Publicado el 16 de Mayo del 2017
1.341 visualizaciones desde el 16 de Mayo del 2017
2,6 MB
29 paginas
Creado hace 14a (10/06/2009)
Evolución de la estrategia de
seguridad de la información
basada en indicadores
Wilmar Arturo Castellanos
CGEIT, CISM, CISA
Deloitte
Agenda
• Planeación estratégica de seguridad
• Gobierno de Seguridad
•
Indicadores asociados a los objetivos estratégicos
• Enfoque para medir la evolución de seguridad en el entorno
de la gestión integral de riesgos – ERM
• Referencias
Planeación estratégica de seguridad
EVOLUCIÓN DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN
BASADA EN INDICADORES
Planeación estratégica de seguridad de la
información
A.5
100%
A.15
A.6
A.14
A.13
80%
60%
40%
20%
0%
45%
34%
26%
28%
10%
18%
31%
33%
38%
36%
A.7
A.14
49%
A.8
A.13
90%
A.5
100%
A.15
A.6
82%
62%
80%
60%
40%
20%
0%
75%
49%
60%
58%
52%
69%
76%
53%
A.7
A.8
A.12
A.9
A.12
A.9
A.11
A.10
A.11
A.10
Planeación estratégica de seguridad de la
información
Gobierno de Seguridad
EVOLUCIÓN DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN
BASADA EN INDICADORES
Gobierno de Seguridad
Objetivos
estratégicos
Objetivos
tácticos
Objetivos
operacionales
Indicadores / Métricas
Gobierno de Seguridad
• Objetivos estratégicos
– Gestión de activos
– Gestión de riesgos
– Gestión de continuidad
– Gestión del recursos humano
Gobierno de Seguridad
• Objetivos tácticos y operativos
– Gestión de acceso
– Gestión de operaciones y comunicaciones
Indicadores asociados a los objetivos
estratégicos
EVOLUCIÓN DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN
BASADA EN INDICADORES
Características de un buen indicador
Medido consistentemente, sin criterios subjetivos
Barato de obtener, preferiblemente si es automático
Expresado como un número cardinal o un porcentaje
Basado en una unidad de medida (porcentaje, horas, pesos)
Importancia de los indicadores
Lord Kelvin, Físico
“Medir es saber”
“Si no puede medirlo, no puede mejorarlo”
“Si puede medir aquello de lo que habla y puede expresarlo mediante
un número, usted sabe algo acerca del tema, si no puede medirlo, su
conocimiento es deficiente e insatisfactorio”
F. D. Rossini, Termodinámica
“La capacidad de medir es una de las más grandes habilidades del ser
humano”
Importancia de los indicadores
Galileo Galilei,
“Medir lo que es medible y hacer medible lo que aún no lo es”
Peter Drucker
“Si no puede medirlo, no puede administrarlo”
Indicadores asociados a los objetivos
estratégicos
Objetivo estratégico relacionado con: GESTIÓN DE RIESGOS DE SEGURIDAD
% de procesos cuyos activos de información
han sido identificados y clasificados
% de procesos cuyos datos privados han
sido identificados y clasificados
% de procesos cuyos activos de información
/ datos privados tienen un análisis
documentado de riesgos
% de procesos cuyos activos de información
/ datos privados tienen un plan de
mitigación documentado
% de activos de información del proceso
que han sido sujetos a un análisis de riesgos
documentado
% de activos de información del proceso
que tienen un plan de mitigación
documentado
% de sistemas que han sido certificados
% de aplicaciones del negocio que se
ejecutan en sistemas certificados
Indicadores asociados a los objetivos
estratégicos
Objetivo estratégico relacionado con: GESTIÓN SEGURA DEL RECURSO HUMANO
% de cargos que incluyen la seguridad de la
información en las responsabilidades,
habilidades
% de cargos que incluyen la seguridad de la
información en las evaluaciones de
desempeño
% de usuarios x área que han completado el
background check antes de tener acceso a
la información
% de usuarios que completaron plan de
educación, conciencia y entrenamiento en
seguridad en el último año
Indicadores asociados a los objetivos
estratégicos
Objetivo estratégico relacionado con: SEGURIDAD DE APLICACIONES / ACCESO
% de aplicaciones acreditadas
% de aplicaciones que cuyo acceso se
controla basado en roles
% de aplicaciones evaluadas en el último
año
% de aplicaciones cuyos usuarios y
privilegios han sido certificados en el último
año por los dueños
Objetivo estratégico relacionado con: CONTINUIDAD
% de procesos cubiertos por un análisis de
impacto al negocio
% de procesos que tienen definidas las
estrategias de continuidad con base en un
BIA
Indicadores asociados a los objetivos
estratégicos
Objetivo estratégico relacionado con: SEGURIDAD EN OPERACIONES
% de proveedores con auditoría
independiente de seguridad en el último
año (p. e. SAS70)
% de proveedores cuyos contratos
contienen cláusulas de seguridad,
privacidad, continuidad y derecho a
auditoría independiente
% de aplicaciones con procesos periódicos,
eventuales y emergenciales documentados
% de servicios con acuerdos de nivel de
servicio definidos
Enfoque para medir la evolución de
seguridad en el entorno de la
gestión integral de riesgos – ERM
EVOLUCIÓN DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN
BASADA EN INDICADORES
Evolución de seguridad en el entorno de
la gestión integral de riesgos – ERM
COMPONENTES
A
Gobierno del riesgo
B
Estrategia de riesgos
E
D
C
Evaluación de riesgos
F
Actividades de Control
Información y
comunicaciones
G
H
Monitoreo y reporte
Fuente: COSO ERM Integrated Framework September 2004
Evolución de seguridad en el entorno de
la gestión integral de riesgos – ERM
Actividades de Control
• Arquitectura
• Gestión de activos
• Gestión de continuidad
del negocio
• Gestión de cambios
• Contratación y
outsourcing
• Seguridad de la
información
• Recurso humano
• Gestión de riesgo
• Operaciones
• Seguridad física y
ambiental
• Protección de datos y
privacidad
• Gestión de incidentes
• Gestión de proyectos
• Gestión de registros
• Cumplimiento
Evolución de seguridad en el entorno de
la gestión integral de riesgos – ERM
Objetivos de
control
Unificación de
requerimientos
Eliminación de
redundancias
Medición estándar
por componente
Requerimiento
común
Requerimiento
específico
Requerimiento
específico
Requerimiento
específico
Requerimiento
específico
Objetivo de
control
Actividad de
control
Prueba del
control
Regulatorios
Estándares
de Industria
(PCI, BITS, etc)
Prácticas
comunes
(COBIT, ISO, etc.)
Gobierno del riesgo
Estrategia de riesgos
Evaluación de riesgos
Actividades de Control
Información y
comunicaciones
Monitoreo y reporte
Evolución de seguridad en el entorno de
la gestión integral de riesgos – ERM
• Algunos ejemplos
Risk Governance-Risk Profile
Gobierno del riesgo
• Estrategia (COBIT)
• Política de seguridad
• Política de control de acceso
• Política de intercambio de información
• Roles y responsabilidades (AICPA/CICA)
• Etc.
Governance Bodies
Medium
Investment Planning
Metrics
Policies & Guidance
Low
Portfolio Management
Project Management
Evolución de seguridad en el entorno de
la gestión integral de riesgos – ERM
Estrategia de riesgos
• Programa de gestión de registros (ISO
15489)
• Estrategias de relación con interesados
(BS25999)
• Cumplimiento legal
• Etc.
Risk Strategy-Risk Profile
Business Drivers
Program Charter
Medium
Readiness Planning
Vision & Roadmap
Medium
Evolución de seguridad en el entorno de
la gestión integral de riesgos – ERM
Evaluación de riesgos
• BIA (BS25999)
• Enfoque de gestión de riesgos (COBIT)
• Respuesta al riesgo (COSO ERM)
• Declaración de aplicabilidad
• Visitas de evaluación de riesgos
periódicas
• Evaluación documentada y actualizada de
riesgos de seguridad (ISO2000)
• Etc.
Risk Assessment-Risk Profile
Event Identification
Requirements & Risk Libraries
Risk Analysis
Risk Response
Evolución de seguridad en el entorno de
la gestión integral de riesgos – ERM
Actividades de Control
• Aseguramiento de aplicaciones
• Sistema de control de acceso (PCI-DSS)
• Computación móvil y teletrabajo
• Configuración de firewalls y routers (PCI-
DSS)
• Encripción en redes wireless (PCI-DSS)
• Seguridad en sistemas operativos
• Gestión de contraseñas
• Disponibilidad de información privada en
emergencias (HIPAA)
• Captura de registros (ISO15489)
• Protección de medios físicos
• Intercambio electrónico de información
• Activación de pistas de auditoría
• Etc.
Control Activities-Risk Profile
Access Control
Medium
Communications & Operations
Mgmt.
Configuration Management
Crisis & Incident Management
Identity Management
Infrastructure Security
IS Acquisition Dev. &
Maintenance
Mobile Security
Organization (Program)
Low
Low
Low
Low
Low
High
Medium
Medium
Vulnerability Management
Low
Evolución de seguridad en el entorno de
la gestión integral de riesgos – ERM
Información y comunicaciones
• Definición y divulgación de
responsabilidad de usuarios por el control
de acceso
• Cultura de continuidad del negocio
(BS25999)
• Programa de educación y entrenamiento
(BS25999)
• Competencia, conciencia y entrenamiento
de los proveedores (ISO20000)
• Competencia del personal, roles y
responsabilidades (COSO ERM)
• Etc.
Information & Communications-Risk Profile
Communications Strategy
High
Information Strategy
Medium
Integration with Operations
Medium
Evolución de seguridad en el entorno de
la gestión integral de riesgos – ERM
Monitoring & Reporting-Risk Profile
Monitoreo y reporte
• Procedimientos de monitoreo
• Monitoreo de terceros
• Auditorías independientes
• Definiciones del regulador (COSO ERM)
• Accountability (PCI-DSS)
• Revisión wireless (PCI-DSS) de wireless
• Monitoreo y reporte (COBIT)
• Etc.
Corrective Action Planning
Key Risk Monitoring
Loss Event Tracking
Reporting
Testing
Low
Referencias
• Security Metrics, Andrew Jacquith, Addison Wesley, 2007
• Enterprise Security Architecture, Sherwood, Clark, Lynas, 2005
•
IT Governance Institute
• COBIT
•
•
ISO 20000
ISO27001 - ISO27002
• Deloitte IT Risk Management Framework
Comentarios de: Evolución de la estrategia de seguridad de la información basada en indicadores (0)
No hay comentarios