Diapositiva 1

Oficial de (in)Seguridad de la
Información : Coordinador de la gestión
Octubre 2008
Oh, y ahora ¿quien podrá
ayudarnos?
En Cantv ahora la seguridad es Integral
Andr és R. Al manza, Ms ( c)
[email protected]
Pr opós i t os
✔ Reflexión consiente de la forma en como es vista la seguridad de la
información en la organización
✔ Quien puede liderar un proceso de seguridad y algunas
consideraciones para hacerlo
✔ Que hace el líder de seguridad de la información en la organización
✔ Por que se puede desistir en el intento de gestionarumento
Pag 2
Agenda
Introducción
Consideraciones
Definiciones Generales
Evolución de la seguridad
CISO, CSO, o Que...
Que Hace.....
Donde esta en la organización?
Infraestructura corporativa
Modelo de trabajo
Enfoques de trabajo
Realidad Local
Retos y Conclusiones
Referencias Bibliográficas
Pag 3
I nt r oduc c i ón
Al t os v ol úmenes de
Gr andes
r et os
par a
i nf or mac i ón
pr ot eger l a i nf or mac i ón
Regul ac i ones ,
l ey es
May or es
i nt er r el ac i ones
ent r e
Per s onal i z ac i ón
pr oc es os ,
apr opi ac i ón
t ec nol ogí a y gent e
I nt er r el ac i ones
de l a
s egur i dad
Múl t i pl es
ent r e
v i s ual de negoc i o y r i es go
amenaz as
Ex t er nas )
f uent es
y
de
( I nt er nas ,
Pag 4
Def i ni c i ones Gener al es
S er v i c i os de
Neg oc i o
Es t r at eg i as
de s eg ur i da d
Mé t r i c as y
med i c i on es
Con t i nui dad
de Neg oc i o
Ri es go
Co r po r at i v o
S eg ur
i da d
c o mo
o
b
l
i
g
ac i on
Cont r ol de
Ac c es o
Pr ot ec c i on de
Ma qu i na s
TI
Ri e s g o d e
el
n d
ci ó o
t ec et r
Pr o Per í m
Or ques t ador . . . . . . .
Hoy s e habl a de
CI S O/CS O/I S O/OS I .
Hoy s e v e un enf oque
✔ I nf or mát i c a
✔ I nf or mac i ón
“..... Es el líder que posee las habilidades y destrezas necesarias para
identificar, materializar, gestionar, acoplar y personalizar las necesidades en
materia de seguridad y protección de la organización, buscando crear una
postura de inseguridad adecuada. Para ello se valdrá de las herramientas,
metodologías, y enfoques necesarios, para involucrar la seguridad y
protección en la perspectiva del negocio......”
Rol y Responsabilidades
Compet enc i as
Conduc t ual es
✔Habi l i dades
de
Influenciar a la alta
dirección
c omuni c ac i ón.
✔Di pl omac i a
y
✔For mac i ón
y
ex per i enc i a
en S I
buenas
✔ Ges t i ón del r i es go
r el aci ones
✔ S egur i dad en r ed
✔Aut onomí a, di s c i pl i na
✔ Nor mat i v as y es t ándar es
✔Buen J ui c i o, mot i v ac i ón
✔I nt egr i dad,
Téc ni c as
de s egur i dad
hones t i dad,
✔ Ex per i enc i a( 2 a 4 años )
r es pons abi l i dad
✔ Pr uebas de i nt r us i ón
✔For t al ez as de un “ner d”,
✔ Pr uebas
I ns t i nt os de un pol i c í a
✔Venc er el par adi gma de l a
“ci ma. . . . ”
✔LI DERAZGO DE NI VEL MEDI O
Interacción con
Usuarios y áreas de
TI
v ul ner abi l i dad
✔ Ges t i ón de i nc i dent es
✔ Ges t i ón de Pr oy ec t os
de
I nt er r el ac i ones
Depende del tamaño,
requerimiento, cultura
Evolución
Estructura
Organizacional
Def i ne
Actividades a
desarrollar
a
on
I nt er i or
Roles,
Responsabilidades y
Autoridad
ci
Def i
ne
ee
s
Po
si
Po
Modelo de
Madurez
Donde es t á l a empr es a?
I g nor anci a Tot al
✔Políticas desactualizadas
✔Sin entrenamiento del personal
✔Poca comunicación entre
✔ Seguridad
✔ Negocio
✔ TI
✔Convicción de que todo de por si es seguro
✔No se reportan las fallas de seguridad
✔No existe gestión, ni medición
✔Seguridad reactiva
Donde es t á l a empr es a?
Conci enci a
✔Iniciativas no continuas en conciencia de seguridad a la
organización
✔Iniciativa no completada de un equipo de seguridad
✔Enfoque sobre la política y su revisión
✔Creencia en que la política es lo único
✔Fácil para volver a la ignorancia
✔Desarrollo de las relaciones entre TI, negocio, y seguridad
✔Desarrollo inicial de visión y misión de la seguridad en la
organización
Donde es t á l a empr es a?
Funci onal
✔Programa estratégico de seguridad
✔Orientación a procesos, en torno a:
✔ Seguridad
✔ Riesgos
✔ Gobierno
✔Necesidades de negocio embebidas en las políticas
✔Inicio de mediciones y reportes
✔Comunicaciones con la alta gerencia
✔Diseño de la arquitectura de seguridadra de seguridad
Donde es t á l a empr es a?
Excel enci a
✔Cultura organizacional, involucra la seguridad
✔Seguridad orientada a ser un servicio del negocio
✔Mejoramiento continuo, basado en las mediciones,
métricas, indicadores y metas
✔Se entiende el riesgo corporativa
✔Se acepta el riesgo residual
✔Programa organizacional de seguridad, seguido por la
alta dirección
✔Mejoramiento continuo
Donde es t á el r es pons abl e?
Enf oque Técni co
✔No existe una función formal de seguridad
✔Asumida por la operación de TI
✔Reportes son realizados en áreas
✔ Operacionales o TI
✔Las labores están enfocadas en
✔ Seguridad en la red
✔ Seguridad en la operación
✔ S egur i dad en el des ar r ol l o
Donde es t á el r es pons abl e?
Enf oque Técni co
Vicepresidente
Director de TI
Jefe de Soporte/
Plataforma
Operación de SI
Mediana/Grande
Pequeña/Mediana
Jefe de
Desarrollo
Donde es t á el r es pons abl e?
Funci ones
Enf oque Técni co
✔Admi ni s t r ac i ón
del
f i r ewal l
✔Cont r ol de ac c es o
Rol / Aut or i dad
✔Pr uebas
v ul ner abi l i dad
✔Rol net ament e t éc ni c o
✔Aut or i dad r el egada,
y
ai s l ada a s us f unc i ones
✔Poc a
i nf l uenc i a
en
t oma de dec i s i ones
✔S e es cuc ha s ol o c uando
al go
c umpl i r
se
t enga
de
que
✔Moni t or eo de r ed
✔S er v i c i os
de
r ed.
Cor r eo, I nt r anet .
✔I ns t al ac i ón
y
c onf i gur ac i ón
de
s er v i dor es y s er v i c i os
Donde es t á el r es pons abl e?
Enf oque Técni co/ Admi ni s t r aci ón
✔Existe un responsable de seguridad
✔Reportes son realizados en áreas
✔ Operacionales o TI
✔Las labores están enfocadas en
✔ Seguridad operacional. Alto porcentaje
✔ Gestión y Administración. Bajos porcentajes
✔ Estrategia. Bajos porcentajes
Donde es t á el r es pons abl e?
Enf oque Técni co/ Admi ni s t r aci ón
Vicepresidente
Director de TI
Operación de SI
Jefe de Soporte/
Plataforma
Unidad de
Seguridad
Mediana/Grande
Pequeña/Mediana
Jefe de
Desarrollo
Donde es t á el r es pons abl e?
Funci ones
Enf oque Técni co/ Admi ni s t r aci ón
✔Def i ni c i ón
pol í t i c as
mi x t o
es t ándar es
✔S egur i dad
t écni co-
✔ S er v i dor es
✔Aut or i dad mas v i s i bl e,
✔ Par c hes
✔Poc a
✔ Mal war e
en
la
✔ I DS /I PS /Fi r ewal l
t oma de dec i s i ones
✔S e
en
i nf r aes t r uc t ur a
ges t i ón. ( Coor di nador )
i nf l uenc i a
y
pr oc edi mi ent os
Rol / Aut or i dad
✔Rol
de
es c uc ha
en
su
i nt er r el ac i ón
con
l as
ár eas de s u mi s mo ni v el
✔Ges t i ón de r i es go de
TI
Donde es t á el r es pons abl e?
Enf oque Admi ni s t r aci ón
✔Existe un responsable de seguridad
✔Existe un equipo multidisciplinario responsable
de la seguridad
✔Administración de la infraestructura de seguridad
✔Revisión de la seguridad desde un entorno
corporativo
✔Las responsabilidades de seguridad son dirigidas
o supervisadas sobre las áreas
Donde es t á el r es pons abl e?
Auditoria
RRHH
TI (Soporte/Desarrollo)
Seguridad (Fisica/ Electronica)
Juridica
Enf oque Admi ni s t r aci ón
Dirección ejecutiva
Mediana/Grande
Gerente de TI
CSI
Pequeña/Mediana
Director de TI
CISO
Operación de SI
Jefe de
Soporte/Plataforma
Unidad de
Seguridad
Jefe de Desarrollo
Donde es t á el r es pons abl e?
Enf oque Admi ni s t r aci ón
✔Def i ni c i ón
Rol / Aut or i dad
✔Rol
enf oc ado
a
la
ges t i ón. ( As es or í a)
✔Aut or i dad mas v i s i bl e,
✔I nt er ac c i ón
i nf l uenc i a
s obr e
e
ot r as
ár eas
✔I nf l uenc i a en t oma de
dec i s i ones
✔Comi t é
s egur i dad.
c ons ul t or
Funci ones
de
pol í t i c as
de
es t ándar es
y
pr oc edi mi ent os
✔Ges t i ón de r i es go de
r i es go c or por at i v o
✔Ges t i on de i nc i dent es
✔Ent r enami ent o
y
c onc i ent i z ac i on
✔BCM/BCP
✔Es t andar es
de s egur i dad
de ges t i on
Donde es t á el r es pons abl e?
Enf oque Ger enci al
✔Existe un responsable de seguridad
✔Existe un equipo multidisciplinario responsable
de la seguridad
✔Crea un gobierno alrededor de la seguridad
✔La cultura organizacional adopta la seguridad
como suya
✔La seguridad operacional es devuelta a los
directos responsables
✔Mediciones exactas y claras acerca de la
seguridad
Auditoria
RRHH
TI (Soporte/Desarrollo)
Seguridad (Fisica/ Electronica)
Juridica
Donde es t á el r es pons abl e?
Enf oque Ger enci al
Dirección ejecutiva
CSI
Mediana/Grande
Gerente de TI
CISO
Pequeña/Mediana
Director de TI
Operación de SI
Jefe de
Soporte/Plataforma
Unidad de
Seguridad
Jefe de Desarrollo
Donde es t á el r es pons abl e?
Enf oque Ger enci al
✔Def i ni c i ón
Rol / Aut or i dad
✔Rol
enf ocado
ges t i ón
(
y
S oc i o
a
la
g obi er no.
es t r at égi c o.
Ger ent e)
✔Aut or i dad
y
c ons ul t or i a
✔I nt er ac c i ón
i nf l uenc i a
s obr e
e
ot r as
ár eas
✔Or i ent ac i ón al negoc i o
✔Comi t é
c ons ul t or
de
s egur i dad.
✔I nt er ac c i ón c on ent es
ext er nos
Funci ones
pol í t i c as
de
es t ándar es
y
pr oc edi mi ent os
✔Ges t i ón de r i es go de
r i es go c or por at i v o
✔BCM/BCP
✔Mét r i c as y medi c i ones
✔Pl aneac i ón es t r at égi c a
de l a s egur i dad
✔Pr oc es os de s egur i dad
✔Cumpl i mi ent o
r egul ac i ones y l ey es
de
Vent aj as /Des v ent aj as
Dentro de TI
✔I ni c i at i v as
de
Fuera de TI
c ambi o
dent r o
de
Ventajas
✔May or
TI
✔For t al ec i mi ent o
del
✔Conc i enc i a
de
s egur i dad
a
l os
adi c i onal
a
l os
de
aut or i dad
y
v i s i bi l i dad
de
r es ul t ados
a
ni v el es
de l a al t a di r ec c i ón
ni v el es
Desventajas
✔Choques
di r ec t i v os de TI
de
i nt er es es
ent r e
✔S egur i dad
se
c onv i er t e
en
i mpar c i al i dad
i nv es t i g ac i ones en TI
t r enes
ent r e
TI
y
S egur i dad
de
c onv er t i r s e
en
pr os a
✔Poc a pr of undi dad en i nv es t i gac i ón
ac t i v i dades de t i empo par c i al .
la
de
✔Pos i bi l i dad
s egur i dad y s er v i ci os de TI
✔Af ec t ada
ni v el
✔Equi po de t r abaj o ( A, S I , TI )
ni v el es j ef es
✔Conf l i c t os
de
✔Ent r ega
Di r ec t or /Ger ent e de TI .
✔Car ga
✔Ac t i v i dad de t i empo c ompl et o
en
✔Rendi c i ón de c uent as r equi er e de
aut or i dad.
Mez c l ando . . . .
Gerencial
Operacional
Estratégico
Táctico
Aliado
estratégico
Admin
Asesor
Técnico
/Admin
Coordinador
Técnico
Operador
Ignorancia
Conciencia
Funcional
Excelencia
Hábi t os buenos . . .
✔Estructura moral y ética alta mente desarrollada
✔Ser diligente y ágil para la ejecución del trabajo
✔Gestionar seguridad como un negocio
✔Paciencia como virtud
✔Hacer y hacer y hacer....
✔Trabajo de la cultura organizacional entorno a la
seguridad.
✔Recopilación de datos y saber como us ar l os
Mi t os
✔Mito de la posición “..No se puede dirigir sino se esta
en la cima..”
✔Mito de la influencia. “...No se puede influir por no estar
en la cima..”
✔Superar el síndrome del todologo...
✔No utilizar el factor MID, para vender sus ideas
✔Enfoque autoritario, para justificar su trabajo.
✔Pocas relaciones por ser de seguridad.
Encuesta Nacional de Seguridad
(Colombia-Mexico
Areas de Responsabilidad de la Seguridad
Auditoria interna
Gerente de Operaciones
25
Gerente Ejecutivo
Otra
20
No especificado
Director de Seguridad
Informática
15
Director de Sistemas
10
Alimentos
Construcción / Ingeniería
Educación
Gobierno / Sector público
Hidrocarburos
Manufactura
Otra (Por favor especifique)
Salud
Servicios Financieros y Banca
Telecomunicaciones
5
0
Retos y Conclusiones
✔Es necesario un responsable de seguridad por:
✔ Ambientes complejos y con distintas variables
✔ Cantidad de requerimientos de las partes interesadas que deben atenderse
✔ Alguien debe gobernar, gestionar y dirigir
✔ Debe garantizar la personalización de la seguridad de la información
✔Su interacción con los elementos de la organización (alta dirección, usuarios, TI), lo define
como una persona multifuncional que debe dominar los lenguajes de las partes interesadas.
✔La seguridad de la información se ve en la actualidad como un elemento estratégico del
negocio, que es manejado a través del proceso de la gestión del riesgo.
Retos y Conclusiones
✔Las organizaciones deben realizar un autodiagnostico que les permita determinar
donde se encuentran y con ello su responsable en seguridad tendrá claro lo que la
organización desea y hasta donde desea llegar
✔Debe buscar definir su arquitectura de seguridad que como objetivo principal sea
alinearse con el negocio. (Misión - Visión)
✔Cada vez mas encontramos que los responsables de la seguridad de la
información participan en las decisiones estratégicas de la organización y reportan
a la gerencia
✔El líder de la inseguridad en la organización, debe tener claro que su disciplina,
constancia, y dedicación son las herramientas validas para dirigir el proceso.
Retos y Conclusiones
✔Su responsabilidad y sentido de compromiso y pasión por lo que hace son
sometidos a prueba todo el tiempo.
✔Tolerancia absoluta a la incertidumbre y las respuestas que no desean escuchar.
✔Romper con las premisas, como la que dice “...debo estar en la cima para
dirigir....”
✔La diplomacia es una de las características mas importante que debe desarrollar
nuestro responsable de seguridad en pro de la integración de las partes
interesadas.
Gr ac i as . . .
¿. . . . ?
Ref er enc i as Bi bl i og r áf i c as
✔Chi ef
S ec ur i t y
Of f i c er .
Gui del i ne
( 2004) .
AS I S
I nt er nat i onal .
URL.
www. as i s onl i ne. or g/gui del i nes /gui del i nes c hi ef . pdf
✔ J OHNS ON M.
ERI C,
GOETZ
ERI C
.
( 2007)
Embeddi ng
I nf or mat i on
S ec ur i t y
i nt o
t he
Or gani z at i on. S ec ur i t y & Pr i v ac y . Pp 16- 24.
✔ J ac k Mc Coy . ( 2004) Ar e We Ready f or a Chi ef I nf or mat i on S ec ur i t y Of f i c er ? . Di s poni bl e
en: www. unc . edu/c aus e05/pr es ent at i ons /mc c oy /mc c oy . ppt
✔Chi ef
I nf or mat i on
S ec ur i t y
Of f i c er .
URL
ht t p: //en. wi ki pedi a. or g/wi ki /Chi ef _i nf or mat i on_s ec ur i t y _of f i c er .
✔Chi ef
I nf or mat i on
S ec ur i t y
Of f i c er .
URL
ht t p: //www. c hi ef i nf or mat i ons ec ur i t y of f i c er . c om/
✔¿ Qué t i po de CI S O s er ? . URL
ht t p: //www. bs ec ur e. c om. mx /ar t i c ul os . php? i d_s ec =59&i d_ar t =6561
✔The Changi ng Rol e Of The CI S O? . URL
ht t p: //www. i nf or mat i onweek. c om/bl og/mai n/ar c hi v es /2008/02/t he_c hangi ng_r o. ht ml
✔Qui en es el l í der de l a i ns egur i dad i nf or mát i c a? . URL.
ht t p: //www. el t i empo. c om/par t i c i pac i on/bl ogs /def aul t /un_ar t i c ul o. php? i d_bl og=3516456&i d_r ec
✔A Cur r ent Vi ew of t he S t at e CI S O: A Nat i onal S ur v ey As s es s ment ” NAS CI O, S ept ember
2006. URL. ht t p: // www. nas c i o. or g/publ i c at i ons /doc ument s /NAS CI O- CI S Os ur v ey Repor t . pdf
Ref er enc i as Bi bl i og r áf i c as
✔Wy l der J . ( 2004) Strategic Information Security. Addi s on Wes l ey . J ohn Wy l der
✔Kovacich G. (2003) The Information Systems Security Officer's Guide: Establishing and Managing an Information
Protection Program, Second Edition. Butterworth Heinemann
✔The Gl obal S t at e of I nf or mat i on S ec ur i t y – 2007. PwC, S ept ember 2007
✔El r ol del CI S O: Chi ef I nf or mat i on S ec ur i t y Of f i c er . URL.
ht t p: //c r i adoi ndomabl e. wor dpr es s . c om/2007/11/14/el - r ol - del - c i s o- c hi ef - i nf or mat i on- s ec ur i t y
✔ 10 pr i nc i pal es r az ones por l as c ual es el CI S O r enunc i ar á en el 2008 . URL.
ht t p: //c xo- c ommuni t y . c om. ar /i ndex . php? opt i on=c om_c ont ent &t as k=v i ew&i d=229&I t emi d=30
✔What i s a Chi ef S ec ur i t y Of f i c er ? . URL. ht t p: //www. c s oonl i ne. c om/ar t i c l e/pr i nt /221739
✔Chi ef
I nf or mat i on
S ec ur i t y
Of f i c er .
URL
ht t p: //en. wi ki pedi a. or g/wi ki /Chi ef _i nf or mat i on_s ec ur i t y _of f i c er .
✔Chi ef
I nf or mat i on
S ec ur i t y
Of f i c er .
URL
ht t p: //www. c hi ef i nf or mat i ons ec ur i t y of f i c er . c om/
✔¿ Qué t i po de CI S O s er ? .
URL
ht t p: //www. bs ec ur e. c om. mx /ar t i c ul os . php? i d_s ec =59&i d_ar t =6561
✔The
Changi ng
Rol e
Of
The
CI S O? .
ht t p: //www. i nf or mat i onweek. c om/bl og/mai n/ar c hi v es /2008/02/t he_c hangi ng_r o. ht ml
URL
Ref er enc i as Bi bl i og r áf i c as
✔Ar e
We
Ready
f or
a
Chi ef
I nf or mat i on
S ec ur i t y
Of f i c er .
J ac k
Mc COy .
URL.
www. unc . edu/c aus e05/pr es ent at i ons /mc c oy /mc c oy . ppt
✔Gar t ner ( 2005, S ept ember 15) . Gar t ner hi ghl i g ht s t he ev ol v i ng r ol e of CI S O i n t he new
s ec ur i t y
or der .
Retrieved
November
2,
2005
from
the
Gartner
Web
site
http://www.gartner.com/press_releases/asset_135714_11.html
✔Ger mai n, J . ( 2005, Oc t ober 13) .
Your next job title: CISO?
Ret r i ev ed Nov ember 2, 2005
f r om
t he
News f ac t or
Magaz i ne
Web
si te
ht t p: //www. c i o- t oday . c om/s t or y . x ht ml ? s t or y _t i t l e=Your _Nex t _J ob_Ti t l e__CI S O_&s t or y _i d=38430
✔Kobus , W. S . ( 2005, Nov ember 1) .
Security management.
I nf oS eCon
c onf er enc e
on
Nov ember
1,
ht t p: //www. t es s - l l c . c om/S ec ur i t y %20Management . pdf
Pr es ent ed at t he I S S A Tr i angl e
2005
in
Car y ,
NC.
URL.
✔Hawki ns , B. L. , Rudy , J . A. , & Ni c ol i c h, R. ( 2004) .
EDUCAUSE core data report: 2004
summary report.
f r om
Ret r i ev ed
Nov ember
2,
2005
t he
EDUCAUS E
Web
si te
ht t p: //www. educ aus e. edu/i r /l i br ar y /pdf /pub8002. pdf
✔Boni , W. ( 2005, Apr i l 5) .
The role of the CSO: An industry perspective.
Pr es ent ed at t he
EDUCAUS E S ec ur i t y Pr of es s i onal s Conf er enc e 2005. Was hi ngt on, DC. Ret r i ev ed Nov ember 2,
2005
f r om
t he
EDUCAUS E
Web
s i t e.
ht t p: //www. educ aus e. edu/Li br ar y Det ai l Page/666? I D=S PC0528