La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Banco de la Nación Argentina

Publicada porAmando Fuentes Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Banco de la Nación Argentina"— Transcripción de la presentación:

1 Banco de la Nación Argentina
Seguridad Informática Una mirada diferente desde el HACER y desde el ASEGURAMIENTO Mónica Rela Responsable de Auditoría de Sistemas Roberto Arienti Responsable de Seguridad de la Información Banco de la Nación Argentina ARGENTINA 2014 de Mayo

2 Banco de la Nación Argentina
Mónica Rela Computadora Científica - Universidad de Buenos Aires. Se ha desempeñado como docente, instructora y consultora de TI. Trabaja en el Banco de la Nación Argentina desde el año Posee 25 años de experiencia en tareas vinculadas con las tecnologías de información y comunicación en las áreas de Tecnología y Procesamiento, Desarrollo de Sistemas y Gestión de Proyectos de TI y 6 años como responsable de auditorías vinculadas con las TIC en el BNA, sus Empresas Controladas y Sucursales del País y del Exterior. Actualmente se encuentra a cargo de la Subgerencia de Auditoria de Sistemas del Banco, coordina la Comisión de Auditoria de Sistemas de ABAPPRA (Asociación de Bancos Públicos y Privados de la República Argentina) y es representante de CLAIN ante ISACA . Banco de la Nación Argentina

3 Banco de la Nación Argentina
Roberto Arienti Computador Científico - Universidad de Buenos Aires. Trabaja en el Banco de la Nación Argentina desde el año Inicialmente se desarrolló en el área de Sistemas como líder de proyecto en el desarrollo de distintos aplicativos de Sistemas de Información. En el período ocupó el cargo de responsable del área de Auditoría de Sistemas coordinando las actividades relacionadas con la evaluación del funcionamiento de los sistemas de procesamiento de datos y redes de comunicaciones.  Actualmente se encuentra a cargo de la Subgerencia de Seguridad de la Información del Banco, conduciendo las actividades relacionadas con el desarrollo de un sistema de gestión de seguridad de la información, a fin de preservar la confidencialidad, integridad, disponibilidad y auditabilidad de los activos de la información. Banco de la Nación Argentina 3

4 Agenda Primer parte Qué es Seguridad Informática? Conclusiones
Marco normativo Modelo conceptual de Seguridad Aspectos a tener en cuenta Segunda parte Normas internacionales y Mejores prácticas para AI Articulación entre el Modelo conceptual de Seguridad y Auditoría de Sistemas Modelo 3LoD para Gestión de Riesgos / Seguridad de la Información Roles Gestión de Riesgos / Seguridad de la Información / Auditoría Interna Conclusiones

5 Servicio Seguridad Informática Criterio de Negocio La seguridad es…
No es solamente implementar usuarios y contraseñas La seguridad es… Servicio Control de Accesos Plan de Continuidad de Negocio Gestión de Incidentes Análisis de Vulnerabilidades Concientización de usuarios Encripción Análisis de Eventos Evaluación de Software Análisis de Riesgo Análisis Forense ABM de Usuarios Desarrollo de Políticas Normas y Estándares Debe implementarse utilizando… Criterio de Negocio Test de Penetración AntiSpam AntiVirus Firewalls Doble Factor de Autenticación PKI Controles Sistemas de detección de Intrusos AntiPhishing Herramientas Forenses Marcos Normativos Permisos mínimos necesarios Correlación de eventos

6 Banco de la Nación Argentina
Líder, Regulador y Testigo del Sistema Financiero Argentino 627 Sucursales 14 Sucursales en el Exterior 57 Anexos Operativos 4 Agencias Móviles Empleados

7 Banco de la Nación Argentina
Equipamiento Informático Equipamiento Central Mainframe Equipamiento Distribuido Estaciones de Trabajo Servidores +900 Switches +700 Routers Centro de Procesamiento Paralelo Activo-Activo

8 Banco de la Nación Argentina
Usuarios de los distintos Sistemas: usuarios en el Computador Central usuarios en Redes de PC’s usuarios en Correo usuarios en Aplicativos externos usuarios de Aplicativos internos TOTAL: De los cuales corresponden a usuarios críticos, resguardados para ser utilizados en caso de emergencia..

9 Marco Normativo ISO 27001 / 27002 1. Política de Seguridad
2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Gestión de Incidentes de Seguridad Plan de Continuidad del Negocio Cumplimiento

10 Normativa Políticas Normas Procedimientos Estándares Técnicos

11 Continuidad de Negocio
Modelo Conceptual COMITÉ DE TECNOLOGÍA Controles Continuidad de Negocio Usuarios Canales Software y Aplicaciones Hardware Información Negocio P L A N I F I C A C I Ó N ANÁLISIS DE RIESGO POLÍTICAS / NORMAS / PROCEDIMIENTOS / ESTANDARES

12 Negocio La Estrategia de Seguridad debe estar alineada con los objetivos del negocio Fuga de Información Sensible Pérdidas Financieras Daños de Imagen / Reputación Caída de Sistema / Pérdida de Clientes Problemas Legales De qué protegernos? Cómo hacerlo? Planificación y Análisis de Riesgo Cumplimiento Normativo (ISO / / BCRA “A” 4609, 5374…) Manual de Políticas (Aprobado por el Directorio) Manual de Normas (Alineado con el Manual de Políticas) Estándares y procedimientos Modelo de Seguridad

13 Información Cómo hacerlo?
La Información es uno de los activos más importantes del Banco La Exactitud, totalidad de la información y los métodos de acceso Qué proteger ? Integridad Confidencialidad Disponibilidad Auditabilidad Que sea accedida solo por los autorizados Que esté disponible toda vez que se requiera Que todos los eventos sean correctamente registrados Cómo hacerlo? Clasificar la Información Analizar los riesgos (Amenazas / Probabilidad de Ocurrencia / Impacto) Establecer los métodos necesarios para garantizar la Integridad, Confidencialidad, Disponibilidad y Auditabilidad de la Información Modelo de Seguridad

14 Software y Aplicaciones
Diariamente se descubren cientos de vulnerabilidades de software Software ilegal Agujeros de Seguridad en el Desarrollo Acceso a datos por fuera de la aplicación Registros de eventos incompletos Virus, Troyanos, Spam, Phishing, Spy… De qué protegernos? Cómo hacerlo? Inventario de Software Análisis de Vulnerabilidades Eliminación o Mitigación de Riesgos Herramientas de Alertas / Control / Seguimiento … Aplicación de Parches Modelo de Seguridad

15 Hardware La tecnología avanza y las amenazas son cada vez mas complejas Acceso Físico al Centro de Cómputos Robo de Computadoras / Notebook Robo de Medios magnéticos Catástrofes / Incendios Fallas de energía De qué protegernos? Cómo hacerlo? Inventario de Hardware Control de Acceso Backups Borrado seguro de medios magnéticos Plan de Continuidad de Negocio Modelo de Seguridad

16 Canales Los datos deben viajar por canales seguros Cómo hacerlo?
Comunicaciones dentro de la red Comunicaciones con entidades externas HomeBanking Cableado / Routers / Switches / Hubs … Firewall / IPS / IDS Qué proteger? Cómo hacerlo? Control de Acceso Segmentación de la Red Autenticación Encripción Modelo de Seguridad

17 Usuarios “El factor humano es el eslabón mas débil de la seguridad”
El 40% de los ataques es interno Los usuarios no conocen sobre seguridad Usuarios mal informados revelan información confidencial (Fallas Humanas) Empleados deshonestos o desvinculados Porqué? Cómo hacerlo? Plan de Concientización de Usuarios Acuerdo de confidencialidad y Buen Uso Control de usuarios finales (eventos / alertas) Capacitación Modelo de Seguridad

18 Controles Principal componente de la estrategia de Seguridad
Los Controles pueden ser: Administrativos ( Políticas / Estándares …) Técnicos ( Control de Acceso a la red / Monitoreo de Permisos …) Físicos (Control de Acceso Físico / Cámaras …) Los Controles Deben: Mitigar Riesgos manteniendo la relación costo – beneficio Usar Métricas para medir y monitorear la Seguridad No se puede administrar lo que no se puede medir Modelo de Seguridad

19 Continuidad de Negocio
Es preferible tener un plan y no necesitarlo que necesitar un plan y no tenerlo Porqué podría necesitar planes de continuidad? Catástrofes naturales Incendios Fallos en el suministro eléctrico Fallos en las comunicaciones Fallos en los Sistemas Errores humanos / Huelgas El plan debe ser desarrollado para cubrir el peor escenario, de forma tal que escenarios menores queden cubiertos también. Se sabe que el peor escenario sucede sin aviso ni advertencia. Modelo de Seguridad

20 Como concientizar ? Cursos presenciales de concientización a usuarios finales Inducción / Mandos Medios / Gerencia Cursos a distancia (elearning) Circulares Publicaciones en revista corporativa Algunos temas tratados: Navegar Protegido Prevención contra Virus Consejos sobre Redes Sociales Buenas Prácticas de Contraseñas Uso de Medios extraíbles Consejos sobre Home Banking Resguardo de Archivos Personales La importancia de Reporte de Incidentes

21 Aspectos a Tener en Cuenta
Apoyo de la Alta Gerencia Independencia del Área de Sistemas Implementación de un Sistema de Gestión de Seguridad (SGSI) Presupuesto Propio para adquirir herramientas Cumplimiento Legal y Normativo Planificación estratégica orientada a segurizar el negocio Plan de Concientización de usuarios Monitoreo y Controles basados en métricas preestablecidas (Tablero de Control)

22 Seguridad Informática Aspectos a tener en cuenta
A I Seguridad Informática Aspectos a tener en cuenta ”Los gerentes de seguridad de la información eficientes entienden que las auditorías constituyen tanto un proceso esencial de aseguramiento como un aliado crítico e influyente para alcanzar un nivel adecuado de gobierno y cumplimiento de la seguridad” Los auditores “pueden ser un factor clave en la implementación de los estándares de seguridad al comunicar información de retroalimentación basada en los resultados de las auditorías a la alta dirección para influir en la posición de los ejecutivos y conseguir su apoyo para actividades relacionadas con la seguridad” “Incluir auditores en la gestión general de la seguridad puede ser una herramienta poderosa para mejorar la cultura de seguridad de una organización” Fuente: ISACA – Manual CISM – (Certified Information Security Manager)

23 Auditoría Interna A I Normas Internacionales para el ejercicio profesional (sobre Atributos – sobre Desempeño) La actividad de auditoría interna debe proporcionar servicios independientes y objetivos de aseguramiento y consulta, concebidos para agregar valor y mejorar las operaciones de la organización (Atributos: 1100 – Independencia y objetividad) Estatuto – Código de Ética – Comité de Auditoría (Atributos: 1000 – Propósito, Autoridad y Responsabilidad) Capacitación continua (Atributos: 1200 – Aptitud y cuidado profesional) Debe evaluar y contribuir a la mejora de los procesos de gobierno, gestión de riesgos y control, utilizando un enfoque sistemático y disciplinado (Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600) Planes – Procedimientos – Matriz de Riesgo – Herramientas (Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600) Aseguramiento y mejora de la calidad (Atributos: 1300 – Programa de aseguramiento y mejora de la calidad) El cumplimiento de las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna es esencial para el ejercicio de las responsabilidades de los auditores internos. El propósito de las Normas es: 1. Definir principios básicos que representen el ejercicio de la auditoría interna tal como este debería ser. 2. Proporcionar un marco para ejercer y promover un amplio rango de actividades de auditoría interna de valor añadido. 3. Establecer las bases para evaluar el desempeño de la auditoría interna. 4. Fomentar la mejora de los procesos y operaciones de la organización. La estructura de las Normas está formada por las Normas sobre Atributos, Normas sobre Desempeño y Normas de Implantación Las Normas sobre Atributos tratan las características de las organizaciones y las personas que prestan servicios de auditoría interna. Las Normas sobre Desempeño describen la naturaleza de los servicios de auditoría interna y proporcionan criterios de calidad con los cuales puede evaluarse el desempeño de estos servicios. Las Normas sobre Atributos y sobre Desempeño se aplican a todos los servicios de auditoría interna. Las Normas de Implantación amplían las Normas sobre Atributos y Desempeño, proporcionando los requisitos aplicables a las actividades de aseguramiento (A) y consultoría (C).

24 Auditoría Interna A I Normas Internacionales para el ejercicio profesional de la AI (de implementación) AUDITORIA DE SISTEMAS Incorpora / Utiliza Herramientas y Soporte en TI Herramientas adquiridas Desarrollos propios Mejores Prácticas COBIT ITIL / CMMI / PMBoK ISO 20000/21500/27000/31000 NIST 800 Certificaciones (22 auditores / 35 certificaciones 11 CISA / 2 CISM / 9 CRISC / 3 CGEIT 2 ISO 27001 2 CISSP 1 CPP 5 QAR Norma (D) Naturaleza del Trabajo 2110.A2: evaluar si el gobierno de TI apoya las estrategias y objetivos de la organización. 2120.A1: evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente: Logro de los objetivos estratégicos de la organización, Fiabilidad de integridad de la información financiera y operativa, Eficacia y eficiencia de las operaciones y programas, Protección de activos, y Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos

25 A I Normativa de SI AUDITORIA DE SISTEMAS Verifica / Evalúa
Existencia, adecuación y cumplimiento de las Políticas, Normas, Procedimientos y Estándares Técnicos Monitoreo ejercido por SI Contribuye al conocimiento de la normativa por parte de áreas auditadas, Alta Dirección y Comité de Auditoría, a través de sus informes de auditoría, donde expone debilidades, riesgo asociado y recomendaciones.

26 y Continuidad de Negocio
A I Modelo Conceptual SI y Continuidad de Negocio Controles AUDITORIA DE SISTEMAS Participa Comité de TI y SI (proyectos estratégicos, tácticos, presupuesto, informes de gestión) Proyectos de TI y SI Proceso de Gestión de Riesgo de TI Pruebas de Continuidad y Recuperación Evalúa Comunicación de las Aspiraciones y la Dirección de las Gerencias Procesos, Organización y Relaciones de TI Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento Gestión de Riesgo de TI Planeación de Proyectos y Métodos de Aseguramiento Controles de TI (Generales/de Aplicación) Plan y Pruebas de Continuidad Normas Internacionales para el ejercicio profesional - Glosario: Controles de TI: “Soportan la gestión y el gobierno del negocio, y proporcionan controles generales y técnicos sobre las infraestructuras de tecnología de la información tales como aplicaciones, información, infraestructura y personas.” Gobierno de TI: “Consiste en el liderazgo, las estructuras de la organización y los procesos que aseguran que la tecnología de la información de la empresa soporta las estrategias y objetivos de la organización.”

27 y Continuidad de Negocio
A I Negocio AUDITORIA DE SISTEMAS Elabora Plan Anual de Auditoría basado en riesgo (considerando el BIA) Efectúa Auditorías por Procesos Auditorías Específicas Verifica / Evalúa que las actividades de TI y SI se encuentren alineadas al Negocio. la efectividad del Plan de Continuidad de Procesamiento y sus pruebas cumplimiento regulatorio Contribuye a través de sus informes, a la asignación de recursos de TI y SI y Continuidad de Negocio Controles

28 y Continuidad de Negocio
A I Información AUDITORIA DE SISTEMAS Verifica / Evalúa Esquema de Clasificación de Datos Controles de Acceso según “necesidad de conocer” / “mínimo privilegio” Procesamiento, Resguardo y Recuperación de Datos Administración de Contratos y Riesgos con Proveedores Gestión de Incidentes y problemas de seguridad Gestión de Usuarios sensitivos Monitoreo ejercido por SI y Continuidad de Negocio Controles DS5 Garantizar la Seguridad de los Sistemas DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definición de Incidente de Seguridad DS11 Administración de Datos DS11.2 Acuerdos de Almacenamiento y Conservación DS11.6 Requerimientos de Seguridad para la Administración de Datos

29 y Continuidad de Negocio
A I Software y Aplicaciones AUDITORIA DE SISTEMAS Verifica / Evalúa Seguridad y Disponibilidad de las Aplicaciones y SW de base (SOs, BDs) Monitoreo ejercido por TI Ciclo de Vida (Adquisición / Desarrollo, Pruebas, Instalación, Configuración, Cambios) Administración de Contratos y Riesgos con Proveedores Gestión de Incidentes y Problemas Gestión de Usuarios sensitivos Monitoreo ejercido por SI y Continuidad de Negocio Controles AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI7.6 Pruebas de Cambios) DS5 Garantizar la Seguridad de los Sistemas DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad

30 y Continuidad de Negocio
A I Hardware AUDITORIA DE SISTEMAS Verifica / Evalúa Seguridad y Disponibilidad de la Infraestructura tecnológica Monitoreo ejercido por TI Ciclo de Vida (Adquisición, Instalación, Mantenimiento, Configuración, Cambios) Gestión de la Capacidad Continuidad de Servicio Administración de Contratos y Riesgos con Proveedores Gestión de Incidentes y Problemas Gestión de Usuarios sensitivos Monitoreo ejercido por SI y Continuidad de Negocio Controles AI3 Adquirir y Mantener Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Recurso de Infraestructura AI3.3 Mantenimiento de la Infraestructura AI3.4 Ambiente de Prueba de Factibilidad DS1 Definir y Administrar los Niveles de Servicio DS1.3 Acuerdos de Niveles de Servicio DS3 Administrar el Desempeño y la Capacidad DS4 Garantizar la Continuidad del Servicio DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS5 Garantizar la Seguridad de los Sistemas DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS8 Administrar la Mesa de Servicio y los Incidentes

31 y Continuidad de Negocio
A I Canales AUDITORIA DE SISTEMAS Verifica / Evalúa Seguridad y Disponibilidad de Canales (ATM/TAS/BI/BT/BM) Protocolos / Encripción Monitoreo ejercido por TI Ciclo de Vida (Adquisición, Instalación, Mantenimiento, Configuración, Cambios) Gestión de la Capacidad Continuidad del servicio Administración de Contratos y Riesgos con Proveedores Gestión de Incidentes y Problemas Gestión de Usuarios sensitivos Monitoreo ejercido por SI y Continuidad de Negocio Controles DS5 Garantizar la Seguridad de los Sistemas DS5.7 Protección de la Tecnología de Seguridad DS5.8 Administración de Llaves Criptográficas DS5.9 Prevención, Detección y Corrección de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos DS8 Administrar la Mesa de Servicio y los Incidentes DS12 Administración del Ambiente Físico DS12.1 Selección y Diseño del Centro de Datos DS12.2 Medidas de Seguridad Física DS12.5 Administración de Instalaciones Físicas DS13 Administración de Operaciones DS13.4 Documentos Sensitivos y Dispositivos de Salida

32 y Continuidad de Negocio
A I Usuarios AUDITORIA DE SISTEMAS Verifica / Evalúa Concientización sobre temas de seguridad / Compromiso de confidencialidad Roles sobre activos de información Asignación de perfiles por función según “necesidad de conocer” / “mínimo privilegio” Generación, Distribución y Revocación de Usuarios Monitoreo ejercido por SI Monitorea Usuarios sensitivos de SI Contribuye a generar conciencia en temas de seguridad a través de sus informes de auditoría y Continuidad de Negocio Controles P04. Definir los Procesos, Organización y Relaciones de TI DS7 Educar y Entrenar a los Usuarios DS7.1 Identificación de Necesidades de Entrenamiento y Educación ME2.3 Excepciones de Control

33 A I 3LoD para Gestión de Riesgos ¿aplicable a Seguridad Informática?
Modelo de las tres líneas de defensa (3LoD, en inglés) ¿aplicable a Seguridad Informática? Fuente: IAIA (Plataforma Global de Defensa y Promoción)

34 A I 3LoD para Gestión de Riesgos y Seguridad Informática
Primera línea de defensa (Gerencia operativa) GR Tiene la propiedad, responsabilidad y obligación de evaluar, controlar y mitigar los riesgos, a la vez que mantiene controles internos eficaces. SI Tiene la propiedad, responsabilidad y obligación de definir la adecuada segregación de funciones, otorgar acceso a la información con los principios de “necesidad de conocer y mínimo privilegio”, cumplimiento de Políticas, Normas y Procedimientos de Seguridad. Segunda línea de defensa (Contralor, Gestión de riesgos, Seguridad Informática, otras funciones de cumplimiento) GR Facilitan y supervisan la implementación de prácticas de gestión de riesgos eficaces por parte de la gerencia operativa y ayudan a los responsables de riesgos a distribuir la información adecuada sobre riesgos hacia arriba y hacia abajo en la organización SI Facilitan y supervisan la implementación de las Políticas de Seguridad por parte de la gerencia operativa, ayudan a difundir la cultura de seguridad de la información. Administra el SGSI, informa a la Alta Dirección el estado de la Seguridad. Fuente: IAIA (Plataforma Global de Defensa y Promoción)

35 A I 3LoD para Gestión de Riesgos y Seguridad Informática
Tercera línea de defensa (Auditoría interna) GR A través de enfoque basado en el riesgo, proporcionará aseguramiento sobre la eficacia de gobierno, gestión de riesgos y control interno en el organismo de gobierno y la alta dirección de la organización, incluidas las maneras en que funcionan la primera y segunda línea de defensa. Esta responsabilidad cubre todos los elementos del enfoque de gestión de riesgos de la institución: identificación de riesgo, evaluación de riesgo y respuesta a comunicaciones de información relativa a riesgos (de toda la organización y hacia la alta dirección y el organismo de gobierno). SI Auditoría externa y Organismos reglamentarios externos Se ubican fuera de la estructura de la organización. Cumplen un rol en la estructura de gobierno general y de control de la organización (este es específicamente el caso en los sectores regulados como el sector de bancos). Se pueden considerar como una línea de defensa adicional que proporciona aseguramiento a los accionistas, al consejo y a la alta dirección. GR SI Fuente: IAIA (Plataforma Global de Defensa y Promoción)

36 Gestión de Riesgos de TI
A I Proporciona una visión singular de cómo es cada sistema, qué valor posee, a qué amenazas está expuesto y de qué salvaguardas se ha dotado GR Activos Amenazas Salvaguardas SI AS Clasificación de Activos de Información Análisis de Riesgos de Activos de Información Gestión de Riesgos de Activos de Información Gestión de Riesgo Operacional AUDITORIA DE SISTEMAS Verifica / Evalúa / Utiliza la Gestión de Riesgos de TI Mejores prácticas / Regulaciones ISO framework Risk Analysis and Evaluation ISO Risk Management Risk IT Framework (ISACA) NIST SP framework for Mitigation Magerit Methodology for IT Risk Analysis BCRA 4609 / 4793 / 5374

37 Seguridad Informática Auditoría de Sistemas
Riesgos de TI Seguridad Informática Auditoría de Sistemas Servidor Negocio Clasificación de Activos, Análisis y Gestión de Riesgos Seguridad Informática Modelo conceptual Auditoría por proceso Información Usuarios Aplicación Aplicación Aplicación Aplicación Software de Base Software de Base Hardware Canales Usuarios Auditoría específica por aplicativo / plataforma / canal / UF (Aspecto Seguridad)

38 Resumen / Conclusiones
Apoyo de la Alta Gerencia, Presupuesto Propio, Independencia del Área de TI Cumplimiento Legal y Normativo Planificación estratégica orientada al negocio Sistema de Gestión de Seguridad de la Información (SGSI) Concientización a Usuarios Monitoreo y control con métricas pre-establecidas Apoyo de Auditoría proceso de aseguramiento de la seguridad factor clave en la implementación de los estándares de seguridad herramienta poderosa para mejorar la cultura de seguridad de una organización aliado crítico e influyente para alcanzar un nivel adecuado de gobierno y cumplimiento de la seguridad MIRADA HOLISTICA SINERGIA

39 La Seguridad: Otra mirada
“La Buenaventura” - Michelangelo Caravaggio Al observar ésta obra, la atención del espectador se centra en las intensas miradas de los personajes, ubicadas en el área más iluminada del cuadro….

40 La Seguridad: Otra mirada
“La Buenaventura” - Michelangelo Caravaggio …Pero sin advertir lo que sucede en sus manos…

41 Información de Contacto
Mónica Rela Roberto Arienti Banco de la Nación Argentina

42 Preguntas y Respuestas

43 ¡Muchas Gracias por su atención!

Descargar ppt "Banco de la Nación Argentina"

Presentaciones similares

Entidades de Intermediación Financiera

Entidades de Intermediación Financiera
Auditoría Interna y Gobierno Corporativo en Instituciones Financieras

Auditoría Interna y Gobierno Corporativo en Instituciones Financieras
SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Sisdata, C.A..

Sisdata, C.A..
CONTROL DE CALIDAD PARA LOS DESPACHOS Y EL PROFESIONAL INDIVIDUAL

CONTROL DE CALIDAD PARA LOS DESPACHOS Y EL PROFESIONAL INDIVIDUAL
¿ Qué es Control Interno ? Una herramienta para que la administración de todo tipo de organización, obtenga una seguridad razonable sobre el cumplimiento.

¿ Qué es Control Interno ? Una herramienta para que la administración de todo tipo de organización, obtenga una seguridad razonable sobre el cumplimiento.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
El Proceso de la Auditoría - ISO

El Proceso de la Auditoría - ISO
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO
La Administración de Riesgos como Herramienta del Gobierno Corporativo

La Administración de Riesgos como Herramienta del Gobierno Corporativo
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

Presentaciones similares

Anuncios Google