La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad Informática Una mirada diferente desde el HACER y desde el ASEGURAMIENTO Banco de la Nación Argentina ARGENTINA 2014 15 - 16 de Mayo Mónica Rela.

Presentaciones similares


Presentación del tema: "Seguridad Informática Una mirada diferente desde el HACER y desde el ASEGURAMIENTO Banco de la Nación Argentina ARGENTINA 2014 15 - 16 de Mayo Mónica Rela."— Transcripción de la presentación:

1 Seguridad Informática Una mirada diferente desde el HACER y desde el ASEGURAMIENTO Banco de la Nación Argentina ARGENTINA de Mayo Mónica Rela Responsable de Auditoría de Sistemas Roberto Arienti Responsable de Seguridad de la Información

2 Mónica Rela Computadora Científica - Universidad de Buenos Aires. Se ha desempeñado como docente, instructora y consultora de TI. Trabaja en el Banco de la Nación Argentina desde el año Posee 25 años de experiencia en tareas vinculadas con las tecnologías de información y comunicación en las áreas de Tecnología y Procesamiento, Desarrollo de Sistemas y Gestión de Proyectos de TI y 6 años como responsable de auditorías vinculadas con las TIC en el BNA, sus Empresas Controladas y Sucursales del País y del Exterior. Actualmente se encuentra a cargo de la Subgerencia de Auditoria de Sistemas del Banco, coordina la Comisión de Auditoria de Sistemas de ABAPPRA (Asociación de Bancos Públicos y Privados de la República Argentina) y es representante de CLAIN ante ISACA. Banco de la Nación Argentina

3 Roberto Arienti Computador Científico - Universidad de Buenos Aires. Trabaja en el Banco de la Nación Argentina desde el año Inicialmente se desarrolló en el área de Sistemas como líder de proyecto en el desarrollo de distintos aplicativos de Sistemas de Información. En el período ocupó el cargo de responsable del área de Auditoría de Sistemas coordinando las actividades relacionadas con la evaluación del funcionamiento de los sistemas de procesamiento de datos y redes de comunicaciones. Actualmente se encuentra a cargo de la Subgerencia de Seguridad de la Información del Banco, conduciendo las actividades relacionadas con el desarrollo de un sistema de gestión de seguridad de la información, a fin de preservar la confidencialidad, integridad, disponibilidad y auditabilidad de los activos de la información. Banco de la Nación Argentina

4 Primer parte Qué es Seguridad Informática? Marco normativo Modelo conceptual de Seguridad Aspectos a tener en cuenta Segunda parte Normas internacionales y Mejores prácticas para AI Articulación entre el Modelo conceptual de Seguridad y Auditoría de Sistemas Modelo 3LoD para Gestión de Riesgos / Seguridad de la Información Roles Gestión de Riesgos / Seguridad de la Información / Auditoría Interna Agenda Conclusiones

5 Seguridad Informática La seguridad es… AntiVirus AntiPhishing Firewalls Control de Accesos AntiSpam Sistemas de detección de Intrusos Análisis de Vulnerabilidades PKI Debe implementarse utilizando… Concientización de usuarios Encripción Análisis de RiesgoEvaluación de Software Análisis Forense ABM de Usuarios Herramientas Forenses Doble Factor de Autenticación Desarrollo de Políticas Normas y Estándares Análisis de Eventos Plan de Continuidad de Negocio Gestión de Incidentes Controles Permisos mínimos necesarios Marcos Normativos Correlación de eventos Test de Penetración Criterio de Negocio Servicio No es solamente implementar usuarios y contraseñas

6 Banco de la Nación Argentina 627 Sucursales 14 Sucursales en el Exterior 57 Anexos Operativos 4 Agencias Móviles Empleados Líder, Regulador y Testigo del Sistema Financiero Argentino

7 Banco de la Nación Argentina Equipamiento Central Mainframe Equipamiento Distribuido Estaciones de Trabajo Servidores +900 Switches +700 Routers Centro de Procesamiento Paralelo Activo-Activo Equipamiento Informático

8 usuarios en el Computador Central usuarios en Redes de PCs usuarios en Correo usuarios en Aplicativos externos usuarios de Aplicativos internos TOTAL: De los cuales corresponden a usuarios críticos, resguardados para ser utilizados en caso de emergencia.. Usuarios de los distintos Sistemas: Banco de la Nación Argentina

9 Marco Normativo ISO / Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Gestión de Incidentes de Seguridad 10.Plan de Continuidad del Negocio 11.Cumplimiento

10 Normativa Políticas Normas ProcedimientosEstándares Técnicos

11 Modelo Conceptual COMITÉ DE TECNOLOGÍA COMITÉ DE TECNOLOGÍA P L A N I F I C A C I Ó N Usuarios Canales Hardware Software y Aplicaciones Información Negocio ANÁLISIS DE RIESGO POLÍTICAS / NORMAS / PROCEDIMIENTOS / ESTANDARES Controles Continuidad de Negocio

12 Negocio Fuga de Información Sensible Pérdidas Financieras Daños de Imagen / Reputación Caída de Sistema / Pérdida de Clientes Problemas Legales La Estrategia de Seguridad debe estar alineada con los objetivos del negocio De qué protegernos? Cómo hacerlo? Planificación y Análisis de Riesgo Cumplimiento Normativo (ISO / / BCRA A 4609, 5374…) Manual de Políticas (Aprobado por el Directorio) Manual de Normas (Alineado con el Manual de Políticas) Estándares y procedimientos Modelo de Seguridad

13 Información La Información es uno de los activos más importantes del Banco Qué proteger ? Cómo hacerlo? Integridad Confidencialidad Disponibilidad Auditabilidad La Exactitud, totalidad de la información y los métodos de acceso Que sea accedida solo por los autorizados Que esté disponible toda vez que se requiera Que todos los eventos sean correctamente registrados Clasificar la Información Analizar los riesgos (Amenazas / Probabilidad de Ocurrencia / Impacto) Establecer los métodos necesarios para garantizar la Integridad, Confidencialidad, Disponibilidad y Auditabilidad de la Información Modelo de Seguridad

14 Software y Aplicaciones Software ilegal Agujeros de Seguridad en el Desarrollo Acceso a datos por fuera de la aplicación Registros de eventos incompletos Virus, Troyanos, Spam, Phishing, Spy… De qué protegernos? Cómo hacerlo? Inventario de Software Análisis de Vulnerabilidades Eliminación o Mitigación de Riesgos Herramientas de Alertas / Control / Seguimiento … Aplicación de Parches Diariamente se descubren cientos de vulnerabilidades de software Modelo de Seguridad

15 Hardware Acceso Físico al Centro de Cómputos Robo de Computadoras / Notebook Robo de Medios magnéticos Catástrofes / Incendios Fallas de energía De qué protegernos? Cómo hacerlo? Inventario de Hardware Control de Acceso Backups Borrado seguro de medios magnéticos Plan de Continuidad de Negocio La tecnología avanza y las amenazas son cada vez mas complejas Modelo de Seguridad

16 Canales Comunicaciones dentro de la red Comunicaciones con entidades externas HomeBanking Cableado / Routers / Switches / Hubs … Firewall / IPS / IDS Qué proteger? Cómo hacerlo? Control de Acceso Segmentación de la Red Autenticación Encripción Los datos deben viajar por canales seguros Modelo de Seguridad

17 Usuarios El 40% de los ataques es interno Los usuarios no conocen sobre seguridad Usuarios mal informados revelan información confidencial (Fallas Humanas) Empleados deshonestos o desvinculados Porqué? Cómo hacerlo? Plan de Concientización de Usuarios Acuerdo de confidencialidad y Buen Uso Control de usuarios finales (eventos / alertas) Capacitación El factor humano es el eslabón mas débil de la seguridad Modelo de Seguridad

18 Controles Principal componente de la estrategia de Seguridad Mitigar Riesgos manteniendo la relación costo – beneficio Usar Métricas para medir y monitorear la Seguridad No se puede administrar lo que no se puede medir Los Controles Deben: Los Controles pueden ser: Administrativos ( Políticas / Estándares …) Técnicos ( Control de Acceso a la red / Monitoreo de Permisos …) Físicos (Control de Acceso Físico / Cámaras …) Modelo de Seguridad

19 Continuidad de Negocio Es preferible tener un plan y no necesitarlo que necesitar un plan y no tenerlo Porqué podría necesitar planes de continuidad ? Catástrofes naturales Incendios Fallos en el suministro eléctrico Fallos en las comunicaciones Fallos en los Sistemas Errores humanos / Huelgas El plan debe ser desarrollado para cubrir el peor escenario, de forma tal que escenarios menores queden cubiertos también. Se sabe que el peor escenario sucede sin aviso ni advertencia. Modelo de Seguridad

20 Algunos temas tratados: Navegar Protegido Prevención contra Virus Consejos sobre Redes Sociales Buenas Prácticas de Contraseñas Uso de Medios extraíbles Consejos sobre Home Banking Resguardo de Archivos Personales La importancia de Reporte de Incidentes Publicaciones en revista corporativa Cursos presenciales de concientización a usuarios finales Inducción / Mandos Medios / Gerencia Cursos a distancia (elearning) Circulares Como concientizar ?

21 Planificación estratégica orientada a segurizar el negocio Apoyo de la Alta Gerencia Presupuesto Propio para adquirir herramientas Cumplimiento Legal y Normativo Aspectos a Tener en Cuenta Independencia del Área de Sistemas Implementación de un Sistema de Gestión de Seguridad (SGSI) Plan de Concientización de usuarios Monitoreo y Controles basados en métricas preestablecidas (Tablero de Control)

22 Los gerentes de seguridad de la información eficientes entienden que las auditorías constituyen tanto un proceso esencial de aseguramiento como un aliado crítico e influyente para alcanzar un nivel adecuado de gobierno y cumplimiento de la seguridad Los auditores pueden ser un factor clave en la implementación de los estándares de seguridad al comunicar información de retroalimentación basada en los resultados de las auditorías a la alta dirección para influir en la posición de los ejecutivos y conseguir su apoyo para actividades relacionadas con la seguridad Incluir auditores en la gestión general de la seguridad puede ser una herramienta poderosa para mejorar la cultura de seguridad de una organización Fuente: ISACA – Manual CISM – (Certified Information Security Manager) Seguridad Informática Aspectos a tener en cuenta

23 Auditoría Interna La actividad de auditoría interna debe proporcionar servicios independientes y objetivos de aseguramiento y consulta, concebidos para agregar valor y mejorar las operaciones de la organización (Atributos: 1100 – Independencia y objetividad) Estatuto – Código de Ética – Comité de Auditoría (Atributos: 1000 – Propósito, Autoridad y Responsabilidad) Capacitación continua (Atributos: 1200 – Aptitud y cuidado profesional) Debe evaluar y contribuir a la mejora de los procesos de gobierno, gestión de riesgos y control, utilizando un enfoque sistemático y disciplinado (Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600) Planes – Procedimientos – Matriz de Riesgo – Herramientas (Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600) Aseguramiento y mejora de la calidad (Atributos: 1300 – Programa de aseguramiento y mejora de la calidad) Normas Internacionales para el ejercicio profesional (sobre Atributos – sobre Desempeño)

24 AUDITORIA DE SISTEMAS Incorpora / Utiliza Herramientas y Soporte en TI Herramientas adquiridas Desarrollos propios Mejores Prácticas COBIT ITIL / CMMI / PMBoK ISO 20000/21500/27000/31000 NIST 800 Certificaciones (22 auditores / 35 certificaciones 11 CISA / 2 CISM / 9 CRISC / 3 CGEIT 2 ISO CISSP 1 CPP 5 QAR Auditoría Interna Norma (D) Naturaleza del Trabajo 2110.A2: evaluar si el gobierno de TI apoya las estrategias y objetivos de la organización A1: evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente: Logro de los objetivos estratégicos de la organización, Fiabilidad de integridad de la información financiera y operativa, Eficacia y eficiencia de las operaciones y programas, Protección de activos, y Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos Normas Internacionales para el ejercicio profesional de la AI (de implementación)

25 Normativa de SI AUDITORIA DE SISTEMAS Verifica / Evalúa Existencia, adecuación y cumplimiento de las Políticas, Normas, Procedimientos y Estándares Técnicos Monitoreo ejercido por SI Contribuye al conocimiento de la normativa por parte de áreas auditadas, Alta Dirección y Comité de Auditoría, a través de sus informes de auditoría, donde expone debilidades, riesgo asociado y recomendaciones.

26 Modelo Conceptual SI Controles y Continuidad de Negocio AUDITORIA DE SISTEMAS Participa Comité de TI y SI (proyectos estratégicos, tácticos, presupuesto, informes de gestión) Proyectos de TI y SI Proceso de Gestión de Riesgo de TI Pruebas de Continuidad y Recuperación Evalúa Comunicación de las Aspiraciones y la Dirección de las Gerencias Procesos, Organización y Relaciones de TI Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento Gestión de Riesgo de TI Planeación de Proyectos y Métodos de Aseguramiento Controles de TI (Generales/de Aplicación) Plan y Pruebas de Continuidad Normas Internacionales para el ejercicio profesional - Glosario: Controles de TI: Soportan la gestión y el gobierno del negocio, y proporcionan controles generales y técnicos sobre las infraestructuras de tecnología de la información tales como aplicaciones, información, infraestructura y personas. Gobierno de TI: Consiste en el liderazgo, las estructuras de la organización y los procesos que aseguran que la tecnología de la información de la empresa soporta las estrategias y objetivos de la organización.

27 Negocio Controles y Continuidad de Negocio AUDITORIA DE SISTEMAS Elabora Plan Anual de Auditoría basado en riesgo (considerando el BIA) Efectúa Auditorías por Procesos Auditorías Específicas Verifica / Evalúa que las actividades de TI y SI se encuentren alineadas al Negocio. la efectividad del Plan de Continuidad de Procesamiento y sus pruebas cumplimiento regulatorio Contribuye a través de sus informes, a la asignación de recursos de TI y SI

28 Información Controles y Continuidad de Negocio AUDITORIA DE SISTEMAS Verifica / Evalúa Esquema de Clasificación de Datos Controles de Acceso según necesidad de conocer / mínimo privilegio Procesamiento, Resguardo y Recuperación de Datos Administración de Contratos y Riesgos con Proveedores Gestión de Incidentes y problemas de seguridad Gestión de Usuarios sensitivos Monitoreo ejercido por SI

29 Software y Aplicaciones Controles y Continuidad de Negocio AUDITORIA DE SISTEMAS Verifica / Evalúa Seguridad y Disponibilidad de las Aplicaciones y SW de base (SOs, BDs) Monitoreo ejercido por TI Ciclo de Vida (Adquisición / Desarrollo, Pruebas, Instalación, Configuración, Cambios) Administración de Contratos y Riesgos con Proveedores Gestión de Incidentes y Problemas Gestión de Usuarios sensitivos Monitoreo ejercido por SI

30 Hardware Controles y Continuidad de Negocio AUDITORIA DE SISTEMAS Verifica / Evalúa Seguridad y Disponibilidad de la Infraestructura tecnológica Monitoreo ejercido por TI Ciclo de Vida (Adquisición, Instalación, Mantenimiento, Configuración, Cambios) Gestión de la Capacidad Continuidad de Servicio Administración de Contratos y Riesgos con Proveedores Gestión de Incidentes y Problemas Gestión de Usuarios sensitivos Monitoreo ejercido por SI

31 Canales Controles y Continuidad de Negocio AUDITORIA DE SISTEMAS Verifica / Evalúa Seguridad y Disponibilidad de Canales (ATM/TAS/BI/BT/BM) Protocolos / Encripción Monitoreo ejercido por TI Ciclo de Vida (Adquisición, Instalación, Mantenimiento, Configuración, Cambios) Gestión de la Capacidad Continuidad del servicio Administración de Contratos y Riesgos con Proveedores Gestión de Incidentes y Problemas Gestión de Usuarios sensitivos Monitoreo ejercido por SI

32 Usuarios AUDITORIA DE SISTEMAS Verifica / Evalúa Concientización sobre temas de seguridad / Compromiso de confidencialidad Roles sobre activos de información Asignación de perfiles por función según necesidad de conocer / mínimo privilegio Generación, Distribución y Revocación de Usuarios Monitoreo ejercido por SI Monitorea Usuarios sensitivos de SI Contribuye a generar conciencia en temas de seguridad a través de sus informes de auditoría Controles y Continuidad de Negocio

33 3LoD Modelo de las tres líneas de defensa (3LoD, en inglés) Fuente: IAIA ( Plataforma Global de Defensa y Promoción) para Gestión de Riesgos ¿aplicable a Seguridad Informática? ¿aplicable a Seguridad Informática?

34 Fuente: IAIA ( Plataforma Global de Defensa y Promoción) Primera línea de defensa (Gerencia operativa) 3LoD Gestión de Riesgos para Gestión de Riesgos Seguridad Informática y Seguridad Informática Tiene la propiedad, responsabilidad y obligación de definir la adecuada segregación de funciones, otorgar acceso a la información con los principios de necesidad de conocer y mínimo privilegio, cumplimiento de Políticas, Normas y Procedimientos de Seguridad. Facilitan y supervisan la implementación de prácticas de gestión de riesgos eficaces por parte de la gerencia operativa y ayudan a los responsables de riesgos a distribuir la información adecuada sobre riesgos hacia arriba y hacia abajo en la organización Facilitan y supervisan la implementación de las Políticas de Seguridad por parte de la gerencia operativa, ayudan a difundir la cultura de seguridad de la información. Administra el SGSI, informa a la Alta Dirección el estado de la Seguridad. GR SI GR SI Tiene la propiedad, responsabilidad y obligación de evaluar, controlar y mitigar los riesgos, a la vez que mantiene controles internos eficaces. Segunda línea de defensa (Contralor, Gestión de riesgos, Seguridad Informática, otras funciones de cumplimiento)

35 Fuente: IAIA ( Plataforma Global de Defensa y Promoción) Se ubican fuera de la estructura de la organización. Cumplen un rol en la estructura de gobierno general y de control de la organización (este es específicamente el caso en los sectores regulados como el sector de bancos). Se pueden considerar como una línea de defensa adicional que proporciona aseguramiento a los accionistas, al consejo y a la alta dirección. 3LoD Gestión de Riesgos para Gestión de Riesgos Seguridad Informática y Seguridad Informática Tercera línea de defensa (Auditoría interna) A través de enfoque basado en el riesgo, proporcionará aseguramiento sobre la eficacia de gobierno, gestión de riesgos y control interno en el organismo de gobierno y la alta dirección de la organización, incluidas las maneras en que funcionan la primera y segunda línea de defensa. Esta responsabilidad cubre todos los elementos del enfoque de gestión de riesgos de la institución: identificación de riesgo, evaluación de riesgo y respuesta a comunicaciones de información relativa a riesgos (de toda la organización y hacia la alta dirección y el organismo de gobierno). Auditoría externa y Organismos reglamentarios externos GR SI GR SI

36 Gestión de Riesgos de TI Clasificación de Activos de Información Análisis de Riesgos de Activos de Información Gestión de Riesgos de Activos de Información Gestión de Riesgo Operacional Mejores prácticas / Regulaciones ISO framework Risk Analysis and Evaluation ISO Risk Management Risk IT Framework (ISACA) NIST SP framework for Mitigation Magerit Methodology for IT Risk Analysis BCRA 4609 / 4793 / 5374 Activos Amenazas Salvaguardas Proporciona una visión singular de cómo es cada sistema, qué valor posee, a qué amenazas está expuesto y de qué salvaguardas se ha dotado AUDITORIA DE SISTEMAS Verifica / Evalúa / Utiliza la Gestión de Riesgos de TI GR SI AS

37 Servidor Riesgos de TI Auditoría por proceso Clasificación de Activos, Análisis y Gestión de Riesgos Modelo conceptual Aplicación Software de Base Usuarios Hardware Canales Usuarios Negocio Seguridad Informática Auditoría específica por aplicativo / plataforma / canal / UF (Aspecto Seguridad) Seguridad Informática Auditoría de Sistemas Información

38 Resumen / Conclusiones SINERGIA Apoyo de la Alta Gerencia, Presupuesto Propio, Independencia del Área de TI Cumplimiento Legal y Normativo Planificación estratégica orientada al negocio Sistema de Gestión de Seguridad de la Información (SGSI) Concientización a Usuarios Monitoreo y control con métricas pre-establecidas Apoyo de Auditoría proceso de aseguramiento de la seguridad factor clave en la implementación de los estándares de seguridad herramienta poderosa para mejorar la cultura de seguridad de una organización aliado crítico e influyente para alcanzar un nivel adecuado de gobierno y cumplimiento de la seguridad MIRADA HOLISTICA

39 Al observar ésta obra, la atención del espectador se centra en las intensas miradas de los personajes, ubicadas en el área más iluminada del cuadro…. La Buenaventura - Michelangelo Caravaggio La Seguridad: Otra mirada

40 …Pero sin advertir lo que sucede en sus manos… La Buenaventura - Michelangelo Caravaggio La Seguridad: Otra mirada

41 Información de Contacto Mónica Rela Roberto Arienti Banco de la Nación Argentina

42 Preguntas y Respuestas

43 ¡Muchas Gracias por su atención! ¡Muchas Gracias por su atención!


Descargar ppt "Seguridad Informática Una mirada diferente desde el HACER y desde el ASEGURAMIENTO Banco de la Nación Argentina ARGENTINA 2014 15 - 16 de Mayo Mónica Rela."

Presentaciones similares


Anuncios Google