Sie sind auf Seite 1von 80

Nuestra empresa

JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES


GESTIN DE LA
SEGURIDAD DE LA
INFORMACIN
Ingeniera de Sistemas y Seguridad
Cliente: USB
Proyecto: Titulacin 2016
Versin: 1.0
Fecha: 16/09/2016
Agenda Introduccin
ITIL
GESTIN DE LA
SEGURIDAD DE LA COBIT
INFORMACIN ISO/IEC 27001
ISO/IEC 31000

[un] Modelo de gestin


Recomendaciones [finales]
Rueda de preguntas
Mg. Ing. Jack Daniel Cceres Meza
Datos del
facilitador Auditor ISO27001 (IRCA)
Planeamiento Estratgico de las Tecnologas de
Informacin
ITIL EXPERT
Project Management Professional -PMP
ISO/IEC20000
Certified Integrator in Secure Cloud Services
ISO/IEC27002
Maestra en Ingeniera de Seguridad
Informtica
Maestra en Direccin estratgica de las
telecomunicaciones
Administracin de Empresas
Proyectos de Mejora
Diseo de centros de datos
proyectos_tic@jagi.pe
Elementos de un proceso En un proceso las cosas
deben hacerse:
Controles - En el momento preciso
- Por quien debe hacerlas
(propietario, polticas, objetivos,
- De manera correcta
documentacin, retroalimentacin) > desde la primera vez
Necesidad o expectativa [es sujeto de medicin]
establecida, generalmente REQUISITOS REQUISITOS
Datos Sistemas de informacin tiles y usables
implcita u obligatoria
Materia prima Producto terminado o entregado
Materiales Hardware instalado y software personalizado
Servicios Servicio desarrollado e implantado
Servicio gestionado

PROCESO Salidas
Entradas
Procesos anteriores

Conjunto de actividades
(lo que desencadena el mutuamente relacionadas o [entrega un resultado

posteriores
Procesos
proceso) que interactan, las cuales especfico a clientes y a
transforman elementos de interesados]
entrada en resultados
ISO9000
PROVEEDOR [responde a eventos CLIENTE
especficos]
(actividades, roles, mejoras,
ATRIBUTOS ATRIBUTOS
procedimientos, instrucciones
Definidos Predecibles
de trabajo, criterios de
Documentados Estables
Comunicados
medicin) Consistentes
Entendidos Informes/revisiones Informes/revisiones Medidos
Repetibles Controlados
Seguidos consistentemente Alcanzar resultados esperados
Capacidad de realizacin Mecanismos/herramientas/ Efectividad
recursos-capacidades
(Eficiencia en el empleo de recursos)
6W-2H: What - Qu (objeto)
Qu hacer?
Who - Quin (persona)
Quin hace la tarea?
Qu se est haciendo? Quin la est haciendo?
Qu debera hacerse? Quin debera estarla haciendo?
Qu otra cosa puede ser hecha? Quin ms puede hacerla?
Qu otra cosa debera hacerse? Quin ms debera estar hacindola?
Por qu soy yo (l/ella) el que hace esto?
Why - Por qu (propsito)
Por qu l/ ella lo hace? To Whom (a/para quin)
Por qu lo hace? A quin le sirve?
Por qu lo hace all? Quin se beneficia a continuacin?
Por qu de esta manera? Quin emplea directamente mi entregable?
Por qu en ese momento?
How - Cmo (mtodo)
Where - Dnde (localizacin) Cmo hacerlo?
Dnde hacerlo? Cmo es hecho?
Dnde est siendo hecho? Cmo debera ser hecho?
Dnde debera ser hecho? Existe otra forma de hacerlo?
Dnde ms puede hacerse? Es sta la mejor forma de hacerlo?
Dnde ms debera hacerse?
Por qu tiene que hacerse all? How much - Cunto (costo)
Cunto cuesta?
When - Cundo (tiempo, secuencia) Cunto est costando?
Cundo hacerlo? Cunto debera costar?
Cundo est siendo hecho? Cunto deberamos ahorrar?
Cundo debera hacerse?
Es necesario hacerlo en ese momento? How much - Cunto (tiempo)
Cunto toma?
Tiene un hito?
ITIL Gestin de servicios

JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES


Retos del negocio

Desarrollar nuevos productos/SERVICIOS y [ampliar] mercados


CRECIMIENTO EXPANSIN POSICIN - DIFERENCIACIN
Clima organizacional BENEFICIO ECONMICO (expectativas)
Generar mayores utilidades a MENORES COSTOS EFECTIVIDAD
Cumplimiento normativo y legal
LEALTAD VS. FIDELIDAD
Ganar dinero y ms dinero (comprobado
con cualquier- indicador de rendimiento econmico)
Respuesta rpida (CONOCEMOS NUESTRO ECOSISTEMA)
Lograr los objetivos ESTRATGICOS- trazados por la empresa
Flexibilidad, agilidad (frente al MERCADO usualmente CAMBIANTE
POR REQUERIMIENTOS DEL CLIENTE)
Entre otros
No he hablado de TI
Situacin tpica de las reas de TI
9

Procesos no establecidos (documentados) -y,


peor, no estandarizados
Los servicios no estn definidos -porque los
Carencia
procesos subyacentes no lo estn
Nuestro corazn se centra en [La culpa la
de un
tiene] la tecnologa o negamos esto?
El rea [de TI] es reactiva s, no se ofendan
enfoque
pero estadsticamente es la realidad
Falta de alineamiento/articulacin con el
de Gestin
negocio -quin tiene la culpa?
Falta de comunicacin oportuna apropiada y
de
consistente- en el rea de TI
El valor [de TI] no es visible para el negocio -o
Servicios
creemos que s?
Para enfrentarlos desarrolla un Proceso de
Planificacin Estratgica
VISIN quines somos y
MISIN por qu estamos
aqu? 10

ANLISIS DIAGNSTICO

Fortalezas y debilidades
OBJETIVOS INTERNO
EXTERNO ESTRATGICOS
Oportunidades

Unidades estratgicas
Amenazas y

Factores regulatorios
(a dnde Estructura
Econmicos
queremos llegar? Procesos
Tecnolgicos
Marco Funciones
Presupuestario REAS CLAVES DE Recursos
... DESEMPEO ...

METAS
dnde dnde
estamos? PROGRAMAS, PLANES estamos?
TCTICOS Y OPERATIVOS,
PROYECTOS cmo lo hacemos y cmo
sabemos si hemos llegado?
cmo mantenemos (seguimiento, re-planificacin,
el impulso? procesos, mejora continua,
INDICADORES seguridad)
Esto implica o debera implicar
Visin 11

Misin
Metas
Definir Objetivos Verificar
CSF
KPI
Mtricas
Medidas
PERSONAS
Cultura de servicio

TI en el negocio? Clima organizacional


Experiencia
Competencias
Transparencia Motivacin
Actitud de servicio
Integridad Identidad - compromiso 12
Responsabilidad Trabajo en equipo
Gestin humana
Gobernabilidad Gestin del servicio de TI
Ser consistentes Gestin del conocimiento

Generar confianza
Estrategia
Superar expectativas Alcance
Riesgos
Gestin
Calidad
PDCA
Indicadores (PKI)
TECNOLOGA
PROCESOS Infraestructura y plataforma tecnolgica
Soporte y entrega del servicio Recursos, capacidad
Alineamiento con estrategia del negocio Personalizacin, configuracin
Informacin Aplicaciones Disponibilidad Continuidad
Polticas Normas Procedimientos Seguridad de la informacin
Estandarizacin Documentacin Herramientas BI, BPM
Mejores prcticas y normas internacionales Desarrollo de aplicaciones
ITIL es un marco de
ITIL no se implanta,
trabajo basado en mejores
se adopta y adapta
prcticas
Implantar (RAE) No debemos imponer
Establecer y poner en ejecucin nuevas doctrinas,
instituciones, prcticas o costumbres

Adoptar (RAE) Pero s interiorizar


Recibir, hacindolos propios, pareceres, mtodos, doctrinas,
ideologas, modas, etc., que han sido creados por otras
personas o comunidades.
Adaptar (RAE) Y adems personalizar
Acomodarse a las condiciones de su entorno. Acomodarse,
avenirse a diversas circunstancias, condiciones, otros.
JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES
ITIL y otros marcos reconocidos
14
Espere que haya resistencia al cambio
Hbitos Amenaza las relaciones
Temor a lo desconocido de poder ya establecidas
Impacta la zona de Paradigmas enraizados
Somos No me voy No tengo Inercia estructural
comfort a deshacer tiempo
Barrera intelectual diferentes y Inercia del grupo
no podemos de mi lista estoy
Barrera emocional de activos demasiado
Barrera de creencias tener

procesos en excel ocupado


estndar Hay otras
Otra moda - prioridades
TQM ISO
BPR CMM No tengo
presupuesto
Slo ms
burocracia
Mis jugadores
Formemos estrella estn
comits de trabajando en
trabajo otros proyectos
Use una
Ya lo hemos metodologa
intentado y no ...
ha funcionado de cambio
organizacional
Tradicional Gestin de servicios

Foco en tecnologa Foco en el negocio


Administrar
Proveer servicios
infraestructura
Usuarios Clientes

Modalidad bombero Prevencin y control


Siempre detrs de las Generando nuevas
necesidades posibilidades
Islas de informacin Integrado
Estandarizacin y
Procesos informales
mejores prcticas
Valor del servicio? Quin lo determina?
UTILIDAD
Lo que hace el servicio UTILIDAD
APTO PARA 17
Los requerimientos funcionales EL
Apoya la ejecucin? O PROPSITO

Elimina limitaciones? Y
GARANTA
Qu tan bien se entrega el servicio GARANTA
APTO PARA
(desempeo) EL USO
Los requerimientos no funcionales
Est disponible? Y
Tiene capacidad suficiente? Y
Provee la continuidad apropiada? Y
Es confiable? Y VALOR
Cuenta con soporte? Y CREADO
Todo necio
Es seguro? confunde valor y
precio
Antonio Machado
Ciclo de vida del servicio de TI
Definir
perspectiva, 18
posicin, planes,
patrones y
validez financiera
necesarios para
articular los
servicios
proporcionados
por TI con los
objetivos
estratgicos del
negocio
Ciclo de vida del servicio de TI

Disear
19
servicios,
prcticas,
polticas y
procesos
capaces de
materializar la
estrategia.
Planear,
implementar,
evaluar,
mantener
Ciclo de vida del servicio de TI
Asegurar que los
servicios nuevos,20
modificados y
retirados
alcanzan las
expectativas de
negocio,
previniendo
fallas e
interrupciones.
Ciclo PDCA
Ciclo de vida del servicio de TI
Coordinar y llevar
a trmino las 21
actividades
requeridas para
entregar y
gestionar
servicios en los
niveles
acordados,
alcanzar la
efectividad y
eficiencia en la
entrega y
soporte de
servicios
Ciclo de vida del servicio de TI

Mejorar la eficacia
y la eficiencia de22
los servicios y
procesos de forma
continuada,
preocupndose de
mantener y crear
valor para el
cliente,
identificando las
oportunidades
para mejorar las
debilidades o
fallas dentro de
cualquiera de las
etapas
COBIT Gobierno corporativo de TI

JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES


La tecnologa ha
jugado un papel
clave en el xito de
las empresas y,
ms que nunca,
los lderes de TI
tienen la presin
de ayudar a
generar ingresos y
brindar una
ventaja
competitiva.
FUENTE COBIT 5, 2012 ISACA TODOS LOS DERECHOS RESERVADOS
Inquietudes o exigencias
de (o para) TI?
25
Hemos experimentado algo de esto
(o todava lo experimentamos)?
Los proyectos de TI se justifican La alta gerencia recibe mtricas
en lenguaje tcnico, cuesta de TI que no logra entender en
entender y justificar sus trminos de negocio
beneficios
Se desarrollan/compran
TI se mira como caja negra, no sistemas de informacin, que no
se logra determinar el valor entregan los beneficios
estratgico que entrega esperados
Los contratos con las software Los contratos de servicios TI son
factory se encarecen, pero la administrados por personas que
disponibilidad es baja no saben de administracin
TI se entera a ltima hora de que
habr una fusin/cambios Los usuarios entienden que
estructurales, o que la adopcin quien debe proteger la
de estndares, normas y otros le informacin es TI, no ellos
traer serios cambios radicales
Cada nuevo marco que se quiere Todo se consolida en Excel
implementar tiene su propia
terminologa Aqu falta Gobierno de TI
Usualmente padecemos de (pain points)
Gobierno y Gestin
28
Gobierno Gestin
Asegura el Planea, Construye,
cumplimiento de Opera y Supervisa
objetivos (Monitorea):
empresariales La utilizacin
Evala necesidades, prudente de medios
condiciones y opciones (recursos, personas,
de los interesados procesos, prcticas)
Dirige a travs de la para lograr un fin
priorizacin y toma de especfico
decisiones
Supervisa (Monitorea)
el desempeo y
cumplimiento contra la
direccin y los objetivos
acordados
Entra COBIT 5 El marco COBIT 5 es
en la ecuacin de carcter genrico y
til para las empresas
NO es un estndar o una
metodologa de todos los tamaos,
Es un compendio de
mejores prcticas
ya sea comercial, sin
aceptadas
internacionalmente
fines de lucro o del
Se enfoca en el control sector pblico
ms que en la ejecucin
Porque:
Puede implementarse
Las organizaciones deben tratar con
acorde a las
la cada vez ms creciente cantidad
necesidades
de informacin
Y las reas de TI deben proporcionar
orientacin adicional en el mbito
de la innovacin y las tecnologas
emergentes
Estructura COBIT
30

El control de los Procesos de TI

Que satisfacen Requerimientos del


los negocio

El control es Declaraciones de control


facilitado por

Que consideran Prcticas de control


Entendamos entonces que COBIT es
31
COBIT aporta al Gobierno corporativo
32
Integrando tecnologa al Gobierno
Corporativo
Definiendo cul es el rol del directorio en el
Gobierno de Tecnologa
Separando claramente las actividades de
Gestin de las de Gobierno
A comprender que Negocio y Tecnologa
estn fusionadas

Vinculando cada inversin en Tecnologa


con beneficios, recursos, riesgos, y
transparencia

FUENTE COBIT 5, 2012 ISACA TODOS LOS DERECHOS RESERVADOS


COBIT aporta al Gobierno corporativo
DECISIONES
Estamos haciendo lo correcto? Estamos obteniendo los beneficios?
La pregunta estratgica: La pregunta de valor:
Est la inversin: Tenemos: 33
De acuerdo con nuestra visin Un conocimiento claro y compartido de los
Coherente con nuestros objetivos de negocio beneficios esperados
Contribuyendo a nuestros objetivos Una responsabilidad clara para realizar los
estratgicos beneficios
Proporcionando valor a un costo econmico y Una mtrica relevante
niveles de riesgo aceptable? Un proceso eficaz de realizacin de beneficios?

Lo estamos logrando bien? Lo estamos haciendo correctamente?


La pregunta de arquitectura: La pregunta de entrega:
Est la inversin: Tenemos:
De acuerdo con nuestra arquitectura Procesos eficaces y disciplinados de direccin,
Coherente con nuestros principios entrega y gestin de cambios
arquitectnicos Recursos tcnicos y de negocio competentes y
Contribuyendo a la poblacin de nuestra disponibles para entregar:
arquitectura Las capacidades necesarias
En lnea con otras iniciativas? Los cambios de organizacin necesarios para
potenciar las capacidades?
COBIT
Relacin de la La decisin de incorporar
tecnologa con tecnologa en los procesos del
negocio, trae consigo la decisin
los procesos de de administrar el correspondiente:
riesgo tecnolgico
negocio
34

Prdida potencial por daos,


interrupcin, alteracin o fallas
derivadas del uso [mal uso] o
usabilidad dependencia en el hardware,
software, sistemas, aplicaciones,
redes y cualquier otro canal de
distribucin de Informacin por el
empleo de herramientas y
aplicaciones tecnolgicas, que se
La tecnologa se vuelve parte incrementa continuamente, y que no
de la operacin y su cuentan con una gestin adecuada en
funcionamiento no puede seguridad.
aislarse de los dems
elementos del proceso;
asimismo, todos los
integrantes en conjunto tienen
un solo objetivo, adems de Fuente: http://www.auditool.org/blog/auditoria-de-
poseer la misma importancia ti/827-riesgo-tecnologico-su-medicion-como-
prioridad-para-el-aseguramiento-del-negocio
para el logro de los resultados. http://www.madrimasd.org/revista/revista23/tribuna
/tribuna1.asp
http://revista.seguridad.unam.mx/printpdf/356
http://boletin.dseinfonavit.org.mx/035/documentos/
ManualNormativodeRiesgoTecnologico.pdf
37 procesos de
gobierno y gestin

FUENTE COBIT 5, 2012 ISACA TODOS LOS DERECHOS RESERVADOS


Cobertura de COBIT 5 de Otros Estndares y Marcos de Trabajo

36
Escala de valoracin del nivel de madurez
Escala % Descripcin
NoCobIT
Aplica N/A Nofor
(Control Objectives aplica.
Information and related Technology)
Falta de un proceso reconocible. La Organizacin no ha reconocido que hay un37
Inexistente 0
problema a tratar. No se aplican controles.
Se evidencia de que la Organizacin ha reconocido que existe un problema y que
hay que tratarlo. Sin embargo, no hay procesos estandarizados. La
Inicial 20
implementacin de un control depende de cada individuo y es muchas veces es
reactiva.
Los procesos y los controles siguen un patrn regular. Los procesos se han
desarrollado hasta el punto en que diferentes procedimientos son seguidos por
Repetible 40 diferentes personas. Pero no estn formalizados, ni hay comunicacin formal
sobre los procedimientos desarrollados. Hay un alto grado de confianza en los
conocimientos de cada persona.
Los procesos y los controles se documentan y se comunican. No se han
Definido 60 establecido mecanismos de monitoreo, para una deteccin de desviaciones
efectiva.
Los controles se monitorean y se miden. Es posible monitorear y medir el
Gestionado 80 cumplimiento de los procedimientos y tomar medidas de accin donde los
procesos no estn funcionando eficientemente.
Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos
Optimizado 100 hasta el nivel de mejores prcticas, basndose en los resultados de una mejora
continua.
Cules son los motivos? Qu es preciso hacer?
Dnde estamos ahora? Cmo conseguiremos
Dnde queremos ir? llegar?

Hemos conseguido llegar?


Cmo mantenemos vivo el
impulso?

En resumen
Es un marco de gestin cuyos principios
rectores y procesos facilitadores optimizan la
informacin y la inversin en tecnologa y el
uso de TI para el beneficio de las partes
interesadas
FUENTE COBIT 5, 2012 ISACA TODOS LOS DERECHOS RESERVADOS
ISO/IEC 27001 Gestin de la seguridad de
la informacin

JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES


Consideraciones de peso
Aspectos legales Respaldos
Regulaciones Persistencia modas pasajeras?
Interoperabilidad Disponibilidad legacy?
Confidencialidad otra solucin web?
Integracin
Integridad fusiones?
Compatibilidad Proteccin riesgos? qu va!
Confianza Localizacin TCO?
Privacidad SLA?
Comunicaciones
movilidad?
Riesgos Mantenimiento
Personalizacin Capacitacin mercado?
Licenciamiento Actualizaciones competencia?
Continuidad Procesos benchmark?
Soporte Cumplimiento presupuesto?
Documentacin Sustentabilidad organizacin?
Carga
Sostenibilidad globalizacin?
Normas tcnicas
Concurrencia Sistemas de gestin contenido?
QA/QC Elementos de configuracin (CI) media?
Estndares Base de Datos de la gestin de configuraciones avances tecnolgicos?
Mejora continua (CMDB)

Activos
Gestin de configuraciones
...
Contexto general de seguridad
valoran
Propietarios
Quieren minimizar

definen
Salvaguardas

Pueden tener RECURSOS


conciencia de Que pueden Reducen
tener

Vulnerabilida Dao
Amenazas explotan Permiten o
des facilitan

RECURSOS
Tarea grupal
Identificar una empresa para trabajar
Identificar un proceso
Desarrollar la matriz RACI del proceso
Identificar los activos de informacin del proceso,
categorizarlos, etiquetarlos y tratarlos
Identificar las vulnerabilidades y amenazas de estos
activos de informacin
Identificar la probabilidad de ocurrencia y su impacto
Establecer una declaracin de los riesgos hallados
Modelo de Seguridad de la Informacin
La informacin es un recurso que, como el Puede tomar estos estados
resto de los activos, tiene valor para una
43
organizacin y por consiguiente debe ser Procesada
debidamente protegida. Almacenada
Transmitida
Conciencia, educacin, y
entrenamiento

Tecnologa

Polticas y procedimientos

Se adoptan medidas para su Disponibilidad


seguridad (salvaguardas) Integridad
Confidencialidad

La seguridad de la informacin se basa en


estos pilares (metas)
Data consistente Autorizacin Continuidad del negocio y
Vlida Autenticacin operaciones
Persistente Privacidad Canales adecuados
Sin manipulaciones Acceso controlado siguiendo los procesos
Sin alteraciones correctos

Organizacin
(capacitacin, auditoras, aplicacin prctica, polticas, etc.)
Tecnologa
(hardware, software, seguridad fsica, normas tcnicas, mejores prcticas)
Normativo Legal
Seguridad decontratos,
(leyes, la informacin: pilares
reglamentos, cdigos de conducta, etc.)
Eventualmente TODO sistema de
seguridad FALLAR
Entonces, ya que debemos garantizar el CID:
Confidencialidad: Que nadie ms lo vea
Integridad: Que nadie ms lo cambie
Disponibilidad: Que siempre est ah
debemos implantar las Reglas de Oro
Autenticacin: Quin es
Autorizacin: Qu puede hacer
Auditora: Qu ocurri
La seguridad informtica- NO es un
proceso puntual o nico, es un
proceso CONTINUO
La norma
Primer nivel de mbito de la mejora
madurez continua (madurar cada
alcanzado vez ms)

Lnea base sobre la


que empezaremos
las auditoras
internas y externas
Mejora evidente
resultante de
sincerar el trabajo
necesario para
acortar la brecha
(GAP anlisis) inicial
Anlisis de brecha
Es un anlisis que mide cmo una organizacin
est llevando a cabo su desempeo con respecto a
una serie de criterios establecidos en base a
normas o procedimientos internos, controles
seleccionados, las mejores prcticas de
competencia industria, etc.
El resultado de este anlisis establece la Beneficios del Gap anlisis
Identificacin de riesgos en
diferencia entre el desempeo actual y el
sus procesos
esperado, con un informe presentado con Descubrir las necesidades
indicaciones sobre dnde estn las deficiencias y de su organizacin para
qu falta para cumplir con cada requisito de la alcanzar la certificacin
norma. espacio para mejorar
Establecer calendario de
El Gap Analysis se lleva a cabo a travs de una implementacin- y costo
auditora constructiva- in situ. para cerrar la brecha
Fuente: http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/Nuestros-servicios/Gap-Analysis/
http://www.lrqa.es/certificacion-formacion/gap-analisis/index.aspx
Anlisis de brecha
Permite a la organizacin comparar sus procesos actuales contra procesos del
mercado o estndares de la industria relacionados con Seguridad Informtica.
Necesario para llevar a cabo la implantacin de un SGSI (NTP ISO/IEC 27001:2014).
El proceso incluye la determinacin, documentacin y aprobacin de variaciones entre
los requisitos del negocio y las capacidades actuales.

Fuente: http://arcanus-group.com/index.php/component/content/article/11-contenidos/19-
servicio-gap-norma-iso-27000
http://www.bogota.unal.edu.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.pdf
http://sergio.molanphy.net/category/gap_analysis/
Anlisis de brecha
Pasos para llevar a cabo el anlisis de brecha:
1. Decidir cul es la situacin actual que se desea analizar ("lo que es") y se
quiere resolver. En este paso se responde a la pregunta: Dnde estamos?
2. Delinear el objetivo o estado futuro deseado ("lo que debera ser"). Respondera
la pregunta En el ao 2018 a dnde deberamos llegar?
3. Identificar la brecha entre el estado actual y el objetivo. Responde a la pregunta
Cun lejos estamos de donde queremos estar?
4. Determinar los planes y las acciones requeridas para alcanzar el estado deseado
Responde a la pregunta de Cmo llegamos al 2018 planteado?

Fuente: http://www.bogota.unal.edu.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.pdf
http://sergio.molanphy.net/category/gap_analysis/
Conceptos Bsicos para el Desarrollo
de un SGSI

Fuente: http://www.intypedia.com/
SEGURIDAD DE LA INFORMACIN
La seguridad de la informacin, protege sta de una amplia gama de amenazas,
tanto de orden fortuito como de destruccin, incendio o inundaciones, como de 53
orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.

Poltica de Seguridad de la Informacin

Estrategia de la Seguridad de la Informacin

Situaciones no habituales Correo electrnico

Seguridad de las instalaciones


Realizacin de copias
informacin en PC

cuentas de usuario
Instalacin de

Creaciones de
de seguridad
Borrado de

Proteccin de antivirus Formacin


Software

Uso de internet

Control de accesos
Instrucciones Polticas Formacin
Sugerencias Previas
La implantacin de un SGSI
depende del mbito, el
tamao y complejidad de la
organizacin (no debe
pasar de 1 ao).
Optar siempre por escoger
la solucin ms sencilla de
implantar y mantener.
No es necesario cubrir
inicialmente todas las
reas
Quien podr ayudar con la
implementacin de un SGSI
Empresas Consultores
Especializadas

Especialistas Interesados / TI
MODELO PDCA APLICADO A LOS
PROCESOS DEL SGSI
Ciclo de desarrollo, mantenimiento y mejora

Partes PLAN Partes


Establecer
involucradas el SGSI
involucradas

DO ACT
Implementar y operar Mantener y mejorar
el SGSI el SGSI
Expectativas
y requisitos CHECK
Seguridad de la
del sistema Monitorear y revisar informacin
de informacin el SGSI gerenciada
Algunos Requisito y Conceptos
Previos
Conocimiento del negocio
Plan Estratgico de la Organizacin
Memoria
Estructura Orgnica
ROF, MOF
PETI/POI entre otros planes de TI
Otros

Anlisis de Riesgos
Lista de riesgos
Matriz de riesgos
Plan y estrategias para riesgos
Otros
Proceso de Implantacin ISO
27001
Definir el Crear
Crear
Soporte AG Permetro de Organizacin
Poltica
seguridad InfoSec

Anlisis
Implantar
Auditar Documentar de
Controles
Riesgo
Ejemplo de metodologa para
implantar un SGSI
Ejemplo de metodologa para
implantar un SGSI
Ejemplo de metodologa para
implantar un SGSI
Tarea grupal
Resolver el cuestionario
Realizar el anlisis de brecha
Establecer el BIA del proceso
Establecer el enunciado de aplicabilidad
Elaborar el plan de tratamiento de riesgos
Elaborar el plan de formacin/capacitacin del
personal involucrado
ISO/IEC 31000 Gestin de riesgos

JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES


Fuentes de incertidumbre y riesgos
Rotacin de Conflictos
Devaluaciones Recesiones Huelgas
personal sociales

Contratos, Aspectos Violaciones a Falta de


acuerdos, Desconocimiento
asociaciones legales, cdigos de responsabilid de la industria
inconsistentes regulaciones tica ad social

Ataques
contra la Inestabilidad Demografa y Inestabilidad
Globalizacin seguridad de poltica cultura laboral
la informacin
Incapacidad
Cambios en los procesos de responder
y en la gestin ante fallas en
organizacional productos o
servicios algunas!
Riesgos
Tradicionalmente, las organizaciones han tratado estos riesgos mediantes
estrategias de reaccin y soluciones puntuales.
La experiencia ha demostrado que los
elementos que conforman los riesgos y los
factores que determinan el impacto de sus
consecuencias sobre un sistema, son los
mismos que intervienen para todos los
riesgos en una organizacin.
La tendencia moderna es utilizar un enfoque integral de manejo de los
mismos conocido como Enterprise Risk Management (ERM), con el fin de
evaluar, administrar y comunicar estos riesgos de una manera integral,
basados en los objetivos estratgicos de la organizacin.

avantium.es
Gestin de riesgos
Risk Management es un mecanismo que ayuda a predecir y manejar eventos
que puedan evitar que el proyecto culmine en plazo.
Entre las razones detectadas que contribuyen al fracaso de los proyectos se
encuentran la poca especificacin del alcance en su planteamiento,
planificacin poco realista en cuanto a plazo, costo y calidad, contar con un
equipo de trabajo inapropiado, no cumplir con las expectativas del usuario,
un mal manejo de los cambios requeridos durante el desarrollo de la parada
y/o carecer de una buena gestin y direccin en la coordinacin y manejo de
eventos inciertos.
La ISO publica la Gua ISO 73:2009, el vocabulario de gestin de riesgos, que
complementa la norma ISO 31000, proporcionando una coleccin de
trminos y definiciones relativas a la gestin del riesgo.
Norma ISO 31000:2009 Gestin del
riesgo, principios y guas
Relacin entre los principios, estructura de soporte y gestin del riesgo
67

Proceso de gestin del riesgo


(clusula 6)
Gestin del riesgo
68
Prdida de gobernabilidad.
Usurpacin de datos.
Titularidad de los derechos.
Deslocalizacin de la
Riesgos informacin.
ISO
Legales Dependencia en el proveedor.
Negativa del proveedor a ser
NIST auditado.
Ley de contrataciones.
Proveedores sin experiencia.
Personal tcnico no especializado.
Sabotaje Normativas internas.
Desconocimiento
Comunicaciones inseguras.
Abuso de privilegios.
COBIT CSA Compromiso de la interfaz de
gestin.

Controles y guas de buenas


Riesgos Comparticin de recursos.
Denegacin de servicio.
prcticas de seguridad para
la Nube
Tcnicos Incompatibilidad para
migracin.
ISO: International Organization for Standardization Integracin dbil.
NIST: National Institute of Standards and Technology
COBIT:Control Objectives for Information and Related Technology Inter operabilidad incompleta.
CSA: Cloud Security Alliance
Panel de Administracin de Riesgos
El Panel de Administracin de Riesgos, es un elemento que permite a los responsables de seguridad
tomar decisiones sobre en qu activos existe mayor riesgo y de esta forma proponer y tomar las
medidas necesarias para minimizarlas.
Adquisicin de Datos Automatizacin

Procesos

1 2
Correccin
Automatizada
5

3
Correlacin de
Datos
4 Valorizacin de
Datos
Magerit
Controles
COBIT KPI
ISO27000
ISO31000
FISMA
(Federal Information Security
Management)
NIST 800-53A
(Guide for Assessing the Security
Nmap Snort Controls in Federal Information
Nessus GFI Systems)
Ethereal Iptraf GOVERNANCE,
REPOSITORIO DE RISK AND
GESTIN
PRTG Network Monitor DATOS COMPLIANCE
DE
Nagios (GRC)
WhatsUp Gold RIESGOS
MANAGEMENT
Tivoli
OpenView SOLUTIONS
Patrol ORCA
SERVICIOS Evitar MODULO Risk Manager
Risk IT Framework
Mitigar @RISK
Transferir Epicor
OpManager
Aceptar Microsoft System Center

PxIxR
Tarea grupal
Elaborar la poltica de seguridad de la informacin
Establecer el contenido del manual de seguridad de la
informacin
Elaborar el plan de continuidad de negocio
[un] Modelo de
gestin

JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES


Modelo de gestin
Un modelo de gestin describe la lgica de cmo una
organizacin crea, entrega y captura valor
Estrategia. Es clave que la empresa se mantenga
concentrada en sus estrategias de negocio y que
busque un modo de propiciar un constante crecimiento
del negocio central.
Ejecucin. Cumplir con los objetivos establecidos y, si
es posible, excederlos. Con el fin de que sus
operaciones sean ejecutadas con excelencia.
Cultura. Hay que crear una cultura que est
ampliamente inspirada en el desempeo. Las
compaas y organizaciones exitosas poseen una
cultura que favorece el buen desempeo sobre
cualquier opcin y tienen el coraje de enfrentarse a
quienes no se desempean con excelencia.
Estructura. Hay que propiciar una estructura
horizontal que le ser rpido y flexible. Las compaas y
organizaciones exitosas son rpidas porque asumen
con rapidez los cambios necesarios para reducir la
burocracia y simplificar el trabajo y establecen
objetivos en marcha para volverse ms rpidas y
sencillas en todo lo que hacen.
Modelo para la gestin automatizada e integrada
de controles de seguridad informtica
Automatizacin: se deben tener en cuenta todos los controles de seguridad informtica
automatizables.
Integracin: la gestin de los controles de seguridad informtica debe realizarse desde un
sistema centralizado que permita la monitorizacin y la revisin de los mismos.
Sntesis: debe realizarse un adecuado proceso de agrupacin y sntesis de los controles
automatizables para gestionar un nmero relativamente pequeo de controles.
Medicin objetiva: se debe medir la efectividad de los controles mediante indicadores
objetivos obtenidos de forma automtica a partir de los datos suministrados por las
diferentes herramientas de seguridad informtica.
Mejora continua: la gestin de los controles debe verse como un proceso dinmico que
consta de varias acciones, las cuales conforman un ciclo cerrado para la mejora continua
de los controles de seguridad informtica.
Generalidad: el modelo debe ser aplicable en una gran variedad de organizaciones.

Ingeniera Electrnica, Automtica y Comunicaciones; versin ISSN 1815-5928; EAC vol.34 no.1 La Habana ene.-abr. 2013
De Gartner
76

Fuente: http://link.brightcove.com/services/player/bcpid684460143001?bckey=AQ~~,AAAAEyz6Ewk~,-
FJ7fdGkfeRUKStrh_JZ0iMqAB2rH3bk&bctid=4826469068001
77

MG. ING. JACK DANIEL CCERES MEZA, PMP


Recomendaciones
Implementar polticas de seguridad, apoyar la concientizacin y las
capacitaciones continuas a los usuarios.
Actualizar la poltica interna de seguridad de la informacin.
Realizar la definicin de las polticas de acceso a la informacin de
acuerdo a los roles y funciones establecidos para los empleados.
Establecer polticas y procedimientos de gestin de activos de
informacin y realizar capacitaciones continuas sobre el tema.
Aplicar criterios de seguridad de la informacin basndose en los
controles estipulados en las buenas prcticas de organismos
internacionales como ISO.
Aplicar metodologas para la gestin de servicios de TI.
Aplicar metodologas para la gestin de proyectos como PMBoK.
Realizar e implementar metodologas y buenas prcticas descritas en
el documento de detalle referidas a la gestin de la seguridad de la
informacin y controles COBIT.
Rueda de
preguntas

Gracias por su atencin

No importa cun lento vayas, Cualquier esfuerzo resulta


siempre y cuando no te detengas ligero con el hbito
Confucio Tito Livio
Evaluacin
Presentacin (PPT) de un plan para gestionar la
seguridad de la informacin del proceso evaluado
Sustento del trabajo presentado (responder a
preguntas)