Date post: | 05-Mar-2015 |
Category: |
Documents |
Upload: | charo-moreno |
View: | 7 times |
Download: | 0 times |
18 de Mayo 2009
Presentación Política de Seguridad
Política de Seguridad
Pág. 2
Contenido
1. Gobierno eficaz de Seguridad de la Información1.1 Definición, Objetivos y Metas
1.2 Estrategia de Seguridad Corporativa
1.3 Ciclo de Mejora continua
1.4 Plan Director de Seguridad de la Información
1.5 Definiciones y Referencias en IBERIA
2. Estrategia de Seguridad de la Información2.1 Principio Básico
2.2 Marco Normativo
2.3 Implicación de la Dirección
2.4 Condicionantes del entorno: león o gacela
2.5 Plan de Acción
Política de Seguridad
Pág. 3
1 Gobierno eficaz de Seguridad de la Información
Política de Seguridad
Pág. 4
1.1 Definición y Objetivos
La gestión de la seguridad de la información eficaz no debe entenderse únicamente desde un punto de vista tecnológico. Un gobierno de seguridad eficaz implica el desarrollo y la administración de un programa integral de seguridad de la información que apoye los objetivos de negocio.
El buen gobierno de seguridad dentro de TI se compone de un grupo de actividades que dan garantías para ofrecer un nivel de seguridad adecuado sobre los activos de información.
Imagen original extraída de: http://www.agiliance.com/assets/images/solutions_it_grc_triangle.jpg
IMPLEMENTAR Y OPERAR EL SGSI
ESTABLECER EL SGSI
MANTENER Y MEJORAR EL SGSI
MONITORIZAR Y REVISAR EL SGSI
·Plan de Tratamiento de Riesgos. ·Selección e implementación de controles
·AC / AP/ NC
·Definición de Objetivos·Evaluación Amenazas, Riesgos e impactos
·Registros de cumplimiento y eficiencia
Imagen original extraída de www.agaex.com:8080/.../Certificado%20ISO%2027001
SITUACIÓN ACTUAL SITUACIÓN FUTURA
TENDENCIA
Política de Seguridad
Pág. 5
1.1 Metas
Alineación estratégica.
Administración del riesgo.
Entrega de valor.
Administración de recursos.
Medición del desempeño.
Integración del proceso de aseguramiento.
BARATO DIFERENCIAL
SERVICIO OFRECIDO A NUESTROS CLIENTES
Política de Seguridad
Pág. 6
1.2 Estrategia de Seguridad Corporativa
La seguridad de la información abarca:La gestión de los sistemas de información.La gestión de la seguridad corporativa en un ciclo continuo de identificación de amenazas, identificación de riesgos y establecimiento de medidas para la reducción de los mismos.
La Política de Seguridad Integral de Iberia estará coordinada y definida por:
La seguridad física.La seguridad del personal.La seguridad del patrimonio.La seguridad en los transportes.La seguridad en las instalaciones.La seguridad de los sistemas de información.
Política de Seguridad
Pág. 7
1.3 Ciclo de Mejora Continua
DO
PLAN
ACT
CHECK
PARTES INTERESADAS
Requerimientos y expectativas de seguridad de la
información
· Plan de Tratamiento de Riesgos. Selección e implementación de controles
· Definición de Objetivos
· Eval. Amenazas, Riesgos e impactos
· AC / AP/ NC
· Registros de cumplimiento y eficiencia
PARTES INTERESADAS
Seguridad gestionada
CICLO DE DEMING: PDCA
SGSI IBERIA
Política de Seguridad
Pág. 8
1.4 Plan Director de Seguridad de la Información (I)
LA INFORMACIÓN CORPORATIVA ES UN ACTIVO VALIOSO
OBJETIVOS: • Continuidad comercial.• Mínimo impacto ante Debilidades/Amenazas.• Máximo retorno sobre las Inversiones y las
Fortalezas/Oportunidades
SEGURIDAD DE LA INFORMACIÓN:• Políticas• Prácticas• Procedimientos• Estructuras organizacionales
Protege
Garantiza
Escrita
Transmitida verbalmente
Transmitida electrónicamente
Almacenada electrónicamente
Política de Seguridad
Pág. 9
1.4 Plan Director de Seguridad de la Información (II)
SEGURIDAD DE LA INFORMACIÓN:• Grado de Autenticidad (A)• Confidencialidad (C). • Integridad (I). Grado de fiabilidad.• Grado de Disponibilidad (D).• Grado de Auditabilidad (A2).
ALCANCE:• Activos de gestión de información corporativa
RESULTADOS: • Requisitos de seguridad para los activos de negocio• Clasificación por niveles de criticidad
ISO 27001 / 27002
Política de Seguridad
Pág. 10
1.5 Definiciones
ACTIVOS. Recursos necesarios para que la Organización funcione correctamente, proporcionando un soporte adecuado a los procesos de negocio, y alcance los objetivos propuestos por su Dirección.
AMENAZAS. Acciones capaces de modificar el estado de seguridad de un ACTIVO.
VULNERABILIDAD. Probabilidad de ocurrencia de la materialización de la AMENAZA sobre un activo.
IMPACTO. Diferencia en las valoraciones del estado de seguridad de un activo, obtenidas antes y después de la materialización de la AMENAZA sobre éste.
RIESGO. Posibilidad de que se produzca un IMPACTO determinado en un ACTIVO.
SALVAGUARDA. Acciones o procedimientos reductores del RIESGO.
Política de Seguridad
Pág. 11
1.5 Referencias en Iberia
• Planificación y Organización • Adquisición e Implementación • Entrega y soporte • Monitorización.
MAGERIT• Libto I: Método• Libro II: Catálogo de elementos. • Libro III: Guía de técnicas.
• Establece requisitos relacionados con los Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar sus riesgos e implantar los controles adecuados para mantener la confidencialidad, integridad y disponibilidad de sus activos de información.
COBIT (Objetivos de control de información y tecnologías relacionadas)
ISO 27001
PCI• Estándar que establece requisitos de seguridad para lops sistemas que almacenan,
procesan o transmiten datos de tarjetas de crédito..
Política de Seguridad
Pág. 12
2 Estrategia de Seguridad de la Información
Política de Seguridad
Pág. 13
2.1 Principio Básico
Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas:
Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr).
Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible).
Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).
Política de Seguridad
Pág. 14
2.2 Marco Normativo
POLÍTICAS DE USODestinado a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema, tecnología o recurso
Determinan las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.).
INSTRUCIONES TÉCNICAS
Determinan las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución.
PROCEDIMIENTOS
Definen qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc
NORMAS
Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como
POLÍTICAS
GRADO DE D
ETALL
E-
+
Política de Seguridad
Pág. 15
2.3 Implicación de la Dirección
APLICACIONES REDES SERVIDORES PCs BASES DE DATOS
ENTREGA DEL SERVICIO / OPERACIÓN / GESTIÓN
COMITÉ DE PRODUCCIÓN
COMITÉ DE DIRECCIÓN
PRESIDENCIAES
TRATE
GIA ESCALADO
Política de Seguridad
Pág. 16
Cada mañana en África una gacela se despierta. Sabe que tiene que correr más rápido que el león más rápido, para no morir ese día.
Cada mañana un león se despierta. Sabe que tiene que alcanzar a la gacela más lenta, para no morir de hambre.
2.4 Condicionantes del Entorno: León o Gacela (I)
Moraleja: no importa si eres el león o la gacela. Cada día cuando salga el Sol, ¡Corre!
Imagen original extraída de: http://weblogs.madrimasd.org/images/weblogs_madrimasd_org/universo/1079/o_Estepqa%20Con%20gacelas%20Momgolia.jpg
Política de Seguridad
Pág. 17
Si en el ejemplo anterior sustituimos Gacela por ”estrategia de seguridad de la información corporativa” y León por “amenaza” => el ejemplo es perfectamente aplicable a nuestro negocio.
CONCLUSIONES DEL DESARROLLO DE LA ESTRATEGIA DE S.I.:
• Nunca debemos perder de vista los condicionantes del entorno empresarial:
• Estratégicos
• Legales.
• Económicos.
• Culturales.
• Temporales
• Técnicos.
• Tenemos que ser MÁS rápidos que el resto para sobrevivir.
2.4 Condicionantes del Entorno: León o Gacela (II)
Política de Seguridad
Pág. 18
2.5 Plan de Acción (I)
ESTRATEGIA DE S.I. EN IBERIA. FACTORES QUE HEMOS TENIDO EN CUENTA EN LA IMPLEMENTACIÓN:
Que sea acorde a las metas y objetivos del negocio (Alineación de la estrategia de seguridad con el gobierno corporativo).
Que defina roles y responsabilidades relacionadas con la seguridad de la información en toda la organización.
Compromiso de la Alta Dirección.
Facilitadores:
Desarrollo de business cases que justifiquen la inversión en seguridad de la información.
Identificación de requerimientos legales y regulatorios.
Identificación impulsores que afecten a la organización.
Establecimiento los canales de comunicación y de presentación de información tanto internos como externos.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
CERTIFICADO EN ISO 27001
HER
RAM
IEN
TA
HER
RA
MIE
NTA
Política de Seguridad
Pág. 19
CONCLUSIONES:
La implantación formal de un Sistema de gestión de Seguridad de la información (SGSI) requiere cierto grado de madurez. No todas las organizaciones están preparadas para abordar este proyecto.
No existe un SGSI estándar, sino que cada Organización debe establecer el que más se adecue a su estrategia de negocio.
La fase de PLAN del Ciclo de mejora continua es la base para el correcto establecimiento de un SGSI, por lo que debemos ser muy cuidadosos en su definición y aplicación.
El papel del Responsable de Seguridad de la Información es clave, debiendo adoptar diferentes roles y en distinta medida, dependiendo de la Organización, sobre todo en época de crisis.
Un SGSI normalmente es difícil de implantar, pero más aun es mantenerlo y mejorarlo.
2.5 Plan de Acción (II)
Política de Seguridad
Pág. 20
Preguntas …
2.6 Preguntas
Política de Seguridad
Pág. 21
Fin de la presentación
Gracias!