www.isaca.org.uy

Seguridad integrada como Seguridad integrada como respuesta al Negociorespuesta al Negocio

Fabián Descalzo, CISO

Uruguay - ArgentinaUruguay - Argentina

www.isaca.org.uy

AgendaAgendaRequerimientos del Negocio¿Donde encontrar las respuestas?Conociendo el interiorLa seguridad del lado del NegocioSeguridad integrada como respuesta al Negocio

2

www.isaca.org.uy

Requerimientos del NegocioRequerimientos del Negocio

3

www.isaca.org.uy

Requerimientos del NegocioRequerimientos del Negocio

Establecer objetivos es Establecer objetivos es esencial para el éxito esencial para el éxito de una empresade una empresa

• Permiten enfocar esfuerzos hacia una misma dirección.

• Sirven de guía para la formulación de estrategias.

• Sirven de guía para la asignación de recursos.

• Sirven de base para la realización de tareas o actividades.

• Generan coordinación, organización y control.

• Generan participación, compromiso y motivación; y, al alcanzarlos, generan un grado de satisfacción.

• Revelan prioridades.• Producen sinergia.• Disminuyen la incertidumbre.

Establece un único resultado a lograr y es coherente con la misión de la empresa

4

www.isaca.org.uy

Requerimientos del NegocioRequerimientos del Negocio

5

www.isaca.org.uy

Disponer de una gestión que asegure los

procesos de negocio y el tratamiento de los datos propios o de

terceros alineados a:

Frameworks que Frameworks que aportan valor aportan valor

agregadoagregado

Requerimientos Requerimientos legales y legales y

reglamentariosreglamentarios

Requerimientos del NegocioRequerimientos del Negocio

6

www.isaca.org.uy

SEGURIDADSEGURIDADOBJETOS DEOBJETOS DEINFORMACIÓNINFORMACIÓN

Requerimientos del NegocioRequerimientos del Negocio

7

www.isaca.org.uy

Identificar funciones, obligaciones del personal y establecer un marco operativo acorde a las Requerimientos del Negocio.

Conformar grupos interdisciplinarios (Legales / Desarrollo / Seguridad Informática, y representante del área involucrada) con el fin de analizar los requerimientos del Negocio.

8

Requerimientos del NegocioRequerimientos del Negocio

www.isaca.org.uy

¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?

9

www.isaca.org.uy

Aporte de soluciones de y a cada SectorAporte de soluciones de y a cada Sector

¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?

10

www.isaca.org.uy

Cada nivel de la Organización hace a la seguridad y calidad en el Negocio

¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?

11

www.isaca.org.uy

Desarrollar y fomentar una cultura de la organización y el comportamiento que debe aplicarse en todas las actividades

empresariales

VISIONVISION

¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?

12

www.isaca.org.uy

Conociendo el interiorConociendo el interior

13

www.isaca.org.uy

Conociendo el interiorConociendo el interior

14

www.isaca.org.uy

Conociendo el interiorConociendo el interior

15

www.isaca.org.uy

Conociendo el interiorConociendo el interior

16

www.isaca.org.uy

Físico: Documentos en papel, incluyendo faxes y copias fotostáticas. Puede ser almacenada en archivos físicos, carpetas o gabinetes.

Electrónico: Documentos electrónicos en procesador de texto, hojas de cálculo, etc. Puede ser almacenada en varios medios electrónicos, incluyendo CD ROM cintas de audio, memorias USB, discos duros, Asistentes Digitales Personales (p.e. Blackberries) y otros dispositivos similares

Interpersonal: La información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión, por ejemplo: oralmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico.

Conociendo el interiorConociendo el interior

17

www.isaca.org.uy

Conociendo el interiorConociendo el interior

18

www.isaca.org.uy

La seguridad del lado del NegocioLa seguridad del lado del Negocio

19

www.isaca.org.uy20

Principales objetivos de controlPrincipales objetivos de controlControlControl AlcanceAlcance

1,00 Auditoría, evidencias y monitoreo2,00 Autenticación y control de acceso3,00 Confidencialidad y No-Repudiación4,00 Personal externo y contratistas5,00 Tolerancia a fallas, backup y recuperación6,00 Respuesta y reporte de incidentes7,00 Mantenimiento y operaciones8,00 Red de datos9,00 Acceso físico

10,00 Documentación electrónica y en papel11,00 Accesos remotos12,00 Concientización y entrenamiento en Seguridad13,00 Política de administración de la seguridad14,00 Configuración del sistema15,00 Desarrollo de sistemas y control de cambios16,00 Proveedores, profesionales y prestadores

InterpretaciónTecnología

InterpretaciónUnidades

Administrativas

InterpretaciónUnidades de

Servicio

La seguridad del lado del NegocioLa seguridad del lado del Negocio

www.isaca.org.uy21

Nuevo Modelo de SeguridadNuevo Modelo de SeguridadNuevo Modelo de SeguridadNuevo Modelo de Seguridad

La seguridad del lado del NegocioLa seguridad del lado del Negocio

www.isaca.org.uy

27000

22

Calidad + Seguridad + GobernabilidadCalidad + Seguridad + Gobernabilidad

La seguridad del lado del NegocioLa seguridad del lado del Negocio

www.isaca.org.uy

La seguridad del lado del NegocioLa seguridad del lado del Negocio

23

www.isaca.org.uy

Política de SeguridadPolítica de Seguridad

Aspectos organizativos de la seguridadAspectos organizativos de la seguridad

Clasificación y control de activosClasificación y control de activos Control de accesosControl de accesosControl de accesosControl de accesos

ConformidadConformidadConformidadConformidad

Seguridad del personalSeguridad del personal Seguridad del entorno físicoSeguridad del entorno físico Seguridad del entorno Seguridad del entorno tecnológicotecnológico

Seguridad del entorno Seguridad del entorno tecnológicotecnológico

Desarrollo y mantenimiento Desarrollo y mantenimiento de sistemasde sistemas

Desarrollo y mantenimiento Desarrollo y mantenimiento de sistemasde sistemas

Gestión de comunicaciones y Gestión de comunicaciones y operacionesoperaciones

Gestión de comunicaciones y Gestión de comunicaciones y operacionesoperaciones

Gestión de continuidad Gestión de continuidad de negociode negocio

Seguridad OrganizativaSeguridad Organizativa

Seguridad lógicaSeguridad lógicaSeguridad lógicaSeguridad lógica

Seguridad físicaSeguridad física

Seguridad legalSeguridad legalSeguridad legalSeguridad legal

Táctico

Táctico

Op

erativoO

perativo

Estraté

gico

Estraté

gico

La seguridad del lado del NegocioLa seguridad del lado del Negocio

24

www.isaca.org.uy25

Calidad +Calidad +Seguridad +Seguridad +GobernabilidadGobernabilidad

La seguridad del lado del NegocioLa seguridad del lado del Negocio

www.isaca.org.uy

• Implementación de frameworks integrados para facilitar el cumplimiento de leyes y regulaciones, asociados a los estándares y las políticas corporativas

• El enfoque integradorenfoque integrador, todos los participantes son involucrados en los logros del proyecto

• Resultados concretos en cortos plazos, con avances graduales hacia el cumplimiento de los objetivos

Requerimientos del ServicioRequerimientos del Servicio

TecnologíaTecnología ProcesosProcesos PersonasPersonas

Assessment(GAP, Plan Preliminar)

• Herramientas• Interfaces

• Documentación• Nivel de Madurez• GAP

• Estructura • Instituciones • Nivel de destrezas • Capacitación

Implementación(Procesos implantados)

• Herramientas • Migraciones• Interfaces

• Diseño lógico • Diseño Físico • Vinculaciones • Documentación • Validación de

Funcionamiento

• Roles y responsabilidades

• Entrenamiento • Cambio Cultural • Herramientas de

capacitación

Mejoramiento continuo• Herramientas • Interfaces

• Seguimiento • Ajustes • Refinamientos • Nuevos Procesos

• Entrenamiento • Capacitación

26

La seguridad del lado del NegocioLa seguridad del lado del Negocio

www.isaca.org.uy27

La seguridad del lado del NegocioLa seguridad del lado del Negocio

www.isaca.org.uy

Seguridad integrada como Seguridad integrada como respuesta al Negociorespuesta al Negocio

28

www.isaca.org.uy

• El Negocio debe comunicar cuáles son sus futuros objetivos, para conseguir el soporte conseguir el soporte necesario por parte de la Organizaciónnecesario por parte de la Organización, ya sea desde sus áreas administrativas como de sus áreas tecnológicas.

• La organización, desde las diferentes áreas brindará el soporte necesario acorde a los brindará el soporte necesario acorde a los requerimientos del Negociorequerimientos del Negocio

Seguridad Integrada al NegocioSeguridad Integrada al Negocio

29

www.isaca.org.uy30

Seguridad Integrada al NegocioSeguridad Integrada al Negocio

www.isaca.org.uy

Seguridad Seguridad OrganizativaOrganizativa

SeguridadSeguridadLógicaLógica

SeguridadSeguridadLógicaLógica

SeguridadSeguridadFísicaFísica

SeguridadSeguridadLegalLegal

SeguridadSeguridadLegalLegal

Mejor calidad deMejor calidad deServicios y Servicios y ProductosProductos

Aseguramiento Aseguramiento de activos del de activos del negocionegocio

Asegurar la Asegurar la continuidad en continuidad en el tiempoel tiempo

Seguridad Integrada al NegocioSeguridad Integrada al Negocio

31

www.isaca.org.uy

Mé

trica

s de S

eg

urid

ad

Mé

trica

s de S

eg

urid

ad

Pro

gra

ma

de

Pro

tecc

ión

Pro

gra

ma

de

Pro

tecc

ión

32

Políticas de Políticas de SeguridadSeguridad

Políticas de Políticas de SeguridadSeguridadProcedimientos de Procedimientos de

SeguridadSeguridad

ProcesosProcesos

PlanesPlanes

ProyectosProyectos

SeguridadSeguridad es parte del Plan de Negocios en el marco es parte del Plan de Negocios en el marco empresario actual, brindando a través de ella empresario actual, brindando a través de ella Calidad y Calidad y Gobernabilidad Gobernabilidad sobre todos los servicios de ITsobre todos los servicios de IT

Objetivos de la Objetivos de la EmpresaEmpresa Leyes y RegulaciónLeyes y Regulación

www.isaca.org.uy

Seguridad Integrada al NegocioSeguridad Integrada al Negocio

33

www.isaca.org.uy

Preguntas?Preguntas?Muchas Gracias Muchas Gracias Fabián Descalzo, CISO

fdescalzo@cidi.com.ar

Uruguay - ArgentinaUruguay - Argentina

34