Diapositiva 1
Transcripción
Diapositiva 1
Oficial de (in)Seguridad de la Información : Coordinador de la gestión Octubre 2008 Oh, y ahora ¿quien podrá ayudarnos? En Cantv ahora la seguridad es Integral Andr és R. Al manza, Ms ( c) [email protected] Pr opós i t os ✔ Reflexión consiente de la forma en como es vista la seguridad de la información en la organización ✔ Quien puede liderar un proceso de seguridad y algunas consideraciones para hacerlo ✔ Que hace el líder de seguridad de la información en la organización ✔ Por que se puede desistir en el intento de gestionarumento Pag 2 Agenda Introducción Consideraciones Definiciones Generales Evolución de la seguridad CISO, CSO, o Que... Que Hace..... Donde esta en la organización? Infraestructura corporativa Modelo de trabajo Enfoques de trabajo Realidad Local Retos y Conclusiones Referencias Bibliográficas Pag 3 I nt r oduc c i ón Al t os v ol úmenes de Gr andes r et os par a i nf or mac i ón pr ot eger l a i nf or mac i ón Regul ac i ones , l ey es May or es i nt er r el ac i ones ent r e Per s onal i z ac i ón pr oc es os , apr opi ac i ón t ec nol ogí a y gent e I nt er r el ac i ones de l a s egur i dad Múl t i pl es ent r e v i s ual de negoc i o y r i es go amenaz as Ex t er nas ) f uent es y de ( I nt er nas , Pag 4 Def i ni c i ones Gener al es S er v i c i os de Neg oc i o Es t r at eg i as de s eg ur i da d Mé t r i c as y med i c i on es Con t i nui dad de Neg oc i o Ri es go Co r po r at i v o S eg ur i da d c o mo o b l i g ac i on Cont r ol de Ac c es o Pr ot ec c i on de Ma qu i na s TI Ri e s g o d e el n d ci ó o t ec et r Pr o Per í m Or ques t ador . . . . . . . Hoy s e habl a de CI S O/CS O/I S O/OS I . Hoy s e v e un enf oque ✔ I nf or mát i c a ✔ I nf or mac i ón “..... Es el líder que posee las habilidades y destrezas necesarias para identificar, materializar, gestionar, acoplar y personalizar las necesidades en materia de seguridad y protección de la organización, buscando crear una postura de inseguridad adecuada. Para ello se valdrá de las herramientas, metodologías, y enfoques necesarios, para involucrar la seguridad y protección en la perspectiva del negocio......” Rol y Responsabilidades Compet enc i as Conduc t ual es ✔Habi l i dades de Influenciar a la alta dirección c omuni c ac i ón. ✔Di pl omac i a y ✔For mac i ón y ex per i enc i a en S I buenas ✔ Ges t i ón del r i es go r el aci ones ✔ S egur i dad en r ed ✔Aut onomí a, di s c i pl i na ✔ Nor mat i v as y es t ándar es ✔Buen J ui c i o, mot i v ac i ón ✔I nt egr i dad, Téc ni c as de s egur i dad hones t i dad, ✔ Ex per i enc i a( 2 a 4 años ) r es pons abi l i dad ✔ Pr uebas de i nt r us i ón ✔For t al ez as de un “ner d”, ✔ Pr uebas I ns t i nt os de un pol i c í a ✔Venc er el par adi gma de l a “ci ma. . . . ” ✔LI DERAZGO DE NI VEL MEDI O Interacción con Usuarios y áreas de TI v ul ner abi l i dad ✔ Ges t i ón de i nc i dent es ✔ Ges t i ón de Pr oy ec t os de I nt er r el ac i ones Depende del tamaño, requerimiento, cultura Evolución Estructura Organizacional Def i ne Actividades a desarrollar a on I nt er i or Roles, Responsabilidades y Autoridad ci Def i ne ee s Po si Po Modelo de Madurez Donde es t á l a empr es a? I g nor anci a Tot al ✔Políticas desactualizadas ✔Sin entrenamiento del personal ✔Poca comunicación entre ✔ Seguridad ✔ Negocio ✔ TI ✔Convicción de que todo de por si es seguro ✔No se reportan las fallas de seguridad ✔No existe gestión, ni medición ✔Seguridad reactiva Donde es t á l a empr es a? Conci enci a ✔Iniciativas no continuas en conciencia de seguridad a la organización ✔Iniciativa no completada de un equipo de seguridad ✔Enfoque sobre la política y su revisión ✔Creencia en que la política es lo único ✔Fácil para volver a la ignorancia ✔Desarrollo de las relaciones entre TI, negocio, y seguridad ✔Desarrollo inicial de visión y misión de la seguridad en la organización Donde es t á l a empr es a? Funci onal ✔Programa estratégico de seguridad ✔Orientación a procesos, en torno a: ✔ Seguridad ✔ Riesgos ✔ Gobierno ✔Necesidades de negocio embebidas en las políticas ✔Inicio de mediciones y reportes ✔Comunicaciones con la alta gerencia ✔Diseño de la arquitectura de seguridadra de seguridad Donde es t á l a empr es a? Excel enci a ✔Cultura organizacional, involucra la seguridad ✔Seguridad orientada a ser un servicio del negocio ✔Mejoramiento continuo, basado en las mediciones, métricas, indicadores y metas ✔Se entiende el riesgo corporativa ✔Se acepta el riesgo residual ✔Programa organizacional de seguridad, seguido por la alta dirección ✔Mejoramiento continuo Donde es t á el r es pons abl e? Enf oque Técni co ✔No existe una función formal de seguridad ✔Asumida por la operación de TI ✔Reportes son realizados en áreas ✔ Operacionales o TI ✔Las labores están enfocadas en ✔ Seguridad en la red ✔ Seguridad en la operación ✔ S egur i dad en el des ar r ol l o Donde es t á el r es pons abl e? Enf oque Técni co Vicepresidente Director de TI Jefe de Soporte/ Plataforma Operación de SI Mediana/Grande Pequeña/Mediana Jefe de Desarrollo Donde es t á el r es pons abl e? Funci ones Enf oque Técni co ✔Admi ni s t r ac i ón del f i r ewal l ✔Cont r ol de ac c es o Rol / Aut or i dad ✔Pr uebas v ul ner abi l i dad ✔Rol net ament e t éc ni c o ✔Aut or i dad r el egada, y ai s l ada a s us f unc i ones ✔Poc a i nf l uenc i a en t oma de dec i s i ones ✔S e es cuc ha s ol o c uando al go c umpl i r se t enga de que ✔Moni t or eo de r ed ✔S er v i c i os de r ed. Cor r eo, I nt r anet . ✔I ns t al ac i ón y c onf i gur ac i ón de s er v i dor es y s er v i c i os Donde es t á el r es pons abl e? Enf oque Técni co/ Admi ni s t r aci ón ✔Existe un responsable de seguridad ✔Reportes son realizados en áreas ✔ Operacionales o TI ✔Las labores están enfocadas en ✔ Seguridad operacional. Alto porcentaje ✔ Gestión y Administración. Bajos porcentajes ✔ Estrategia. Bajos porcentajes Donde es t á el r es pons abl e? Enf oque Técni co/ Admi ni s t r aci ón Vicepresidente Director de TI Operación de SI Jefe de Soporte/ Plataforma Unidad de Seguridad Mediana/Grande Pequeña/Mediana Jefe de Desarrollo Donde es t á el r es pons abl e? Funci ones Enf oque Técni co/ Admi ni s t r aci ón ✔Def i ni c i ón pol í t i c as mi x t o es t ándar es ✔S egur i dad t écni co- ✔ S er v i dor es ✔Aut or i dad mas v i s i bl e, ✔ Par c hes ✔Poc a ✔ Mal war e en la ✔ I DS /I PS /Fi r ewal l t oma de dec i s i ones ✔S e en i nf r aes t r uc t ur a ges t i ón. ( Coor di nador ) i nf l uenc i a y pr oc edi mi ent os Rol / Aut or i dad ✔Rol de es c uc ha en su i nt er r el ac i ón con l as ár eas de s u mi s mo ni v el ✔Ges t i ón de r i es go de TI Donde es t á el r es pons abl e? Enf oque Admi ni s t r aci ón ✔Existe un responsable de seguridad ✔Existe un equipo multidisciplinario responsable de la seguridad ✔Administración de la infraestructura de seguridad ✔Revisión de la seguridad desde un entorno corporativo ✔Las responsabilidades de seguridad son dirigidas o supervisadas sobre las áreas Donde es t á el r es pons abl e? Auditoria RRHH TI (Soporte/Desarrollo) Seguridad (Fisica/ Electronica) Juridica Enf oque Admi ni s t r aci ón Dirección ejecutiva Mediana/Grande Gerente de TI CSI Pequeña/Mediana Director de TI CISO Operación de SI Jefe de Soporte/Plataforma Unidad de Seguridad Jefe de Desarrollo Donde es t á el r es pons abl e? Enf oque Admi ni s t r aci ón ✔Def i ni c i ón Rol / Aut or i dad ✔Rol enf oc ado a la ges t i ón. ( As es or í a) ✔Aut or i dad mas v i s i bl e, ✔I nt er ac c i ón i nf l uenc i a s obr e e ot r as ár eas ✔I nf l uenc i a en t oma de dec i s i ones ✔Comi t é s egur i dad. c ons ul t or Funci ones de pol í t i c as de es t ándar es y pr oc edi mi ent os ✔Ges t i ón de r i es go de r i es go c or por at i v o ✔Ges t i on de i nc i dent es ✔Ent r enami ent o y c onc i ent i z ac i on ✔BCM/BCP ✔Es t andar es de s egur i dad de ges t i on Donde es t á el r es pons abl e? Enf oque Ger enci al ✔Existe un responsable de seguridad ✔Existe un equipo multidisciplinario responsable de la seguridad ✔Crea un gobierno alrededor de la seguridad ✔La cultura organizacional adopta la seguridad como suya ✔La seguridad operacional es devuelta a los directos responsables ✔Mediciones exactas y claras acerca de la seguridad Auditoria RRHH TI (Soporte/Desarrollo) Seguridad (Fisica/ Electronica) Juridica Donde es t á el r es pons abl e? Enf oque Ger enci al Dirección ejecutiva CSI Mediana/Grande Gerente de TI CISO Pequeña/Mediana Director de TI Operación de SI Jefe de Soporte/Plataforma Unidad de Seguridad Jefe de Desarrollo Donde es t á el r es pons abl e? Enf oque Ger enci al ✔Def i ni c i ón Rol / Aut or i dad ✔Rol enf ocado ges t i ón ( y S oc i o a la g obi er no. es t r at égi c o. Ger ent e) ✔Aut or i dad y c ons ul t or i a ✔I nt er ac c i ón i nf l uenc i a s obr e e ot r as ár eas ✔Or i ent ac i ón al negoc i o ✔Comi t é c ons ul t or de s egur i dad. ✔I nt er ac c i ón c on ent es ext er nos Funci ones pol í t i c as de es t ándar es y pr oc edi mi ent os ✔Ges t i ón de r i es go de r i es go c or por at i v o ✔BCM/BCP ✔Mét r i c as y medi c i ones ✔Pl aneac i ón es t r at égi c a de l a s egur i dad ✔Pr oc es os de s egur i dad ✔Cumpl i mi ent o r egul ac i ones y l ey es de Vent aj as /Des v ent aj as Dentro de TI ✔I ni c i at i v as de Fuera de TI c ambi o dent r o de Ventajas ✔May or TI ✔For t al ec i mi ent o del ✔Conc i enc i a de s egur i dad a l os adi c i onal a l os de aut or i dad y v i s i bi l i dad de r es ul t ados a ni v el es de l a al t a di r ec c i ón ni v el es Desventajas ✔Choques di r ec t i v os de TI de i nt er es es ent r e ✔S egur i dad se c onv i er t e en i mpar c i al i dad i nv es t i g ac i ones en TI t r enes ent r e TI y S egur i dad de c onv er t i r s e en pr os a ✔Poc a pr of undi dad en i nv es t i gac i ón ac t i v i dades de t i empo par c i al . la de ✔Pos i bi l i dad s egur i dad y s er v i ci os de TI ✔Af ec t ada ni v el ✔Equi po de t r abaj o ( A, S I , TI ) ni v el es j ef es ✔Conf l i c t os de ✔Ent r ega Di r ec t or /Ger ent e de TI . ✔Car ga ✔Ac t i v i dad de t i empo c ompl et o en ✔Rendi c i ón de c uent as r equi er e de aut or i dad. Mez c l ando . . . . Gerencial Operacional Estratégico Táctico Aliado estratégico Admin Asesor Técnico /Admin Coordinador Técnico Operador Ignorancia Conciencia Funcional Excelencia Hábi t os buenos . . . ✔Estructura moral y ética alta mente desarrollada ✔Ser diligente y ágil para la ejecución del trabajo ✔Gestionar seguridad como un negocio ✔Paciencia como virtud ✔Hacer y hacer y hacer.... ✔Trabajo de la cultura organizacional entorno a la seguridad. ✔Recopilación de datos y saber como us ar l os Mi t os ✔Mito de la posición “..No se puede dirigir sino se esta en la cima..” ✔Mito de la influencia. “...No se puede influir por no estar en la cima..” ✔Superar el síndrome del todologo... ✔No utilizar el factor MID, para vender sus ideas ✔Enfoque autoritario, para justificar su trabajo. ✔Pocas relaciones por ser de seguridad. Encuesta Nacional de Seguridad (Colombia-Mexico Areas de Responsabilidad de la Seguridad Auditoria interna Gerente de Operaciones 25 Gerente Ejecutivo Otra 20 No especificado Director de Seguridad Informática 15 Director de Sistemas 10 Alimentos Construcción / Ingeniería Educación Gobierno / Sector público Hidrocarburos Manufactura Otra (Por favor especifique) Salud Servicios Financieros y Banca Telecomunicaciones 5 0 Retos y Conclusiones ✔Es necesario un responsable de seguridad por: ✔ Ambientes complejos y con distintas variables ✔ Cantidad de requerimientos de las partes interesadas que deben atenderse ✔ Alguien debe gobernar, gestionar y dirigir ✔ Debe garantizar la personalización de la seguridad de la información ✔Su interacción con los elementos de la organización (alta dirección, usuarios, TI), lo define como una persona multifuncional que debe dominar los lenguajes de las partes interesadas. ✔La seguridad de la información se ve en la actualidad como un elemento estratégico del negocio, que es manejado a través del proceso de la gestión del riesgo. Retos y Conclusiones ✔Las organizaciones deben realizar un autodiagnostico que les permita determinar donde se encuentran y con ello su responsable en seguridad tendrá claro lo que la organización desea y hasta donde desea llegar ✔Debe buscar definir su arquitectura de seguridad que como objetivo principal sea alinearse con el negocio. (Misión - Visión) ✔Cada vez mas encontramos que los responsables de la seguridad de la información participan en las decisiones estratégicas de la organización y reportan a la gerencia ✔El líder de la inseguridad en la organización, debe tener claro que su disciplina, constancia, y dedicación son las herramientas validas para dirigir el proceso. Retos y Conclusiones ✔Su responsabilidad y sentido de compromiso y pasión por lo que hace son sometidos a prueba todo el tiempo. ✔Tolerancia absoluta a la incertidumbre y las respuestas que no desean escuchar. ✔Romper con las premisas, como la que dice “...debo estar en la cima para dirigir....” ✔La diplomacia es una de las características mas importante que debe desarrollar nuestro responsable de seguridad en pro de la integración de las partes interesadas. Gr ac i as . . . ¿. . . . ? Ref er enc i as Bi bl i og r áf i c as ✔Chi ef S ec ur i t y Of f i c er . Gui del i ne ( 2004) . AS I S I nt er nat i onal . URL. www. as i s onl i ne. or g/gui del i nes /gui del i nes c hi ef . pdf ✔ J OHNS ON M. ERI C, GOETZ ERI C . ( 2007) Embeddi ng I nf or mat i on S ec ur i t y i nt o t he Or gani z at i on. S ec ur i t y & Pr i v ac y . Pp 16- 24. ✔ J ac k Mc Coy . ( 2004) Ar e We Ready f or a Chi ef I nf or mat i on S ec ur i t y Of f i c er ? . Di s poni bl e en: www. unc . edu/c aus e05/pr es ent at i ons /mc c oy /mc c oy . ppt ✔Chi ef I nf or mat i on S ec ur i t y Of f i c er . URL ht t p: //en. wi ki pedi a. or g/wi ki /Chi ef _i nf or mat i on_s ec ur i t y _of f i c er . ✔Chi ef I nf or mat i on S ec ur i t y Of f i c er . URL ht t p: //www. c hi ef i nf or mat i ons ec ur i t y of f i c er . c om/ ✔¿ Qué t i po de CI S O s er ? . URL ht t p: //www. bs ec ur e. c om. mx /ar t i c ul os . php? i d_s ec =59&i d_ar t =6561 ✔The Changi ng Rol e Of The CI S O? . URL ht t p: //www. i nf or mat i onweek. c om/bl og/mai n/ar c hi v es /2008/02/t he_c hangi ng_r o. ht ml ✔Qui en es el l í der de l a i ns egur i dad i nf or mát i c a? . URL. ht t p: //www. el t i empo. c om/par t i c i pac i on/bl ogs /def aul t /un_ar t i c ul o. php? i d_bl og=3516456&i d_r ec ✔A Cur r ent Vi ew of t he S t at e CI S O: A Nat i onal S ur v ey As s es s ment ” NAS CI O, S ept ember 2006. URL. ht t p: // www. nas c i o. or g/publ i c at i ons /doc ument s /NAS CI O- CI S Os ur v ey Repor t . pdf Ref er enc i as Bi bl i og r áf i c as ✔Wy l der J . ( 2004) Strategic Information Security. Addi s on Wes l ey . J ohn Wy l der ✔Kovacich G. (2003) The Information Systems Security Officer's Guide: Establishing and Managing an Information Protection Program, Second Edition. Butterworth Heinemann ✔The Gl obal S t at e of I nf or mat i on S ec ur i t y – 2007. PwC, S ept ember 2007 ✔El r ol del CI S O: Chi ef I nf or mat i on S ec ur i t y Of f i c er . URL. ht t p: //c r i adoi ndomabl e. wor dpr es s . c om/2007/11/14/el - r ol - del - c i s o- c hi ef - i nf or mat i on- s ec ur i t y ✔ 10 pr i nc i pal es r az ones por l as c ual es el CI S O r enunc i ar á en el 2008 . URL. ht t p: //c xo- c ommuni t y . c om. ar /i ndex . php? opt i on=c om_c ont ent &t as k=v i ew&i d=229&I t emi d=30 ✔What i s a Chi ef S ec ur i t y Of f i c er ? . URL. ht t p: //www. c s oonl i ne. c om/ar t i c l e/pr i nt /221739 ✔Chi ef I nf or mat i on S ec ur i t y Of f i c er . URL ht t p: //en. wi ki pedi a. or g/wi ki /Chi ef _i nf or mat i on_s ec ur i t y _of f i c er . ✔Chi ef I nf or mat i on S ec ur i t y Of f i c er . URL ht t p: //www. c hi ef i nf or mat i ons ec ur i t y of f i c er . c om/ ✔¿ Qué t i po de CI S O s er ? . URL ht t p: //www. bs ec ur e. c om. mx /ar t i c ul os . php? i d_s ec =59&i d_ar t =6561 ✔The Changi ng Rol e Of The CI S O? . ht t p: //www. i nf or mat i onweek. c om/bl og/mai n/ar c hi v es /2008/02/t he_c hangi ng_r o. ht ml URL Ref er enc i as Bi bl i og r áf i c as ✔Ar e We Ready f or a Chi ef I nf or mat i on S ec ur i t y Of f i c er . J ac k Mc COy . URL. www. unc . edu/c aus e05/pr es ent at i ons /mc c oy /mc c oy . ppt ✔Gar t ner ( 2005, S ept ember 15) . Gar t ner hi ghl i g ht s t he ev ol v i ng r ol e of CI S O i n t he new s ec ur i t y or der . Retrieved November 2, 2005 from the Gartner Web site http://www.gartner.com/press_releases/asset_135714_11.html ✔Ger mai n, J . ( 2005, Oc t ober 13) . Your next job title: CISO? Ret r i ev ed Nov ember 2, 2005 f r om t he News f ac t or Magaz i ne Web si te ht t p: //www. c i o- t oday . c om/s t or y . x ht ml ? s t or y _t i t l e=Your _Nex t _J ob_Ti t l e__CI S O_&s t or y _i d=38430 ✔Kobus , W. S . ( 2005, Nov ember 1) . Security management. I nf oS eCon c onf er enc e on Nov ember 1, ht t p: //www. t es s - l l c . c om/S ec ur i t y %20Management . pdf Pr es ent ed at t he I S S A Tr i angl e 2005 in Car y , NC. URL. ✔Hawki ns , B. L. , Rudy , J . A. , & Ni c ol i c h, R. ( 2004) . EDUCAUSE core data report: 2004 summary report. f r om Ret r i ev ed Nov ember 2, 2005 t he EDUCAUS E Web si te ht t p: //www. educ aus e. edu/i r /l i br ar y /pdf /pub8002. pdf ✔Boni , W. ( 2005, Apr i l 5) . The role of the CSO: An industry perspective. Pr es ent ed at t he EDUCAUS E S ec ur i t y Pr of es s i onal s Conf er enc e 2005. Was hi ngt on, DC. Ret r i ev ed Nov ember 2, 2005 f r om t he EDUCAUS E Web s i t e. ht t p: //www. educ aus e. edu/Li br ar y Det ai l Page/666? I D=S PC0528