implantación y control de un modelo de gestión
TRANSCRIPT
José Manuel Ballester Fernández IEEE, MBA, CISA, CISMJosé Manuel Ballester Fernández IEEE, MBA, CISA, CISM
Director Red SeguridadDirector Red Seguridad
IMPLANTACIÓN Y CONTROL DE UN MODELO DE GESTIÓN
Madrid 22 de Febrero 2006
INTRODUCCIÓN
Madrid 22 de Febrero 2006
EL QUE NO APLIQUE NUEVOS REMEDIOS, DEBE ESPERAR NUEVOS MALESEL QUE NO APLIQUE NUEVOS REMEDIOS, DEBE ESPERAR NUEVOS MALES
PORQUE EL TIEMPO ES EL MÁXIMO INNOVADORPORQUE EL TIEMPO ES EL MÁXIMO INNOVADOR
Francis Bacon (1561-1626) Francis Bacon (1561-1626)
REFLEXIÓN INICIAL
Madrid 22 de Febrero 2006
1 - INICIO DE PROYECTO
2 - DEFINICIÓN DEL SISTEMA DE GESTIÓN
3 – GESTIÓN DEL RIESGO
4 - FORMACIÓN Y CONCIENCIACIÓN
5 - MEJORA CONTINUA Y CONTROL
FASES DE IMPLANTACIÓN Y CONTROL
Madrid 22 de Febrero 2006
1.1 - APOYO DE LA DIRECCIÓN
1.2 - EQUIPO DE PLANIFICACIÓN DEL PROYECTO
1 - INICIO DEL PROYECTO
Madrid 22 de Febrero 2006
1.2- EQUIPO DE PLANIFICACIÓN DEL PROYECTO
Madrid 22 de Febrero 2006
2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
Madrid 22 de Febrero 2006
META / OBJETIVO COMO PASO INICIAL, SE DEBE TOMAR UNA CLARA DECISIÓN RESPECTO A LAS NORMAS
ALCANCE ¿QUÉ UNIDADES OPERATIVAS Y ACTIVIDADES ESTARÁN CUBIERTAS POR EL ENTORNO DE SEGURIDAD DE LA INFORMACIÓN? LA RESPUESTA OFRECE UNA CLARA REPRESENTACIÓN DE LAS ACTIVIDADES MÁS IMPORTANTES DE LA ORGANIZACIÓN.
LÍMITES / LIMITACIONESLOS LÍMITES DEL ALCANCE DEL SE DEFINEN DE ACUERDO A: LAS CARACTERÍSTICAS ESPECÍFICAS DE LA ORGANIZACIÓN (TAMAÑO, CAMPO DE ACCIÓN, ETC.).UBICACIÓN DE LA ORGANIZACIÓN.ACTIVOS (INVENTARIO DE TODOS LOS DATOS CRÍTICOS).TECNOLOGÍA.
INTERFACES LA ORGANIZACIÓN DEBE TENER EN CUENTA LAS RELACIONES CON OTROS SISTEMAS, OTRAS ORGANIZACIONES Y PROVEEDORES EXTERNOS.
DEPENDENCIAS ESTOS REQUISITOS PUEDEN SER DE NATURALEZA LEGAL Y/O DE NEGOCIO.
EXCLUSIONES Y JUSTIFICACIÓN DE ÉSTAS DEBEN ESTAR IDENTIFICADOS Y LAS RAZONES PARA SU EXCLUSIÓN CLARAMENTE JUSTIFICADAS.
CONTEXTO ESTRATÉGICO LAS MEDIDAS DE SEGURIDAD PLANIFICADAS DEBEN TENER EN CUENTA LA POSICIÓN ACTUAL Y FUTURA DE LA ORGANIZACIÓN PARA ALCANZAR LAS METAS FIJADAS POR LA DIRECCIÓN GENERAL. LA ADQUISICIÓN DE UNA NUEVA COMPAÑÍA, LA FUSIÓN DE INFRAESTRUCTURAS EXISTENTES O LA DECISIÓN DE CONTRATAR SISTEMAS DE INFORMACIÓN A UN TERCERO, SON EJEMPLOS DE ESTOS OBJETIVOS.
CONTEXTO ORGANIZATIVO EL ENTORNO ORGANIZATIVO AFECTA A LAS MEDIDAS IMPLANTADAS PARA CONSEGUIR LOS OBJETIVOS DE CONTROL FIJADOS POR LA DIRECCIÓN. POR EJEMPLO, LAS PROPUESTAS RELATIVAS AL ACCESO REMOTO A SERVIDORES DE LA COMPAÑÍA PARA EL TELETRABAJO REQUIEREN MEDIDAS DE SEGURIDAD ESPECÍFICAS.
2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
Madrid 22 de Febrero 2006
META / OBJETIVO COMO PASO INICIAL, SE DEBE TOMAR UNA CLARA DECISIÓN RESPECTO A LAS NORMAS Y ESTANDARES
2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
Madrid 22 de Febrero 2006
ALCANCE ¿QUÉ UNIDADES OPERATIVAS Y ACTIVIDADES ESTARÁN CUBIERTAS POR EL ENTORNO QUE QUEREMOS IMPLANTAR? LA RESPUESTA OFRECE UNA REPRESENTACIÓN DE LAS ACTIVIDADES MÁS IMPORTANTES DE LA ORGANIZACIÓN.
2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
Madrid 22 de Febrero 2006
LÍMITES / LIMITACIONES LOS LÍMITES DEL ALCANCE DEL SE DEFINEN DE ACUERDO A: • LAS CARACTERÍSTICAS ESPECÍFICAS DE LA ORGANIZACIÓN.• UBICACIÓN DE LA ORGANIZACIÓN.• ACTIVOS (INVENTARIO DE TODOS LOS DATOS CRÍTICOS• TECNOLOGÍA.
2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
Madrid 22 de Febrero 2006
INTERFACES LA ORGANIZACIÓN DEBE TENER EN CUENTA LAS RELACIONES CON OTROS SISTEMAS, OTRAS ORGANIZACIONES Y PROVEEDORES EXTERNOS.
2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
Madrid 22 de Febrero 2006
DEPENDENCIAS ESTOS REQUISITOS PUEDEN SER DE NATURALEZA LEGAL Y/O DE NEGOCIO.
2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
Madrid 22 de Febrero 2006
EXCLUSIONES Y JUSTIFICACIÓN DE ÉSTAS
DEBEN ESTAR IDENTIFICADOS Y LAS RAZONES PARA SU EXCLUSIÓN CLARAMENTE JUSTIFICADAS.
2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
Madrid 22 de Febrero 2006
CONTEXTO ESTRATÉGICO
LAS MEDIDAS PLANIFICADAS DEBEN TENER EN CUENTA LA POSICIÓN ACTUAL Y FUTURA DE LA ORGANIZACIÓN PARA ALCANZAR LAS METAS FIJADAS POR LA DIRECCIÓN GENERAL. LA ADQUISICIÓN DE UNA NUEVA COMPAÑÍA, LA FUSIÓN DE INFRAESTRUCTURAS EXISTENTES O LA DECISIÓN DE CONTRATAR SISTEMAS DE INFORMACIÓN A UN TERCERO, SON EJEMPLOS DE ESTOS OBJETIVOS.
2- DEFINICIÓN DEL SISTEMA DE GESTIÓN
Madrid 22 de Febrero 2006
CONTEXTO ORGANIZATIVO
EL ENTORNO ORGANIZATIVO AFECTA A LAS MEDIDAS IMPLANTADAS PARA CONSEGUIR LOS OBJETIVOS DE CONTROL FIJADOS POR LA DIRECCIÓN. POR EJEMPLO, LAS PROPUESTAS RELATIVAS AL ACCESO REMOTO A SERVIDORES DE LA COMPAÑÍA PARA EL TELETRABAJO REQUIEREN MEDIDAS DE SEGURIDAD ESPECÍFICAS.
3 - GESTIÓN DEL RIESGO
Madrid 22 de Febrero 2006
A) ANÁLISIS DE RIESGOS A.1) ESTRATÉGICO A.2) TÁCTICO
B) TRATAMIENTO DE RIESGOS
B.1) OPCIONES PARA TRATAMIENTO DE RIESGOS B.2) IMPLEMENTACIÓN DE CONTROLES
3.A – ANÁLISIS DEL RIESGO
Madrid 22 de Febrero 2006
3.A.1) ESTRATÉGICA
- ENTENDIMIENTO DEL NEGOCIO- PROCESOS DE NEGOCIO- ORGANIGRAMA- RESPONSABLES, ANTE QUIEN REPORTAN LOS ANÁLISIS- FRECUENCIA DE REVISIÓN- DIAGNÓSTICO PREVIO DEL GRADO DE CUMPLIMIENTO- CLASIFICACIÓN DE ACTIVOS- SISTEMA DE VALORACIÓN
3.A – ANÁLISIS DEL RIESGO
Madrid 22 de Febrero 2006
3.A.2) TÁCTICA
- INVENTARIO DE ACTIVOS- AGRUPAMIENTO DE ACTIVOS- SELECCIÓN Y VALORACIÓN DE AMENAZAS POR ACTIVO- SELECCIÓN Y VALORACIÓN DE VULNERABILIDADES POR AMENAZA- SELECCIÓN Y VALORACIÓN DE LA PROBABILIDAD DE OCURRENCIA - CÁLCULO DEL RIESGO
3.B - TRATAMIENTO DE RIESGOS
Madrid 22 de Febrero 2006
3.B.1) OPCIONES PARA TRATAMIENTO DE RIESGOS
- SELECCIÓN DE LOS CONTROLES - SELECCIÓN DEL NIVEL DE RIESGO ACEPTABLE (RIESGO RESIDUAL)- PLAN PARA TRATAMIENTO DEL RIESGO
Madrid 22 de Febrero 2006
3.B.2) IMPLEMENTACIÓN DE CONTROLES
- ADMINISTRATIVOS- TÉCNICOS O LÓGICOS- FÍSICOS
3.B - TRATAMIENTO DE RIESGOS
Madrid 22 de Febrero 2006
3.B.2 – IMPLEMENTACIÓN DE CONTROLES
CONTROLES COMPONENTES MEDIDAS*
ADMINISTRATIVOS
POLÍTICAS Y PROCEDIMIENTOS.SUPERVISIÓN DEL PERSONAL.CONCIENCIACIÓN Y FORMACIÓN.PRUEBAS.
POLÍTICAS, NORMAS, PROCEDIMIENTOS, GUÍAS DE ACCIÓN, PROCEDIMIENTOS DE SELECCIÓN DEL PERSONAL, PROCEDIMIENTOS DE FINALIZACIÓN DE CONTRATOS, CLASIFICACIÓN Y ETIQUETADO DE ACTIVOS, PROGRAMA DE CONCIENCIACIÓN EN MATERIA DE SEGURIDAD.
TÉCNICOS O LÓGICOS
ACCESOS AL SISTEMA.ACCESOS A LAS REDES.PROTOCOLOS DE CIFRADO.ÁREAS DE CONTROL.AUDITORIA Y VERIFICACIÓN.
CONTROLES DE ACCESO LÓGICO, CIFRADO, PROGRAMAS ANTIVIRUS, TARJETAS INTELIGENTES, PROCEDIMIENTO DE RELLAMADA, CORTAFUEGOS, ROUTERS, SISTEMAS DE DETECCIÓN DE INTRUSIÓN (IDS).
FÍSICOS
SEPARACIÓN DE REDES.PERÍMETROS DE SEGURIDAD.AISLAMIENTO DE LAS ÁREAS DE PRODUCCIÓN.ORDENADORES DE RESPALDO.CABLEADO.
PUERTAS, CANDADOS, SISTEMAS DE VIGILANCIA, CONTROLES DEL ENTORNO, DETECCIÓN DE INTRUSIÓN O MOVIMIENTO, ALARMAS, TARJETAS DE IDENTIFICACIÓN, MEDIDAS BIOMÉTRICAS.
4 – FORMACIÓN Y CONCIENCIACIÓN
Madrid 22 de Febrero 2006
SENSIBLIZACIÓN FORMACIÓN CONCIENCIACIÓNATRIBUTO « QUÉ » « CÓMO » « POR QUÉ »NIVEL INFORMACIÓN CONOCIMIENTO ENTENDIMIENTO
OBJETIVO IDENTIFICAR Y RECONOCER EL OBJETIVO DE LA SEGURIDAD
DESARROLLAR LAS HABILIDADES PARA RESOLVER LOS PROBLEMAS DE SEGURIDAD
ENTENDER POR QUÉ ES IMPORTANTE LA SEGURIDAD
MÉTODO DE APRENDIZAJE
MEDIOS-BOLETÍN-VIDEOS-PÓSTERS-DOCUMENTO IMPRESO-CURSOS-SEMINARIOS
INSTRUCCIONES PRÁCTICAS-DOCUMENTO IMPRESO-CASOS EJEMPLO Y CASOS PRÁCTICOS-CONSEJOS Y RECOMENDACIONES
INSTRUCCIONES TEÓRICAS-DEBATES-SEMINARIOS-DOCUMENTOS ESCRITOS SOBRE EL TEMA-CURSOS
VERIFICACIONES -COMPRENSIÓN-ENTREVISTAS-ESTUDIO DE CASOS
-RESOLUCIÓN DE PROBLEMAS (APLICAR CUANDO YA SE HAYA APRENDIDO)-ACTIVIDADES DE REFUERZO
EXAMEN ESCRITO, ENSAYO, TRABAJO ESCRITO (INTERPRETACIÓN DE LO QUE SE HA APRENDIDO)
TIEMPO REQUERIDO
A CORTO PLAZO A MEDIO PLAZO A LARGO PLAZO
4 – FORMACIÓN Y CONCIENCIACIÓN
Madrid 22 de Febrero 2006
DESPUÉS DEL PROGRAMA DE CONCIENCIACIÓN:
• EVALUAR EL NIVEL DE SATISFACCIÓN RESPECTO A LA FORMACIÓN• EVALUAR EL NIVEL DE LA FORMACIÓN (EVOLUCIÓN)• ASEGURAR LA TRANSFERENCIA DE CONOCIMIENTO• ACTUALIZAR SIEMPRE QUE HAYA CAMBIOS Y NUEVOS ELEMENTOS
5 – MEJORA CONTINUA Y CONTROL
Madrid 22 de Febrero 2006
5 – MEJORA CONTINUA Y CONTROL
Madrid 22 de Febrero 2006
A) SEGUIMIENTO Y MEJORA CONTINUA
B) REVISIÓN DE LA GESTIÓN
C) AUDITORIA DEL CONTROL INTERNO
D) MEJORA DE GESTIÓN
5.A – SEGUIMIENTO
Madrid 22 de Febrero 2006
5.A.1) LLEVAR A CABO PROCEDIMIENTOS Y OTROS CONTROLES DE SEGUIMIENTO PARA:
• DETECTAR LOS ERRORES EN LOS RESULTADOS LO ANTES POSIBLE,• IDENTIFICAR LAS INCIDENCIAS LO ANTES POSIBLE,• CAPACITAR A LA DIRECCIÓN PARA DETERMINAR SI LAS ACTIVIDADES IMPLEMENTADAS O
DELEGADAS SE ESTÁN LLEVANDO A CABO COMO SE ESPERA,• DETERMINAR LAS ACCIONES A REALIZAR PARA SOLUCIONAR LAS INCIDENCIAS EN
FUNCIÓN DE LAS PRIORIDADES DEL NEGOCIO
5.A – SEGUIMIENTO
Madrid 22 de Febrero 2006
5.A.2) REALIZAR REVISIONES REGULARES DE LA EFICIENCIA (INCLUYENDO POLÍTICA, OBJETIVOS Y CONTROLES ) TENIENDO EN CUENTA LOS RESULTADOS DE LAS AUDITORIAS, INCIDENCIAS, SUGERENCIAS E INFORMACIÓN RECOGIDA DE TODAS LAS PARTES IMPLICADAS
5.A – SEGUIMIENTO
Madrid 22 de Febrero 2006
5.A.3) REVISAR LOS NIVELES DE ACEPTACIÓN DE RIESGOS Y LOS RIESGOS RESIDUALES, CONSIDERANDO LOS CAMBIOS EN:
• LA ORGANIZACIÓN.• LA TECNOLOGÍA.• LOS OBJETIVOS Y PROCESOS DEL NEGOCIO.• LAS AMENAZAS IDENTIFICADAS.• LOS SUCESOS EXTERNOS, COMO CAMBIOS EN LA LEGISLACIÓN
5.A – SEGUIMIENTO
Madrid 22 de Febrero 2006
5.A.4) REALIZAR AUDITORIAS INTERNAS
5.A – SEGUIMIENTO
Madrid 22 de Febrero 2006
5.A.5) LLEVAR A CABO UNA REVISIÓN DE LA GESTIÓN DE UNA MANERA PERIÓDICA (AL MENOS UNA VEZ AL AÑO) PARA GARANTIZAR QUE EL ALCANCE CONTINUA SIENDO
ADECUADO Y QUE LAS MEJORAS EN LOS PROCESOS SE HAN IDENTIFICADO. FOMENTAR UNA CORRECTA DOCUMENTACIÓN DE LAS REVISIONES DE LA GESTIÓN
5.A – SEGUIMIENTO
Madrid 22 de Febrero 2006
5.A.6) REGISTRAR LAS ACCIONES Y SITUACIONES QUE PUEDEN REPRESENTAR UN IMPACTO EN LA EFICIENCIA O EL RENDIMIENTO
5.A) – MEJORA CONTINUA
Madrid 22 de Febrero 2006
• IMPLEMENTAR LAS MEJORAS IDENTIFICADAS.
• LLEVAR A CABO LAS ACCIONES CORRECTIVAS Y PREVENTIVAS ADECUADAS.
• APLICAR LAS LECCIONES APRENDIDAS DE LAS EXPERIENCIAS PROPIAS O DE OTRAS ORGANIZACIONES.
• DOCUMENTAR LAS MEJORAS.
• COMUNICAR LOS RESULTADOS Y LAS ACCIONES Y LLEGAR A ACUERDOS CON TODAS LAS PARTES IMPLICADAS.
• GARANTIZAR QUE LAS MEJORAS CONSIGUEN LOS OBJETIVOS PROPUESTOS.
5.B) – REVISIÓN DE LA GESTIÓN
Madrid 22 de Febrero 2006
REVISIÓN DE LAS ENTRADAS
LA ENTRADA PARA LA REVISIÓN DE LA GESTIÓN DEBERÁ INCLUIR INFORMACIÓN SOBRE:
• RESULTADOS DE LAS AUDITORIAS Y REVISIONES.• FEEDBACK DE LAS PARTES INTERESADAS.• TÉCNICAS, PRODUCTOS O PROCEDIMIENTOS QUE PODRÍAN UTILIZARSE EN LA
ORGANIZACIÓN PARA MEJORAR LA PLANIFICACIÓN Y EFICACIA.• ESTADO DE LAS ACCIONES PREVENTIVAS Y CORRECTIVAS.• VULNERABILIDADES O AMENAZAS NO TRATADAS EN LOS PLANES DE GESTIÓN DEL
RIESGO PREVIOS.• ACCIONES DE SEGUIMIENTO INDICADAS EN REVISIONES PREVIAS.• CAMBIOS QUE PODRÍAN AFECTAR.• RECOMENDACIONES PARA LA MEJORA.
5.B) – REVISIÓN DE LA GESTIÓN
Madrid 22 de Febrero 2006
REVISIÓN DE LA SALIDA
EL RESULTADO DE LA REVISIÓN DE LA GESTIÓN DEBERÁ INCLUIR TODAS LAS DECISIONES Y ACCIONES RELATIVAS A LO SIGUIENTE:
1) MEJORA DE LA EFECTIVIDAD.
2) MODIFICACIONES DE LOS PROCEDIMIENTOS QUE AFECTEN A LA GESTIÓN CUANDO ESTOS SEAN NECESARIOS PARA PODER RESPONDER ANTE SUCESOS, TANTO INTERNOS COMO EXTERNOS.
SE INCLUIRÁN LOS CAMBIOS EN:
• REQUISITOS, DE NEGOCIO.• REQUISITOS DE SEGURIDAD.• PROCESOS DE NEGOCIO QUE AFECTEN A LOS REQUISITOS DE NEGOCIO EXISTENTES.• ENTORNOS LEGALES O NORMATIVOS.• NIVELES DE RIESGO Y/O NIVELES DE ACEPTABILIDAD DE ÉSTOS.
3) NECESIDADES RELATIVAS A LOS RECURSOS.
5.C – AUDITORIA DEL CONTROL INTERNO
Madrid 22 de Febrero 2006
• CUMPLEN LOS REQUERIMIENTOS DE ESTA NORMA Y LA LEGISLACIÓN Y NORMATIVA APLICABLE.
• CUMPLEN LOS REQUISITOS IDENTIFICADOS.• ESTÁN IMPLEMENTADOS Y SON MANTENIDOS EFICIENTEMENTE.• FUNCIONA DE LA MANERA ESPERADA.
5.D – MEJORA DE GESTIÓN
Madrid 22 de Febrero 2006
ACCIÓN CORRECTIVA
• IDENTIFICAR LAS DEFICIENCIAS DE LA IMPLEMENTACIÓN Y O LA OPERATIVIDAD.• IDENTIFICAR LAS CAUSAS DE LAS DEFICIENCIAS.• EVALUAR LA NECESIDAD DE ACCIONES PARA GARANTIZAR QUE LAS DEFICIENCIAS NO
SON RECURRENTES.• IDENTIFICAR E IMPLEMENTAR LAS ACCIONES CORRECTIVAS NECESARIAS.• REGISTRAR LOS RESULTADOS DE LAS ACCIONES REALIZADAS .• REVISAR LAS ACCIONES CORRECTIVAS LLEVADAS A CABO.
5.D – MEJORA DE GESTIÓN
Madrid 22 de Febrero 2006
ACCIÓN PREVENTIVA
• IDENTIFICAR LAS POTENCIALES DEFICIENCIAS Y SUS CAUSAS.• DETERMINAR E IMPLEMENTAR LAS ACCIONES PREVENTIVAS NECESARIAS.• REGISTRAR LOS RESULTADOS DE LAS ACCIONES REALIZADAS.• REVISAR LAS ACCIONES PREVENTIVAS REALIZADAS.• IDENTIFICAR LOS CAMBIOS EN LOS RIESGOS Y GARANTIZAR QUE SE TIENEN EN CUENTA
5.D – MEJORA DE GESTIÓN
Madrid 22 de Febrero 2006
CONTROL DE REGISTROS
SE ESTABLECERÁN Y MANTENDRÁN LOS REGISTROS PARA PROPORCIONAR EVIDENCIA DEL CUMPLIMIENTO DE LOS REQUISITOS Y LA EFICIENCIA OPERATIVA.
LAS IDEAS NO DURAN MUCHO. HAY QUE HACER ALGO CON ELLASLAS IDEAS NO DURAN MUCHO. HAY QUE HACER ALGO CON ELLAS
Santiago Ramón y Cajal (1854-1934Santiago Ramón y Cajal (1854-1934) )
REFLEXIÓN FINAL
Madrid 22 de Febrero 2006
Attribution. You must give the original author credit.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
Creative Commons Attribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
No Derivative Works. You may not alter, transform, or build upon this work.