7, 8, 14 y 15 de noviembre de 2013

La seguridad de la información en las

empresas y los gobiernos: mejores

practicas y lecciones aprendidas

Germán Castro ArévaloCross Border Technology

Noviembre 14 de 2013

www.uexternado.edu.co 2

Agenda

• Introducción• Buenas prácticas y retos al implementar seguridad

• Lecciones aprendidas

• Casos de éxito

www.uexternado.edu.co 3

Buenas prácticas / Estándares / Regulaciones

www.uexternado.edu.co 4

Retos

• Obtener el apoyo y compromiso “real” de la

Alta Dirección

• Administrar los riesgos eficazmente

• Integrar la seguridad en los procesos de la

Entidad

• Cumplir a nivel legal, normativo y regulatorio

• Construir una verdadera cultura de Seguridad

• Implementar un Plan de Continuidad que

vaya más allá del papel

www.uexternado.edu.co 5

Lecciones aprendidas

• Mantener siempre un marco de marco de

referencia

www.uexternado.edu.co 6

1

Lecciones aprendidas

• Definir claramente los límites del alcance del

SGSI

• Iniciar la implementación en los procesos misionales Incorporar seguridad

• Cumplimiento legal y regulatorio

• Misión y visión

www.uexternado.edu.co 7

2

Lecciones aprendidas

• Implementar un SGSI no es seguir ISO 27002 al

pie de la letra

• La gestión de riesgos es el eje del SGSI

www.uexternado.edu.co 8

3

Activos de

InformaciónAmenazas

Vulnerabilidades

RiesgosISO 31000

Evaluación de Riesgos

Tratamiento

de Riesgos

Implementar

Controles

ISO 27001 Anexo A ISO 27002

ISO 27005

3

Lecciones aprendidas

• Tecnología es uno de los componentes clave

en la implementación del SGSI

• Los pasos básicos:• Segmentar la red

• Incorporar requerimientos de seguridad en el

desarrollo y/o adquisición de software

• Definir estándares de seguridad para cada

plataforma tecnológica

www.uexternado.edu.co 10

4

Lecciones aprendidas

• Sensibilización constante Un tema a la vez

• Definir un plan

• Capacitación en seguridad a todo nivel

organizacional y funcional

• Compartir conocimiento

www.uexternado.edu.co 11

5

Lecciones aprendidas

• Definir una estructura documental liviana

• Políticas de seguridad Lineamientos de alto

nivel

• Procedimientos concretos y cumplibles

www.uexternado.edu.co 12

6

Lecciones aprendidas

• Plan de continuidad (Personas, procesos y

tecnología)

• Alinear y sincronizar las expectativas de los

procesos de la entidad con el plan de

contingencia (DRP)

www.uexternado.edu.co 13

7

Lecciones aprendidas

• Alta Dirección comprometida con la

seguridad = Cultura fuerte en seguridad

• El ejemplo es la mejor herramienta en la

creación de cultura en seguridad

www.uexternado.edu.co 14

8

Agenda

• Introducción• Buenas prácticas y retos de la seguridad

• Lecciones aprendidas

• Casos de éxito

www.uexternado.edu.co 15

Caso

Decisión estratégica de

Implementar SGSI

www.uexternado.edu.co 16

Metas y Beneficios

• Garantizar la Guarda de la Fé Pública mediante el aseguramiento de la información

• Generar credibilidad y confianza en los procesos que entregan datos a los ciudadanos

• Ser ejemplo de una Cultura de Seguridad para las entidades del estado

• Encontrar el balance costo/beneficio en la implementación de controles que mitiguen los riesgos

• Lograr el aseguramiento de la información a través de una disciplina de cumplimiento constante

www.uexternado.edu.co 17

Caso

• Call center

• Presencia en Bogotá

• Especializada en la comercialización de seguros

Implementación SGSI

Certificación ISO 27001 obtenida en diciembre de 2012

www.uexternado.edu.co 18

Beneficios

Álvaro Márquez

Gerente General TOP FACTORY S.A.

• Lograr mantener activo nuestro portafolio de clientes, que demandan altos estándares de seguridad por pertenecer al sector asegurador y financiero.

• Se ha fortalecido nuestra relación comercial con los clientes, por ser considerados aliados «seguros» y punto de referencia en la industria de los contact center.

• La gestión de la seguridad de la información nos ha permitido multiplicar el conocimiento y compartir con nuestros clientes, proveedores y empleados, la implementación de prácticas seguras que propenden por un mercado más competitivo.

www.uexternado.edu.co 19

www.uexternado.edu.co 20

Germán Castro Arévalo

gcastro@crossbordertech.com

PBX: (1) 756-0710

Preguntas?

Gracias por su tiempo.