El papel de los estándares como referencia: Del IT Governance al IT Security Governance

Gobierno IT: –Parte integral del gobierno de la empresa. –Consiste en el liderazgo, las estructuras organizacionales y los procesos que aseguran que la organización de IT y las estrategias y objetivos de la organización se encuentran alineados Gobierno de la Seguridad de la Información: –Proceso de establecer y mantener un marco y una estructura de gestión y procesos que provean aseguramiento de que las estrategias de seguridad de la información están alineados con los objetivos de negocio, siendo conformes con la legislación vigente por medio de políticas y controles internos y asignando responsabilidades suficientes para gestionar adecuadamente el riesgo. Definiciones

El SGSI (Sistema de Gestión de Seguridad de la Información) es el resultado de que la gestión de la seguridad de la información se realice mediante un proceso sistemático, documentado y conocido por toda la organización. (Information Security Management System) Por analogía, se considera el sistema de calidad para la seguridad de la información. No trata de garantizar un nivel de protección total ni la seguridad perfecta, sino que los riesgos de la seguridad de la información son –Conocidos –Asumidos –Gestionarlos y minimizados –De una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías Pretende “organizar la seguridad de la información en función de los riesgos de la compañía” ¿Qué es un SGSI?

Requerimientos de los clientes (típicamente en empresas de servicios) Principios corporativos Imagen, reputación, ventaja competitiva en el sector Necesidades en entornos interrelacionados (por ejemplo, cadenas de valor integradas) Cumplimiento normativo de diferentes ámbitos: –Sarbanes – Oxley –Basilea II –GLBA –HIPAA –Ley de Transparencia de las Sociedades Anónimas Cotizadas Gobierno Corporativo Sistemas de control del riesgo ¿Por qué se implantan los SGSI’s?

ISO/IEC Fundamentals and vocabulary (en desarrollo - distribución gratuita) ISO/IEC ISMS - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005 ISO/IEC Code of practice for information security management - Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005 ISO/IEC ISMS Implementation guidance (bajo desarrollo) ISO/IEC Information security management measurement (bajo desarrollo) ISO/IEC Information security risk management (basado e incorporado a ISO/IEC MICTS Part 2) (bajo desarrollo) ISO/IEC Requerimientos para organismos de acreditación (publicada en Febrero 2007) Marco de referencia ISO

Niveles de madurez

El eje de la calidad De la secuencia de implantación de controles…. ….al análisis de la calidad de su implantación

Definición y desarrollo de nuevos perfiles profesionales que ligan tecnología y negocio (la llamada C-Suite) –CEO (Chief Executive Officer) –CFO (Chief Financial Officer) –COO (Chief Operations Officer) ……………… –Chief Information Officer (CIO) –Chief Information Security Officer (CISO) –Chief Risk Officer (CRO) –Chief Privacy Officer (CPO) –Chief Technical Officer (CTO) Nuevos perfiles profesionales

VAL IT ( –Amplía y complementa COBIT –El objetivo de esta iniciativa es ayudar a la dirección general a asegurar que las organizaciones obtienen el mejor valor posible de sus inversiones relacionadas con IT, a un coste razonable y con un aceptable nivel de riesgo –VAL IT provee guías, procesos y prácticas de soporte para ayudar a la Dirección de las Organizaciones a comprender y a llevar a buen término los términos y resultados de sus inversiones en IT. – Diferencia con COBIT –Val IT se enfoca en las deciones de inversión y en la obtención de beneficios ¿Estamos haciendo lo correcto? ¿Estamos obteniendo beneficios? –COBIT se enfoca en la ejecución ¿Estamos haciendo las cosas bien? Nuevas tendencias

Ejemplo

Nuevas tendencias

¿Cual es el grado de implicación de la Dirección General en la gestión de la seguridad de su información de su compañía? ¿Qué grado de criticidad le otorga la Dirección General de la compañía a la protección de sus activos de información? Razones para gestionar la privacidad y la seguridad de la información ¿Qué porcentaje de su presupuesto en IT está dedicado a la gestión de la seguridad de la información? ¿A qué áreas de la seguridad de la información se dedica el presupuesto asignado? Indique qué porcentaje se dedica aproximadamente a cada área Indicar en qué áreas se crecerá más, presupuestariamente hablando. ¿Maneja su organización estándares de referencia? ¿Dispone de un Plan Director de Seguridad? ¿Dispone de un SGSI? ¿Exige a sus proveedores la certificación en SGSI? ¿Dispone de un sistema de métricas e indicadores (KPI, KGI, etc) para evaluar la evaluación de su seguridad? ¿Dispone de algún método de evaluación del ROSI? Cuestionario Cátedra de Riesgos

Análisis y Gestión de Riesgos –Criterios de valoración y aceptación del riesgo –Descripción de las diversas metodologías –Enfoques del análisis de riesgos –Fases del Análisis de Riesgos –El proceso de Gestión de Riesgos Asunción Mitigación Transferencia del Riesgo –Aproximación al valor (ROI) de la inversión en seguridad de la información. –Ejemplos prácticos basados en experiencias reales Próxima Jornada

Fernando Aparicio 4 Contacto