INVESTIGACION Y DESARROLLO

ESPECIALIZACION SEGURIDAD INFORMATICA

BUCARAMANGA

2015

Page 2: Gobierno de Seguridad de La Informacion

INTRODUCCION DEL GSI

Información se puede definir como “datos dotados de propósito”. En la actualidad,

la información desempeña una función cada vez más importante en todos los

aspectos de nuestra vida y se ha vuelto un componente indispensable para

realizar negocios para casi todas las organizaciones y en un número cada vez

mayor de empresas, la información es el negocio.

Sería difícil encontrar un negocio que se haya mantenido al margen de la

tecnología de la información y que no dependa de la información que procesa. Los

sistemas de información han dominado la sociedad y los negocios, y la

dependencia de estos sistemas y la información que manejan, es casi,

indiscutiblemente absoluta.

De acuerdo con el Instituto de Brookings, tanto la información como otros activos

intangibles de una organización representan más del 80 por ciento de su valor de

mercado. En consecuencia, los daños a la integridad de la información pueden ser

devastadores para una empresa y sus altos directivos, a quienes se les

responsabiliza cada vez más por la información financiera de su organización.

Peter Ducker afirmó en su libro Management Challenges for the 21st Century, que

la información es un recurso que tiene igual relevancia que los recursos

importantes por tradición como la tierra, el trabajo y el capital.

Durante los últimos 12 años, la tendencia al alza en el valor de la información y la

dependencia de ésta se han incrementado de manera exponencial.

Recientemente, Gartner calculó que en menos de 10 años, las organizaciones

trabajarán con 30 veces más información de la que trabajan ahora. Sin embargo,

con el caos, las vulnerabilidades, los delitos y el vandalismo informáticos, la

información se ha vuelto la opción de un creciente grupo de delincuentes

discretos. Los terroristas y otros enemigos de la sociedad han acogido con

descaro a la misma tecnología de la información que afirman despreciar

profundamente para anunciar su cosmovisión y revelar sus actos hostiles.

A fin de cumplir con la tarea de brindar una protección adecuada a los recursos de

la información, el tema tiene que elevarse a una actividad a nivel de consejo tal

como sucede con otras funciones críticas de gobierno. La complejidad, la

importancia y la criticidad de la seguridad de la información y su gobierno exigen

un tratamiento de respaldo por parte de los niveles más altos dentro de la

organización.

De manera progresiva, aquellos que comprenden el alcance y la profundidad de

los riesgos están tomando la postura de que, al ser un recurso crítico, la

información debe tratarse con el mismo cuidado, precaución y prudencia que

Page 3: Gobierno de Seguridad de La Informacion

recibiría cualquier otro activo esencial para la supervivencia de la organización y,

tal vez, de la sociedad misma.

La seguridad de TI trata la seguridad de la tecnología y, por lo general, se maneja

desde el nivel del director de información (CIO). La seguridad de la información

abarca la totalidad de riesgos, beneficios y procesos que están relacionados con la

información y debe ser impulsada por la dirección ejecutiva y respaldada por el

consejo de administración.

El gobierno de la seguridad de la información es responsabilidad de la junta

directiva y la dirección ejecutiva. Debe ser una parte integral y transparente del

gobierno de la empresa, y consiste en el liderazgo, las estructuras y los procesos

organizacionales que protegen la información.

¿QUÉ ES GOBIERNO DE SEGURIDAD DE LA INFORMACIÓN?

Es el conjunto de responsabilidades y prácticas ejercidas por el grupo directivo

con el objetivo de proveer dirección estratégica, asegurar que los objetivos sean

alcanzados, validar que los riesgos de la información sean apropiadamente

administrados y verificar que los recursos de la empresa sean usados

responsablemente.

IMPORTANCIA DEL GSI

Desde la perspectiva de una organización, el gobierno de la seguridad es cada

vez más crucial a medida que aumenta la dependencia de la información. Tal

como dijo Arthur Sulzberger Hays en 1947 “El juicio de un hombre no puede ser

mejor que la información en la cual ha basado dicho juicio”.

La información definida como “datos dotados de significado y propósito” es la

esencia del conocimiento. El conocimiento a su vez, se capta, transporta y

almacena como información organizada. Tal como comentó Peter Drucker, “El

conocimiento se está volviendo rápidamente en el único factor de la productividad,

dejando de lado al capital y la mano de obra”.

Para la mayoría de las organizaciones, la información y el conocimiento en el que

ésta se basa se han vuelto uno de sus activos cada vez más importantes sin los

cuales sería imposible dirigir el negocio. Tanto los sistemas como los procesos

que manejan dicha información han invadido el negocio y las organizaciones

gubernamentales en todo el mundo. Esta creciente dependencia de las

organizaciones de su información y los sistemas que la manejan, junto con los

riesgos, beneficios y oportunidad que representan dichos recursos, han hecho del

gobierno de la seguridad de la información un aspecto cada vez más crucial del

Page 4: Gobierno de Seguridad de La Informacion

gobierno en su conjunto. Las gerencias prudentes han llegado a entender que

ofrece una serie de beneficios significativos, entre los que se encuentran:

‐ Tratar la creciente posibilidad de que la organización y su alta dirección se enfrenten de manera habitual a la responsabilidad civil o legal como resultado de imprecisiones en la información o la ausencia del debido cuidado para protegerla.

‐ Brindar la confianza en el cumplimiento de las políticas. ‐ Aumentar la previsibilidad y reducir la incertidumbre en las operaciones de negocio al reducir los riesgos a niveles definibles y aceptables.

‐ Proporcionar la estructura y el marco para optimizar la distribución de los recursos limitados de seguridad.

‐ Brindar un nivel de certeza de que las decisiones cruciales no se basan en información errónea. ‐ Proporcionar un fundamento sólido para tener una administración de riesgos y una mejora de procesos eficientes y eficaces, así

como una respuesta rápida a incidentes. ‐ Brindar una mayor confianza en las interacciones con socios comerciales. ‐ Mejorar la confianza en las relaciones con los clientes.

‐ Proteger la reputación de la organización.

‐ Posibilitar nuevas y mejores formas para procesar las transacciones electrónicas. ‐ Establecer la responsabilidad para proteger la información durante actividades críticas de negocio, tales como fusiones y adquisiciones, recuperación del proceso de negocio y respuestas regulatorias. Por último, dado que la nueva tecnología de información brinda la posibilidad de

una mejora radical en el desempeño del negocio, una seguridad eficaz de

información puede añadir un valor significativo a la organización al reducir las

pérdidas derivadas de incidentes que estén relacionados con la seguridad y

brindar la confianza de que tales incidentes y las violaciones a la seguridad, no

son catastróficos. Además, algunas pruebas demuestran que una mejor

percepción en el mercado resulta en un mayor valor por acción.

OBJETIVOS DE UN GSI:

1.- Alineación estratégica: Alinear la seguridad de la información con la estrategia de negocio para apoyar los objetivos organizacionales. 2.- Administrar los riesgos: Ejecutar medidas apropiadas para mitigar los riesgos y reducir el posible impacto que tendrían en los recursos de información a un nivel aceptable. 3.-Entrega de valor: Optimizar las inversiones en la seguridad en apoyo a los objetivos del negocio. 4.- Administración de recursos: Utilizar el conocimiento y la infraestructura de la seguridad de la información con eficiencia y eficacia. 5.- Medición del desempeño: Monitorear y reportar procesos de seguridad de la información para garantizar que se alcancen los objetivos.

Page 5: Gobierno de Seguridad de La Informacion

OBJETIVOS DE SEGURIDAD DEL GSI:

La información está disponible y utilizable cuando sea requerida, los sistemas que proporcionan esta información pueden resistir o recuperarse apropiadamente de ataques (Disponibilidad)

La información es observada o revelada sólo a entidades que tienen una necesidad de conocerla (Confidencialidad)

La información es protegida contra modificaciones no autorizadas (Integridad)

Las transacciones del negocio así como intercambios de la información entre diversas áreas de la organización o con entidades externas que tengan relaciones de negocio deben ser confiables (Autenticidad y no repudiación).

BENEFICIOS DE UN GSI

ROLES Y RESPONSABILIDADES EN UN GSI

Page 6: Gobierno de Seguridad de La Informacion
Page 7: Gobierno de Seguridad de La Informacion

Responsabilidades de Dirección General

Garantizar que se establezcan objetivos y planes de SI.

Establecer, comunicar y revisar la Política de SI.

Proveer Recursos para: Constituir, Implementar, Operar, Monitorear,

Revisar,

Mantener y Mejorar el SASI (Sistema de Administración de Seguridad de

Información)

Aprobar Niveles de Aceptación Riesgos de SI y documentación requerida

por norma Seleccionada.

Responsabilidades del Presidente Constitución del SASI:

Aprobar los objetivos y planes de SI.

Establecer Roles y Responsabilidades de SI.

Proveer Recursos Suficientes para: Constituir Implementar, Operar, Monitorear,

Revisar, Mantener, Mejorar el SASI. Administrativos:

Aprobación de documentación del Comité de SI (CSI).

Presidir las reuniones del Comité de SI.

Convocar reuniones extraordinarias del CSI.

Aprobación de Cambios de Procesos de Gobierno.

Aprobación de Cambios Estructurales al SASI. Revisiones del SASI:

Garantizar que se conduzcan Auditorías Internas.

Conducir Revisiones de la Dirección del SASI.

Verificar el cumplimiento de objetivos y planes de SI.

Responsabilidades Área de la Seguridad de la Información

Constitución del SASI:

- Elaboración de Procedimientos y Controles del SASI.

Administrativos:

– Establecer y operar control documental del SASI.

Administración de Riesgos:

– Elaboración de modelos, análisis de brechas y tratamiento de riesgos.

Page 8: Gobierno de Seguridad de La Informacion

Seguimiento del desempeño del SASI:

– Consolidar resultados de efectividad del SASI.

Mejora Continua:

– Identificación y Revisión de Áreas de Oportunidad y de acciones correctivas.

MODELO DE UN GSI: ESTANDARES

EVOLUCION DE LA NORMA ISO27001

Page 9: Gobierno de Seguridad de La Informacion

PAREJA DE DOCUMENTOS ISO 17799:2005 Guía de Implementación de controles Código de práctica para un ISMS BS 7799-2:2002 _Evoluciona en ISO27001 Especificaciones para un ISMS RESUMEN DE CAMBIOS Revisión ISO17799:2005 – ISO17799:2000 es retirada – Se publicó en Julio 2005 – 17 nuevos controles – ahora hay 134 en lugar de 127 – 11 Capítulos antes 10, se agrega manejo de incidentes – Evolucionará en ISO 27002 en Abril 2007 _ BS7799- Parte 2_ISO 27001 – Se transformó en ISO27001 en Octubre 2005 – BS7799 Parte 2 es retirada.

DOMINIOS ISO27001

Page 10: Gobierno de Seguridad de La Informacion

Política de seguridad

Organización de la Seguridad de la Información

Gestión de activos

Recursos de Seguridad Humana

Seguridad Física y Ambiental

Comunicaciones y Operaciones

Control de acceso

Sistemas de Información de adquisición, Desarrollo y Mantenimiento

Seguridad de la Información de Incidentes

Continuidad del negocio

Cumplimiento ESTANDARES DE PROCESO

4. Sistema de gestión de la seguridad de la información.

Page 11: Gobierno de Seguridad de La Informacion

4.1Requerimientos generales 4.2 El establecimiento y la gestión de los SGSI 4.2.1 Establecer el SGSI • Identificar los riesgos • Analizar y evaluar los riesgos • Objetivos de control y controles deben seleccionarse e implementarse para cumplir con los requerimientos identificados en el proceso de análisis y tratamiento de riesgo 4.2.2 Implementar y operar el SGSI • Implementar los controles seleccionados para cumplir los objetivos de control 4.2.3 Monitorear y revisar el SGSI • Llevar a cabo revisiones regulares de la efectividad del SGSI 4.2.4 Mantener y mejorar el SGSI • Implementar las mejoras identificadas en el SGSI. CONSTRUYENDO UN GSI (BASADO EN ISO27001) 1-Definición y Establecimiento de: – Alcance y límites del SASI. – Política de seguridad de información. – Metodología de Administración de Riesgos. • Que identifique riesgos asociados a los activos de información definidos. • Análisis y evalúan los riesgos identificados. • Evalúan las opciones para el tratamiento de los riesgos identificados. 2-Nivel de riesgo aceptable 3-Reducción de Riesgo mediante seleccionan de controles de la norma ISO 27001:2005 4-Aprobación de Riesgo Residual por Dirección general. 5-Autorización de Implementación del SASI por Dirección General. 6-Relación de controles aplicables para lograr el nivel de riesgo residual aprobado por la Dirección General documentados en un “Declaración de Aplicabilidad, SoA”. PLAN DE TRABAJO: CERTIFICACION ISO27001

Page 12: Gobierno de Seguridad de La Informacion

LA ADMINISTRACION DE RIESGOS EN GSI Objetivo: Administrar los riesgos de negocio en materia de SI en forma de costo-beneficio para la organización a través de: – Identificación de activos críticos, sus vulnerabilidades y amenazas. – Cuantificar los impactos al negocio debido a las amenazas. – Calcular los riesgos. – Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los impactos en el negocio ($$). – Implementación de controles que ayuden a mitigar los riesgos. – Monitoreo de la efectividad de los controles y su impacto en los riesgos. TRATAMIENTO DE RIESGOS Objetivos: – Identificar controles de seguridad que mitigan riesgos – Calcular los riesgos residuales – Seleccionar opciones de tratamiento de riesgos (Aceptar, mitigar, transferir, evitar) – Desarrollar un plan de tratamiento de riesgos

Page 13: Gobierno de Seguridad de La Informacion

CONTROLES DE SEGURIDAD:

Cortafuegos

Administración de cuentas de usuarios

Detección y prevención de intrusos

Antivirus

Infraestructura de llave publica

Capas de Socket Segura (SSL)

Conexión única "Single Sign on- SSO"

Biométria

Cifrado

Cumplimiento de privacidad

Acceso remoto

Firma digital

Intercambio electrónico de Datos "EDI" y Transferencia Electrónica de Fondos "EFT"

Redes Virtuales Privadas "VPNs"

Transferencia Electrónica Segura "SET"

Informática Forense

Recuperación de datos

Tecnologías de monitoreo

Page 14: Gobierno de Seguridad de La Informacion

MEJORES PRÁCTICAS DEL GSI

Estrategia de Seguridad de Información ligada a los objetivos del negocio y basada en el valor de la información protegida.

Políticas de Seguridad de Información que incluyan aspectos de la estrategia, el control y las regulaciones, que además estén basadas en las mejores prácticas internacionales relacionadas a Seguridad de Información.

Una estructura organizacional efectiva que permita la implementación de la Estrategia de Seguridad de Información.

Metodología de Administración de Riesgos de Seguridad de Información que facilite la toma de decisiones basadas en riesgos de negocio.

Un proceso de mejora continua y de monitoreo de políticas, procesos y controles de Seguridad de Información para asegurar su cumplimiento.

FACTORES CRITICOS DEL GSI 1- La Política de Seguridad de SI deberá estar firmada por el director general, debe responder a un análisis de riesgos previo y responder a requerimientos legales y regulatorios de la organización. La misma deberá aplicarse a los terceros con actividades relacionadas a la organización. 2- Debe de diseñarse una Estrategia de SI que considere metas a corto, mediano y largo plazo que se oriente a implementar lo establecido en la Política de SI.

Page 15: Gobierno de Seguridad de La Informacion

3- Debe desarrollarse e implementar un Modelo de Administración de Riesgos en base a las necesidades de la empresa y que considere riesgos residuales y bandas de riesgos aprobadas por la Dirección General. 4- Se debe de considerar establecer un Plan de Continuidad de Negocios que responda a eventos que puedan interrumpir procesos críticos de negocio. 5- Se debe Concientizar sobre la relevancia de SI al grupo de directores así como a las diferentes audiencias pensando en la especialización, esto debe de enfocarse a explicar a cómo transformar el costo de cumplimiento de la Política de SI a beneficios tangibles a la Organización. 6- Se debe de establecer un Comité de SI que sea representativo de la organización de acuerdo al alcance del GSI, es mandatario involucrar a Recursos Humanos y a Legal. 7- Deben establecerse los diversos Dueños y Custodios de los Activos de Información y su adecuado “Accountability”. 8- La dirección general debe Aprobar Objetivos Anuales de SI clasificados en estratégicos, relacionados a mejoras en procesos básicos de SI y objetivos operativos. 9- Se debe establecer una Medición del Cumplimiento de la Política de SI basado en un adecuado monitoreo del GSI. 10- La función de SI deberá contar con un Presupuesto Independiente de cualquier área funcional. 11- Se debe de establecer la Normatividad basada en las mejores prácticas internacionales de SI y disciplinas relacionadas necesarias para que sean la base estructural de los controles de SI administrativos, tecnológicos y procedurales. 12- La función de SI debe de Cubrir a los procesos más Críticos de la Organización. 13- Se debe de considerar establecer un Equipo de Respuesta a Incidentes que considere un adecuado proceso de comunicación y procedimientos de respuesta a incidentes. 14- Se debe de considerar establecer un Proceso de Control de Accesos que brinde Seguridad efectiva y optimice los recursos dedicados a TI. 15- La Selección de controles de SI deberá contar con el nivel de efectividad solicitada por el Análisis de Riesgos de forma que el riesgo residual se maneje adecuadamente. 16- Todos los Contratos de la Organización deberán considerar siempre aspectos de SI como acuerdos de confidencialidad, propiedad intelectual, etc. 17- Debe de establecerse la función de Auditoria de TI/SI para contar con un adecuado balance entre las normas y las operaciones relacionadas a SI. 18- Debe de mantenerse un Inventario de Activos de Información que considere procesos de negocio, personas e infraestructura en general. 19- Debe de establecerse una Organización de SI que administre la función de SI y encuentre el adecuado balance con el Comité de SI.

Page 16: Gobierno de Seguridad de La Informacion

BIBLIOGRAFIA http://www.bscconsultores.cl/descargas/C.7%20Gobierno%20%20de%20la%20Seguridad%20de%20la%20Informacin.pdf http://www.isaca.org/chapters7/Monterrey/Events/Documents/20061023%20 Gobierno%20de%20Seguridad%20de%20Informaci%C3%B3n.pdf http://52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/PresentacionJavierEvans.pdf