Datasec - Experiencias - Cybersecurity 2013
0 recomendaciones303 vistas
Este documento resume las experiencias de implementar un programa nacional para mejorar la gestión de la seguridad de la información. Detalla los objetivos de la seguridad de la información, las razones legales para su implementación, y las restricciones que enfrentan las organizaciones públicas. Explica los hitos clave y factores críticos para el éxito como el compromiso de la alta dirección y la gestión del cambio cultural. El resumen proporciona una visión general de los temas principales discutidos en el documento.
Datasec - Experiencias - Cybersecurity 2013
- 2. Experiencias en la implementación de un programa de mejora de la gestión de la seguridad de la información a nivel nacional.
- 4. Agenda • Las experiencias. • Los objetivos y valor detrás de la SI. • Las razones legales. • Las restricciones existentes en organismos • Implantación de SGSI – Responsabilidad social • Principales Hitos. • Factores Claves
- 5. Las experiencias que consideramos. • Implantación de CERTs – Difusión de buenas practicas, capacitación, concientización. – Protección de Activos de Información Críticos del Estado. • Implantación de Buenas Practicas en Gestión de la Seguridad de la Información en Organismos Públicos. • Implantación de un conjunto mínimo de controles en los Organismos para la protección de activos críticos.
- 6. ¿Cuál es el objetivo de la SI en un organismo del estado? ¿Por qué se implementa SGSI en organismos del estado? Si el valor esperado no es el correcto, el valor obtenido nunca estará alienado! VALOR ESPERADO
- 7. ¿Por qué invierten las organizaciones en SI? • Proteger los datos de los usuarios (clientes, ciudadanos) • Prevenir caída y fallas de sistemas. • Cumplir con Requisitos legales. • Proteger la reputación de la organización. • Mantener la integridad de los datos • Continuidad del negocio en un desastre. • Proteger Propiedad Intelectual. • Oportunidades de negocios/servicios • Fuente PWC 2012
- 8. Objetivos de la seguridad de la Información: • La seguridad de la información consiste en procesos y controles diseñados para proteger información de su divulgación no autorizada, transferencia, modificación o destrucción, a los efectos de: – asegurar la continuidad del negocio; – minimizar posibles daños al negocio; – maximizar oportunidades de negocios.”
- 9. Renunció.
- 10. ¿Cuál es el valor esperado? • ¿Por qué razones fundamentales NO debemos implementar un SGSI? – Queremos obtener la certificación ISO/IEC 27001! – Nos lo solicita la casa matriz! – Existe un subsidio que nos permite justificar otros gastos! – Una legislación/regulación/contrato nos lo requiere! – Nos robaron/hackearon/etc. información y en virtud de esto queremos revisar nuestra seguridad – Pensamos que es un sistema/software/solución que nos hará estar seguro ante ataques externos.
- 11. ¿Cuál es el valor esperado? • ¿Por qué razones fundamentales SI debemos implementar un SGSI? – Somos consientes de que debemos trabajar en la seguridad de la información (de nuestros clientes,, ciudadanos, operaciones) y entendemos que debemos comenzar por su gestión! – Deseamos demostrarle a todas las partes interesadas que contamos con un adecuado sistema para la gestión de la seguridad de la información. Que se cumplen con las políticas y procedimientos establecido, solicitando auditorías anuales por parte de un tercero. – Deseamos brindar transparencia y rendir cuentas por la seguridad de la información (CID) almacenada, procesada y transmitida
- 12. La Normativa sobre Seguridad de la Información. LAS RAZONES LEGALES Datasec 12
- 13. Legislación Aplicable • Leyes de Habeas Data y Protección de Datos Personales. – Proceso de Habeas Data – Protección de los datos personales almacenados – Registro de Bases – Consentimiento Informado.. • Leyes de Transparencia y de Acceso a la Información Pública. – Establecer procedimiento para la Clasificación de la información – Publicar información Pública. – Establecer procedimientos de acceso a la información para los ciudadanos. • Existen diferentes casos en los que surgen conflictos entre ambas leyes. Datasec 13
- 14. Cliente, Ciudadanos, Funcionarios, Accionistas, Socios de Negocios, Proveedores, Gobierno, otros. ASUMIENDO QUE TENEMOS TODAS LAS BUENAS RAZONES, ¿PODEMOS HACERLO?
- 15. Restricciones que podrían afectar • Es fundamental tomar en consideración todas las restricciones que afectan a la organización y que determinan la factibilidad de desarrollar y aplicar con éxito un conjunto de planes de mejora. Los orígenes de estas situaciones pueden estar dentro de la organización, en cuyo caso ésta tiene algún control sobre ellas, o fuera de la organización y por lo tanto, en general, son poco negociables (pero deben ser igualmente identificadas). – Restricciones de naturaleza política – Restricciones de naturaleza estratégica – Restricciones territoriales – Restricciones que se originan en el clima político y económico – Restricciones estructurales (organizativas) – Restricciones funcionales – Restricciones relacionadas con el personal – Restricciones que se originan en el calendario de la organización – Restricciones relacionadas con los métodos y tecnología. – Restricciones de naturaleza cultural. – Restricciones de presupuesto
- 16. ¿Como percibimos los riesgos en américa latina? ¿Nos preocupa la privacidad realmente? ¿Son los organismos consientes de los riesgos? ¿Cuantificamos el impacto de los incidentes? RIESGOS PERCIBIDOS
- 17. Incidente Consecuencia Impacto Caída de los sistemas de Interrupción de los procesos información vitales de negocio Pérdida de imagen Error de control de acceso Fuga de información Pérdida de mercado Robo de notebooks Juicios, reclamos legales Pérdida financiera Empleados descontentos con acceso a información Divulgación de información Pérdida de confianza sensible confidencial/ estratégica
- 19. Se debe iniciar un proceso gradual, que implica un cambio cultural. La seguridad de la información, y la de sus sistemas de procesamiento, debe ser un prioridad, y parte fundamental de la responsabilidad social de las organizaciones. EL SGSI EN LA ORGANIZACIONES PUBLICAS Y PRIVADAS UNA RESPONSABILIDAD SOCIAL Datasec 19
- 20. Nuestra Experiencia- Primeras Tareas Claves a Realizar • Establecer el marco Organizacional para la Gestión de la Seguridad de la Información. – Concientizar a los actores claves. – Designar y apoderar al Comité de Seguridad de la Información y – Designar y apoderar al Responsable de Seguridad de la Información. – Establecer las responsabilidades de todos los actores involucrados. Datasec 20
- 21. Nuestra Experiencia- Primeras Tareas Claves a Realizar • Establecer las bases del marco formal. – Resolución de Políticas de: Seguridad de la Información, Gestión de Riesgos y Gestión de Incidentes. – Establecer un Procedimiento y Herramienta para el Reporte de Incidentes de Seguridad. – Establecer un Plan de Capacitación y Concientización en Seguridad • Realizar un primer Análisis de Riesgos de Seguridad en un alcance limitado. • Establecer un Plan de Seguridad Anual (gradual de mejora).
- 22. Nuestra Experiencia- Plan de Mejora Anual (Gradual) • Entre los primeros controles y tareas a realizar se encuentran: – Formalización de Políticas, Procedimientos y controles para el control de acceso físico, incorporación/egreso de RRHH . – Formalización de Políticas, Procedimientos y controles para el control de acceso lógico a sistemas/aplicaciones y documentación. – Formalización de un Plan para la continuidad Operativa. – Formalización de Procedimientos para el cumplimiento con la Legislación de Transparencia y Protección de Datos Personales. – Capacitación y Concientización del Personal – Monitoreo de la eficacia de los controles técnicos y físicos para la implementación de las políticas y procedimientos definidos. – Auditorías Externas/Revisiones de Seguridad. Datasec 22
- 23. Nuestra experiencia - Algunas prácticas recomendadas • Desarrollar un conjunto mínimo de buenas prácticas homogéneas a nivel nacional: – Política General de Seguridad de la Información para el Estado. – Política de Gestión de incidentes, riesgos, continuidad del negocio. – Formalización de roles claves (comité, responsable) • Impulsar la capacitación continua en materia de gestión de la seguridad de la información – entre otros temas - para todo el estado. • Definir un conjunto mínimo de compras (consultorías, auditorias, controles) homogéneas para los diferentes organismos.
- 24. Impulsar una cultura de la seguridad, en la que la seguridad de la información, la privacidad, la transparencia sean parte. Difundir buenas practicas en materia de seguridad de la información a nivel nacional a todos los actores de la sociedad. Impulsar la seguridad de la información como parte de la responsabilidad social de las organizaciones y las personas. A NIVEL NACIONAL.
- 25. ´ El apoyo visible y el compromiso evidente de la alta dirección ´ FACTORES CRÍTICOS DE ÉXITO Datasec 25
- 26. Factores críticos de éxito • GESTION DEL CAMBIO: Es fundamental comprender que se requiere un cambio en la forma de trabajo. Esto siempre genera turbulencias dentro de la organización, que deben ser analizadas y adecuadamente tratadas. De lo contrario, tal vez el proyecto de implantación sea exitoso, pero difícilmente su operación y mantenimiento lo sea. Finalmente, no aportará el valor esperado. Este es un cambio a nivel nacional y personal. Si los funcionarios, ciudadanos, clientes, no comprenden lo que implica, difícilmente se obtendrá el valor esperado. El desarrollo de actividades de capacitación a todos los niveles es un elemento clave del éxito a mediano plazo de estas iniciativas. Datasec 26
- 27. Factores críticos de éxito GESTION DE INDICADORES EVENTOS de EFICACIA TRATAMIENTO DE COMPROMISO RRRIESGOS OBJETIVOS CONCIENTIZACION y CAPACITACION
- 28. “SEGURIDAD DE LA INFORMACIÓN: EL QUINTO ELEMENTO EN LA ESTRATEGIA DE GOBIERNO ELECTRÓNICO DEL PERÚ”