Definición Del Universo de la Seguridad Edilberto Sánchez Perdomo Senior Security Solutions Unisys Colombia Junio 2003
El Universo de la Seguridad Implementación de Seguridad. Políticas, Estructuras, Organización, Procesos, Tecnología, Herramientas Control de Calidad Recolecta indicadores claves de funcionamiento (KPIs) para todas las áreas Benchmarking contra estándares de la industria y compañías líderes del sector Control de Costos de Seguridad Balance de ahorro de costos y riesgo aceptable Medición del Retorno de la Inversión Revisión Independiente Revisión de auditoria interna o externa Auditoría Gerencia De Riesgo Controles y Métricas Implementación de Seguridad Modelo de Seguridad de 4 Niveles
Definición del Universo de la Seguridad Ciudadanos,Clientes, Medios Auditoria,Regulaciónes Proveedores,Socios Requerimintos Externos Gobierno, Leyes, Estándares Wilkes Lock, ca. 1680 Victoria & Albert Museum, London
Ecosistema de Seguridad Accionistas o Dueños Ciudadanos,Comerciantes,Medios Juntas / Administración Ejecutivos Soportes Internos Consejo de Seguridad / Foros Coordinadores de Seguridad Oficina de Seguridad Organización de Seguridad Auditorias,Regulación Proveedores,Socios Estándares / Guías Controles (Seguridad) Gobierno,Leyes ,Estándares,
Cuatro Dimensiones de Seguridad Directrices Corporativas Gerencia de Riesgo Responsabilidad Estrategia Presupuesto Ejecutivos Requerimintos Externos Organización de Seguridad -Leyes -Clientes Externos -Socios Externos -Proveedores -Auditores -Clientes Internos -Estructuras Estándares -Reguladores Industriales Asamblea de Seguridad Entorno de Seguridad Oficial de Seguridad Coordinadores de Seguridad Roles & Responsibilidades IS Gerencia de Procesos Estandares globales de Seguridad Controles (Seguridad) Herramientas, Métodos,Procedimientos, Procesos,Componentes de Seguridad
6- Niveles de Interacción Contratar Servicios de Seguridad, Transferencia del Riesgo Creación de la Organización de la Seguridad y Gerencia de Riesgo Define el Modelo del Negocio,y Políticas de Seguridad Global Executives Requerimentos Externos Seguridad Organizacional Diseño Línea Base de Seguridad Controles (Seguridad) Auditoría, SAS70, Certificaciones De Seguridad (ISO17799,TruSecure, etc.) Implementación de Seguridad para Servidores, Redes, Aplicativos y Procesos Revisiones Internas
6 Pasos de Alto Nivel Executives Security Organization External Análisis de Accionistas, Desarrollo de Estrategias, Creación de Políticas de Seguridad de Alto Nivel. Estándares de Seguridad y Requisitos de un Análisis de Riesgos,Creación de la Línea base de Seguridad. Identificar y Asegurar Recursos: Gente, Infraestructura,Otros Recursos, Procesos, Aplicativos, Servidores ,Redes. Assessments bajo ISO 17799, Certificaciones (BS7799, Webtrust, ...), Auditorías. Implementación de la Oficina de Seguridad, Gerencia de Riesgos y Seguridad, Organización Virtual De Seguridad y Comités de Seguridad. Auditorías recurrentes de Seguridad, CERT,CIRT, Centro Confianza Externos (PKI), Servicios de Administración de Seguridad (Servidores,Redes,Firewal,IDS,AV), Seguros de Seguridad. Executives Security Organization External Requirements Controls (Security) 1 2 3 4 5 6 Gerhard Knecht, Unisys Slide copyright by
BASiLEA II El nuevo modelo de suficiencia capital del comité de basillea sobre supervisión Bancaria
Meta de BASILEA II BASEL II: Inicio de Primera Publicación 1998 Considerar todos los Riesgos Importantes en Banca Mercado de Riesgo, Riesgos de Creditos y Riesgos Operacionales Requisitos del capital de acciones ordinarias en lo referente al perfil de Bank’s Risk El acercamiento Interno Grado-Base a los riesgos de crédito promueve seguridad y validez en el sistema financiero Armonización de Diversos Sistemas de Banca
Descripción – de los 3 Pilares Requisitos de Capital Mínimo Procesos/Revisión y Supervisión Disiplina del Mercado Riesgo/precio de Mercado(sin cambios) Principios Generales Derecho de la Información Posibilidades de la Intervención del control Bancario Riesgo de tipo de Interés en lista de Inversión Políticas de acceso: Metodos Estructura Acciones de Capital Riesgo Prvisión de Acciones de Capital Riesgo de Crédito(e;g; Inversi) Acercamiento Estandar (Grados Exte) Acercamiento-IRB(Grados Internos) Acercamiento de Fundación (Estimación Interna solo PD) Acercamiento Abanzado (PD, LGD, EAD, M estimación Interna) IRB = Internal Rating Based (Approach) PD = Probability of Default LGD = Loss Given Default EAD = Exposure at Default M = Maturity (length of credit life) Riesgo Operacional Acercamiento Básico de Indicador Acercamiento Estandar Acercamiento Interno de Medida
Todos los Cambios Requeridos por la Banca ... Valoración de los elementos del riesgo para cada cliente y asignación de un grado interno Creación de 5-6 listas de estándar con categorías de grados 7+R requisitos mínimos para IRB-Acercamiento: Procesos Estructura Organizacional Recolección de Datos Supervisión de Banca Acceso 7+R: R is an additional “special” risk category (for credits in danger)
Metodología Del Proyecto Acercamiento Global y Profecional Identificación y Quatificación de Riesgos en IT, Procesos, Empleados y Factores Externos Planeamiento de la Continuidad del Negocio Instrumentos De la Mitigación Del Riesgo Riesgo de Credito Evaluacion de Los Requerimientos mínimos Concepto de las listas, categorías de los grados Diseño del Modelo de Grado de Riesgos l Integración de Instrumentos para Mitigación de Riesgos BASILEA II Riesgo Operacional Mercado Riesgo de Redefinición del libro de regulación del negocio Libro Bancario de Riesgo de Interes
Uso de Sinergia,Identificación de interacciones Modelo de Proyecto : Riesgo de Crédito Riesgo Operacional Análisis y Estrategias Arquitectura y Diseño Ejecucución y Alivio Riesgos Sistema Integración Y Pruebas Riesgo de Mercado Rediseño y Análisis Realización HB Concepto del Riesgo Interes Ejecución de Pruebas de Sistema Arquitectur Diseño Integracción Desarrollo Validación Afinamiento Prueba
Metodología Marco Pasos de Seguridad Ciclo de Vida Inicio del Proyecto Evaluación Entornos de Seguridad Creación Estandar Linea-Base de Seguridad. Seguridad del Entorno Físico Seguridad Para Infraestructura de Redes,Servidores y Aplicativos. Integración de Procesos de Seguridad Entrenamiento Y Concienciación 2 Análisis Creación de Estrategias de Seguridad, Desarrollo de Políticas de Seguridad 1 Estrategi Diseño 3 Oficina de Seguridad/Organizacion Virtual, Gerencia de Riesgos/Mapeo de Seguridad 5 Benchmarking y Assessments Certificación ISO 17799. 4 Implement Poliza Global para Gestión de Seguridad 6 Gestión Ciclo de Vida Pasos de Seguridad Inicio del Proyecto Taller / Pre-Estudio Taller de Políticas Taller Línea-Base de Seguridad Gerhard Knecht, Unisys Slide copyright by Evaluación (ISO17799) Creación de Proyectos ESM Strategia de Taller Benchmarks,Assessments Certificación ISO17799 / BS7799 Creación Oficina Seguridad Gestión Riesgo Operacional Servicio de Aseguramiento Gestión Servicios Seguridad
Indicadores Claves del Desempeños de la Seguridad Definir KPIs para la organización Definir KPIs de seguridad cualitativos para todos los dominios del ISO/IEC 17799 Recolectar KPIs para Políticas, Gente, Estructuras, Procesos, Tecnología, Herramientas KPI Benchmarking Comparar KPIs con las mejores prácticas de la industria Comparar KPIs por segmentos (dentro y fuera de la organización) Comparar con KPIs anteriores (e.g., el año pasado) Comparar con Organizaciónes líderes del sector
Metodología para Gestionar KPIs de Seguridad Recolectar KPIs de los Usuarios Y Gerentes en forma separada Comparación de las diferentes percepciones Un Lenguage Común Para Todo lo Respectivo a seguridad
Controlando la Calidad de la Seguridad Herramientas Centralizadas fáciles de utilizar como estándares corporativos Consolidación Simple de KPIs Consolidación simple de las KPIs de las unidades de negocio para formar KPIs Corporativos Beneficia a todas las Areas de Organización permitiendo control a múltiples niveles Calidad de los KPIs monitoreados por Auditoria The Unisys KPI Benchmarking Tool
Administración de Riesgos: Diez Riesgos mas importantes Copyright Gerhard Knecht Unisys Procesos C Seguridad H i on Determinar Procesos Principales Determine importancia de cada proceso Determinar los críticos Manejo de Riesgo Usar KPIs de seguridad existentes Red-Amber-Green assessment Comparación con entidades líderes del sector Medium Risk High Risk Low Risk.
Crear Lista Priorizada de Riesgos Processes C Risiko Bedroh. H i Indicates Risk ha s high Impac t on Process Comience con la lista de los Diez Riesgos mas importantes Propuestas Solución Costos Identificación y Priorizacíon de medidas Task-Force (CSO, IT, OpRisk, Auditors, etc.) Requerimientos De Seguridad Comités de Seguridad Medidas Correctivas YES NO Reducción de Riesgos Implementación de Medidas Aceptación de Riesgo (Informe) Riesgo Aceptado Unmitigated.
Retorno de Inversión Para cada KPI: Proyecto 6-000 - Personnel security Un proyecto para cada uno de los diez dominios del ISO17799 Una tarea por KPI Reporte del costo y tiempo del KPI 6001 Descripsiones de Funciones deSeguridad 6002 Investigación de Hoja de Vida 6003 Confídencialidad agreements/NDA 6004 Conocimiento de Seguridad 6005 Reporte de Incidentes 6006 Procedimiento de Reporte de Incidentes Time and Expense Reporting Example ROI Simple = mejora en el KPI / Inversión en implementar KPI ROI Ajustado = ROI simple * Impacto KPI en el Proceso * importancia del proceso Para cada KPI: Compare la inversión contra la mejora de KPI (la deterioración) Determine el costo fijo para mantener un KPI Calcule el costo variable para mejorar un KPI Determinar el impacto del KPI en los procesos claves Calcule el ROI simple y ajustado
Alcance de la Auditoría Politica de Seguridad Manejo de Tablero De Seguridad Reporte de Riesgo Estrategia Estandares de Seguridad Decisión Inversión Oficina Seguridad Processes C Security KPIs H i Indicates Risk has high Impact on Process Mapa Riesgo Coordinadores Seguridad Gestión Asistida por la Organización de seguridad Revisión Seguridad (KPIs) Implementación Sensibilización Empleados Reporte Auditor Audit Internt Implementación de Medidas de Seguridad Operación Security Organisation
Gracias.