SGSI: de la academia a la práctica

www.isaca.org.uy

SGSI: de la academia a la práctica

María Emilia Irrazabal

Darío Gómez

Walther Cardoso

www.isaca.org.uy

Agenda

● ¿Qué entendemos por Seguridad de la Información?

● ¿Por qué formar RRHH en SI?

● Rol de TI y SI en la Organización

● Proyecto final de PDP en Seguridad

● Debilidades

● Conclusiones

● Lecciones aprendidas

www.isaca.org.uy

¿Qué entendemos por Seguridad de la Información?

Evitar ataques

Proteger

información

con copyright

Restringir el acceso

Evitar desastres

Eliminar lo que

no se usa

www.isaca.org.uy

¿Por qué formar RRHH en SI?

www.isaca.org.uy

Rol de TI y SI en la Organización

Históricamente

● área de servicios

● evaluadas como un

“costo”

Actualmente

● socio de negocios

● generadoras de

ingresos

www.isaca.org.uy

PDP en Seguridad de Información

● Curso dictado por la Universidad ORT Uruguay

● Duración: 6 meses

● 5 Módulos

● Proyecto Final:

○ Duración: 2 meses

○ Grupo: 3 personas

www.isaca.org.uy

Proyecto final de PDP en Seguridad

● Especificar una empresa, definir assumptions

● Implementar un SGSI

○ Gobernabilidad

○ Evaluación de vulnerabilidades

○ Implantación de controles

○ Sensibilización y capacitación a los RRHH

● Asegurar continuidad operativa

www.isaca.org.uy

Assumptions

● Empresa Familiar (30 años en el mercado)

● Geolocalización para automoviles y flotas

● Seguridad basada en confianza

● Nuevo producto "estrella"

● Cambio en objetivos de ventas

● Cambio de dirección


www.isaca.org.uy

Assumptions

● Carece de políticas y procedimientos establecidos

● Tecnología obsoleta o desactualizada

● Ausencia de Clasificación de la Información

● Incidentes de seguridad (no se les dio relevancia)


www.isaca.org.uy

Por qué implementarlo?

● Asegurar la continuidad de la empresa

● Estandarizar procesos

● Reducir al mínimo posible los riesgos

● Posicionarse como líder de mercado

● Información bien utilizada y resguardada

● Nuevos nichos de mercado


www.isaca.org.uy

Implementación

● Crear el departamento de SI

● Crear un comité de Seguridad

● Evaluar los riesgos metodológicamente

● Políticas de Seguridad (v1) y sus procedimientos

● Capacitar y concientizar empleados a los empleados

● Segmentación de tareas

● Mejorar el SGSI en forma continua


www.isaca.org.uy


www.isaca.org.uy

Resultados

● Análisis de la Situación Actual

● Evaluación de Riesgos

● 11 Políticas

● 8 Procedimientos relacionados

● Análisis Técnico

● Evaluación de Madurez (ISO 27001)


www.isaca.org.uy

Midiendo los resultados

• Definir indicadores para evaluar avance del SGSI y

eficacia de controles.

• Implementar métricas y evaluar cumplimiento con

indicadores.

• Evaluación del nivel de madurez de la Empresa.

• Recomendaciones sobre certificación en Unit-ISO/IEC

27001:2005.


www.isaca.org.uy

Falta de experiencia en gestión de proyectos

Escenario complejo

Falta de estadísticas para América Latina

Falta de experiencia laboral en SI

Debilidades - Restricciones

www.isaca.org.uy

Definir, entender y enfocar la SI a la realidad

empresarial

Resistencia al cambio es un dato, gestionarlo

Enriquecimiento personal y profesional

Distintos perfiles, diversos aportes

Teamwork

Conclusiones

www.isaca.org.uy

Agradecimientos

● Docentes:

○ Ing. Roberto Ambrosoni

○ Ing. Cristina Ledesma

○ A/P Ethel Kornecki

○ Ing. Felipe Sotuyo

● Universidad ORT Uruguay

www.isaca.org.uy

www.isaca.org.uy

¿Preguntas?

Muchas Gracias MEI, DG, WC

www.isaca.org.uy

MEI: [email protected]

DG: [email protected]

@daro_ua

WC: [email protected]

SGSI: de la academia a la práctica

Documents

Transcript of SGSI: de la academia a la práctica