Nivel de madurez de Nivel de madurez de

seguridad en las seguridad en las

Instituciones FinancierasInstituciones FinancierasInstituciones FinancierasInstituciones Financieras

Julio César Arditajardita@cybsec.com

17 de Diciembre de 2013

Asunción - Paraguay

Nivel de madurez de seguridad en las

Instituciones

Financieras

Agenda

- Nivel de seguridad en Paraguay

- Madurez del área de Seguridad de la Información

2222

- Madurez del área de Seguridad de la Información

- Ubicación y conformación del departamento de seguridad

- Catálogo de servicios

- Rol del CSO

Nivel de

seguridad en seguridad en

Paraguay

3333

Evolución de la madurez y estado de implementación de las normativas

relacionadas con seguridad de la información en Paraguay

NormativaNormativaNormativaNormativa MadurezMadurezMadurezMadurez

SOX

BCP MCIIEF

Nivel de madurez de seguridad en las

Instituciones

Financieras

4444

BCP MCIIEF

• Las normativas llegaron para quedarse

• La mayoría de las mismas impactan en el sector de SI

• Se debe tomarlas como “oportunidades”

PCI-DSS

ISO 27001 / 27002

Evolución del nivel de seguridad informática en Paraguay (PT Ext

e Int)

Nivel de madurez de seguridad en las

Instituciones

Financieras

Nivel de seguridad

Medio-

Alto

5555

2000 2002 2004 2006 2008 2010 2012 2013

Bajo

Medio-Bajo

Medio

Medio-Alto

PromedioLatinoamérica

Madurez del

área de

Seguridad de la Seguridad de la

Información

6666

¿Quién administra los Firewalls de la Compañía?

Nivel de madurez de seguridad en las

Instituciones

Financieras

7777

La evolución de la Seguridad dentro de la Organización

Nivel Estratégico

Nivel de Negocio

Nivel de madurez de seguridad en las

Instituciones

Financieras

8888

Nivel de Negocio

Nivel Gerencial

Nivel Técnico

La evolución de las áreas de Seguridad(grados de madurez)

Nivel Estratégico – CISO

Nivel de madurez de seguridad en las

Instituciones

Financieras

9999

Nivel de Negocio – Gerente de Seguridad

Nivel Gerencial – Jefe de Seguridad Informática

Nivel Técnico – Administrador de Seguridad

Algunas variables que determinan cómo es la estructuradel área de seguridad son las siguientes:

- Tipo de Compañía- Cultura organizacional- Tamaño de la Compañía

Nivel de madurez de seguridad en las

Instituciones

Financieras

10101010

- Tamaño de la Compañía- Presupuesto a nivel de personal / gastos / inversión- Rol del CSO- Grado de madurez de la Compañía

La madurez de la Organización

Es vital determinar en qué etapa del proceso de madurez se encuentran nuestra Organización y el área de Seguridad. Si no lo tenemos claro, podremos hacer nuestro trabajo de forma excelente, pero a destiempo de la Organización.

Nivel de madurez de seguridad en las

Instituciones

Financieras

11111111

forma excelente, pero a destiempo de la Organización.

Ubicación y

conformación del

departamento de

12121212

departamento de

seguridad

¿A quién reporta el CSO?

Depende del nivel de madurez que posee la Compañía y el programa de seguridad.

Nivel de madurez de seguridad en las

Instituciones

Financieras

13131313

¿Se habla de seguridad informática o seguridad de la Información?

Tamaño y negocio de la Compañía.

Ubicando la Seguridad de la Información dentro de una Organización

En las grandes organizaciones, el área de Seguridad de la Información está generalmente ubicada dentro del departamento de IT.

Nivel de madurez de seguridad en las

Instituciones

Financieras

14141414

Es dirigida por el CSO que reporta directamente al CIO.

Por su propia naturaleza, un programa de Seguridad de la Información entra generalmente en contradicción con las metas y objetivos del departamento de IT como conjunto.

Ubicando la Seguridad de la Información dentro de una Organización

Actualmente existe una tendencia o movimiento a separar a la seguridad de la información de la división de IT.

Nivel de madurez de seguridad en las

Instituciones

Financieras

15151515

El desafío está en diseñar una estructura de reporte para los programas de Seguridad de la Información que equilibre los requerimientos de cada una de las partes interesadas.

¿A quién reporta el CSO?

Primer nivel: Función técnica dentro de IT.

Segundo nivel: Área de SI (Seguridad Informática)

Nivel de madurez de seguridad en las

Instituciones

Financieras

16161616

dentro de IT.

Tercer nivel: Reporting a un Comité.

Cuarto nivel: División de funciones de seguridad en la Compañía.

Cuarto nivel: División de funciones de seguridad en la Compañía

¿Quién define las directrices de seguridad? Area de seguridad funcional, políticas, concientización, riesgo y estrategia.

Nivel de madurez de seguridad en las

Instituciones

Financieras

17171717

riesgo y estrategia.¿Quién implementa la seguridad? Area de seguridad tecnológica. Administra e implementa.¿Quién controla la seguridad?Area de seguridad de monitoreo, control y respuesta anteincidentes.

El tamaño SI importa!!!

¿Cuántas personas conforman el Departamento?

¿Con quién me puedo comparar? ¿Con un competidor de mi propia industria? ¿Con otro de otro país?.

Nivel de madurez de seguridad en las

Instituciones

Financieras

18181818

de mi propia industria? ¿Con otro de otro país?.

Impacto de las tareas del Departamento.

Impacto de las regulaciones y legislación

que nos afecta.

El principal aspecto que define como está conformado un Departamento de Seguridad son las tareas que realiza.

Las mismas son definidas por cada Compañía y dependen de los grados de madurez, de la cultura organizacional, de las regulaciones locales e internacionales, entre otros

Nivel de madurez de seguridad en las

Instituciones

Financieras

19191919

las regulaciones locales e internacionales, entre otros aspectos.

Las tareas se pueden agrupar y así

armar los sectores internos dentro del

Departamento de Seguridad.

Los sectores que pueden conformar el Departamento de Seguridad son:

- Gestión de accesos (ABM usuarios, perfiles y accesos).

- Administración de la seguridad.

- Ingeniería de seguridad.

Nivel de madurez de seguridad en las

Instituciones

Financieras

20202020

- Ingeniería de seguridad.

- Estandarización de seguridad.

- Control y monitoreo.

- Prevención y manejo de incidentes.

- Etc.

Catálogo de

serviciosservicios

21212121

Nivel de madurez de seguridad en las

Instituciones

Financieras

22222222

Nivel de madurez de seguridad en las

Instituciones

Financieras

23232323

Nivel de madurez de seguridad en las

Instituciones

Financieras

24242424

Nivel de madurez de seguridad en las

Instituciones

Financieras

25252525

Nivel de madurez de seguridad en las

Instituciones

Financieras

26262626

La conformación del Departamento depende

de cuáles tareas se llevarán a cabo.

Si Seguridad no realiza las tareas, alguien más tendrá que realizarlas (IT, Auditoría, Proveedores, Riesgo, etc).

Nivel de madurez de seguridad en las

Instituciones

Financieras

27272727

Las tareas de Administración hay que negociarlas con IT.

Las tareas de Gestión de Accesos hay que

negociarlas con Help Desk.

Rol del CSORol del CSO

28282828

En base a nuevas regulaciones internas/externas van surgiendo nuevas tareas.

La tendencia es automatizar todas las tareas que sean posibles y que Seguridad gestione las herramientas automatizadas. Tener en cuenta: Outsourcing de Seguridad.

Nivel de madurez de seguridad en las

Instituciones

Financieras

29292929

Es muy importante definir el modelo de relación

con el resto de la Organización y comunicarlo.

El objetivo es dar VALOR AGREGADO.

El rol del CISO está cambiando de una función ‘técnica’ de gestión de soluciones técnicas a una función de ‘negocios’de gestión de los riesgos y cumplimiento de la información.

De la encuesta surge que las REGULACIONES SON DRIVERS CLAVES para llevar adelante un Plan de Seguridad.

Nivel de madurez de seguridad en las

Instituciones

Financieras

30303030

Se espera de nosotros que estemos al tanto, comprendamos y aseguremos el cumplimiento de estas regulaciones y leyes.

El CSO debe:

- Tener visibilidad hacia la organización.- Moverse en un plano estratégico y de negocios (y no solamente en un plano técnico).

- Ser proactivo y ayudar al negocio.- Aprovechar las oportunidades (reuniones, incidentes, etc.)

Nivel de madurez de seguridad en las

Instituciones

Financieras

31313131

- Aprovechar las oportunidades (reuniones, incidentes, etc.)y mostrar las capacidades de su equipo y gestión.

- Moverse políticamente en la organización.- Tener la habilidad de presentar resultados para que el

resto de la organización pueda entender claramente cuales son los riesgos y como estamos trabajando para mitigarlos.

- Muestren qué es lo que pasa en el mismo sector de su industria. Y qué es lo que está haciendo la competencia.

- Júntense con sus colegas (incluidos los de la competencia) a analizar las problemáticas existentes. Es una de las pocas áreas donde esto se puede hacer.

Nivel de madurez de seguridad en las

Instituciones

Financieras

32323232

- Las organizaciones donde vemos un mayor nivel de madurez de la Seguridad, se debe en gran parte al éxito del CSO.

- Apóyense en las regulaciones corporativas internacionales y en las auditorias.

¿Preguntas?