Presentacion-06-12-2014-Eduardo Cardin-02

Anuncio
SEGURIDAD Y PROTECCION DE
LA INFORMACIÓN
Eduardo Cardín, CISA, CISM
Objetivos
• Proporcionar los elementos
principales y enfoque para la
protección de los activos de
información necesarios para
minimizar riesgos, amenazas y
para garantizar la confidencialidad,
integridad y disponibilidad de la
información
2
Importancia / Necesidad de
Controles y Seguridad de la
Información
3
Seguridad de la Información
• Confidencialidad
• Integridad
• Disponibilidad
4
Seguridad de la Información
• La confidencialidad se
refiere a la protección de
información sensitiva
contra revelación no
autorizada.
5
Seguridad de la Información
• La confidencialidad es
contemplada no solamente
por el riesgo del acceso no
autorizado de información
electrónicamente
almacenada, sino también
por el riesgo de que la
información sea
interceptada durante una
transmisión de información
6
Seguridad de la Información
• Integridad :
información
completa, precisa
y válida
7
Seguridad de la Información
• Disponibilidad :
se refiere a que la
información esté
apta/disponible
cuando sea
requerida por los
procesos
operacionales de
la Cooperativa
8
Retos
• El sistema financiero cooperativo enfrenta
varios retos, entrelazados y esenciales
para el crecimiento sostenible.
9
“La difusión de la tecnología y la
comercialización de la información ha
transformado el papel de la información en
un recurso de igual importancia que los
recursos tradicionalmente importantes de
tierra, trabajo y capital.”
Drucker, Peter;
‘Management
Challenges for the
21st Century’,
Harpers Business, 1993
10
Dimensiones de Retos
11
• Los socios necesitan
confiar que tanto sus
activos financieros
como sus activos de
información están
seguros en la
Cooperativa
12
• La seguridad de la
información es de
especial importancia
cuando dicha
información está
vinculada
directamente a un
individuo.
13
Retos
• Las organizaciones están enfrentando
una transformación en sus prácticas de
administración de la información.
• Debido al escenario de riesgos de la
seguridad de la información y el entorno
de requerimientos regulatorios es de
importancia fortalecer la gobernanza de
la organización, la seguridad y los
controles.
*Estructuras de procesos, políticas, normas y prácticas utilizadas para la administración y dirección de una empresa
14
Retos
• La información y los sistemas que la
manejan son críticos para el
funcionamiento de prácticamente todas
las organizaciones.
• El acceso a información confiable se ha
convertido en un componente
indispensable de las prácticas de
negocios. De hecho, en un número
creciente de organizaciones, la
información es el negocio.
15
Retos
• El número creciente de amenazas de la
seguridad de la información ha
reenfocado la seguridad cibernética
como un problema de negocio y no uno
simplemente tecnológico.
16
Escenario Actual de Seguridad
• Los ataques cibernéticos están
aumentando con pocos indicios de
disminución.
• Las aplicaciones web son la vía de
ataque más popular .
• Sitios de comercio electrónico fueron el
activo principal.
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT
17
Escenario Actual de Seguridad
• Los datos son una mercancía viable para
los delincuentes.
• Datos de tarjetas de crédito, números de
Seguro Social y la propiedad intelectual
todos tienen un precio en el mercado
negro .
• El riesgo es aún mayor para las
empresas orientadas al consumidor.
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT
18
Escenario Actual de Seguridad
• Las empresas siguen adoptando
modelos externalizados de operaciones
de TI . En el 63 % de las investigaciones
de respuesta a incidentes realizadas por
Trustwave, un componente importante de
apoyo de TI se subcontrató a una tercera
parte.
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT
19
Escenario Actual de Seguridad
• El outsourcing puede ayudar a las
empresas obtener, servicios eficaces de
costo de usar TI , sin embargo , las
empresas tienen que entender el riesgo
que sus proveedores pueden introducir y
trabajar proactivamente para disminuir
ese riesgo.
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT
20
Escenario Actual de Seguridad
• Hay un mercado subterráneo bien establecido
para los datos robados de tarjetas de pago, que
se compran y se venden rápidamente para su
uso en las transacciones fraudulentas
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT
21
Escenario Actual de Seguridad
• Las medidas de seguridad básicas todavía no
son adecuadas.
• Los usuarios están utilizando el mínimo de
medidas de seguridad.
• Las contraseñas débiles continúan siendo un
riesgo notable .
Fuente: 2013 TRUSTWAVE GLOBAL SECURITY REPORT
22
Escenario Actual de Seguridad
• Las contraseñas débiles continúan siendo
un riesgo notable
• “123456" es la contraseña más utilizada
seguida por "password" y "admin"
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT
23
Escenario Actual de Seguridad
• Los datos de tarjetas de pago continúa
encabezando la lista de los tipos de datos
comprometidos
• Se observó un aumento del 33% en el robo de
información sensible y confidencial, como las
credenciales financieras, comunicaciones
internas, información de identificación
personal y registros de clientes.
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT
24
Escenario Actual de Seguridad
• El comercio electrónico representa el 54% de los
ataques.
• 85% de los programa maliciosos que
manipulaban alguna deficiencia o vulnerabilidad
(“exploits”), residían en programas tipo “plugins”(programas que se instalan para reconocer y
procesar determinados tipos de archivo)
incluyendo Java y Adobe Flash, Acrobat y Reader.
• Las contraseñas débiles abrieron la puerta para la
intrusión inicial en el 31 % de los eventos de
compromisos de la seguridad.
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT
25
Escenario Actual de Seguridad
• Los atacantes siguen utilizando los vínculos y
archivos adjuntos maliciosos como método de
entrada en un negocio.
• El spam representó el 70% de los correos
entrantes
• 59% del spam malicioso incluye archivos
adjuntos
• El 41% del spam incluye enlaces maliciosos
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT
26
Escenario Actual de Seguridad
Títulos principales de correos electrónicos con programas
malisiosos:
•
•
•
•
•
•
•
•
•
•
•
•
Some important information is missing
Bank Statement. Please read
Important - Payment Overdue
ATTN: Early 2013 Tax Return Report!
ATTN: Important Bank Documents
Important Bank Documents
IRS: Early 2013 Tax Return Report!
New Fax Message on [date]
Payroll Invoice
You have 1 message
Important Information for Employers
Mail - Lost / Missing package
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT
27
Escenario Actual de Seguridad
• 96% de las aplicaciones examinadas por
Trustwave albergaba uno o más graves
vulnerabilidades de seguridad
• El 71% de las víctimas de compromiso de
seguridad no detectaron el evento
• La mediana del número de días a partir de la
intrusión inicial hasta la detección fue de 87 días.
• La mediana del número de días desde la
detección a la contención fue de siete días
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT
28
Escenario Actual de Seguridad
• Vulnerabilidades de día cero es uno de los
aspectos más codiciados en el mercado
subterráneo.
• Los Estados Unidos supera a los demás países,
con un total del 42% del malware alojado en el
año 2013. Rusia siguió en segundo lugar con
13% y Alemania quedó en tercer lugar en
9%. La mayoría del malware alojado en los
Estados Unidos reside en servidores
comprometidos.
Fuente: 2014 TRUSTWAVE GLOBAL SECURITY REPORT
29
Escenario Actual de Seguridad
• Estadísticas de Robo de Identidad / Fraude
Promedio anual del número de víctimas de fraude
11,571,900
de identidad en EE.UU.
Porcentaje de hogares estadounidenses que
7%
reportaron algún tipo de fraude de identidad
Promedio de pérdida financiera media por
$4,930
incidente de robo de identidad
Pérdida financiera total atribuido al robo de
$21
identidad en 2013
millardos
Pérdida financiera total atribuido al robo de
$13.2
identidad en 2010
millardos
Fuente: Departamento de Justicia Federal, Javelin Strategy & Research
Fecha de Estudio: 6.18.2013
30
Escenario Actual de Seguridad
• El robo de identidad sigue siendo uno de los
crímenes de más rápido crecimiento
Fuente: http://www.idtheftcenter.org
31
Escenario Actual de Seguridad
Año Eventos
157
2005
2006
321
2007
446
2008
656
2009
498
2010
662
2011
419
2012
447
2013
614
Total
4,220
Cantidad
Registros
Expuestos
66,853,201
19,137,844
12,771,724
35,691,255
222,477,043
16,167,542
22,918,441
17,317,184
91,982,172
505,316,406
Fuente:
http://www.idtheftcenter.org
32
Escenario Actual de Seguridad
6/2/2014 Union Labor Life Insurance Company
• Información de 46,771 personas pueden estar
expuesta debido a un robo de computadora
portátil en las oficinas de la compañía en
Silver Springs, Maryland
Fuente:
33
Escenario Actual de Seguridad
5/5/2014 Santander Maryland
• Incidente ocurrido como parte de uso
indebido de la información de clientes por
parte de un empleado que tuvo acceso a los
sistemas de información con el propósito
vender la información a terceros
Fuente:
34
Escenario Actual de Seguridad
5/21/2014 eBay
• eBay recomendó a los usuarios que cambien
sus contraseñas debido a un "ciberataque"
que impactó una base de datos que contenía
contraseñas de cuentas de acceso y datos no
financieros de clientes.
Fuente:
35
Escenario Actual de Seguridad
4/22/2014 Federal Home Loan Mortgage
Corporation (Freddie Mac)
• Freddie Mac informó que se produjo una
violación de la seguridad de sus sistemas de
información.
Fuente:
36
Escenario Actual de Seguridad
1/16/2014 TD Bank New Jersey
• Empleado obtuvo indebidamente la
información de 6 clientes y la suministró a
entidad no asociada con TD Bank. La
información personal puedo haber incluido el
nombre, dirección y números de cuentas.
Fuente:
37
Escenario Actual de Seguridad
3/18/2014 Internal Revenue Service (DC)
• Un empleado del IRS se llevó a su casa la
información personal en cerca de 20,000
trabajadores del IRS, antiguos trabajadores y
contratistas, poniendo en riesgo la divulgación de
la información. El empleado se llevó a casa una
unidad de memoria que contenía nombres,
números de Seguro Social y las direcciones de los
trabajadores, y conectado la unidad en una red
doméstica no segura.
Fuente:
38
Escenario Actual de Seguridad
5/11/2014 Green's Accounting (CA)
• Se reportó robo en las oficinas. Los ladrones
robaron servidor, equipos de comunicaciones
y algunas computadoras.
Fuente:
39
Escenario Actual de Seguridad
• 12/20/2013 StakerLaw Tax and Estate
Planning Law (TX)
• Se reportó robo de copia de resguardo
localizada en la residencia de empleado. Ese
medio contenía archivos de clientes,
incluyendo números de seguro social de los
clientes y otra información de activos.
Fuente:
40
Objetivos de la Seguridad de la Información
Seguridad
de la
Información
Asegurar la Contínua
Disponibilidad de la
Información
41
Objetivos de la Seguridad de la Información
• La seguridad de la información es de
especial importancia cuando dicha
información está vinculada directamente a
un individuo.
42
Objetivos de la Seguridad de la Información
• Asegurar el cumplimiento de los
requerimientos de confianza depositada y
con las obligaciones en relación a
cualquier información relativa a una
persona.
43
Objetivos de la Seguridad de la Información
• Preservar la confidencialidad de los datos
sensibles en el almacenamiento y
tránsito
• Velar por la integridad de la información
almacenada en los sistemas informáticos
• Asegurar la continua disponibilidad de
los sistemas de información
44
Objetivos de la Seguridad de la Información
• Asegurar cumplimiento de las leyes
aplicables, reglamentos y normas
• Asegurar el cumplimiento de los
requerimientos de confianza depositada y
con las obligaciones con respecto a la
información relativa a los socios, clientes y
empleados. La seguridad de la información
es de especial importancia cuando dicha
información está vinculada directamente a
un individuo
45
Importancia / Necesidad de la
Seguridad de la Información
• La seguridad de la información en una
función crítica para las operaciones de las
Cooperativas.
• El éxito institucional está estrechamente
asociado con la capacidad de administrar los
riesgos de manera apropiada de uno de los
activos principales: la información que reside
en los sistemas de información.
46
Importancia / Necesidad de la
Seguridad de la Información
• Tradicionalmente el enfoque de la seguridad
había estado en la protección de los sistemas
informáticos que procesan y almacenan la
gran mayoría de la información, en lugar de
la información en sí misma.
• Este enfoque es limitado para llevar a cabo el
nivel de integración, la confirmación de
procesos y la protección global que es
requerida en la actualidad.
47
Importancia / Necesidad de la
Seguridad de la Información
• El factor crítico para la protección de
activos de información y la privacidad es
el establecimiento de una administración
eficaz de la seguridad de la información.
48
Razones para una Administración Efectiva
Alta Dependencia de los
Sistemas de Información
Cuentas de
Ahorro
Préstamos
Operaciones
Contabilidad
Cuentas
Corrientes
Hipotecas
49
Razones para una Administración Efectiva
Creciente Vulnerabilidad y
Amenazas a los
Sistemas de Información
Accesos no autorizados
Errores Humanos
Sistemas
no
adecuados
Pérdida de datos
Divulgación no autorizada
de información
Robo de Identidad
Desastres Naturales
Fraude
50
Razones para una Administración Efectiva
Escala y Costo de las
Inversiones Actuales y
Futuras en Tecnología
Equipo
Suplidores
de Servicios
Programas
Recurso Humano
51
Razones para una Administración Efectiva
Potencial para cambiar las
prácticas de negocio,
crear nuevas oportunidades
y reducir costos
Eficiencia
Mejor Servicio
Nuevos Productos
52
Razones para una Administración Efectiva
Cumplimiento con
Requerimientos Legales
y Regulatorios
Los controles en los
sistemas de información
son un elemento
importante en la
supervisión, evaluación y
clasificación de las
cooperativas
53
Razones para una Administración Efectiva
Dirección Efectiva
Buenas
Prácticas
Cumplimiento
Regulatorio
54
Entorno Regulatorio
con Respecto a la Seguridad
55
Entorno Regulatorio
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Ley 255
Reglamentos y Guías COSSEC (Reglamento 7051, Guía de Ayuda Técnica -Controles
Internos, ect.)
Ley Núm. 111 del año 2005
Ley núm. 207 del año 2006
Ley Núm. 187 del año 2006
Reglamento sobre las restricciones en el uso del número de seguro social conforme
dispone la ley núm. 207 de 27 de septiembre 2006 (Departamento del Trabajo)
Bank Secrecy Act/Anti-Money Laundering (BSA/AML)
Fair and Accurate Credit Transactions Act (FACTA)
Gramm-Leach-Bliley Act (GLBA)
Payment Card Industry Data Security Standard (PCI-DSS)
Check 21
Fair and Accurate Credit Transactions Act (FACTA)
Truth in Lending Act - "Regulation Z“
Availability of Funds and Collection of Checks ("Regulation CC")
Office of Foreign Assets Control (OFAC)
Truth in Savings Act
Children's Online Privacy Protection Act (COPPA)
Electronic Funds Transfer Act - "Regulation E“
STRONG Authentication
Carta Circular 2011-15 (COSSEC)
Carta Informativa 2014-3 (COSSEC)
56
Entorno Regulatorio
Leyes
• Visión de Portafolio
Reglamentos
Guías
Requerimientos
de Control
Estándares
57
Requerimientos COSSEC
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Establecimiento de marcos de trabajo de gobierno de tecnología
Planificación y organización
Evaluación y administración de riesgos
Administración de proyectos
Adquisición, implantación y mantenimiento de soluciones tecnológicas
Administración de cambios
Administración de servicios de terceros / niveles de servicio
Monitoreo del desempeño y la capacidad de los recursos tecnológicos
Continuidad de negocio
Seguridad y protección de la información
Administración de la configuración
Administración de incidentes / problemas
Administración de datos
Cumplimiento con Requerimientos Externos
58
Ley núm. 207
•El número de Seguro Social solo podrá
ser transmitido en documentos digitales u
electrónicos siempre y cuando existan
mecanismos
que
garanticen
la
confidencialidad
de
la
información
transmitida .
Seguridad de la
Información
59
Bank Secrecy Act/Anti-Money Laundering (BSA/AML)
Enfasis del proceso de la evaluación de riesgo
que una institución financiera utiliza para
identificar y desarrollar su perfil general del
riesgo.
Monitoreo de transacciones y herramientas para
analizar e identificar información sobre patrones
de actividades sospechosas utilizando sistemas
que permitan analizar datos de transacciones que
permitan clasificar los datos por varios criterios
Evaluar los datos relacionados a la información
recopilada en el Programa de Identificación de
Clientes, datos sobre transferencias electrónicas
que las insituciones financieras procesan cada
día, el número de clientes extranjeros y privados
y la localidad geográfica de las transacciones
Herramientas tecnológicas para apoyo en las
funciones para las iniciativas de cumplimiento de
“Know Your Customer” y programas de
identificación de clientes
Administración
de Riesgos
Monitoreo
de Transacciones
Seguridad de la
Información
Precisión, integridad
y Validez de la
Información
60
Bank Secrecy Act/Anti-Money Laundering (BSA/AML)
Definir perfiles de riesgos relacionados con la
regulación. Esto envuelve definir categorías de
riesgo específicas (tales como productos,
servicios, clientes, entidades, o ubicaciones
geográficas) exclusivo a la insitución financiera
Informes
de
transferencias
electrónicas
domésticas
e
internacionales
realizadas
diariamente o en otros periodos que el usuario
seleccione, informe de clientes extranjeros y
privados y la localidad geográfica de las
transacciones
Validar personas o entidades registradas en los
archivos maestros y transacciones de la
aplicación contra la “Lista de Nacionales
Especialmente
Designados
y
Entidades
Bloqueadas” producida por la Oficina de Control
de Activos Extranjeros (“Office of Foreign Assets
Control” u OFAC ) del Departamento del Tesoro
de los Estados Unidos.
Administración
de Riesgos
Monitoreo
de Transacciones
Seguridad de la
Información
Precisión, integridad
y Validez de la
Información
61
Bank Secrecy Act/Anti-Money Laundering (BSA/AML)
Monitoreo de transacciones y herramientas para
analizar e identificar transacciones ACH
(“Automated Clearing House”)
Currency Transaction Report (CTR)
Suspicious Activity Report (SAR)
Administración
de Riesgos
Monitoreo
de Transacciones
Seguridad de la
Información
Precisión, integridad
y Validez de la
Información
62
Fair and Accurate Credit Transactions Act (FACTA)
Desarrollar y aplicar un programa para combatir
el robo de identidad de cuentas nuevas y
cuentas existentes
Identificación de actividades definidas en las
reglas de Bandera Roja de Robo de Identidad
Administración
de Riesgos
Protección Contra
Robo de Identidad
Protección de la
Información de
los Clientes
63
Gramm-Leach-Bliley Act (GLBA)
Privacy of Consumer Financial Information
Ley requiere que las instituciones financieras
cubiertas establezcan un programa de
seguridad completo y coordinado, apropiado al
tamaño y la complejidad de las operaciones de
la institución para la protección de la
información de los clientes.
El plan debe considerar entre otros:
•Evaluación de riesgos
•Desarrollo de políticas y procedimientos de
control
•Implementación de planes de pruebas
Seguridad de la
Información
Administración
de Riesgos
Protección Contra
Robo de Identidad
64
Payment Card Industry Data Security Standard
(PCI-DSS)
Estándar multifacético de seguridad destinado a
apoyar a las organizaciones en la protección
proactiva de los datos de cuentas de clientes.
Estándar creado a consecuencia de un esfuerzo
cooperativo entre Visa, MasterCard, AMEX,
Discover, Diners, etc.
Seguridad de la
Información
Protección de la
Información de
los Clientes
65
National Automated Clearing House Association
(NACHA)
Revisión de controles de los servicios de ACH con
respecto a las disposiciones establecidas por las
Reglas de Operación de la National Automated
Clearing House Association (NACHA).
El objetivo de la revisión será evaluar el nivel de
cumplimiento de los requisitos de estas reglas.
Incumplimiento en proporcionar prueba de auditoría
de cumplimiento conforme a los procedimientos
determinados por NACHA, puede ser considerado
una violación Clase 2 a la regla en virtud del
Apéndice Diez, subparte 10.4.7 (multas y
sanciones). En situaciones de violación Clase 2, el
Panel de Aplicación de Normas de ACH (NACHA)
podrá imponer una sanción en contra de la
institución hasta $100,000 por mes hasta que se
resuelva el problema. Cuando la violación se refiere
a un Originador específico o terceros proveedores
de servicios una sanción mensual adicional puede
ser impuesta.
Administración
de Riesgos
Monitoreo
de Transacciones
Seguridad de la
Información
Precisión, integridad
y Validez de la
Información
66
STRONG Authentication
Incluye la necesidad de evaluaciones de riesgo,
conocimiento / educación del cliente, y medidas
de seguridad reforzadas para autenticar a
clientes que utilizan los productos y los servicios
en plataforma de Internet que procesan
transacciones de alto riesgo y que implican el
acceso a la información del cliente o el
movimiento de fondos a terceros.
Administración
de Riesgos
Seguridad de la
Información
Conocimiento /
Educación al Cliente
67
Office of Foreign Assets Control (OFAC)
Validación de
Datos
68
Truth in Savings Act
Clara y uniforme la divulgación de las tasas de
interés (porcentaje de rendimiento anual o APY) y
las tasas que se asocian con la cuenta a fin de que
el consumidor sea capaz de hacer una
comparación entre posibles cuentas
Disponibilidad y
Confiabilidad de
la Información
Regulación DD – requiere divulgar información
sobre cuentas de depósito
69
Children's Online Privacy Protection Act (COPPA)
Se aplica a la obtención de
información personal en línea de niños
menores de 13 años.
Requiere que los sitios en-línea
obtengan el consentimiento de sus
padres para recopilar o usar cualquier
información personal de niños
menores de 13 años
Seguridad de la
Información
Protección de la
Información
70
Electronic Funds Transfer Act - "Regulation E"
Establecimiento de controles para garantizar
que las transacciones electrónicas sean
transmitidas solamente a través de una ruta o
medio confiable con controles para brindar
autenticidad de contenido, prueba de envío,
prueba de recepción y no rechazo del origen.
Seguridad de la
Información
Disponibilidad y
Confiabilidad de
la Información
71
E-SIGN Act. 15 USC 700
Facilitar la utilización de registros electrónicos
en
comercio
interestatal
y
exterior,
garantizando la validez y efectos jurídicos de
los contratos firmados vía electrónica.
Seguridad de la
Información
Precisión, integridad
y Validez de la
Información
72
Marco de Trabajo para las
Iniciativas de Cumplimiento
Regulatorio
73
Tabla de Roles y Responsabilidades
• Responsable de la ejecución
Alguien que desempeña una tarea
determinada.
• Autoriza
Alguien que provee autorización y
dirección a una actividad
• Consultado
Alguien da algún tipo de insumo para el
proceso y/o al cual se pide su consejo y
opinión.
Junta Directores
Administración
Depto. Tecnología
• Informado
Alguien que recibe los recibe el resultado
de un proceso o a quien se informa de los
avances del proceso.
74
Retos: Cumplimiento Regulatorio
• Cumplimiento - implica un esfuerzo significativo
y plantea retos considerables.
• Oportunidades – los requerimientos exigen un
nivel de análisis que puede redundar en
oportunidades de mejoramiento institucional
75
Cumplimiento Regulatorio
”Una Talla le Sirve a Todos”
• Es importante no tomar un enfoque de “una talla
le sirve a todos”, sino tomar un enfoque basado
en administración de riesgos.
• Cada organización debe considerar con cuidado
los objetivos de control apropiados, necesarios
para sus propias circunstancias.
76
Iniciativas de Cumplimiento
Entendimiento de los Procesos Operacionales
• Información Relevante - Entendimiento de cómo
trabajan los procesos de negocio, cómo
interactúan y cómo se pueden hacer más
efectivos y eficientes
• Análisis - análisis detallados de los controles de
la institución y de los procesos, puede conducir
a cambios importantes
77
Iniciativas de Cumplimiento
Establecimiento de Controles
• Administración del Riesgo - integrar el enfoque
de administración del riesgo y cumplimiento en
cada aspecto operacional para mejorar, tanto
los controles como los procesos operacionales
• Dinámicos - los controles de la organización no
deberán (y no deberían) mantenerse estáticos
78
Garantizar el Cumplimiento Regulatorio
• Identificar las leyes, regulaciones, reglamentos,
estándares aplicables a la institución con impacto
potencial sobre Tecnología Informática
• Identificar el nivel correspondiente de
cumplimiento del Área de Tecnología Informática
de leyes, regulaciones, reglamentos, estándares
aplicables
• Optimización de los procesos de Tecnología
Informática para reducir el riesgo de no
cumplimiento
• Establecer una supervisión efectiva del
cumplimiento regulatorio por medio de un proceso
independiente de revisión para garantizar el
cumplimiento de las leyes y regulaciones
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
79
Garantizar el Cumplimiento Regulatorio
• Identificar las leyes, regulaciones, reglamentos,
estándares aplicables a la institución con
impacto potencial sobre Tecnología Informática
– Definir un catálogo de requerimientos
legales y regulatorios
80
Garantizar el Cumplimiento Regulatorio
• Identificar las leyes, regulaciones, reglamentos,
estándares aplicables a la institución con
impacto potencial sobre Tecnología Informática
– Definir e implantar un proceso para garantizar la
identificación oportuna de requerimientos
locales e internacionales legales, contractuales, de
políticas y regulatorios, relacionados con la
información, con la prestación de servicios de
información – incluyendo servicios de terceros – y
con la función, procesos e infraestructura de
Tecnología Informática.
81
Garantizar el Cumplimiento Regulatorio
• Identificar el nivel correspondiente de
cumplimiento del Área de Tecnología
Informática
de
leyes,
regulaciones,
reglamentos, estándares aplicables
• Evaluación
del
impacto
requerimientos regulatorios
de
los
82
Garantizar el Cumplimiento Regulatorio
• Evaluar cumplimiento de ejecución de políticas,
estándares y procedimientos de Tecnología
Informática
– Educar al personal sobre su responsabilidad de
cumplimiento
– Evaluar de forma eficiente el cumplimiento de las
políticas, estándares y procedimientos, incluyendo
los requerimientos legales y regulatorios
– Procurar la alineación de las políticas, estándares
y procedimientos para manejar de forma eficiente
los riesgos de no cumplimiento
83
Garantizar el Cumplimiento Regulatorio
• Certificación de Cumplimiento
– Implantar procedimientos para obtener y reportar
certificación de cumplimiento
– Definir e implantar procedimientos para obtener y
reportar certificación de cumplimiento y, donde
sea necesario, que el propietario del proceso haya
tomado las medidas correctivas oportunas para
resolver cualquier brecha de cumplimiento.
84
Aspectos Principales de la
Seguridad la Información
85
Elementos Clave en la Administración
de la Seguridad de la Información
• Para lograr la eficacia y la sustentabilidad
en el complejo mundo interconectado de
hoy, la seguridad de la información debe
ser abordada en los más altos niveles de
la organización y no se debe considerar
como un asunto técnico relegado al
Departamento de Sistemas de
Información.
86
Elementos Clave en la Administración
de la Seguridad de la Información
• La seguridad de la información no es sólo
un tema técnico, sino un reto a nivel
institucional que implica una
administración de riesgos y rendición de
cuentas adecuada.
87
Elementos Clave en la Administración
de la Seguridad de la Información
• La seguridad efectiva requiere de la
participación activa de la administración
para evaluar las amenazas emergentes y
la respuesta de dichas amenazas por
parte de la organización.
88
Elementos Clave en la Administración
de la Seguridad de la Información
La Junta de Directores y la Administración deben
revisar:
• La escala y el retorno de las inversiones
actuales y futuras en los recursos de
información para asegurar que los que están
optimizadas
• El potencial de las tecnologías para cambiar la
institución y prácticas de negocio, creando así
nuevas oportunidades y valor
89
Elementos Clave en la Administración
de la Seguridad de la Información
La Junta de Directores y la Administración deben
revisar:
• El aumento en la dependencia de la
información y los sistemas e infraestructura
que proporcionan la información
• La dependencia de entidades fuera del control
directo de la institución (terceros)
90
Elementos Clave en la Administración
de la Seguridad de la Información
La Junta de Directores y la Administración deben
revisar:
• La creciente demanda de compartir
información con socios, proveedores y
terceros
• Impacto en la reputación y el valor de la
institución resultante de fallos en la seguridad
de la información
• Establecer la importancia de la seguridad de la
información como un asunto de alto nivel
91
Elementos Clave en la Administración
de la Seguridad de la Información
• Los objetivos de seguridad no pueden
cumplirse simplemente mediante
protecciones técnicas o procedimientos.
• Una actitud y atención educada de seguridad
por parte de todos el personal,
administración así como de los proveedores
de servicios externos y usuarios/socios
externos es vital.
• La seguridad es algo más que un mecanismo.
92
Elementos Clave en la Administración
de la Seguridad de la Información
• También incluye aspectos culturales que
deben ser adoptados por todas las
personas dentro de la organización para
que sea efectiva.
• Hay que establecer la cultura de la
seguridad de la información en la
organización.
93
Elementos Clave en la Administración
de la Seguridad de la Información
Compromiso y apoyo de la Administración
• Piedra angular para la creación exitosa y
continuidad de un programa de
seguridad de la información
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Informado
94
Elementos Clave en la Administración
de la Seguridad de la Información
Administración de Riesgo
• Integrar el enfoque de administración del
riesgo y cumplimiento en cada aspecto
operacional para mejorar, tanto los
controles como los procesos
operacionales
Junta Directores
Administración
Depto. Tecnología
Consultado
Responsable
Responsable
95
Elementos Clave en la Administración
de la Seguridad de la Información
Políticas y Procedimientos
• Establecimiento de políticas y
procedimientos que integren e
institucionalicen buenas prácticas y
controles adecuados para la protección
de la información
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
Responsable
96
Elementos Clave en la Administración
de la Seguridad de la Información
Organización
• Las responsabilidades para la protección
de los activos deben ser definidos
claramente.
• Se debe establecer una asignación de
funciones y responsabilidades de la
seguridad de la información en la
organización.
97
Elementos Clave en la Administración
de la Seguridad de la Información
Educación y Concienciación en Seguridad
• Todo el personal que tenga acceso a los sistemas de
información y las herramientas tecnológicas de la
Cooperativa (usuarios) incluyendo pero no limitado a
empleados, contratistas, consultores, personal
temporero, cuerpos directivos y otro personal deben
recibir capacitación apropiada y actualizaciones
periódicas para promover la concienciación y el
cumplimiento de las políticas y los procedimientos de
seguridad establecidas.
• Para nuevo personal, esta capacitación debe ocurrir
antes de que se les otorgue acceso a la información o a
los servicios.
Junta Directores
Informado
Administración
Depto. Tecnología
Autoriza
Responsable
98
Elementos Clave en la Administración
de la Seguridad de la Información
Manejo y Respuestas de Incidentes
• Establecimiento de procedimientos de
manejo y respuestas para incidentes de
seguridad para minimizar el daño
proveniente de incidentes de seguridad,
definir acciones de recuperación y
aprender de tales incidentes
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
99
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Junta de Directores
• Proporcionar una supervisión
estratégica en materia de seguridad de
la información.
10
0
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Junta de Directores
• Conocer cuan crítica es la información
y la seguridad de la información en la
institución
10
1
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Junta de Directores
• Revisar la inversión en seguridad de la
información para la alineación con la
estrategia de la organización y el perfil
de riesgo
10
2
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Junta de Directores
• Endosar el desarrollo y la
implementación de un amplio
programa de seguridad de la
información
10
3
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Junta de Directores
• Evaluar el progreso y eficacia de las
iniciativas de seguridad
10
4
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Administración
• Responsable final de la protección de
los activos de información y de
establecer y mantener el marco de
control adecuado
10
5
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Oficial de Seguridad
• Planificar, coordinar, asesorar y
administrar los procesos de seguridad
y controles de informática así como
difundir la cultura de seguridad y
controles informática entre todos los
usuarios
10
6
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Oficial de Cumplimiento
• Proveer apoyo en las iniciativas de
hacer cumplir los objetivos y controles
relacionados con la seguridad de la
información.
10
7
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Propietarios de Activos de Información y
Propietarios de Datos
• Responsables de la protección y el
establecimiento de controles de los
activos de información que manejan
108
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Usuarios
• Observar los procedimientos
establecidos en las políticas y
procedimientos de seguridad de la
organización y adherencia a las
regulaciones de privacidad y seguridad.
109
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Departamento de Tecnología Informática
• Establecer las acciones de la seguridad
de la información en los componentes
de aplicaciones, plataformas, datos,
equipo e infraestructura tecnológica.
110
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Proveedores de Servicios y Aplicaciones
• Proporcionar productos y servicios que
cumplan con los requerimientos y
estándares de seguridad aplicables.
111
Roles y Responsabilidades en la
Administración de la Seguridad de la
Información
Auditores
• Proporcionar una declaración
independiente a la gerencia sobre lo
apropiado y efectivo de los objetivos y
controles relacionados con la
seguridad de la información
112
Evaluación de Riesgos
Elementos importantes para la administración de la
seguridad de la información
• Enfoque basado en el riesgo para
identificar los recursos de información
sensible y crítica y asegurar que haya un claro
entendimiento de las amenazas y riesgos.
• Emprender actividades apropiadas de evaluación
de riesgos para mitigar los riesgos inaceptables y
asegurar que los riesgos residuales estén en un
nivel aceptable.
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
113
Evaluación de Riesgos
• Realizar evaluación de riesgos en el área de
tecnología informática con el fin establecer de
una perspectiva sobre el riesgo inherente de la
entidad, identificar vulnerabilidades,
amenazas, los controles actuales y determinar
el riesgo en base a la probabilidad e impacto.
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
114
Evaluación de Riesgos
• La evaluación puede apoyar las decisiones y
actividades relacionadas a estrategias de
gestión de riesgos enfocadas en cómo la
organización responda y proporcione
seguimiento al riesgo.
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
Responsable
115
Evaluación de Riesgos
• Las actividades principales en los procesos de
evaluación de riesgo:
– Identificar los activos de tecnología relevantes y
priorizar los riesgos y amenazas
– Identificar las fuentes de amenazas relevantes a la
organización y los eventos de amenazas que se
pudieran producir por tales fuentes.
– Identificar las vulnerabilidades dentro de la
organización que podrían ser explotadas por fuentes
de amenazas a través de eventos específicos y
condiciones existentes que podrían originar una
explotación exitosa de dichas vulnerabilidades.
116
Evaluación de Riesgos
• Las actividades principales en los procesos de
evaluación de riesgo:
– Determinar la probabilidad de que las fuentes de
las amenazas identificadas causaran eventos
específicos de amenaza y la probabilidad que las
amenazas tuvieran éxito
– Determinar la magnitud de los efectos adversos a las operaciones y activos de la organización,
individuos y otras organizaciones - resultantes de
la explotación de vulnerabilidades por las fuentes
de amenazas
117
Evaluación de Riesgos
• Las principales actividades en los procesos de
evaluación de riesgo:
– Determinar los riesgos de seguridad de la
información como resultado de la combinación
de la probabilidad de explotación de la amenaza /
vulnerabilidad y el impacto de este tipo de
explotación.
– Identificación de los controles y actividades a
tener en consideración con el fin de mitigar los
riesgos.
118
Evaluación de Riesgos
• Las principales actividades en los procesos de
evaluación de riesgo:
– Optimizar los procesos en los aspectos de los
Sistemas de Información para la mitigación de
riesgos.
– Establecer prácticas de control adecuadas
Junta Directores
Administración
Depto. Tecnología
Consultado
Responsable
Responsable
119
Evaluación de Riesgos
• Las principales actividades en los procesos de
evaluación de riesgo:
– Definir el curso de acción en relación con las
medidas de control costo-efectivas con el fin de
equilibrar eficazmente los costes de las distintas
medidas de mitigación / control de riesgo contra
las pérdidas que se esperarían si tales medidas no
se implementaran.
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
Responsable
120
Seguridad de la Información y Terceros
• La seguridad de la información de la
organización no debe ser amenazada por la
introducción de productos o servicios de
terceros.
• Cualquier acceso a los recursos tecnológicos
por terceros debe ser controlado.
Junta Directores
Administración
Depto. Tecnología
Autoriza
Responsable
121
Seguridad de la Información y Terceros
• Cuando haya una necesidad de negocio de
trabajar con terceros que puedan requerir
acceso a los recursos tecnológicos o para
obtener o proveer un producto o servicio de o
a un tercero, se debe llevar a cabo una
evaluación de riesgos para determinar las
implicaciones y requerimientos de control de
la seguridad.
• Los controles deben ser aceptados y definidos
en un contrato con la parte externa.
122
Seguridad de la Información y Terceros
• Los riesgos para la información y facilidades
de procesamiento de información de la
organización deben ser identificados y antes
de conceder acceso.
• Debe llevarse a cabo evaluación de riesgo para
identificar los requisitos de controles
específicas a ser establecidos.
Junta Directores
Administración
Depto. Tecnología
Autoriza
Responsable
123
Seguridad de la Información y Terceros
• El acceso de terceros a la información de la
organización no debe proveerse hasta tanto
los controles apropiados no hayan sido
implementados y, cuando sea factible, se haya
firmado un contrato definiendo los términos y
condiciones para la conexión o acceso y el
acuerdo de funcionamiento.
Junta Directores
Administración
Depto. Tecnología
Autoriza
Responsable
124
Seguridad de la Información y Terceros
• Se debe asegurar que el tercero esté
consciente de sus obligaciones, y acepte las
responsabilidades y obligaciones involucradas
en tener acceso, procesar, comunicar o
gestionar la información y las instalaciones de
procesamiento de información de la
organización.
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
125
Seguridad de la Información y Terceros
• Los contratos con terceros deben cubrir todos
los requerimientos de seguridad relevantes.
• La organización debe asegurar que el contrato
incluya disposiciones adecuadas de
indemnización para proteger contra las
pérdidas potenciales causadas por las
acciones del tercero.
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
126
Seguridad de la Información y Terceros
• Deben estar presentes prácticas adecuadas de
seguridad de la información para asegurar que
los empleados, contratistas y terceros
entienden sus responsabilidades, y son aptos
para los roles para los que son considerados, y
para reducir el riesgo de robo, fraude o abuso
de las instalaciones.
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
127
Seguridad de la Información y Terceros
Elementos en las prácticas adecuadas de seguridad
• Considerar las responsabilidades de seguridad
antes de la contratación, en las descripciones
adecuadas de los puestos de trabajo y en los
términos y condiciones de empleo.
Junta Directores0
Administración
Depto. Tecnología
Informado
Responsable
Responsable
• Establecer prácticas de investigación, en especial
para los puestos de trabajo sensibles.
• Establecer contratos sobre sus roles y
responsabilidades de seguridad.
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Informado
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Consultado
128
Manejo y Respuesta a
Incidentes de Seguridad
• Para minimizar el daño proveniente de
incidentes de seguridad, recuperarse y
aprender de tales incidentes, se debe
establecer una capacidad de respuesta formal
a incidentes.
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
Responsable
129
Manejo y Respuesta a
Incidentes de Seguridad
• Etapas
Planificación y preparación
Detección
Inicio
Registro
Evaluación
Contención
Erradicación
Escalada
Respuesta
Recuperación
Cierre
Presentación de información
Revisión posterior al incidente
Lecciones aprendidas
130
Manejo y Respuesta a
Incidentes de Seguridad
• La organización y la gestión de una capacidad
de respuesta a incidentes se deben coordinar
o centralizar con el establecimiento de roles y
responsabilidades clave. Esto debe incluir:
– Un coordinador que actúa como el enlace
con los dueños del proceso de negocio
– Un director que supervisa la capacidad de
respuesta a incidentes
– Gerentes que gestionan los incidentes
individuales
131
Manejo y Respuesta a
Incidentes de Seguridad
• La organización y la gestión de una capacidad de
respuesta a incidentes se deben coordinar o
centralizar con el establecimiento de roles y
responsabilidades clave. Esto debe incluir:
– Especialistas en seguridad que detectan,
investigan, contienen y recuperan de los
incidentes
– Especialistas técnicos que no sean de seguridad
que proporcionen asistencia basada en su
experiencia y conocimientos del asunto
– Enlaces con el jefe de la unidad del negocio
(legal, recursos humanos, relaciones públicas,
etc.)
132
Manejo y Respuesta a
Incidentes de Seguridad
• Para establecer este proceso, los
empleados y contratistas son puestos en
conocimiento de los procedimientos para
reportar los diferentes tipos de
incidentes (por ejemplo, violación de la
seguridad, amenaza, debilidad, o
desperfecto de funcionamiento) que
podría tener un impacto sobre la
seguridad de los activos de la
organización.
133
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
Manejo y Respuesta a
Incidentes de Seguridad
• El personal deben reportar sobre
cualquier incidente observado o que se
sospeche, tan pronto como sea posible al
punto de contacto designado.
• La organización debe establecer un
proceso disciplinario formal para tratar
con aquellos que cometan violaciones de
seguridad, tales como empleados,
134
terceros, etc.
Junta Directores
Administración
Depto. Tecnología
Responsable
Informado
Manejo y Respuesta a
Incidentes de Seguridad
• Para resolver debidamente los
incidentes, podría ser necesario recopilar
evidencia lo antes posible después que
hayan ocurrido.
• Es posible que se necesite asesoramiento
legal en el proceso de recolección y
protección de evidencia.
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
Junta Directores
Administración
Depto. Tecnología
Informado
Autoriza
Informado
135
Manejo y Respuesta a
Incidentes de Seguridad
• Los incidentes ocurren porque las
vulnerabilidades no son resueltas
debidamente.
• Los procesos de gestión de incidentes
deben incluir las prácticas de manejo de
las vulnerabilidades.
Junta Directores
Administración
Depto. Tecnología
Autoriza
Responsable
136
Manejo y Respuesta a
Incidentes de Seguridad
• Una fase de revisión posterior a
incidentes debe determinar cuáles
vulnerabilidades no fueron resueltas y
por qué, y se debe proveer de
información para el mejoramiento de las
políticas y procedimientos
implementados para resolver las
vulnerabilidades.
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
137
Manejo y Respuesta a
Incidentes de Seguridad
• Analizar la causa de los incidentes puede
revelar errores en el análisis del riesgo,
indicando que los riesgos residuales son
más altos que los valores calculados y se
han tomado contramedidas inapropiadas
para reducir los riesgos inherentes.
Junta Directores
Administración
Depto. Tecnología
Informado
Consultado
Responsable
138
Curso de Acción Institucional para
Establecer
Controles de Seguridad de la
Información
139
Curso de Acción Institucional
Seguridad de la Información
• Política de Seguridad : Actividades y
acciones orientadas a perseguir los
objetivos de la protección de los
activos de información en la
Cooperativa:
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
Responsable
140
140
Curso de Acción Institucional
Seguridad de la Información
Marco de Trabajo
de Gobierno *
Regulaciones
Leyes
Mejores Prácticas
Estrategias y Prioridades de Negocio
Prácticas
Operacionales
Infraestructura
Tecnológica
Estrategias y Prioridades de Seguridad
Política de Seguridad
141
*Estructuras de procesos, políticas, normas y prácticas utilizadas para la administración y dirección de una empresa
141
Curso de Acción Institucional
Seguridad de la Información
Política de Seguridad
Estándares
De
Seguridad
Procedimientos
de Seguridad
Tecnologías
de
Seguridad
142
142
Curso de Acción Institucional
Seguridad de la Información
• El objetivo principal de la política de
seguridad es la protección de la
información mediante la definición de
procedimientos, directrices y prácticas
para la configuración y la administración
de la seguridad.
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
Responsable
143
Curso de Acción Institucional
Seguridad de la Información
Política de Seguridad
• Es necesario que se defina el enfoque y
requisitos para asegurar los activos de
información de la organización.
• También es importante que se describa la
forma en que se aplicará al personal y a los
procesos operacionales.
• Se establecer las acciones relacionadas a la
falta de cumplimiento
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
Responsable
144
Curso de Acción Institucional
Seguridad de la Información
Política de Seguridad - beneficios
• Asegura que las vulnerabilidades se
identifican y abordan
• Proteger la continuidad del negocio
• El fortalecimiento de la infraestructura
tecnológica.
145
Curso de Acción Institucional
Seguridad de la Información
Política de Seguridad - beneficios
• Cuando el personal sigue la política de
seguridad, se asegura que la información
se comparte de forma segura dentro de
la organización, así como con los socios y
proveedores mitigando el riesgo.
146
Curso de Acción Institucional
Seguridad de la Información
Política de Seguridad - beneficios
• La conciencia de la seguridad, una vez
establecida la política de seguridad,
aumenta la probabilidad de
cumplimiento individual.
147
Curso de Acción Institucional
Seguridad de la Información
Desarrollo de la Política de Seguridad
• El primer paso para crear una política de
seguridad de la información eficaz es
identificar los activos de información y
las amenazas a esos bienes.
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
148
Curso de Acción Institucional
Seguridad de la Información
Desarrollo de la Política de Seguridad
• Considerar el impacto de un incidente de
seguridad en la credibilidad, la
reputación y las relaciones con los
principales interesados.
Junta Directores
Administración
Depto. Tecnología
Consultado
Responsable
Consultado
149
Curso de Acción Institucional
Seguridad de la Información
Desarrollo de la Política de Seguridad
• Conducir un análisis de riesgo.
• Al medir la seguridad frente a la exposición,
esta evaluación permite decidir si la
información está desprotegida,
sobreprotegida o protegida adecuadamente.
• El objetivo de esta evaluación de riesgos
debe ser reducir al mínimo los gastos sin
exponer a la organización a un riesgo
innecesario.
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
150
Curso de Acción Institucional
Seguridad de la Información
Desarrollo de la Política de Seguridad
• Esta evaluación ayudará a determinar la
asignación adecuada de los recursos.
• Dado a que la política de seguridad de la
información tendrá un efecto a lo largo
de la organización, un equipo de trabajo
debe asumir la responsabilidad de su
elaboración.
151
Curso de Acción Institucional
Seguridad de la Información
Desarrollo de la Política de Seguridad
• Equipo de trabajo / áreas participantes en el
desarrollo de la política de seguridad:
–
–
–
–
–
–
Junta de Directores
Administración
Tecnología Informática
Seguridad de la información
Recursos humanos
Asesores legales
152
Curso de Acción Institucional
Seguridad de la Información
Política de Seguridad
• Tradicionalmente una política de
seguridad de la información se refiere
comúnmente en el singular
• Una política real incluye un conjunto de
documentos vivos : el documento de
política de seguridad, documentos de
estándares y procedimientos.
153
Curso de Acción Institucional
Seguridad de la Información
El documento de Política de Seguridad
• Declaración sobre la necesidad e importancia
de la política de seguridad de la información
en la organización
• Objetivos
• Responsabilidades y directrices
• Consecuencias de la falta de adherencia.
Junta Directores
Administración
Depto. Tecnología
Responsable
Responsable
Responsable
154
Curso de Acción Institucional
Seguridad de la Información
El documento de Política de Seguridad
• Una vez este documento está terminado,
debe ser aprobado por la Junta de
Directores y distribuirlo a todo el
personal
Junta Directores
Administración
Depto. Tecnología
Responsable
Informado
Informado
155
Curso de Acción Institucional
Seguridad de la Información
Estándares y Procedimientos de Seguridad
• Definen lo que hay que hacer para
implementar la seguridad, descripción de
controles de seguridad necesarios y
cómo esos controles se aplican.
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
156
Curso de Acción Institucional
Seguridad de la Información
Estándares y Procedimientos de Seguridad
Debe abordar aspectos de seguridad, incluyendo, pero
no limitado a:
• Control de Código Malicioso / Virus
• Controles de Acceso Lógico (redes,
plataformas/sistemas operativos, aplicaciones, bases
de datos)
• Controles de Acceso Físico
• Administración de Seguridad en las Redes
157
Curso de Acción Institucional
Seguridad de la Información
Estándares y Procedimientos de Seguridad
• Recuperación de desastres y continuidad de negocio
• Evaluación y administración de riesgos de la
seguridad de la información
• Configuración de seguridad de dispositivos
(“Routers", "Switches", “Firewalls")
• Controles en la arquitectura de la seguridad de la red
• Controles de acceso remoto
• Controles de redes inalámbricas
158
Curso de Acción Institucional
Seguridad de la Información
Estándares y Procedimientos de Seguridad
• Controles de detección / prevención de intrusión
• Monitoreo activo para proteger de ataques los
dispositivos y componentes de la red
• Evaluaciones periódicas de seguridad de la red,
incluyendo pruebas de penetración externas,
evaluaciones internas de seguridad y revisiones de
políticas y procedimientos
• Campañas regulares educativas al personal sobre
seguridad
159
Curso de Acción Institucional
Seguridad de la Información
Estándares y Procedimientos de Seguridad
• Funciones y responsabilidades del personal de
seguridad
• Las responsabilidades de los usuarios / uso adecuado
de los recursos tecnológicos
• Aspectos de cumplimiento de leyes y regulaciones
gubernamentales
• Cumplimiento de estándares de la industria
160
Curso de Acción Institucional
Seguridad de la Información
Estándares y Procedimientos de Seguridad
• Manejo de Incidentes.
• Administración de información sensitiva, restringida
o confidencial.
• Disposición de datos
• Administración de servicios de terceros
161
Curso de Acción Institucional
Seguridad de la Información
Implantación de la Política de Seguridad
Un programa de cumplimiento y/o
evaluación pueden ser fundamentales para
apoyar a las iniciativas de la organización
con respecto a la implantación de la
política de seguridad de la información.
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
162
Curso de Acción Institucional
Seguridad de la Información
Implantación de la Política de Seguridad
Los exámenes del cumplimiento de la
política y las evaluaciones de
vulnerabilidad son las tácticas de primera
línea críticos para defender
proactivamente de las crecientes amenazas
de seguridad.
163
Curso de Acción Institucional
Seguridad de la Información
Implantación de la Política de Seguridad
Revisiones de cumplimiento :
• Aseguran que se cumplen los objetivos de la
política
Junta Directores
Administración
Depto. Tecnología
Informado
Responsable
Responsable
Evaluaciones de vulnerabilidad
• Contribuyen a las medidas para identificar
vulnerabilidades.
Junta Directores
Administración
Depto. Tecnología
Informado
Autoriza
Responsable
164
Eduardo Cardín, CISA, CISM
[email protected]
787.444.1166
Descargar