MTI. Israel Sotelo Ruiz

Cumplimiento en base a la administración de riesgos

Evolución en México

2003 – Rol CISO

El rol de Chief Information Security Officer (CISO) es evaluado para mejorar la seguridad de la s empresas.

2004 – Fabricantes de controles de seguridad

Se definen estrategias para áreas de TI

Evaluación de diferentes propuestas de fabricantes para construir el departamento de seguridad de la información

Desarrollo un grupo de trabajo para definir el equipo de seguridad de la información basado en controles de seguridad

2004 2005

Basado en controles Basado en Mejores practicas Actividades de ISM bajo el programa de seguridad de la

información

2012

2005 - 2008 –Desarrollo de los proceso de ISM

Definición de procesos de ISM como parte de la evolución del modelo de seguridad de la información (Enfocado a disponibilidad), se comienza con el cumplimiento de auditorias SOX

2009 2011

2004 – Creación del área de ISM en TI

Un área formal de seguridad de la información es creada ISM (Information Security Area) bajo la organización de operaciones de TI.

2006 2008 2007 2013 2010

2009 –Uso de mejores practicas ISO27001

• Iniciativas y modelo de ISM basado en mejores practicas

2011 2012 –Definición del proceso de administración de riesgos.

• Operación formal del proceso de administración de riesgos como el corazón del programa de seguridad

• Creación del comité de seguridad de la información

2013– Programa de seguridad de la información

• Actividades de ISM guiadas por un programa de seguridad de la información basado en la norma ISO27001.

• Nuevo alcance para el departamento de ISM (No solo IT)

• Certificación del resto de los procesos y servicios de TI bajo la norma ISO27001

2014

Evolución de la seguridad de la información en México

2015

Temas que retrasan la evolución de la seguridad de la información en Mexico

• “Profesionales de seguridad” con un enfoque 100% operativo.

• Industria vendiendo seguridad como producto hacia el usuario final

• Profesión prostituida porque esta de “moda” porque es un mercado en crecimiento que

te puede dejar buenos dividendos

• Solo se deben de seguir mejores practicas de seguridad para contar con el menor nivel de riesgo aceptado por la alta dirección (CERT, SANS, etc..)

• El ámbito de la seguridad de la información se limita a Controles internos (Firewall, IPS, AVs)

Si tu piensas que la tecnología puede resolver tus problemas de seguridad, entonces tu no entiendes los problemas y tu no entiendes la tecnología.. Bruce Schneier

• Conozco la madurez de la seguridad de la información de mi empresa en base a las

auditorias que me realiza una entidad externa. (SOX compliance, LFPDPPP…)

• Primero desarrollo para que funcione la aplicación que es lo importante ya después veo lo de seguridad si es que me lo piden.

• Profesión creciendo demasiado rápido sin dar un seguimiento a los profesionales del área después de su certificación.

• Área de recursos humanos sin capacitación para contratación de profesionales de seguridad de la información.

• Academia con falta de maestros capacitados dentro de las carreras de seguridad de la información (iniciativa privada).

• Competencia desleal y plagio de programas de seguridad

Temas que retrasan la evolución de la seguridad de la información en Mexico

Al final la mayoría de los temas resultan en la falta de un programa de seguridad de la información que sea actualizado y

mantenido por un proceso de administración de riesgos

Perspectiva del Riesgo

Muchas personas creen que sus hijos están en riesgo de que les den dulces envenenados por extraños en hallowen, mas allá de que no existe ningún caso documentado de que esto sucedió alguna ves..

Si llegaran a existir algunos ataques de tiburón a surfistas y se pone de moda la película de tiburón en 3D, de repente la gente esta preocupada y no quiere meterse al mar a nadar...

De echo hay mas muertes cada año por ataques de cerditos que por tiburones, lo cual nos muestra que tan mal se pueden llegar a evaluar los riesgos.

La gente toma decisiones de seguridad basados en su percepcion del riesgo en lugar del riesgo real y esto puede resultar en malas decisiones, esto aplica de igual manera para tecnologias de informacion y los administradores que gestionan su operacion en el dia a dia

Muertes en USA por diferentes casos al año

Ataque al corazón 725,192 Cáncer 549,838

Diabetes 6 8,399 Gripa y neumonía 63,730

Accidentes en carro 41,700 Asesinato 15,58 6

HIV 14,478 Envenenamiento 5000

Incendios en residencias 3465 Accidentes aéreos 6 3 1 Accidentes de tren 530

Inundaciones 139 Rayos 87

Tornados 82 Huracanes 27

Ataque de perros 18 Picaduras de víbora 15 Ataques de cerdos 0.7

Ataque de tiburones 0.6

Fuente Beyond Fear. Bruce Schneier

Cumplimiento en base a administración de riesgo

La administración de riesgos es el mayor facilitador sobre temas de cumplimiento ya que el riesgo es el único lenguaje de

la seguridad de la información que es entendido por el resto de las áreas de una organización

Área de cumplimiento

Auditoria SOX Externa

Control Intterno

Auditoria SOX Interna

Model Clauses

Evaluación de

procesos ISO 27001

IFAI

Ley de proteccion de

datos

NVA

Interno y Externo

Requerimientos de auditoria y cumplimiento

1.identificación de activos

-Identificación de activos a nivel mundial

-Creación de repositorio central de activos

-Identificación de activos críticos

2.Evaluacion de riesgos-Identificación de amenazas

-Identificación de vulnerabilidades

-Identificación de nivel de riesgo

-Aceptación de riesgo por alta dirección

3.Analisis de riesgo-Identificación de controles internos

-Análisis costo beneficio

4.Creacion de política de

seguridad-Creación de política de seguridad en base a

resultados de evaluación de riesgos

5.Implementacion

de controles internos-Selección de controles internos que soporten

las política de seguridad

-Implementación de controles internos a nivel

técnico y administrativo

6. Auditoria sobre política

de seguridad- Validación complimiento de controles

internos contra política de seguridad

Administración de riesgos

Administración de riesgos

• Homologación de criterios

• Falta de capacitación sobre el tema de riesgo en los equipos de auditoria

• Gobierno de seguridad no establecido (falta de roles y responsabilidades)

• Pocos recursos para cumplimiento

• Controles de auditoria duplicados

Retos del cumplimiento en base a la administración de riesgos

Proceso de administración de

riesgos

Sin Adm de riesgos Con Adm de riesgos

Remediaciones reactivas para las auditorias

Cumplimiento transparente de auditorias

Política basada en estándares Política basada en administración de riesgos

Sin responsabilidad sobre remediaciones

Seguimiento puntual de remediaciones

Sin centralización de riesgos Una sola consola y proceso para la administración de riesgos

Diferente criterio de auditoria

Todos los criterios de la auditoria basados en la administración de riesgos

Presupuesto asignado a remediaciones basado en incidentes

Remediaciones proactivas que evitan tener un incidente que supere los presupuestos para controles.

Sin roles y responsabilidades o una estructura estable y mejorable sobre seguridad de la información

Sistema de gobierno de seguridad de la información basado en programa de seguridad de la información

Norma

ISO27001

Cumplimiento

SoD SAP

Auditoria

Control de

acceso SAP

Comité de

seguridad

Cumplimiento

SOX

Network

Vulnerability

Assessment

Nuevas

auditorias y

cumplimiento

• Perfiles por activo critico

• Criterio de riesgo homologado

• Análisis de Impacto al Negocio

• Análisis de riesgo

• Priorización remediación del riesgo

• Correlación de riesgos

• Centralización y correlación de riesgos •Eliminación de controles de auditoria duplicados

Actualizacion de politicas de seguridad

Seleccion de controles de seguridad

• Creación de la política basado en los

resultados de la administración de

riesgos

• Optimización de controles basados

en los riesgos específicos de CertUit

Administración de riesgos Beneficios y estructura

Madurez del programa de seguridad en base a la administración de

riesgos

Plan de recuperación

de desastres

Seguimiento

programa

Auditoria y

cumplimiento

Control Interno

Políticas de

Seguridad

Análisis de riesgo

Evaluación de

Riesgo

Identificación de

procesos críticos

Gobierno

Pro

gra

ma

de

co

nc

ien

tiza

ció

n

Gru

po

de

res

pu

es

ta a

inc

ide

nte

s

Área de cumplimiento

Auditoria SOX

Externa Control Interno

Auditoria SOX

Interna

Model Clauses

Evaluación de

procesos

ISO 27001

IFAI

Ley de protecció

n de datos

NVA

Interno y

Externo

1.identificación de activos

-Identificación de activos a nivel mundial

-Creación de repositorio central de activos

-Identificación de activos críticos

2.Evaluacion de riesgos-Identificación de amenazas

-Identificación de vulnerabilidades

-Identificación de nivel de riesgo

-Aceptación de riesgo por alta dirección

3.Analisis de riesgo-Identificación de controles internos

-Análisis costo beneficio

4.Creacion de política de

seguridad-Creación de política de seguridad en base a

resultados de evaluación de riesgos

5.Implementacion

de controles internos-Selección de controles internos que soporten

las política de seguridad

-Implementación de controles internos a nivel

técnico y administrativo

6. Auditoria sobre política

de seguridad- Validación complimiento de controles

internos contra política de seguridad

Administración de riesgos

Ve que tus conversaciones con otras áreas sean en base al riesgo Busca que tu principal patrocinador sea el área de Legal Mantén una metodología de evaluación de riesgos sencilla y consensada con el comité de seguridad de la información Trata de mantener una sola consola de administración de riesgos y que la gente que la administra tenga el criterio de riesgo bien documentado y entendido. Implementa ISO27001 para fortalecer tu programa de seguridad, ve que legal soporte el ISO27001 como tema de cumplimiento en base a eso ve agregando mas procesos críticos.

GRACIAS

Preguntas?

Israel Sotelo Presidencia AMSI

CISSP: Certified Information Security Professional

CISA: Certified Information Systems Auditor

CISM: Certified Information Security Manager

CGEIT: Certified in the Governance of Enterprise IT

CCSA: Check Point Certified Security Administrator

FCNSA: Fortinet Certified Network Security Associate

ISO27001 Lead Auditor.