Tecnicas definicion del nivel de seguridad organizacional
Descripción
Técnicas para definir e implementar el nivel de seguridad que requiere su organización *
*connectedthinking
Agenda • Motivación • Requerimientos de seguridad • Nivel de seguridad • Implementación • Evaluación
PricewaterhouseCoopers
2
Mayo, 2005
Motivación • Incidentes de seguridad graves • Normativa interna o externa • Organismos reguladores, nacionales e internacionales • Satisfacer S ti f las l demandas d d d de socios i d de negocio i • Satisfacer las necesidades del negocio (nuevo emprendimiento) • Mejorar la calidad • Aumentar el valor de la organización • Mejorar la performance • Bajar costos PricewaterhouseCoopers
3
Mayo, 2005
Motivación • Incidentes de seguridad graves …
Ataque masivo de virus
Indisponibilidad del soporte informático
Fuga de información
Modificación no autorizada de datos
Errores en los programas
Configuración inadecuada del software de base
Pérdida de datos
Errores en los procesos de recupero
PricewaterhouseCoopers
4
Mayo, 2005
Motivación • Normativa interna o externa ….
Sector Sector S t Financiero Fi i Sector Salud País (a nivel público y privado) Código Civil, Código de Comercio Ley de Relaciones de Consumo (Nº 17.250 del 11/8/00)
Ley Nº N 16.002 16 002 del 24/11/88 (arts (arts. 129 129-130, 130 Autenticidad información transferida electrónicamente)
Ley Nº 16.736 del 5/1/96 (arts. 694-698).(Impulso para la utilización tili ió d de medios di iinformáticos f áti en sus procedimientos di i t y actos administrativos)
Ley sobre derechos de autor (Nº 9.739 del 17/12/37, modificada por la Ley N° 17.616 del 10/1/03)
PricewaterhouseCoopers
5
Mayo, 2005
Motivación • Normativa interna o externa ….
País P í “Ley de marcas” (Nº 17.011 del 25/9/98). “Ley de patentes” (Nº 17.164 del 2/9/99) Ley 17.234, Firma Digital
PricewaterhouseCoopers
6
Mayo, 2005
Motivación • Organismos reguladores ….
BCU Implantación de CobiT - Comunicación 2003/179 Guarda de datos Plan Pl de d Contingencia C ti i
SEC
PricewaterhouseCoopers
7
Mayo, 2005
Requerimientos de Seguridad Motivaciones
Metas Hardware
Amenazas por Dominios
Riesgos Controles PricewaterhouseCoopers
Probabilidad Probabilidad A M B AProbabilidad A M B A MA A B M B M B
M B
Probabilidad Probabilidad A M B AProbabilidad A M B
Impacto Im mpacto Imp pacto
3
Impacto Im mpacto Imp pacto
2
Software
A MA A B M B M B
8
M B
Prácticas operativas
Probabilidad Probabilidad A M B AProbabilidad A M B A MA A B M B M B
M B
Normativa
Probabilidad Probabilidad A M B AProbabilidad A M B
Impacto Im mpacto Imp pacto
1
Análisis de Riesgos
Impacto Im mpacto Imp pacto
A MA A B M B M
M B
B
Mayo, 2005
Requerimientos de Seguridad
Análisis de Riesgo
Riesgo
Prob. Impacto Exposición Factor de Control Riesgo Residual ocurrencia Ponderación
Según: • la meta • Tolerancia la riesgo, etc
Marcos de referencia: • CobiT • BS 7799 • ISO/IEC 17799
PricewaterhouseCoopers
9
Mayo, 2005
Nivel de Seguridad Conjunto de objetivos de control de Tecnología de la Información Información, q que e brindan marco de referencia tanto a Gerentes de negocio como Auditores en su actividad diaria
DOMINIOS Planificación y Organización
PricewaterhouseCoopers
PO1 Definir del Plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar de los lineamientos tecnológicos PO4 Definir la estructura organizativa de TI y sus dependencias PO5 Administrar de las inversiones en TI PO6 Comunicar C i llos objetivos bj ti y di directivas ti d de lla gerencia i PO7 Administrar los recursos humanos PO8 Asegurar que se cumple con los requerimientos externos PO9 Evaluar los riesgos PO10 Administrar proyectos PO11 Administrar la calidad 10
Mayo, 2005
Nivel de Seguridad Adquisición e implementación
Entrega y Soporte
PricewaterhouseCoopers
AI1 AI2 AI3 AI4 AI5 AI6
Identificar soluciones automáticas Adquirir, desarrollar y mantener los sistemas de aplicación Adquirir y mantener la infraestructura tecnológica Desarrollar y mantener los procedimientos Instalar y verificar los sistemas Administrar los cambios
DS1 Definir y administrar el nivel de servicios DS2 Administrar los servicios de terceras partes DS3 Administrar rendimiento y capacidad DS4 Asegurar la continuidad del servicio DS5 Asegurar la seguridad del sistema DS6 Identificar y asignar costos DS7 Capacitar y entrenar a los usuarios DS8 Asistir y asesorar la los clientes (internos o externos) DS9 Administrar la configuración DS10 Administrar problemas e incidentes 11
Mayo, 2005
Nivel de Seguridad Entrega y Soporte
DS11 Administrar los datos DS12 Administrar los utilitarios DS13 Administrar las operaciones
M1 M2
Monitoreo
PricewaterhouseCoopers
Monitorear los procesos Evaluar la adecuación respecto a la estructura de control interno M3 Obtener aseguramiento independiente M4 Proveer auditoría independiente
12
Mayo, 2005
Nivel de Seguridad Entrega y Soporte DS1
Definir y administrar el nivel de servicios
P
P
S
S
S
S
S
DS2
Administrar los servicios de terceras partes
P
P
S
S
S
S
S
DS3
Administrar rendimiento y capacidad
P
P
S
DS4
Asegurar la continuidad del servicio
P
S
P
DS5
Asegurar la seguridad del sistema
S
S
DS6
Identificar y asignar costos
P
P
S
P
DS7 Capacitar y entrenar a los usuarios
P
DS8 Asistir y asesorar la los clientes (internos/externos)
P
DS9 Administrar la configuración
P
DS10 Administrar problemas e incidentes
P
P
S
S P
S
DS11 Administrar los datos
P
DS12 Administrar los utilitarios
P
P
S
S
DS13 Administrar las operaciones PricewaterhouseCoopers
P 13
P
S
P
Mayo, 2005
Nivel de Seguridad Evaluar la exposición asociada a cada riesgo según el perfil de la información:
eficacia
eficiencia
confidencialidad
d spo b dad disponibilidad
integridad
cumplimiento
confiabilidad
PricewaterhouseCoopers
14
Mayo, 2005
Nivel de Seguridad
PricewaterhouseCoopers
15
Mayo, 2005
Requerimientos de Seguridad
Análisis de Riesgo
Riesgo
Prob. Impacto Exposición Factor de Control Riesgo Residual ocurrencia Ponderación
COBIT COBIT
PricewaterhouseCoopers
16
Mayo, 2005
Nivel de control actual (TI) Requerimientos del negocio (Perfil de la información) Entrega y Soporte Exposición
2
3
1
4
3
1
3
DS1
Definir y administrar el nivel de servicios
1
P
P
S
S
S
S
S
DS2
Administrar los servicios de terceras partes
4
P
P
S
S
S
S
S
DS3
Administrar rendimiento y capacidad
2
P
P
S
DS4
Asegurar la continuidad del servicio
1
P
S
P
DS5
Asegurar la seguridad del sistema
2
S
S
DS6
Identificar y asignar costos
2
DS7 Capacitar y entrenar a los usuarios
1
P
DS8 Asistir y asesorar la los clientes (internos/externos)
1
P
DS9 Administrar la configuración
4
P
DS10 Administrar problemas e incidentes
2
P
DS11 Administrar los datos
3
P
DS12 Administrar los utilitarios
2
P
P
DS13 Administrar las operaciones
2
S
S
PricewaterhouseCoopers
17
P
P
S
P
P
P
S
S P
P
S
S P
Mayo, 2005
Nivel de Seguridad Análisis de brechas
PricewaterhouseCoopers
18
Mayo, 2005
Implementación Estrategia Tecnológica y Utilización
Iniciativas y Procesos de Negocio
Amenazas Vulnerabilidades y Evaluación del Riesgo
Geren ncia Seniorr
Políticas de Seguridad Modelo de Seguridad Arquitectura A it t d de Seguridad S id d y Estándares Técnicos Lineamientos y Procedimientos Ad i i t ti Administrativos yd de Usuario U i Final Fi l Procesos de Implementación
Procesos de Monitoreo
Procesos de Recuperación
Programa de Capaciitación y C Concientiza ación
Visión de Seguridad y Estrategia
Estructura de Administración de la Seguridad de la Información PricewaterhouseCoopers
19
Mayo, 2005
Implementación Estrategia Tecnológica y Utilización
Iniciativas y Procesos de Negocio
Amenazas Vulnerabilidades y Evaluación del Riesgo
Geren ncia Seniorr
Políticas de Seguridad Modelo de Seguridad
BS 7799 Arquitectura A it t d de Seguridad S id d y Estándares Técnicos Lineamientos y Procedimientos Ad i i t ti Administrativos yd de Usuario U i Final Fi l Procesos de Implementación
Procesos de Monitoreo
Procesos de Recuperación
Programa de Capaciitación y C Concientiza ación
Visión de Seguridad y Estrategia
Estructura de Administración de la Seguridad de la Información PricewaterhouseCoopers
20
Mayo, 2005
Implementación BS 7799 Parte 1 Está dividido en 10 Áreas temáticas de Control: • • • • • • • • • •
Security Policy Securityy Organization g Asset, Classification and Control Personnel Security Physical and Environmental Security Communications and Operations Management Access Control Systems Development and Maintenance B i Business C Continuity ti it M Managementt Compliance
PricewaterhouseCoopers
21
Mayo, 2005
Implementación BS 7799 Parte 2 Provee lineamientos para asistir a las organizaciones en la definición del sistema de gestión para su modelo de seguridad informática (Information Security Management System-ISMS), System-ISMS) como forma de dotarlas de un marco que les permita lograra un procedimiento para la administración de la seguridad más eficiente y eficaz, permitiéndoles a su vez realizar un “benchmark” que las habilite a obtener la certificación bajo dicha norma. Este modelo se puede definir como el conjunto de normas, políticas y procedimientos de seguridad, así como objetivos de control cuya implementación permita asegurar que se cumple adecuadamente con los anteriores (BS 7799-1:1999, “Parte 1”)
PricewaterhouseCoopers
22
Mayo, 2005
Evaluación Acuerdos de Nivel de Servicio
Análisis
Selección y definición
Finalización
Implantación p
Gestión y optimización
PricewaterhouseCoopers
23
Mayo, 2005
Evaluación
Análisis
IT Service Capability Maturity Model” (ITSCMM) El modelo nace de un proyecto conjunto realizado por universidades y corporaciones con el objetivo principal de encontrar metodologías y técnicas para el mejoramiento de servicios de IT IT.
Para cada nivel de ITSCMM se definen una serie de áreas clave y dentro de éstas las actividades clave de cada una de ellas que deberían cumplirse. Estas actividades se pueden agrupar según las siguientes clases:
PricewaterhouseCoopers
Compromiso Habilidad Actividades Medición y Análisis Verificación 24
Mayo, 2005
www pwc com/uy www.pwc.com/uy
© 2004 PricewaterhouseCoopers. Todos los derechos reservados. PricewaterhouseCoopers hace referencia a la red de firmas miembro de PricewaterhouseCoopers International Limited, siendo cada una de ellas una entidad legal separada e independiente.
Lihat lebih banyak...
Comentarios