Entendiendo un Modelo de Soluciones de Seguridad en Informática Estrategia
Cumplimiento Regulaciones Reducir Riesgos Reducir Costos Administrativos Mejorar Eficiencia de Procesos Asegurar Propiedad Intelectual Asegurar Información Cliente Defenderse Contra Dsiputas Legales Retorno de la Inversión Política
Cumplimiento Regulaciones Reducir Riesgos Limitar Exposición Legal Cumplimiento Personas Observancia y Recurso Reglas Claras Consecuencias Claras Línea Base Para Reglamento Arquitectura
Mejorar Eficiencia de Procesos Reducir Costos Administrativos Costo de Propiedad Uso de las Tecnologías Cumplimiento Estándares Administración Integrada Proceso de Actualización y Soporte Retorno de la Inversión Diseño
Rendimiento Importancia Técnica Cumplimiento Estándares Herramientas Integradas Licenciamiento Uso de las Tecnologías Proceso de Actualización y Soporte Facilidad de Uso Escalabilidad Flexibilidad Soporte Multi-Plataforma Implementación
Rendimiento Importancia Técnica Cumplimiento Estándares Herramientas Integradas Uso de las Tecnologías Proceso de Actualización y Soporte Facilidad de Uso Escalabilidad Flexibilidad Costo Licenciamiento Negocio Técnico
“Muchas compañías de tecnología de información han desarrollado tecnologías para manejar los retos de los negocios. Sin embargo, muchas de esas tecnologías sólo atienden necesidades específicas dentro de todo el ambiente de seguridad de la información. Pocas compañías tienen desarrolladas tecnologías para integrar, fácilmente, con otras tecnologías…para ayudar a proveer un más uniforme, más controlado y, por tanto, más seguro ambiente operativo.”
Especialista en Seguridad, PricewaterhouseCoopers
Estándares (Gp:) Clasificación de Activos y su Control
(Gp:) Personal de Seguridad
(Gp:) Seguridad Física y Ambiental
(Gp:) Administración y Operación de Comunicaciones
(Gp:) Control de Acceso
(Gp:) Desarrollo y Mantenimiento de Sistemas
(Gp:) Contingencia “Business Continuity”
(Gp:) “Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría
El Modelo es la Aplicación de Estándares (Gp:) Políticas de Seguridad y Seguridad Organizacional
Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, síntoma de rendimiento deficiente, oportunidad de mejoramiento)
Controles: Son políticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable. Riesgos y Controles de Procesos RIESGOS CONTROLES Para identificar los riesgos se clasifican en: De negocio Financieros Operativos De cumplimiento Fraude
Para identificar los controles se clasifican en: Informática Atribuciones Procedimientos Documentación Sistema de información gerencial ACTIVIDAD
(Gp:) Probabilidad e Impacto del Riesgo (C) (Gp:) 1 2 3 (Gp:) 3 2 1 (Gp:) IMPACTO EN LA ORGANIZACION (Gp:) PROBABILIDAD DE OCURRENCIA (P.O) (Gp:)
1 Es poco probable que ocurra 2 Es medianamente probable que ocurra 3 Es altamente probable que ocurra (Gp:)
1 Sería de bajo impacto 2 Sería de mediano impacto 3 Sería de alto impacto (Gp:) IMPACTO EN LA ORGANIZACIÓN (I)
P R O B A B I L I D A D (Gp:) CALIFICACION DEL RIESGO
(Gp:) Alto (Gp:) 3
(Gp:) Medio (Gp:) 2
(Gp:) Bajo (Gp:) 1
(Gp:) Riesgo Remanente (R) (Gp:) SITUACION ACTUAL (SA) DEL CONTROL INTERNO (Gp:) 1 Cubre en gran parte el riesgo 2 Cubre medianamente el riesgo 3 No existe ningún tipo de medida (Gp:) SITUACION ACTUAL- CONTROL INTERNO (Gp:) 1 2 3 (Gp:) 9 6 3 (Gp:) C R I T I C I D A D (Gp:) D E L
R I E S G O
Matriz de Evaluación de Riesgos
El Estándar de Seguridad – ISO 17799 El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000.
El estándar hace referencia a diez aspectos primordiales para la seguridad informática.
Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad Personal, Seguridad de la Organización, Administración de Operaciones, Control y Clasificación de la Información y Políticas de Seguridad.
ESTANDAR ISO 17799 – Políticas (Gp:) Políticas de Seguridad y Seguridad Organizacional
Políticas de Seguridad: Documento de la Política de Seguridad Revisión y Evaluación
Seguridad Organizacional Infraestructura Ente colegiado de Seguridad Informática Coordinación de Seguridad Informática Nombramiento de Responsables de SI Proceso de autorización para oficinas de SI Personal especializado en SI Cooperación entre Organizaciones Revisión independiente de SI Seguridad de Ingreso a Terceros Identificación de riesgos por Ingreso de 3ros Requisitos en Contratos con 3ros Outsourcing Requisitos en Contratos de Outsourcing
ESTANDAR ISO 17799 – Clasificación de Activos Responsabilidad por Activos Inventario de Activos
Clasificación de Información Guías de Clasificación. Manipulación y marcación de Información
(Gp:) Clasificación de Activos y su Control
| Página siguiente |