El papel de los El papel de los

estándares como estándares como

referencia: referencia:

Del IT Governance al Del IT Governance al IT Security IT Security GovernanceGovernance

• Gobierno IT: – Parte integral del gobierno de la empresa.– Consiste en el liderazgo, las estructuras

organizacionales y los procesos que aseguran que la organización de IT y las estrategias y objetivos de la organización se encuentran alineados

• Gobierno de la Seguridad de la Información:

– Proceso de establecer y mantener un marco y una estructura de gestión y procesos que provean aseguramiento de que las estrategias de seguridad de la información están alineados con los objetivos de negocio, siendo conformes con la legislación vigente por medio de políticas y controles internos y asignando responsabilidades suficientes para gestionar adecuadamente el riesgo.

Definiciones

• El SGSI (Sistema de Gestión de Seguridad de la Información) es el resultado de que la gestión de la seguridad de la información se realice mediante un proceso sistemático, documentado y conocido por toda la organización. (Information Security Management System)

• Por analogía, se considera el sistema de calidad para la seguridad de la información.

• No trata de garantizar un nivel de protección total ni la seguridad perfecta, sino que los riesgos de la seguridad de la información son– Conocidos– Asumidos– Gestionarlos y minimizados– De una forma documentada, sistemática, estructurada,

repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías

• Pretende “organizar la seguridad de la información en función de los riesgos de la compañía”

¿Qué es un SGSI?

• Requerimientos de los clientes (típicamente en empresas de servicios)

• Principios corporativos• Imagen, reputación, ventaja competitiva en el

sector• Necesidades en entornos interrelacionados (por

ejemplo, cadenas de valor integradas)• Cumplimiento normativo de diferentes ámbitos:

– Sarbanes – Oxley– Basilea II– GLBA– HIPAA– Ley de Transparencia de las Sociedades

Anónimas Cotizadas• Gobierno Corporativo• Sistemas de control del riesgo

¿Por qué se implantan los SGSI’s?

• ISO/IEC 27000 Fundamentals and vocabulary (en desarrollo - distribución gratuita)

• ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005

• ISO/IEC 27002 Code of practice for information security management - Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005

• ISO/IEC 27003 ISMS Implementation guidance (bajo desarrollo)

• ISO/IEC 27004 Information security management measurement (bajo desarrollo)

• ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335 MICTS Part 2) (bajo desarrollo)

• ISO/IEC 27006 Requerimientos para organismos de acreditación (publicada en Febrero 2007)

Marco de referencia ISO

Niveles de madurez

El eje de la calidad

De la secuencia de implantación de controles….

….al análisis de la calidad de su implantación

• Definición y desarrollo de nuevos perfiles profesionales que ligan tecnología y negocio (la llamada C-Suite)

– CEO (Chief Executive Officer)– CFO (Chief Financial Officer)– COO (Chief Operations Officer)………………

– Chief Information Officer (CIO)– Chief Information Security Officer (CISO) – Chief Risk Officer (CRO)– Chief Privacy Officer (CPO)– Chief Technical Officer (CTO)

Nuevos perfiles profesionales

• VAL IT (www.itgi.org)– Amplía y complementa COBIT– El objetivo de esta iniciativa es ayudar a la dirección general

a asegurar que las organizaciones obtienen el mejor valor posible de sus inversiones relacionadas con IT, a un coste razonable y con un aceptable nivel de riesgo

– VAL IT provee guías, procesos y prácticas de soporte para ayudar a la Dirección de las Organizaciones a comprender y a llevar a buen término los términos y resultados de sus inversiones en IT.

– • Diferencia con COBIT

– Val IT se enfoca en las deciones de inversión y en la obtención de beneficios

• ¿Estamos haciendo lo correcto?• ¿Estamos obteniendo beneficios?

– COBIT se enfoca en la ejecución• ¿Estamos haciendo las cosas bien?

Nuevas tendencias

Nuevas tendencias

Ejemplo

Nuevas tendencias

• ¿Cual es el grado de implicación de la Dirección General en la gestión de la seguridad de su información de su compañía?

• ¿Qué grado de criticidad le otorga la Dirección General de la compañía a la protección de sus activos de información?

• Razones para gestionar la privacidad y la seguridad de la información

• ¿Qué porcentaje de su presupuesto en IT está dedicado a la gestión de la seguridad de la información?

• ¿A qué áreas de la seguridad de la información se dedica el presupuesto asignado? Indique qué porcentaje se dedica aproximadamente a cada área

• Indicar en qué áreas se crecerá más, presupuestariamente hablando.

• ¿Maneja su organización estándares de referencia?

• ¿Dispone de un Plan Director de Seguridad?

• ¿Dispone de un SGSI?

• ¿Exige a sus proveedores la certificación en SGSI?

• ¿Dispone de un sistema de métricas e indicadores (KPI, KGI, etc) para evaluar la evaluación de su seguridad?

• ¿Dispone de algún método de evaluación del ROSI?

Cuestionario Cátedra de Riesgos

• Análisis y Gestión de Riesgos

– Criterios de valoración y aceptación del riesgo– Descripción de las diversas metodologías– Enfoques del análisis de riesgos– Fases del Análisis de Riesgos– El proceso de Gestión de Riesgos

• Asunción• Mitigación• Transferencia del Riesgo

– Aproximación al valor (ROI) de la inversión en seguridad de la información.– Ejemplos prácticos basados en experiencias reales

Próxima Jornada

Fernando Aparicio

faparicio@profesor.ie.edu

catedra.riesgos@ie.edu

http://crsi.ie.edu

4

Contacto