El papel de los estándares como referencia: Del IT Governance al IT Security Governance

14
El papel de los El papel de los estándares como estándares como referencia: referencia: Del IT Governance al Del IT Governance al IT Security IT Security Governance Governance

description

El papel de los estándares como referencia: Del IT Governance al IT Security Governance. Definiciones. Gobierno IT: Parte integral del gobierno de la empresa. - PowerPoint PPT Presentation

Transcript of El papel de los estándares como referencia: Del IT Governance al IT Security Governance

Page 1: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

El papel de los El papel de los

estándares como estándares como

referencia: referencia:

Del IT Governance al Del IT Governance al IT Security IT Security GovernanceGovernance

Page 2: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

• Gobierno IT: – Parte integral del gobierno de la empresa.– Consiste en el liderazgo, las estructuras

organizacionales y los procesos que aseguran que la organización de IT y las estrategias y objetivos de la organización se encuentran alineados

• Gobierno de la Seguridad de la Información:

– Proceso de establecer y mantener un marco y una estructura de gestión y procesos que provean aseguramiento de que las estrategias de seguridad de la información están alineados con los objetivos de negocio, siendo conformes con la legislación vigente por medio de políticas y controles internos y asignando responsabilidades suficientes para gestionar adecuadamente el riesgo.

Definiciones

Page 3: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

• El SGSI (Sistema de Gestión de Seguridad de la Información) es el resultado de que la gestión de la seguridad de la información se realice mediante un proceso sistemático, documentado y conocido por toda la organización. (Information Security Management System)

• Por analogía, se considera el sistema de calidad para la seguridad de la información.

• No trata de garantizar un nivel de protección total ni la seguridad perfecta, sino que los riesgos de la seguridad de la información son– Conocidos– Asumidos– Gestionarlos y minimizados– De una forma documentada, sistemática, estructurada,

repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías

• Pretende “organizar la seguridad de la información en función de los riesgos de la compañía”

¿Qué es un SGSI?

Page 4: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

• Requerimientos de los clientes (típicamente en empresas de servicios)

• Principios corporativos• Imagen, reputación, ventaja competitiva en el

sector• Necesidades en entornos interrelacionados (por

ejemplo, cadenas de valor integradas)• Cumplimiento normativo de diferentes ámbitos:

– Sarbanes – Oxley– Basilea II– GLBA– HIPAA– Ley de Transparencia de las Sociedades

Anónimas Cotizadas• Gobierno Corporativo• Sistemas de control del riesgo

¿Por qué se implantan los SGSI’s?

Page 5: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

• ISO/IEC 27000 Fundamentals and vocabulary (en desarrollo - distribución gratuita)

• ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005

• ISO/IEC 27002 Code of practice for information security management - Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005

• ISO/IEC 27003 ISMS Implementation guidance (bajo desarrollo)

• ISO/IEC 27004 Information security management measurement (bajo desarrollo)

• ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335 MICTS Part 2) (bajo desarrollo)

• ISO/IEC 27006 Requerimientos para organismos de acreditación (publicada en Febrero 2007)

Marco de referencia ISO

Page 6: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

Niveles de madurez

Page 7: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

El eje de la calidad

De la secuencia de implantación de controles….

….al análisis de la calidad de su implantación

Page 8: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

• Definición y desarrollo de nuevos perfiles profesionales que ligan tecnología y negocio (la llamada C-Suite)

– CEO (Chief Executive Officer)– CFO (Chief Financial Officer)– COO (Chief Operations Officer)………………

– Chief Information Officer (CIO)– Chief Information Security Officer (CISO) – Chief Risk Officer (CRO)– Chief Privacy Officer (CPO)– Chief Technical Officer (CTO)

Nuevos perfiles profesionales

Page 9: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

• VAL IT (www.itgi.org)– Amplía y complementa COBIT– El objetivo de esta iniciativa es ayudar a la dirección general

a asegurar que las organizaciones obtienen el mejor valor posible de sus inversiones relacionadas con IT, a un coste razonable y con un aceptable nivel de riesgo

– VAL IT provee guías, procesos y prácticas de soporte para ayudar a la Dirección de las Organizaciones a comprender y a llevar a buen término los términos y resultados de sus inversiones en IT.

– • Diferencia con COBIT

– Val IT se enfoca en las deciones de inversión y en la obtención de beneficios

• ¿Estamos haciendo lo correcto?• ¿Estamos obteniendo beneficios?

– COBIT se enfoca en la ejecución• ¿Estamos haciendo las cosas bien?

Nuevas tendencias

Page 10: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

Nuevas tendencias

Ejemplo

Page 11: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

Nuevas tendencias

Page 12: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

• ¿Cual es el grado de implicación de la Dirección General en la gestión de la seguridad de su información de su compañía?

• ¿Qué grado de criticidad le otorga la Dirección General de la compañía a la protección de sus activos de información?

• Razones para gestionar la privacidad y la seguridad de la información

• ¿Qué porcentaje de su presupuesto en IT está dedicado a la gestión de la seguridad de la información?

• ¿A qué áreas de la seguridad de la información se dedica el presupuesto asignado? Indique qué porcentaje se dedica aproximadamente a cada área

• Indicar en qué áreas se crecerá más, presupuestariamente hablando.

• ¿Maneja su organización estándares de referencia?

• ¿Dispone de un Plan Director de Seguridad?

• ¿Dispone de un SGSI?

• ¿Exige a sus proveedores la certificación en SGSI?

• ¿Dispone de un sistema de métricas e indicadores (KPI, KGI, etc) para evaluar la evaluación de su seguridad?

• ¿Dispone de algún método de evaluación del ROSI?

Cuestionario Cátedra de Riesgos

Page 13: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

• Análisis y Gestión de Riesgos

– Criterios de valoración y aceptación del riesgo– Descripción de las diversas metodologías– Enfoques del análisis de riesgos– Fases del Análisis de Riesgos– El proceso de Gestión de Riesgos

• Asunción• Mitigación• Transferencia del Riesgo

– Aproximación al valor (ROI) de la inversión en seguridad de la información.– Ejemplos prácticos basados en experiencias reales

Próxima Jornada

Page 14: El papel de los  estándares como  referencia:  Del IT Governance al IT Security Governance

Fernando Aparicio

[email protected]

[email protected]

http://crsi.ie.edu

4

Contacto