Tecnicas definicion del nivel de seguridad organizacional

September 19, 2017 | Autor: D. Chacon Cornejo | Categoría: Information Security
Share Embed


Descripción

Técnicas para definir e implementar el nivel de seguridad que requiere su organización *

*connectedthinking

Agenda • Motivación • Requerimientos de seguridad • Nivel de seguridad • Implementación • Evaluación

PricewaterhouseCoopers

2

Mayo, 2005

Motivación • Incidentes de seguridad graves • Normativa interna o externa • Organismos reguladores, nacionales e internacionales • Satisfacer S ti f las l demandas d d d de socios i d de negocio i • Satisfacer las necesidades del negocio (nuevo emprendimiento) • Mejorar la calidad • Aumentar el valor de la organización • Mejorar la performance • Bajar costos PricewaterhouseCoopers

3

Mayo, 2005

Motivación • Incidentes de seguridad graves … 

Ataque masivo de virus



Indisponibilidad del soporte informático



Fuga de información



Modificación no autorizada de datos



Errores en los programas



Configuración inadecuada del software de base



Pérdida de datos



Errores en los procesos de recupero

PricewaterhouseCoopers

4

Mayo, 2005

Motivación • Normativa interna o externa …. 



Sector  Sector S t Financiero Fi i  Sector Salud País (a nivel público y privado)  Código Civil, Código de Comercio  Ley de Relaciones de Consumo (Nº 17.250 del 11/8/00) 

Ley Nº N 16.002 16 002 del 24/11/88 (arts (arts. 129 129-130, 130 Autenticidad información transferida electrónicamente)



Ley Nº 16.736 del 5/1/96 (arts. 694-698).(Impulso para la utilización tili ió d de medios di iinformáticos f áti en sus procedimientos di i t y actos administrativos)



Ley sobre derechos de autor (Nº 9.739 del 17/12/37, modificada por la Ley N° 17.616 del 10/1/03)

PricewaterhouseCoopers

5

Mayo, 2005

Motivación • Normativa interna o externa …. 

País P í  “Ley de marcas” (Nº 17.011 del 25/9/98).  “Ley de patentes” (Nº 17.164 del 2/9/99)  Ley 17.234, Firma Digital

PricewaterhouseCoopers

6

Mayo, 2005

Motivación • Organismos reguladores …. 

BCU  Implantación de CobiT - Comunicación 2003/179  Guarda de datos  Plan Pl de d Contingencia C ti i

 SEC

PricewaterhouseCoopers

7

Mayo, 2005

Requerimientos de Seguridad Motivaciones

Metas Hardware

Amenazas por Dominios

Riesgos Controles PricewaterhouseCoopers

Probabilidad Probabilidad A M B AProbabilidad A M B A MA A B M B M B

M B

Probabilidad Probabilidad A M B AProbabilidad A M B

Impacto Im mpacto Imp pacto

3

Impacto Im mpacto Imp pacto

2

Software

A MA A B M B M B

8

M B

Prácticas operativas

Probabilidad Probabilidad A M B AProbabilidad A M B A MA A B M B M B

M B

Normativa

Probabilidad Probabilidad A M B AProbabilidad A M B

Impacto Im mpacto Imp pacto

1

Análisis de Riesgos

Impacto Im mpacto Imp pacto



A MA A B M B M

M B

B

Mayo, 2005

Requerimientos de Seguridad 

Análisis de Riesgo

Riesgo

Prob. Impacto Exposición Factor de Control Riesgo Residual ocurrencia Ponderación

Según: • la meta • Tolerancia la riesgo, etc

Marcos de referencia: • CobiT • BS 7799 • ISO/IEC 17799

PricewaterhouseCoopers

9

Mayo, 2005

Nivel de Seguridad Conjunto de objetivos de control de Tecnología de la Información Información, q que e brindan marco de referencia tanto a Gerentes de negocio como Auditores en su actividad diaria

DOMINIOS Planificación y Organización

PricewaterhouseCoopers

PO1 Definir del Plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar de los lineamientos tecnológicos PO4 Definir la estructura organizativa de TI y sus dependencias PO5 Administrar de las inversiones en TI PO6 Comunicar C i llos objetivos bj ti y di directivas ti d de lla gerencia i PO7 Administrar los recursos humanos PO8 Asegurar que se cumple con los requerimientos externos PO9 Evaluar los riesgos PO10 Administrar proyectos PO11 Administrar la calidad 10

Mayo, 2005

Nivel de Seguridad Adquisición e implementación

Entrega y Soporte

PricewaterhouseCoopers

AI1 AI2 AI3 AI4 AI5 AI6

Identificar soluciones automáticas Adquirir, desarrollar y mantener los sistemas de aplicación Adquirir y mantener la infraestructura tecnológica Desarrollar y mantener los procedimientos Instalar y verificar los sistemas Administrar los cambios

DS1 Definir y administrar el nivel de servicios DS2 Administrar los servicios de terceras partes DS3 Administrar rendimiento y capacidad DS4 Asegurar la continuidad del servicio DS5 Asegurar la seguridad del sistema DS6 Identificar y asignar costos DS7 Capacitar y entrenar a los usuarios DS8 Asistir y asesorar la los clientes (internos o externos) DS9 Administrar la configuración DS10 Administrar problemas e incidentes 11

Mayo, 2005

Nivel de Seguridad Entrega y Soporte

DS11 Administrar los datos DS12 Administrar los utilitarios DS13 Administrar las operaciones

M1 M2

Monitoreo

PricewaterhouseCoopers

Monitorear los procesos Evaluar la adecuación respecto a la estructura de control interno M3 Obtener aseguramiento independiente M4 Proveer auditoría independiente

12

Mayo, 2005

Nivel de Seguridad Entrega y Soporte DS1

Definir y administrar el nivel de servicios

P

P

S

S

S

S

S

DS2

Administrar los servicios de terceras partes

P

P

S

S

S

S

S

DS3

Administrar rendimiento y capacidad

P

P

S

DS4

Asegurar la continuidad del servicio

P

S

P

DS5

Asegurar la seguridad del sistema

S

S

DS6

Identificar y asignar costos

P

P

S

P

DS7 Capacitar y entrenar a los usuarios

P

DS8 Asistir y asesorar la los clientes (internos/externos)

P

DS9 Administrar la configuración

P

DS10 Administrar problemas e incidentes

P

P

S

S P

S

DS11 Administrar los datos

P

DS12 Administrar los utilitarios

P

P

S

S

DS13 Administrar las operaciones PricewaterhouseCoopers

P 13

P

S

P

Mayo, 2005

Nivel de Seguridad Evaluar la exposición asociada a cada riesgo según el perfil de la información: 

eficacia



eficiencia



confidencialidad



d spo b dad disponibilidad



integridad



cumplimiento



confiabilidad

PricewaterhouseCoopers

14

Mayo, 2005

Nivel de Seguridad

PricewaterhouseCoopers

15

Mayo, 2005

Requerimientos de Seguridad 

Análisis de Riesgo

Riesgo

Prob. Impacto Exposición Factor de Control Riesgo Residual ocurrencia Ponderación

COBIT COBIT

PricewaterhouseCoopers

16

Mayo, 2005

Nivel de control actual (TI) Requerimientos del negocio (Perfil de la información) Entrega y Soporte Exposición

2

3

1

4

3

1

3

DS1

Definir y administrar el nivel de servicios

1

P

P

S

S

S

S

S

DS2

Administrar los servicios de terceras partes

4

P

P

S

S

S

S

S

DS3

Administrar rendimiento y capacidad

2

P

P

S

DS4

Asegurar la continuidad del servicio

1

P

S

P

DS5

Asegurar la seguridad del sistema

2

S

S

DS6

Identificar y asignar costos

2

DS7 Capacitar y entrenar a los usuarios

1

P

DS8 Asistir y asesorar la los clientes (internos/externos)

1

P

DS9 Administrar la configuración

4

P

DS10 Administrar problemas e incidentes

2

P

DS11 Administrar los datos

3

P

DS12 Administrar los utilitarios

2

P

P

DS13 Administrar las operaciones

2

S

S

PricewaterhouseCoopers

17

P

P

S

P

P

P

S

S P

P

S

S P

Mayo, 2005

Nivel de Seguridad Análisis de brechas

PricewaterhouseCoopers

18

Mayo, 2005

Implementación Estrategia Tecnológica y Utilización

Iniciativas y Procesos de Negocio

Amenazas Vulnerabilidades y Evaluación del Riesgo

Geren ncia Seniorr

Políticas de Seguridad Modelo de Seguridad Arquitectura A it t d de Seguridad S id d y Estándares Técnicos Lineamientos y Procedimientos Ad i i t ti Administrativos yd de Usuario U i Final Fi l Procesos de Implementación

Procesos de Monitoreo

Procesos de Recuperación

Programa de Capaciitación y C Concientiza ación

Visión de Seguridad y Estrategia

Estructura de Administración de la Seguridad de la Información PricewaterhouseCoopers

19

Mayo, 2005

Implementación Estrategia Tecnológica y Utilización

Iniciativas y Procesos de Negocio

Amenazas Vulnerabilidades y Evaluación del Riesgo

Geren ncia Seniorr

Políticas de Seguridad Modelo de Seguridad

BS 7799 Arquitectura A it t d de Seguridad S id d y Estándares Técnicos Lineamientos y Procedimientos Ad i i t ti Administrativos yd de Usuario U i Final Fi l Procesos de Implementación

Procesos de Monitoreo

Procesos de Recuperación

Programa de Capaciitación y C Concientiza ación

Visión de Seguridad y Estrategia

Estructura de Administración de la Seguridad de la Información PricewaterhouseCoopers

20

Mayo, 2005

Implementación BS 7799 Parte 1 Está dividido en 10 Áreas temáticas de Control: • • • • • • • • • •

Security Policy Securityy Organization g Asset, Classification and Control Personnel Security Physical and Environmental Security Communications and Operations Management Access Control Systems Development and Maintenance B i Business C Continuity ti it M Managementt Compliance

PricewaterhouseCoopers

21

Mayo, 2005

Implementación BS 7799 Parte 2 Provee lineamientos para asistir a las organizaciones en la definición del sistema de gestión para su modelo de seguridad informática (Information Security Management System-ISMS), System-ISMS) como forma de dotarlas de un marco que les permita lograra un procedimiento para la administración de la seguridad más eficiente y eficaz, permitiéndoles a su vez realizar un “benchmark” que las habilite a obtener la certificación bajo dicha norma. Este modelo se puede definir como el conjunto de normas, políticas y procedimientos de seguridad, así como objetivos de control cuya implementación permita asegurar que se cumple adecuadamente con los anteriores (BS 7799-1:1999, “Parte 1”)

PricewaterhouseCoopers

22

Mayo, 2005

Evaluación Acuerdos de Nivel de Servicio



Análisis



Selección y definición



Finalización



Implantación p



Gestión y optimización

PricewaterhouseCoopers

23

Mayo, 2005

Evaluación 

Análisis 

IT Service Capability Maturity Model” (ITSCMM) El modelo nace de un proyecto conjunto realizado por universidades y corporaciones con el objetivo principal de encontrar metodologías y técnicas para el mejoramiento de servicios de IT IT.



Para cada nivel de ITSCMM se definen una serie de áreas clave y dentro de éstas las actividades clave de cada una de ellas que deberían cumplirse. Estas actividades se pueden agrupar según las siguientes clases:     

PricewaterhouseCoopers

Compromiso Habilidad Actividades Medición y Análisis Verificación 24

Mayo, 2005

www pwc com/uy www.pwc.com/uy

© 2004 PricewaterhouseCoopers. Todos los derechos reservados. PricewaterhouseCoopers hace referencia a la red de firmas miembro de PricewaterhouseCoopers International Limited, siendo cada una de ellas una entidad legal separada e independiente.

Lihat lebih banyak...

Comentarios

Copyright © 2017 DATOSPDF Inc.