4. Protección de los activos de Información
Relación entre los resultados del GSI y las responsabilidades de la Gerencia Nivel gerencial
Alineamiento estratégico
Gestión del riesgo
Junta Directiva
Requerir una alineación comprobable
- Instituir la tolerancia al riesgo - Supervisar la política de gestión del riesgo - Verificar el cumplimiento regulatorio
Requerir información del costo de las actividades de seguridad
Requerir información de le efectividad de la seguridad
Instituir una política de gestión del conocimiento y utilización de los recursos
Supervisar la política de integración del proceso de aseguramiento
Gerencia Ejecutiva
Instituir un proceso para integrar la seguridad con los objetivos del negocio
- Asegurar que los roles y responsabilidades incluyan la gestión del riesgo en todas las actividades - Monitorear el cumplimiento regulatorio
Requerir el estudio de casos de negocio de las iniciativas de seguridad
Requerir el monitoreo y medición de las actividades de seguridad
Garantizar un proceso para capturar el conocimiento y mediciones eficientes
Proveer supervisión de todas las funciones de aseguramiento y planes de integración
Comité Gerencial
- Revisar y asistir los esfuerzos de la estrategia de seguridad e integración
Identificar riegos emergentes, promover las prácticas de seguridad en la unidades de negocio e identificar problemas de cumplimiento
Revisar la adecuación de las iniciativas de seguridad para cubrir las funciones de negocio
Revisar y proponer si las iniciativas de seguridad alcanzan los objetivos de negocio
Revisar los procesos para captura del conocimiento y su divulgación
- Identificar procesos de negocio críticos y los proveedores de aseguramiento
Desarrollar la estrategia de seguridad, vigilar el programa y las iniciativas y coordinar con los dueños de los procesos de negocio para un alineamiento continuo.
- Verificar las evaluaciones del riesgo e impacto al negocio - Desarrollar estrategias de mitigación de riesgo - Exigir el cumplimiento de políticas y regulaciones
Monitorear la utilización y la eficiencia de los recursos de seguridad
- Desarrollar le implementar métodos de monitoreo y mediciones - Dirigir y monitorear las actividades de seguridad
Desarrollar tanto métodos para captar y divulgar el conocimiento y mediciones para determinar la eficacia y eficiencia
- Coordinar con otros proveedores de aseguramiento
Evaluar e informar el grado de alineación
Evaluar e informar sobre las prácticas de gestión del riego y sus resultados
Evaluar e informar sobre la eficiencia
Evaluar e informar el grado de mediciones realizadas y los indicadores utilizados
Evaluar e informar sobre la eficiencia de la gestión de recursos
Evaluar e informar sobre la efectividad del proceso de aseguramiento realizado por las distintas áreas de
- Garantizar que los usuarios den apoyo a la integración CISO/Gestión de seguridad de información
Ejecutivos de Auditoria
Entrega de valor
Medición del desempeño
Gestión de recursos
Aseguramiento del proceso
- Dirigir los esfuerzos de integración de aseguramiento
- Garantizar que se identifiquen y resuelvan las brechas, los vacíos y las deficiencias
Gestión de Seguridad de la Información Visión General Gestión de Continuidad
Gestión de Incidentes
Gestión de Cambios
Gestión de Configuraciones
Gestión de Capacidad
Monitoreo y Seguimiento
Política de Seguridad
Planificación
Implementación
Mantenimiento
Evaluación
Gestión de Niveles de Servicio
Gestión de Seguridad de la Información
Interrelaciones
Visión General
Gestión de Continuidad
Gestión de Incidentes
Gestión de Cambios
Gestión de Configuraciones
Gestión de Capacidad
Gestión de Niveles de Servicio
Monitoreo y Seguimiento
Debe existir una estrecha relación entre la Gestión de la seguridad y otros procesos de TI con el objetivo de: •
•
Política de Seguridad
Planificación
Implementación
Mantenimiento
Evaluación
Fuente: ITIL v3
Estos conozcan los estándares de seguridad asociados a cada servicio. Se establezcan y cumplan los requisitos de seguridad necesarios para el correcto funcionamiento del negocio.
Gestión de Seguridad de la Información Visión General
Gestión de Continuidad
Gestión de Incidentes
Gestión de Cambios
Gestión de Configuraciones
Gestión de Capacidad
Gestión de Niveles de Servicio
Monitoreo y Seguimiento Todo el proceso debe ser monitoreado para asegurar que: •
Monitoreo y Seguimiento •
Política de Seguridad
Planificación
Implementación
Mantenimiento •
Evaluación
Se cumplen los requisitos de seguridad establecidos en los SLAs, OLAs y Ucs. El personal está correctamente informado sobre los protocolos de seguridad establecidos. Se cumple y actualiza regularmente el Plan de Seguridad
Gestión de Seguridad de la Información Visión General
Gestión de Continuidad
Gestión de Incidentes
Gestión de Cambios
Gestión de Configuraciones
Gestión de Capacidad
Gestión de Niveles de Servicio
Política de Seguridad de Información Es fundamental establecer una clara Política de Seguridad de Información que: •
Monitoreo y Seguimiento •
Política de Seguridad
Planificación
Implementación
Sus objetivos se alineen con la del negocio en su conjunto. Se coordinen correctamente todos los procesos de TI.
Mantenimiento •
Evaluación
Se establezcan y asignen recursos y responsabilidades .
Gestión de Seguridad de la Información
Planificación
Visión General
Gestión de Continuidad
Gestión de Incidentes
Gestión de Cambios
Gestión de Configuraciones
Gestión de Capacidad
Gestión de Niveles de Servicio
La Gestión de Seguridad debe: •
Monitoreo y Seguimiento •
Política de Seguridad
Planificación
Implementación
Mantenimiento
Evaluación
Elaborar un Plan de Seguridad que reúna las necesidades de los usuarios , los protocolos de acceso a la información. Colaborar con la Gestión de Niveles de Servicio en la elaboración de los SLAs, contratos de soporte.
Gestión de Seguridad de la Información
Implementación
Visión General
Gestión de Continuidad
Gestión de Incidentes
Gestión de Cambios
Gestión de Configuraciones
Gestión de Capacidad
Gestión de Niveles de Servicio
La Gestión de Seguridad es responsable de: •
Monitoreo y Seguimiento
Política de Seguridad
Planificación
Implementación
•
Aplicar las medidas de seguridad establecidas en la política y Plan de Seguridad. Formar al personal respecto a los procedimientos de seguridad y acceso a la información.
Mantenimiento •
Evaluación
Colaborar en la resolución de incidentes relacionados con la seguridad
Gestión de Seguridad de la Información
Mantenimiento
Visión General
Gestión de Continuidad
Gestión de Incidentes
Gestión de Cambios
Gestión de Configuraciones
Gestión de Capacidad
Gestión de Niveles de Servicio
La Gestión de Seguridad debe supervisar todo el proceso: •
Monitoreo y Seguimiento
•
Política de Seguridad
Planificación
Implementación
Para hacer cumplir los estándares de seguridad acordados con usuarios y proveedores internos/externos. Para que los equipos y procedimientos estén actualizados.
Mantenimiento •
Evaluación
Elevando RFCs (Solicitudes de Cambio) a la Gestión de Cambios para mejorar los niveles de seguridad o para adecuarlos a nuevos desarrollos tecnológicos.
Gestión de Seguridad de la Información
Evaluación
Visión General
Gestión de Continuidad
Gestión de Incidentes
Gestión de Cambios
Gestión de Configuraciones
Gestión de Capacidad
Gestión de Niveles de Servicio
La Gestión de Seguridad debe evaluar el proceso para: •
Monitoreo y Seguimiento •
Política de Seguridad
Planificación
Implementación
Garantizar que se cumplen los planes y procedimientos establecidos. Informar a los usuarios y al área de TI de posibles vulnerabilidades o errores procedimentales.
Mantenimiento
Evaluación
Es recomendable que la evaluación interna se complemente con auditorías de seguridad externas realizadas por personal independiente de la Gestión de Seguridad.
Gestión de Seguridad de la Información Introducción y Objetivos
Los principales objetivos de la Gestión de la Seguridad se resumen en: Diseñar una política de seguridad, en colaboración con usuarios y proveedores correctamente alineada con las necesidades del negocio. Asegurar el cumplimiento de las normas de seguridad acordados. Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.
Gestión de Seguridad de la Información Introducción y Objetivos
Principales beneficios de una correcta GSI:
Principales dificultades a la hora de implementar la GSI se resumen en:
• • •
• • •
• •
•
•
•
Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera. Se minimiza el número de incidentes. Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos. Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios. Se cumplen los reglamentos sobre protección de datos. Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.
No existe el suficiente compromiso de todos los miembros de l área de TI con el proceso. Se establecen políticas de seguridad excesivamente restrictivas que afectan negativamente al negocio. No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, ...). El personal no recibe una formación adecuada para la aplicación de los protocolos de seguridad. Falta de coordinación entre los diferentes procesos lo que impide una correcta evaluación de los riesgos.
Gestión de Seguridad de la Información Proceso
La Gestión de la Seguridad esta estrechamente relacionada con prácticamente todos los otros procesos TI y necesita para su éxito la colaboración de toda la organización. Para que esa colaboración sea eficaz es necesario que la Gestión de la Seguridad: Establezca una clara y definida política de seguridad que sirva de guía a todos los otros procesos. Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos. Implemente el Plan de Seguridad. Monitorice y evalúe el cumplimiento de dicho plan. Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades. Realice periódicamente auditorías de seguridad.
Control del Proceso
Entre la documentación generada cabría destacar: Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de los SLAs, OLAs y UCs en vigor. Relación de incidentes relacionados con la seguridad calificados por su impacto sobre la calidad del servicio. Evaluación de los programas de formación impartidos y sus resultados. Identificación de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI. Auditorías de seguridad. Informes sobre el grado de implementación y cumplimiento de los planes de seguridad establecidos.
Auditoría a la Gestión de Seguridad de la Información
Auditoría a la Gestión de Seguridad de la Información
Custodios de los datos Administrador de la Seguridad Usuarios de los datos Autorizaciones documentadas Definición de los derechos de acceso de empleados Estándares de acceso
Auditoría a la seguridad de la infraestructura de red
Auditoría a los accesos remotos
Auditando los “puntos de presencia” en internet
Pruebas de penetración a la red
Revisión de los análisis realizados a toda la red
Análisis de las redes LAN
Desarrollo y autorización a los cambios en la red
Cambios no autorizados
Auditoría a los controles ambientales
Detectores de humo y agua Extintores manuales Sistemas de supresión de fuego Inspección regular del Departamento de Bomberos Cielorasos, paredes y pisos del sitio de procesamiento resistentes al fuego Protectores de voltaje
Exposiciones y Controles de Acceso Físico
Exposiciones de acceso físico
Ingreso no autorizado Daño, vandalismo o robo de equipos y documentos Copia u observación de información sensitiva Alteración de equipos o información sensitiva Revelación pública de información sensitiva Abuso de los recursos de procesamiento de datos Chantaje Malversación
Recapitulación
E-mail:
[email protected]
