Seguridad integrada como respuesta al Negocio Uruguay - Argentina Seguridad integrada como respuesta al Negocio Fabián Descalzo, CISO

Agenda Requerimientos del Negocio ¿Donde encontrar las respuestas Agenda Requerimientos del Negocio ¿Donde encontrar las respuestas? Conociendo el interior La seguridad del lado del Negocio Seguridad integrada como respuesta al Negocio

Requerimientos del Negocio Para quienes integramos los Departamentos de Seguridad Corporativa, pensar el proyecto desde esta óptica nos permite construir un modelo de comunicación eficaz para obtener el apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. Pensar en Seguridad Corporativa implica establecer los principios de protección y concientización organizacional en materia de Seguridad de la Información, que con OBSERVACIÓN y CAPACIDAD DE DESCUBRIMIENTO nos lleva a plantear diferentes estrategias, que tienen que ver con el aporte de soluciones como soporte de seguridad y calidad a la gestión de cada Gerencia y al aseguramiento de Confidencialidad, Integridad y Disponibilidad de la información que manejan.

Establecer objetivos es esencial para el éxito de una empresa Requerimientos del Negocio Establecer objetivos es esencial para el éxito de una empresa Permiten enfocar esfuerzos hacia una misma dirección. Sirven de guía para la formulación de estrategias. Sirven de guía para la asignación de recursos. Sirven de base para la realización de tareas o actividades. Generan coordinación, organización y control. Generan participación, compromiso y motivación; y, al alcanzarlos, generan un grado de satisfacción. Revelan prioridades. Producen sinergia. Disminuyen la incertidumbre. Establece un único resultado a lograr y es coherente con la misión de la empresa Hoy hay un nuevo modelo de seguridad que hace foco en el ciclo empresarial, provocado por las nuevas Requerimientoses del negocio y por un aumento de los riesgos relacionados con la Integridad, Disponibilidad y Confidencialidad de la información, convertida en el principal activo de las Empresas… Además la dinámica y Requerimientos de resultados suman exponencialmente la posibilidad de errores, pérdidas, negligencia o incidentes… la información, al quedar más expuesta, pasa a ser el centro a proteger… .

Cambios en el entorno de nuestro Negocio Requerimientos del Negocio Cambios en el entorno de nuestro Negocio Cambio de valor de lo físico al valor de la información (intangibles) Nuevos regímenes regulatorios Cambios del Mercado Nuevas tecnologías aplicadas al resultado del Negocio Interacción más dinámica entre los diferentes procesos de negocios Hoy hay un nuevo modelo de seguridad que hace foco en el ciclo empresarial, provocado por las nuevas Requerimientoses del negocio y por un aumento de los riesgos relacionados con la Integridad, Disponibilidad y Confidencialidad de la información, convertida en el principal activo de las Empresas… Además la dinámica y Requerimientos de resultados suman exponencialmente la posibilidad de errores, pérdidas, negligencia o incidentes… la información, al quedar más expuesta, pasa a ser el centro a proteger… .

Requerimientos del Negocio Requerimientos legales y reglamentarios Disponer de una gestión que asegure los procesos de negocio y el tratamiento de los datos propios o de terceros alineados a: Frameworks que aportan valor agregado Para todo tenemos una respuesta…. Diferentes organizaciones han visualizado esta situación y debido a ello han establecido estándares para que, independientemente del tipo de negocio, se pudiese mantener la información en un ambiente controlado, por lo que han tenido en cuenta este aspecto importante y han reflejado este nuevo sentido de la Seguridad en tres formas: Legal y reglamentario: Pensado desde las Instituciones Gubernamentales a través de Leyes Nacionales o Provinciales e Internacionales (Habeas Data, SOX, Ley 3.076 de Salud Pública de la Provincia de Río Negro ), o por reglamentaciones que permiten regular el tratamiento de la información (Comunicación A 4609, “A” 4793 LINEAMIENTOS PARA LA GESTIÓN DEL RIESGO OPERACIONAL EN LAS ENTIDADES FINANCIERAS, “A” 5132 Designación de Responsables de la Seguridad de la Entidad Financiera, BCRA) Certificaciones: Impulsado por empresas u organizaciones que agregan valor al negocio a través del desarrollo de sistemas de seguridad y calidad certificables, tales como ISO9001 / ISO20000 / ISO27001 (ISO) o PCI-DSS (VISA, MasterCard, American Express, Discover y JCB) Buenas prácticas: Frameworks creados por instituciones Privadas creadas para el desarrollo de las actividades normalización y certificación y que ofrecen al mercado el marco de referencia para establecer una “contención” a nivel de Seguridad, Calidad y Governance IT., y que están a disposición de las Empresas para adoptarlos como instrumento para la Organización (Magerit, CoBIT, ISO 17999, ISO 22301 BCP, ISO 38500 Gobierno IT) o para su personal (ITIL, CISM, CISA, etc)

Propios, Clientes, Proveedores, Empleados Requerimientos del Negocio Propios, Clientes, Proveedores, Empleados SEGURIDAD OBJETOS DE INFORMACIÓN CORPORACIONES PyMES GOBIERNO … lo que ya deja de lado pensar si tengo o no que implementarlo, porque es necesario para mi Negocio… Lo que si debemos definir entonces es “la medida justa” de un Sistema de Gestión de Seguridad para nuestra Organización y para ello tendremos que tener en cuenta…

Requerimientos del Negocio Identificar funciones, obligaciones del personal y establecer un marco operativo acorde a las Requerimientos del Negocio. Conformar grupos interdisciplinarios (Legales / Desarrollo / Seguridad Informática, y representante del área involucrada) con el fin de analizar los requerimientos del Negocio.

¿Dónde encontrar las respuestas? Para quienes integramos los Departamentos de Seguridad Corporativa, pensar el proyecto desde esta óptica nos permite construir un modelo de comunicación eficaz para obtener el apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. Pensar en Seguridad Corporativa implica establecer los principios de protección y concientización organizacional en materia de Seguridad de la Información, que con OBSERVACIÓN y CAPACIDAD DE DESCUBRIMIENTO nos lleva a plantear diferentes estrategias, que tienen que ver con el aporte de soluciones como soporte de seguridad y calidad a la gestión de cada Gerencia y al aseguramiento de Confidencialidad, Integridad y Disponibilidad de la información que manejan.

Seguridad en el Negocio Calidad de Servicio ¿Dónde encontrar las respuestas? Aporte de soluciones de y a cada Sector Confidencialidad, Integridad y Disponibilidad Seguridad en el Negocio Para quienes integramos los Departamentos de Seguridad Corporativa, pensar el proyecto desde esta óptica nos permite construir un modelo de comunicación eficaz para obtener el apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. Pensar en Seguridad Corporativa implica establecer los principios de protección y concientización organizacional en materia de Seguridad de la Información, que con OBSERVACIÓN y CAPACIDAD DE DESCUBRIMIENTO nos lleva a plantear diferentes estrategias, que tienen que ver con el aporte de soluciones como soporte de seguridad y calidad a la gestión de cada Gerencia y al aseguramiento de Confidencialidad, Integridad y Disponibilidad de la información que manejan. Calidad de Servicio

¿Dónde encontrar las respuestas? Dirección Gerencia Usuarios Cada nivel de la Organización hace a la seguridad y calidad en el Negocio Teniendo en cuenta estas pautas, la tarea debe comenzar bajo el apoyo de la Dirección y dando a conocer a toda la Organización lo importante de la colaboración de cada uno en este camino emprendido hacia la Seguridad Corporativa. La dependencia entre cada uno de los niveles con respecto a los resultados en el Negocio es directa, por lo que la Dirección y la Alta Gerencia deben impulsar su desarrollo desde el principio y bajo los siguientes conceptos:   CAPACITAR al personal y CREAR CONCIENCIA Brindar herramientas a los usuarios para PROTEGER la información propia y de terceros Establecer una gestión COLABORATIVA, creando vínculos comunicacionales que sean efectivos a los objetivos de seguridad y del negocio Disponer a la Organización en PENSAR en la Seguridad Corporativa

De los Recursos Humanos ¿Dónde encontrar las respuestas? Desarrollar y fomentar una cultura de la organización y el comportamiento que debe aplicarse en todas las actividades empresariales VISION DIRECCIÓN GERENCIAS USUARIOS Sobre la base de nuestra cultura y con objetivos de negocio definidos, la visión de la Organización ha dimensionado su propio “cuerpo” y empieza de esta forma a diseñar su propio sistema de seguridad orientado al Negocio… Cultura Operativa/Funcional Cultura De los Recursos Humanos

Conociendo el interior Para quienes integramos los Departamentos de Seguridad Corporativa, pensar el proyecto desde esta óptica nos permite construir un modelo de comunicación eficaz para obtener el apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. Pensar en Seguridad Corporativa implica establecer los principios de protección y concientización organizacional en materia de Seguridad de la Información, que con OBSERVACIÓN y CAPACIDAD DE DESCUBRIMIENTO nos lleva a plantear diferentes estrategias, que tienen que ver con el aporte de soluciones como soporte de seguridad y calidad a la gestión de cada Gerencia y al aseguramiento de Confidencialidad, Integridad y Disponibilidad de la información que manejan.

CULTURA DE LA ORGANIZACIÓN Conociendo el interior Leyes y Regulaciones Cultura Operativa y Funcional Cultura de los Recursos Humanos CULTURA DE LA ORGANIZACIÓN … Que la comunicación e implementación de un Plan de Seguridad requiere un estudio inicial referente a los siguientes puntos de vista importantes de la Cultura de la Organización: Conocer las leyes y reglamentos que regulan y establecen los parámetros del Negocio. La cultura operativa/funcional: Puede verse a través de los documentos generados por la Organización (organigrama, procedimientos funcionales, certificaciones adquiridas, registros de cumplimiento de las mismas, métodos de registración de operaciones y funciones, etc.). Estos documentos suelen ser la radiografía de la situación actual, donde se representan los “caminos” sobre los cuales se está gestionando actualmente cada proceso mostrándonos el estado de maduración de la Organización. La cultura de los recursos humanos: A mi entender es la más importante para saber cómo iniciar un proyecto de Seguridad Corporativa, es la de analizar como tratan y cumplen las personas con cada uno de los documentos arriba mencionados, nivel de compromiso, enfoque de interés (según los niveles que mencionamos), y primordialmente la toma de conciencia sobre la información confiada y la cual tratan editándola, modificándola, transmitiéndola por correo, fax o correspondencia, dándola a conocer verbalmente ya sea en forma personal o telefónica

Dirección Gerencia Usuarios Conociendo el interior Dirección Gerencia Usuarios Objetivos e imagen de la empresa Objetivos funcionales y resultados operativos Hacen que una función cumpla con todos sus procesos de negocio Una vez reconocido el entorno de la Organización, se plantea una estrategia de comunicación en tres diferentes niveles: Dirección - Gerencia – Usuarios, y ya que la concientización organizacional es diferente para cada uno de estos niveles, debemos establecer un "lenguaje o idioma" referente al interés de grupo de cada uno, ya sea relacionado a lo económico como a los resultados. El modelo de comunicación es una herramienta que se debe diseñar "a medida" en función de saber y analizar la información que antes mencionamos referente a la Organización. De por sí, ya sabemos que dentro de esos grandes grupos que hemos definido como Dirección, Gerencias y Usuarios, los intereses de cada uno son diferentes: Dirección: Objetivos e imagen de la empresa, y resultados económicos (no olvidemos que son quienes deben responder ante los Accionistas en resultados económicos y ante la Sociedad como imagen corporativa) Gerencias: Objetivos funcionales y resultados operativos, que en caso de surgir un problema impactan directamente sobre los resultados esperados por los Directores, lo que hace que su foco esté orientado más sobre el proceso del negocio y el aseguramiento de su continuidad, disponibilidad e integridad. Usuarios: Componentes operativos que hacen que se cumplan con todos los procesos de negocio y con los objetivos esperados por Gerencias y Directores.

Dirección Gerencia Usuarios Conociendo el interior Dirección Gerencia Usuarios Asegurar objetivos corporativos, ya sea tangible (económico) como intangible (imagen en el mercado) Asegurar objetivos funcionales y resguardo de los activos de la Organización Trato sobre los activos de la empresa, valor de su información, funciones y cada uno de los procesos en los que participa. Si tenemos claro esto, nos sería fácil definir como comunicarnos y establecer la forma de comunicar la Requerimientos del Sistema de Gestión de Seguridad a cada grupo de la Organización:   Dirección: Asegurar objetivos corporativos Gerencias: Asegurar objetivos funcionales y resguardo de los activos de la Organización Usuarios: Tomar conocimiento y conciencia de la importancia de sus tareas y conocimientos, del trato que tienen sobre los activos de la empresa, y fomentarle el valor de su información sobre la compañía, funciones y cada uno de los procesos en los que participa.

Conociendo el interior Físico: Documentos en papel, incluyendo faxes y copias fotostáticas. Puede ser almacenada en archivos físicos, carpetas o gabinetes. Electrónico: Documentos electrónicos en procesador de texto, hojas de cálculo, etc. Puede ser almacenada en varios medios electrónicos, incluyendo CD ROM cintas de audio, memorias USB, discos duros, Asistentes Digitales Personales (p.e. Blackberries) y otros dispositivos similares Interpersonal: La información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión, por ejemplo: oralmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico. Elegir los recursos para actuar requiere conocer los medios desde los cuales nuestra Organización alimenta sus procesos y sistemas, y la información que habitualmente tratan y se comunican entre los diferentes integrantes de los sectores que intervienen…

Entorno y responsabilidades Conociendo el interior Entorno y responsabilidades Marco Normativo Recursos Humanos Recursos de Hardware Recursos de Software Soporte Tecnológico Ya diseñado nuestro entorno de seguridad y sus alcances, necesitamos comenzar con la integración de recursos para llevarlo adelante… mediante una matríz RACI podremos establecer responsables y actividades, que a posteriori se representaran en formalmente en la documentación asociada (Normas y Procedimientos) y participarán activamente del proceso de seguridad corporativa, y el ROSI que nos permitirá implementar soluciones acordes al Negocio. Sectores de OyM, EHS o Facilities, Seguridad Informática, Tecnología, Desarrollo y demás sectores usuarios, tendrán su participación colaborativa en la seguridad formando un solo cuerpo y transformándose en la fuerza de respuesta que, contando con las diferentes herramientas de Hardware, Software y Consultoría, protegerán a la Organización y posibilitarán que se cumplan sus objetivos, siempre bajo una herramienta clave: La Comunicación.

La seguridad del lado del Negocio Para quienes integramos los Departamentos de Seguridad Corporativa, pensar el proyecto desde esta óptica nos permite construir un modelo de comunicación eficaz para obtener el apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. Pensar en Seguridad Corporativa implica establecer los principios de protección y concientización organizacional en materia de Seguridad de la Información, que con OBSERVACIÓN y CAPACIDAD DE DESCUBRIMIENTO nos lleva a plantear diferentes estrategias, que tienen que ver con el aporte de soluciones como soporte de seguridad y calidad a la gestión de cada Gerencia y al aseguramiento de Confidencialidad, Integridad y Disponibilidad de la información que manejan.

La seguridad del lado del Negocio Principales objetivos de control Control Alcance 1,00 Auditoría, evidencias y monitoreo 2,00 Autenticación y control de acceso 3,00 Confidencialidad y No-Repudiación 4,00 Personal externo y contratistas 5,00 Tolerancia a fallas, backup y recuperación 6,00 Respuesta y reporte de incidentes 7,00 Mantenimiento y operaciones 8,00 Red de datos 9,00 Acceso físico 10,00 Documentación electrónica y en papel 11,00 Accesos remotos 12,00 Concientización y entrenamiento en Seguridad 13,00 Política de administración de la seguridad 14,00 Configuración del sistema 15,00 Desarrollo de sistemas y control de cambios 16,00 Proveedores, profesionales y prestadores Interpretación Unidades Administrativas Interpretación Unidades de Servicio El sector sanitario tiene unas características particulares, que provocan que garantizar la confidencialidad, integridad y disponibilidad de la información sea especialmente relevante, dada la sensibilidad de la información que manejan. La ISO 27799 pretende aclarar estas particularidades partiendo, como base, de los controles de la ISO 27002. Interpretación Tecnología

Nuevo Modelo de Seguridad La seguridad del lado del Negocio Función tradicional Agregar valor al servicio Visión basada en activos Visión basada en riesgos asociados al servicio Dirección y control Liderazgo y poder de delegación Nuevas tecnologías + Nuevas regulaciones + Cambio en el valor + Pautas del Mercado Esta nueva visión y las Requerimientoses del negocio llevaron a la Seguridad a transformarse en un componente de Valor Agregado para cada uno de los procesos de una Instituciones, aportando al Negocio una ventaja competitiva al afianzar la Calidad en sus servicios o productos… Nuevo Modelo de Seguridad

Calidad + Seguridad + Gobernabilidad La seguridad del lado del Negocio Calidad + Seguridad + Gobernabilidad 27000 Esto nos lleva claramente a que se establezca una relación ordenada entre los Objetivos de Negocio, la calidad y el sistema de gestión de seguridad, ya que construiremos nuestra Política de Seguridad basada en los objetivos de la empresa y bajo el marco de las leyes y regulaciones que nos propone el Negocio.

Seguridad Organizativa Seguridad Lógica Seguridad Física Seguridad Legal La seguridad del lado del Negocio Las condiciones actuales y los instrumentos ofrecidos enmarcan este nuevo mapa de situación, el que requiere como respuesta que las Organizaciones piensen en “seguridad corporativa” representada en cuatro ámbitos de aplicación en los que participan diferentes sectores (EHS, Tecnología, Legales, Gerencias Usuarias) recomendablemente coordinados por un sector independiente y autónomo denominado Information Security Office.

Aspectos organizativos de la seguridad La seguridad del lado del Negocio Táctico Política de Seguridad Aspectos organizativos de la seguridad Clasificación y control de activos Control de accesos Estratégico Conformidad Seguridad del personal Seguridad del entorno físico Seguridad del entorno tecnológico En función de cada modalidad de tratamiento, nuestro negocio, y la cultura de nuestra Organización es que podremos establecer los niveles participativos de cada sector coordinados por la Information Security Office, desde los cuales se da respuesta a la Organización apoyando a la seguridad y calidad de los resultados de cada uno de sus procesos de Negocio. Operativo Desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad de negocio Seguridad Organizativa Seguridad física Seguridad lógica Seguridad legal

La seguridad del lado del Negocio Calidad + Seguridad + Gobernabilidad “Per se” la política de seguridad tendrá, entonces, un marco relacionado también con el sistema de gestión de calidad ya que sus directrices estarán enfocadas a brindar Mejoras bajo un entorno controlado. Bajo esta óptica es que hemos desarrollado una metodología de trabajo que nos permite dar respuestas a los Objetivos de Negocio de nuestros Clientes, implantando Sistemas de Gestión de Calidad y Seguridad asociados y cuya base su sustenta en la Gobernabilidad de IT

Requerimientos del Servicio La seguridad del lado del Negocio Implementación de frameworks integrados para facilitar el cumplimiento de leyes y regulaciones, asociados a los estándares y las políticas corporativas El enfoque integrador, todos los participantes son involucrados en los logros del proyecto Resultados concretos en cortos plazos, con avances graduales hacia el cumplimiento de los objetivos Requerimientos del Servicio Tecnología Procesos Personas Assessment (GAP, Plan Preliminar) Herramientas Interfaces Documentación Nivel de Madurez GAP Estructura Instituciones Nivel de destrezas Capacitación Implementación (Procesos implantados) Migraciones Diseño lógico Diseño Físico Vinculaciones Validación de Funcionamiento Roles y responsabilidades Entrenamiento Cambio Cultural Herramientas de capacitación Mejoramiento continuo Seguimiento Ajustes Refinamientos Nuevos Procesos

Seguridad y Gobernabilidad Asociadas La seguridad del lado del Negocio Seguridad y Gobernabilidad Asociadas Política General y Normas de Seguridad Familia ISO 27000 Normas, procedimientos Estándares Registros Procesos de Negocio Norma ISO 9001 / Norma ISO 20000 Documentación asociada a las áreas administrativas Procedimientos Formularios Documentación de los sistemas y operaciones Manuales Instructivos

Seguridad integrada como respuesta al Negocio Para quienes integramos los Departamentos de Seguridad Corporativa, pensar el proyecto desde esta óptica nos permite construir un modelo de comunicación eficaz para obtener el apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. Pensar en Seguridad Corporativa implica establecer los principios de protección y concientización organizacional en materia de Seguridad de la Información, que con OBSERVACIÓN y CAPACIDAD DE DESCUBRIMIENTO nos lleva a plantear diferentes estrategias, que tienen que ver con el aporte de soluciones como soporte de seguridad y calidad a la gestión de cada Gerencia y al aseguramiento de Confidencialidad, Integridad y Disponibilidad de la información que manejan.

Seguridad Integrada al Negocio El Negocio debe comunicar cuáles son sus futuros objetivos, para conseguir el soporte necesario por parte de la Organización, ya sea desde sus áreas administrativas como de sus áreas tecnológicas. La organización, desde las diferentes áreas brindará el soporte necesario acorde a los requerimientos del Negocio

Seguridad Integrada al Negocio Sistemas de Gestión de Seguridad de la Información Planes Directores de Seguridad Evaluación y diagnóstico de la Seguridad de la Información Planes de continuidad de negocios Adecuación a buenas prácticas (ITIL / ISO 20000) Certificaciones de SGC y SGS (ISO 9001 / ISO 27000) Planes de formación y concientización Governance, Risk & Compliance Auditorias y revisiones periódicas

Seguridad Organizativa Seguridad Integrada al Negocio Mejor calidad de Servicios y Productos Seguridad Organizativa Seguridad Física Aseguramiento de activos del negocio Seguridad Lógica Seguridad Legal Asegurar la continuidad en el tiempo Establecer métricas… otra medida con la que actuar con el fin de poder evaluar nuestro sistema y establecer mejoras o correcciones, anticiparnos al problema y poder dar respuestas efectivas a la Dirección sobre el aporte de la seguridad a la rentabilidad de la empresa con su contribución a los ingresos y a los resultados.

Gestión de Riesgos Políticas de Seguridad Programa de Protección Seguridad es parte del Plan de Negocios en el marco empresario actual, brindando a través de ella Calidad y Gobernabilidad sobre todos los servicios de IT Gestión de Riesgos Objetivos de la Empresa Leyes y Regulación Programa de Protección Métricas de Seguridad Políticas de Seguridad Procedimientos de Seguridad Procesos Planes Proyectos

Plan Estratégico de la Empresa Plan Estratégico de Seguridad Seguridad Integrada al Negocio PLAN DE NEGOCIO Plan Estratégico de la Empresa Marca Reputación Plan Estratégico de Seguridad … lo que implica que ya debemos PENSAR en un plan de negocios que incluya un plan estratégico de seguridad…. Seguridad se ha convertido en un proceso de negocio, siendo su misión crítica y que ya no tiene el dominio exclusivo del manejo y la gestión de incidentes…

Preguntas? Muchas Gracias Fabián Descalzo, CISO fdescalzo@cidi.com.ar Uruguay - Argentina Preguntas? Muchas Gracias Fabián Descalzo, CISO fdescalzo@cidi.com.ar