MTI. Israel Sotelo Ruiz
Cumplimiento en base a la administración de riesgos
Evolución en México
2003 – Rol CISO
El rol de Chief Information Security Officer (CISO) es evaluado para mejorar la seguridad de la s empresas.
2004 – Fabricantes de controles de seguridad
Se definen estrategias para áreas de TI
Evaluación de diferentes propuestas de fabricantes para construir el departamento de seguridad de la información
Desarrollo un grupo de trabajo para definir el equipo de seguridad de la información basado en controles de seguridad
2004 2005
Basado en controles Basado en Mejores practicas Actividades de ISM bajo el programa de seguridad de la
información
2012
2005 - 2008 –Desarrollo de los proceso de ISM
Definición de procesos de ISM como parte de la evolución del modelo de seguridad de la información (Enfocado a disponibilidad), se comienza con el cumplimiento de auditorias SOX
2009 2011
2004 – Creación del área de ISM en TI
Un área formal de seguridad de la información es creada ISM (Information Security Area) bajo la organización de operaciones de TI.
2006 2008 2007 2013 2010
2009 –Uso de mejores practicas ISO27001
• Iniciativas y modelo de ISM basado en mejores practicas
2011 2012 –Definición del proceso de administración de riesgos.
• Operación formal del proceso de administración de riesgos como el corazón del programa de seguridad
• Creación del comité de seguridad de la información
2013– Programa de seguridad de la información
• Actividades de ISM guiadas por un programa de seguridad de la información basado en la norma ISO27001.
• Nuevo alcance para el departamento de ISM (No solo IT)
• Certificación del resto de los procesos y servicios de TI bajo la norma ISO27001
2014
Evolución de la seguridad de la información en México
2015
Temas que retrasan la evolución de la seguridad de la información en Mexico
• “Profesionales de seguridad” con un enfoque 100% operativo.
• Industria vendiendo seguridad como producto hacia el usuario final
• Profesión prostituida porque esta de “moda” porque es un mercado en crecimiento que
te puede dejar buenos dividendos
• Solo se deben de seguir mejores practicas de seguridad para contar con el menor nivel de riesgo aceptado por la alta dirección (CERT, SANS, etc..)
• El ámbito de la seguridad de la información se limita a Controles internos (Firewall, IPS, AVs)
Si tu piensas que la tecnología puede resolver tus problemas de seguridad, entonces tu no entiendes los problemas y tu no entiendes la tecnología.. Bruce Schneier
• Conozco la madurez de la seguridad de la información de mi empresa en base a las
auditorias que me realiza una entidad externa. (SOX compliance, LFPDPPP…)
• Primero desarrollo para que funcione la aplicación que es lo importante ya después veo lo de seguridad si es que me lo piden.
• Profesión creciendo demasiado rápido sin dar un seguimiento a los profesionales del área después de su certificación.
• Área de recursos humanos sin capacitación para contratación de profesionales de seguridad de la información.
• Academia con falta de maestros capacitados dentro de las carreras de seguridad de la información (iniciativa privada).
• Competencia desleal y plagio de programas de seguridad
Temas que retrasan la evolución de la seguridad de la información en Mexico
Al final la mayoría de los temas resultan en la falta de un programa de seguridad de la información que sea actualizado y
mantenido por un proceso de administración de riesgos
Perspectiva del Riesgo
Muchas personas creen que sus hijos están en riesgo de que les den dulces envenenados por extraños en hallowen, mas allá de que no existe ningún caso documentado de que esto sucedió alguna ves..
Si llegaran a existir algunos ataques de tiburón a surfistas y se pone de moda la película de tiburón en 3D, de repente la gente esta preocupada y no quiere meterse al mar a nadar...
De echo hay mas muertes cada año por ataques de cerditos que por tiburones, lo cual nos muestra que tan mal se pueden llegar a evaluar los riesgos.
La gente toma decisiones de seguridad basados en su percepcion del riesgo en lugar del riesgo real y esto puede resultar en malas decisiones, esto aplica de igual manera para tecnologias de informacion y los administradores que gestionan su operacion en el dia a dia
Muertes en USA por diferentes casos al año
Ataque al corazón 725,192 Cáncer 549,838
Diabetes 6 8,399 Gripa y neumonía 63,730
Accidentes en carro 41,700 Asesinato 15,58 6
HIV 14,478 Envenenamiento 5000
Incendios en residencias 3465 Accidentes aéreos 6 3 1 Accidentes de tren 530
Inundaciones 139 Rayos 87
Tornados 82 Huracanes 27
Ataque de perros 18 Picaduras de víbora 15 Ataques de cerdos 0.7
Ataque de tiburones 0.6
Fuente Beyond Fear. Bruce Schneier
Cumplimiento en base a administración de riesgo
La administración de riesgos es el mayor facilitador sobre temas de cumplimiento ya que el riesgo es el único lenguaje de
la seguridad de la información que es entendido por el resto de las áreas de una organización
Área de cumplimiento
Auditoria SOX Externa
Control Intterno
Auditoria SOX Interna
Model Clauses
Evaluación de
procesos ISO 27001
IFAI
Ley de proteccion de
datos
NVA
Interno y Externo
Requerimientos de auditoria y cumplimiento
1.identificación de activos
-Identificación de activos a nivel mundial
-Creación de repositorio central de activos
-Identificación de activos críticos
2.Evaluacion de riesgos-Identificación de amenazas
-Identificación de vulnerabilidades
-Identificación de nivel de riesgo
-Aceptación de riesgo por alta dirección
3.Analisis de riesgo-Identificación de controles internos
-Análisis costo beneficio
4.Creacion de política de
seguridad-Creación de política de seguridad en base a
resultados de evaluación de riesgos
5.Implementacion
de controles internos-Selección de controles internos que soporten
las política de seguridad
-Implementación de controles internos a nivel
técnico y administrativo
6. Auditoria sobre política
de seguridad- Validación complimiento de controles
internos contra política de seguridad
Administración de riesgos
Administración de riesgos
• Homologación de criterios
• Falta de capacitación sobre el tema de riesgo en los equipos de auditoria
• Gobierno de seguridad no establecido (falta de roles y responsabilidades)
• Pocos recursos para cumplimiento
• Controles de auditoria duplicados
Retos del cumplimiento en base a la administración de riesgos
Proceso de administración de
riesgos
Sin Adm de riesgos Con Adm de riesgos
Remediaciones reactivas para las auditorias
Cumplimiento transparente de auditorias
Política basada en estándares Política basada en administración de riesgos
Sin responsabilidad sobre remediaciones
Seguimiento puntual de remediaciones
Sin centralización de riesgos Una sola consola y proceso para la administración de riesgos
Diferente criterio de auditoria
Todos los criterios de la auditoria basados en la administración de riesgos
Presupuesto asignado a remediaciones basado en incidentes
Remediaciones proactivas que evitan tener un incidente que supere los presupuestos para controles.
Sin roles y responsabilidades o una estructura estable y mejorable sobre seguridad de la información
Sistema de gobierno de seguridad de la información basado en programa de seguridad de la información
Norma
ISO27001
Cumplimiento
SoD SAP
Auditoria
Control de
acceso SAP
Comité de
seguridad
Cumplimiento
SOX
Network
Vulnerability
Assessment
Nuevas
auditorias y
cumplimiento
• Perfiles por activo critico
• Criterio de riesgo homologado
• Análisis de Impacto al Negocio
• Análisis de riesgo
• Priorización remediación del riesgo
• Correlación de riesgos
• Centralización y correlación de riesgos •Eliminación de controles de auditoria duplicados
Actualizacion de politicas de seguridad
Seleccion de controles de seguridad
• Creación de la política basado en los
resultados de la administración de
riesgos
• Optimización de controles basados
en los riesgos específicos de CertUit
Administración de riesgos Beneficios y estructura
Madurez del programa de seguridad en base a la administración de
riesgos
Plan de recuperación
de desastres
Seguimiento
programa
Auditoria y
cumplimiento
Control Interno
Políticas de
Seguridad
Análisis de riesgo
Evaluación de
Riesgo
Identificación de
procesos críticos
Gobierno
Pro
gra
ma
de
co
nc
ien
tiza
ció
n
Gru
po
de
res
pu
es
ta a
inc
ide
nte
s
Área de cumplimiento
Auditoria SOX
Externa Control Interno
Auditoria SOX
Interna
Model Clauses
Evaluación de
procesos
ISO 27001
IFAI
Ley de protecció
n de datos
NVA
Interno y
Externo
1.identificación de activos
-Identificación de activos a nivel mundial
-Creación de repositorio central de activos
-Identificación de activos críticos
2.Evaluacion de riesgos-Identificación de amenazas
-Identificación de vulnerabilidades
-Identificación de nivel de riesgo
-Aceptación de riesgo por alta dirección
3.Analisis de riesgo-Identificación de controles internos
-Análisis costo beneficio
4.Creacion de política de
seguridad-Creación de política de seguridad en base a
resultados de evaluación de riesgos
5.Implementacion
de controles internos-Selección de controles internos que soporten
las política de seguridad
-Implementación de controles internos a nivel
técnico y administrativo
6. Auditoria sobre política
de seguridad- Validación complimiento de controles
internos contra política de seguridad
Administración de riesgos
Ve que tus conversaciones con otras áreas sean en base al riesgo Busca que tu principal patrocinador sea el área de Legal Mantén una metodología de evaluación de riesgos sencilla y consensada con el comité de seguridad de la información Trata de mantener una sola consola de administración de riesgos y que la gente que la administra tenga el criterio de riesgo bien documentado y entendido. Implementa ISO27001 para fortalecer tu programa de seguridad, ve que legal soporte el ISO27001 como tema de cumplimiento en base a eso ve agregando mas procesos críticos.
GRACIAS
Preguntas?
Israel Sotelo Presidencia AMSI
CISSP: Certified Information Security Professional
CISA: Certified Information Systems Auditor
CISM: Certified Information Security Manager
CGEIT: Certified in the Governance of Enterprise IT
CCSA: Check Point Certified Security Administrator
FCNSA: Fortinet Certified Network Security Associate
ISO27001 Lead Auditor.