0 - InFORIESGO - Remediacion Parche o Upgrade v0

Copyright FABIN DESCALZO 2014 Todos los derechos reservados
INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
1
a.c.
Fabin Descalzo, Gerente de Governance, Risk & Compliance (GRC)
Certificado en Direccin de e!"ridad de la #nformacin ($niversidad C%&C&)
#nstr"ctor Certificado #'#() version *+,-.., Certification for #nformation /ana!ement
Certificado #01#&C ,----2.+,-.., #mplementacin de istemas de Gestin #'
#nternal %"dit #01#&C ,----+,-.., %"ditor #nterno en istemas de Gestin #'
Proceso de Remediacin,
Parche o Upgrade?
INFO-RIESGO 2014
2
a.c.
Nuevas Regulaciones, Requerimientos por Certificacin,
Planes de Trabajo por Auditoras, Actualizacin Tecnolgica
Impactan en
Lo regula Lo elige NEGOCIO
Deben
acompaar
Procesos de Negocio
El principio
INFO-RIESGO 2014
3
a.c.
reas de
Negocio
Aplicaciones
Software de Base
Hardware
Tecnologa y
Seguridad
Situaciones de Crisis
IDENTIFICAR
LA BRECHA
Y DESPUS?
INFO-RIESGO 2014
4
a.c.
Parche o
Upgrade?
Cul es la mejor
versin que quiero
de mis sistemas y
procesos?
Que el remedio cure la enfermedad
Situaciones de Crisis
INFO-RIESGO 2014
5
a.c.
Decidiendo el remedio
Tiempo + Recursos + Conocimiento
INFO-RIESGO 2014
6
a.c.
Necesidades del
Negocio
Necesidades de los
Procesos Tecnolgicos
Asocindose con el Negocio
INFO-RIESGO 2014
7
a.c.
Nivel de
Cumplimiento
reas de Negocio
Procesos de
Negocio soportados por la tecnologa
Sistemas de
Procesamiento
Tecnologa de la
Informacin
Operaciones
Arquitectura
Desarrollo
Seguridad de la
Informacin
Seguridad
Organizacional
Seguridad
Informtica
Seguridad Fsica
Seguridad Legal
Asocindose con el Negocio
INFO-RIESGO 2014
8
a.c.
Como llegar a la mejor versin
Definicin de estrategias en funcin de observaciones, alcances y
experiencia
Identificacin de recursos tcnicos y humanos
Definicin de roles y funciones bien definidos
Conformacin de equipos de trabajo
Capacitacin a los diferentes equipos de acuerdo a su visin de objetivo
y a su participacin en la remediacin
Definicin de las evidencias a obtener y su formato
Seleccionar la documentacin que nos sirva para operar, seguir y
controlar la remediacin
Principales actividades para una
remediacin efectiva
INFO-RIESGO 2014
9
a.c.
Alcance de
Observaciones
Cantidad de
Plataformas
Aplicaciones
alcanzadas
Magnitud de No-
Conformidades
Configuraciones tcnicas
Cuentas de usuario
Accesos, permisos y
privilegios
Documentacin de
Soporte
Conformacin de los
Equipos de Trabajo
Aporta a
Resultado del anlisis de brecha
INFO-RIESGO 2014
10
a.c.
Parmetros
Carpetas
compartidas
Cuentas de
Usuario
Permisos
Servicios
1
Sistema
Operativo
Parmetros
Cuentas de
Usuario
Permisos
2
Base de
Datos
Parmetros
Cuentas de
usuario
Funciones
3
Aplicacin
Orden lgico de ejecucin
Inconsistencia en el software de base que generan
demoras y retrabajo sobre la aplicacin (Interfaces,
Tareas Programadas, Cuentas Especiales, Servicios, etc.)
INFO-RIESGO 2014
11
a.c.
Equipos de Trabajo
Seguridad de la
Informacin
Tecnologa
Jefes de Aplicacin o Lderes
Funcionales de Sistemas
Lderes de
Proyecto
Adm SO Adm BBDD Operacin
Compliance
Conocedores del funcionamiento
aplicativo para responder a los
requerimientos del Negocio
Servicio consultivo y
de soporte tcnico
Acompaamiento y
operacin de
relevamiento y
remediacin
Capacitacin y
definiciones de
cumplimiento
INFO-RIESGO 2014
12
a.c.
Identificacin de argumentos de remediacin
Normas Estndares
Aplicaciones Plataformas
Matriz de
Revisin
Remediacin posible y
cumpliendo los plazos
Remediacin posible
pero fuera de plazo con
Plan de Trabajo
No se puede remediar y
debe exceptuarse
Definicin de Registros
y Documentos para
Control y Seguimiento
INFO-RIESGO 2014
13
a.c.
Definicin de registros para evidencias
Tipo y
formato de
evidencia
Completitud
de datos a
obtener por
evidencia
Estrategia de
generacin y
administracin
de evidencias
Certifica que la
remediacin ha sido
efectiva y evidencia
aceptada por una
probable Auditora
Optimiza la operacin de
obtencin y el volumen
de archivos de datos a
tratar y almacenar
INFO-RIESGO 2014
14
a.c.
Gestin de Excepciones
Limitaciones
Funcionales
Obsolescencia
Tecnolgica
Anlisis
de
mitigantes
Respaldar Registrar
CIA
INFO-RIESGO 2014
15
a.c.
Entendimiento del
Proyecto y motivos de
los cambios
Roles y funciones
Componentes del
Marco Normativo
Contexto Aplicativo
(Procesos de Negocio,
Manuales)
Estrategias asumidas
Excepciones
Disear la Capacitacin
(Ampliar la Visin)
Equipo Tcnico Equipo Funcional
INFO-RIESGO 2014
16
a.c.
Ejecucin ordenada en el tiempo
especificado, orientada al resultado y de
bajo impacto en el Negocio
Plan definido para la mejora
Anlisis de
brecha
Orden de
Ejecucin
Armado de
Equipos de
trabajo
Argumentos de
Remediacin
Definicin de
Registros
Gestin de
Excepciones
Diseo de
Capacitacin
INFO-RIESGO 2014
17
a.c.
Valoremos cada participacin que tengamos en
los diferentes frentes de trabajo y aprendamos
que la tarea en equipo nutre de conocimiento y
INFO-RIESGO 2014
17
Recordemos que todos somos el Negocio
INFO-RIESGO 2014
18
a.c.
Muchas gracias
por su atencin
FABIN DESCALZO
Gerente de Governance, Risk & Compliance
CYBSEC S.A. - www.cybsec.com
(5411) 4371-4444
fdescalzo@cybsec.com

0 - InFORIESGO - Remediacion Parche o Upgrade v0

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

0 - InFORIESGO - Remediacion Parche o Upgrade v0

Hochgeladen von

Copyright:

Verfügbare Formate

Copyright FABIN DESCALZO 2014 Todos los derechos reservados

Das könnte Ihnen auch gefallen