© Banco de Chile – Eduardo Recabarren - 2010 Taller: “Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información” Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Antes de comenzar … Recomendaciones de la sala Uso de teléfonos móviles, notebooks y PDA No fumar Salidas de Emergencia © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 FACILITADOR Eduardo A. Recabarren Domínguez Oficial de Privacidad y Seguridad del Banco de Chile Licenciado en Ciencias de la Ingeniería Ingeniero en Computación e Informática Ingeniero Civil Industrial © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Agenda 1 Introducción 2 Definiciones , Aspectos Conceptuales, Tendencias 3 Metodología propuesta para Implementación SGSI, según ISO27001:2005 4 Descripción en Detalle 5 Conclusiones © Banco de Chile – Eduardo Recabarren - 2010 4 4

© Banco de Chile – Eduardo Recabarren - 2010 ¿Quiénes somos? 1 El Banco de Chile, fundado en 1893, ha liderado el mercado financiero chileno como uno de los bancos más exitosos en términos de retorno de activos y en la creación de mayor valor para sus accionistas 2 Estrategia multimarca, en que las marcas Banco de Chile y Banco Edwards-Citi cubren los segmentos de empresas y personas, mientras que el segmento de consumo es atendido bajo la marca Banco Credichile, a través de redes de distribución independientes y de cobertura nacional 3 El 2 de enero del 2008 nace un nuevo Banco de Chile, a raíz de la fusión que se produce entre éste y Citibank Chile. Participación de Mercado en torno al 20% de las colocaciones del Sistema Más de 1,5 millones de clientes Más de 400 sucursales. Nuevas ventajas competitivas. © Banco de Chile – Eduardo Recabarren - 2010

Estructura Gobierno de SI… Gerente General Gerente División Gestión y Control Financiero Gerente División Operaciones y Tecnología Gerente División de Calidad Gerente División Contraloría Gerente Seguridad y Prevención de Riesgo Gerente de Riesgo Operacional Gerente de Riesgo Operacional Gerente Operaciones Especializadas Tesorería Gerente de Contraloría Gerente Servicio Cliente Jefe Área Consumo Jefe Depto. Riesgo Operacional Gerente Serv. Procesamiento e Infraestructura Gerencia Zonal Gerente Operaciones Productos Masivos CERO - Comité Ejecutivo de Riesgo Operacional Comité Operativo de Riesgo Operacional Gerencia Riesgo Operacional Seguimiento, control de avance y escalamiento PMO AREA RIESGO OPERACIONAL AREA SEGURIDAD DE LA INFORMACION AREA CONTINUIDAD DEL NEGOCIO Autoevaluación de Riesgo Operacional Proceso SOX Matriz de Autoevaluación (MAE ) Proceso de Castigos Evaluación de Proveedores (SAS 70) Evaluación nuevos procesos y productos Educación Proyectos Tecnológicos Administración de Infraestructura TI Evaluación de Riesgo Aceptación de riesgo Comité Administración de Incidentes (SIRT) Comité de Arquitectura Tecnológica (CAT) Educación Modelo de Continuidad Definición Procesos Críticos Planes de Continuidad del Negocio Plan de Recuperación de Desastres Comité Administración de Crisis Coordinación de Pruebas Educación © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Agenda 1 Introducción 2 Definiciones , Aspectos Conceptuales, Tendencias 3 Metodología propuesta para Implementación SGSI - ISO/IEC 27001 4 Paso a Paso… 5 Conclusiones © Banco de Chile – Eduardo Recabarren - 2010 7 7

Algunas Definiciones Previas.. Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad. SGSI.- es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004) Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas. © Banco de Chile – Eduardo Recabarren - 2010

Algunas Definiciones Previas.. El SGSI: es el concepto sobre el que se construye ISO 27001. La Gestión de la Seguridad de la Información ,debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Garantizar un nivel de protección total es imposible incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. © Banco de Chile – Eduardo Recabarren - 2010

¿POR QUÉ GESTIÓN DE RIESGOS DE LA INFORMACIÓN? Algunas Definiciones Previas.. ¿POR QUÉ GESTIÓN DE RIESGOS DE LA INFORMACIÓN? Necesidad de Proteger la Información Sin embargo, esto puede generar: Crecimiento de cantidad y complejidad de los controles Pérdida del foco de actividades (Seguridad v/s Negocio) Por otra parte, requiere: Mediciones del impacto producido por los controles en seguridad Aplicar un criterio de negocios © Banco de Chile – Eduardo Recabarren - 2010

Algunas Definiciones Previas.. ¿CUAL NORMA O ESTANDAR ESCOGER PARA GESTION DE RIESGO DE LA INFORMACION? Depende de cual sea el objetivo Orientada a Procesos ISO 9001:2000 ISO/IEC 27001 CMM ITIL ISM3 Orientada a Controles ISO 13335-4 BSI-ITPM Orientada a Productos Common Criteria Orientada al Análisis de Riesgos OCTAVE Magerit Orientada a la Buenas Prácticas ISO/EIC 17799:2005 Cobit ISF-SGP © Banco de Chile – Eduardo Recabarren - 2010

Aspectos Conceptuales… Cabe la Pregunta: ¿ A quien compete la Seguridad de la Información en una organización? Gestores de la Organización Personal de TI “La SI es responsabilidad de los dueños de la Información” Personal en General Controladores, Auditores Internos © Banco de Chile – Eduardo Recabarren - 2010

Aspectos Conceptuales… Detectar nuestras debilidades B Detectar que se debe proteger A Misión C Proponer controles E D Medir el desempeño de los controles Implementar controles © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Tendencias… © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Tendencias… 15 © Banco de Chile – Eduardo Recabarren - 2010 15

© Banco de Chile – Eduardo Recabarren - 2010 Tendencias… © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Tendencias… Tendencias © Banco de Chile – Eduardo Recabarren - 2010

Eventos de la Naturaleza… Terremoto en Chile Feb-27-2010 Magnitud de 8,8° M

Otros Eventos … Ausencia Masiva de Personal Falta de Servicios de Proveedores Críticos

© Banco de Chile – Eduardo Recabarren - 2010 Agenda 1 Introducción .. 2 Definiciones , Aspectos Conceptuales, Tendencias 3 Metodología propuesta para Implementación SGSI según ISO/IEC 27001 4 Descripción en Detalle 5 Conclusiones © Banco de Chile – Eduardo Recabarren - 2010 20 20

Metodología propuesta para Implantación SGSI según ISO/IEC 27001 (1/4) Guía Proceso “Planificar” Estableciendo el alcance del SGSI Formulando las políticas de SGSI y Seguridad de Información Realizando la valoración de riesgos Y tomando decisiones en el tratamiento de riesgos Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad. © Banco de Chile – Eduardo Recabarren - 2010

Metodología propuesta para Implantación SGSI según ISO/IEC 27001(2/4) Guía Proceso “Hacer” Creando e Implantando el Plan de Tratamiento de Riesgos Implementado los controles Capacitación y sensibilización Implementando un programa de manejo de incidentes de seguridad de información Administrando los recursos © Banco de Chile – Eduardo Recabarren - 2010

Metodología propuesta para Implantación SGSI según ISO/IEC 27001 (3/4) Guía Proceso “Verificar” Monitoreo Chequeo rutinario Self-policing procedures Revisiones Haciendo Auditorias internas del SGSI Ejecutando revisiones administrativas Midiendo el SGSI Analizando tendencias Controlando documentación y registros © Banco de Chile – Eduardo Recabarren - 2010

Metodología propuesta para Implantación SGSI según ISO/IEC 27001(4/4) Guía Proceso “Actuar” Implementando mejoras Identificando no-conformidades Identificando e implementado acciones preventivas y correctivas Asegurando mejora continua. Probando Comunicando cambios y mejoras © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Agenda 1 Introducción 2 Definiciones , Aspectos Conceptuales, Tendencias 3 Metodología propuesta para ISO/IEC 27001 4 Descripción en Detalle 5 Conclusiones © Banco de Chile – Eduardo Recabarren - 2010 25 25

© Banco de Chile – Eduardo Recabarren - 2010 Implantación de un Sistema de Gestión de Seguridad de Información (SGSI) Establezca el Alcance Establezca criterios de riesgo Identifique y valorice los activos de información Determine el nivel de riesgo real Escriba la Política de Seguridad Elabore el Documento de Aplicabilidad Objetivos de control y controles Realice la definición de políticas, normas y procedimientos Producción e implantación Complementación de la documentación del SGSI Auditoria y Revisión del SGSI Resumen revisión de proceso de implantación © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Establecer el Alcance Definir cual o cuales procesos serán considerados dentro del SGSI Especificar activos que participan Listado de contratos y acuerdos Mapas de red Inventario de activos relevantes (Cláusulas 4.2.a ISO/IEC 27001) © Banco de Chile – Eduardo Recabarren - 2010

Identificando objetivos estratégicos (1/2) Pregunte… Un gran número de organizaciones no realiza planificación estratégica Cual es el objetivo de la organización ¿Quién es él o los clientes? ¿Cuáles son las necesidades de su cliente que su organización satisface? ¿Cómo satisface su organización las necesidades de sus clientes? Podrá tener una idea de cuales son las principales líneas de actividad de la organización © Banco de Chile – Eduardo Recabarren - 2010

Identificando objetivos estratégicos (2/2) Para cada negocio o actividad identificado responda: ¿Existen metas de crecimiento? ¿Existe orden de posicionar algún producto o servicio en particular? ¿Objetivos Financieros? ¿Mejorar la satisfacción de los clientes? ¿Mejorar el tiempo de solución de problemas internos? ¿Desarrollar un nuevo negocio? Estas respuestas le ayudarán a tener una idea general de los objetivos estratégicos de su organización. © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Mapa de Procesos (1/3) Proceso I Proceso D Proceso J Proceso A Estrategicos Proceso E Proceso B Proceso G Proceso K Clave Proceso H Proceso L Proceso F Proceso C De Apoyo © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Mapa de Procesos (2/3) ¿Cambios? Medidas de Mejora Proceso (Propietario) Salidas Entradas Tareas Activos Controles Registros © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Mapa de Procesos (2/3) ¿Cambios? Medidas de Mejora Proceso (Propietario) Salidas Entradas Tareas Activos Controles Registros © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Mapa de Procesos (3/3) Interrelación de procesos © Banco de Chile – Eduardo Recabarren - 2010

Identifique y valorice los activos de información Identifique los activos de información Defina a los roles asociados a cada uno de ellos Clasifique los activos de información de acuerdo a algún criterio preestablecido Redacte guías de uso aceptable de los activos dependiendo su clasificación (Cláusulas 7.1, 7.2 ISO/IEC 17799:2005) © Banco de Chile – Eduardo Recabarren - 2010

Identificar los activos de información Cuales son los activos de información Procesamiento Almacenamiento Otros Definición de Roles Dueño Custodio Usuario © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Identificar Riesgos ¿Qué puede suceder? ¿Cómo puede suceder? Puede formular su propia tabla de identificación de riesgos © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Análisis de Riesgo Realice un análisis de riesgo empleando uno de los métodos mencionados anteriormente. © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Evaluación de Riesgo Evalúe los Riesgos empleando uno de los criterios mencionados o defina un criterio propio con su grupo de trabajo. © Banco de Chile – Eduardo Recabarren - 2010

Establezca el criterios de riesgo Defina la metodología de aproximación a la valoración de riesgo y documéntela. Desarrolle el proceso de análisis y evaluación de riesgos. (Cláusula 4.2.1.c;d;e ISO/IEC 27001:2005) © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Política de Seguridad Escriba una Política de Seguridad de Información Defina un protocolo de revisiones de la misma. (Cláusula 5.1, ISO/IEC 17799:2005) (Cláusula 4.2.1b ISO/IEC 27001:2005) © Banco de Chile – Eduardo Recabarren - 2010

Escriba el Documento de Aplicabilidad Seleccione los Objetivos de Control y Controles. Justifique cualquier exclusión apoyándose en el análisis de riesgos (Cláusula 4.2.1j ISO/IEC 27001:2005) © Banco de Chile – Eduardo Recabarren - 2010

Documento de Aplicabilidad Escriba su documentos de Aplicabilidad Declaración de aplicabilidad (SOA): documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones. © Banco de Chile – Eduardo Recabarren - 2010

Definición de Políticas, normas … Estructura Documental Establezca un sistema de gestión de documentos Política General Alcance Documentado Procedimientos de Apoyo a SGSI Descripción Aproximación AR Reporte del Análisis de Riesgos Plan de Tratamiento de Riesgos Procedimientos Documentados Acciones Correctivas Acciones Preventivas Plan de Auditorias Plan de Revisiones Administrativas Registros requeridos Control de Documentos Control de Registros Documento de Aplicabilidad © Banco de Chile – Eduardo Recabarren - 2010

Resumen de Pasos para la Implementación… © Banco de Chile – Eduardo Recabarren - 2010

Auditoría © Banco de Chile – Eduardo Recabarren - 2010 Define Política de Continuidad y Estrategia Aprueba Depende Controla Auditoría Audita Desarrolla y actualiza Desarrolla, mantiene y realiza seguimiento al SGSI Oficial de Seguridad de la Información (OSI) Define y confecciona Impulsa y coordina Comité de Seguridad Información Aprueba © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Agenda 1 Introducción 2 Definiciones , Aspectos Conceptuales, Tendencias 3 Metodología propuesta para ISO/IEC 27001 4 Paso a Paso… 5 Conclusiones ….. Y Reflexiones Finales © Banco de Chile – Eduardo Recabarren - 2010 46 46

© Banco de Chile – Eduardo Recabarren - 2010 Conclusiones La Seguridad de la Información NO es un proyecto es un Proceso La Seguridad de la Información debe orientarse al Riesgo No existe la Seguridad Absoluta. El SGSI AYUDA a la gestión. Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO La Seguridad de la Información se basa en Personas © Banco de Chile – Eduardo Recabarren - 2010

© Banco de Chile – Eduardo Recabarren - 2010 Beneficios de un SGSI Conocer realmente los activos que disponemos Involucrar a la Alta Dirección en la Seg. de la Información Realizar análisis de Riesgos para el desarrollo del Negocio Disponer de planes de contingencia ante incidentes Disminución de los Riesgos a Niveles aceptables ….. Entre otros © Banco de Chile – Eduardo Recabarren - 2010