Seguridad de información en los procesos de negocio

Seguridad de Información en los Procesos de Negocio de la Organización

David Treviño

Agenda Introducción Visión Holística Procesos de Negocio ¿Porqué la seguridad en los procesos de Negocio? Marco de Referencia Conclusiones

Citas

!La seguridad no es un producto, es un proceso". Bruce Schneier. Experto en seguridad.

!La seguridad es una travesía, no un destino." Microsoft.

!La seguridad no es un problema de tecnología, es un problema de gente y de administración". Kevin Mitnick. Conocido !Hacker"

!Cuando se trata de seguridad digital, no existe algo como una defensa impenetrable. Pero se pueden mitigar los riesgos siguiendo sólidas practicas operativas". Cristopher A.R. Darby. @Stake

RECORDEMOS

La seguridad de Información soporta la misión del negocio La seguridad de Información es un elemento integral de una

administración sólida Los dueños de recursos de información tienen responsabilidades

relacionadas con seguridad fuera de su propia organización La responsabilidad y la asignación de la misma en seguridad de

información debe ser establecida claramente La seguridad de información requiere de un enfoque integral y

completo La seguridad de información debe ser re-evaluada

periódicamente La seguridad de información se encuentra limitada por factores

sociales y de cultura

Fuente: OCDE

Visión Holística

ISO 27002/17799 La administración de seguridad requiere como mínimo

la participación de todos los miembros de una organización.

Clientes + Accionistas + Proveedores Consejo de especialistas en la materia

Visión Holística

La seguridad de información esta caracterizada por la preservación de: confidencialidad, integridad y disponibilidad

Para ello, se requiere de Metodología (Métodos, procesos, políticas)

Antropología (Gente)

Tecnología

Buenas noticias

La administración general no requiere aprender de los aspectos técnicos de las amenazas digitales

Sin embargo debe administrar riesgos

Introducción

Para muchos ejecutivos, se considera a la seguridad de información un problema de tecnología, no un problema de negocio.

¿Está funcionando este enfoque? De acuerdo a reporte de empresa de antivirus, hasta el

mes de noviembre de este año (2010) se han creado 20 millones de variantes de código malicioso.

El software de uso común sigue teniendo huecos (por ejemplo: Adobe Reader es la aplicación más explotada en el mundo por código malicioso)

El cibercrímen sigue creciendo y está saludable

¿Dónde está el reto?

La seguridad por si misma no ofrece valor de negocio, típicamente reduce la pérdida de valor de negocio.

Factores económicos: Masificación, economías de escala. Es rentable explotar software altamente usado.

Las decisiones respecto al nivel de seguridad razonable en un ambiente de negocio se toma de una forma en que es neutral al valor. No se considera el valor perdido de negocio.

Enfoque Tradicional

Identificar Activos

Definir Uso

Controlar Acceso

Insistir en Software Seguro

Saber que SW corre

Probar y Medir

Planear y Responder

Causa Raiz

Proceso General Simplificado de Administración de Riesgos

Identificar activos digitales y decidir que tanta protección requieren ¿cuáles son los activos digitales? Algunos no son tan

obvios.

Realizar inventario de datos y sistemas

Estimar que tan valiosos son para la empresa

Decidir que tanto riesgo la empresa puede aceptar para cada activo.

Proceso General Simplificado de Administración de Riesgos

¿Qué quiero decir con valor perdido de negocio?

Liga entre el impacto del incidente de seguridad y lo que el negocio pierde. Ejemplos:

Consideren una empresa que realiza 30,000,000 de transacciones de recarga al mes, en promedio cada una de 40 pesos.

¿Qué significa para la empresa la falta de disponibilidad de su infraestructura por un incidente de seguridad que la deje sin servicio de recargas por 1 hora?

Consideren una empresa que recibe 8 millones de correos electrónicos al mes

¿Qué significa para la empresa un incidente de seguridad en su servidor de correo de 1 hora?

Procesos de Negocio

Flujo estructurado de actividades, que soportan las metas de la empresa y es facilitado por datos y recursos. Para InfoSec: Enfoque en Actividades y Datos

Procesos núcleo de negocio Procesos que expresan las actividades “principales” o

“esenciales” de la empresa.

El éxito de la empresa depende , no sólo de que tan bien cada departamento desempeña su trabajo, sino también en que tan bien la empresa administra las actividades de coordinación entre departamentos para realizar esas actividades.

ANALISIS DE SECUENCIA DE PROCESOS

2. Prospectación 3. Preventa 1. Presupuesto y planeación

4. Ventas tramite y

preparación (T y P)

5. Ventas realización

del servicio

Segmentación

Control de

procesos

Concursos Licitaciones

Entrega

Calibración

Venta

INTERACCIÓN DE PROCESOS

2.- Proceso de Prospectación de Clientes.

1. Presupuesto y planeación 2. Prospectación

3. Preventa

X. Segmentación

3.- Proceso de Preventa.

1.Prospectación 3. Preventa 4. Ventas

X. Concursos (Licitación)

4.- Proceso de Venta Concreta: tramite y preparación.

3. Preventa

4. Ventas tramite y

preparación (T y P) 1. Presupuesto

y planeación

5. Ventas realización serv

5.- Proceso de Venta Concreta: realización.

4. Ventas T y P

5. Ventas realización

del servicio 1. Presupuesto

y planeación

6. Entrega

X. Control de procesos

X. Control de procesos

X. Control de procesos

X. Control de procesos

PROCESOS DE:

Entradas Proceso Salidas Enlace procesos entrada

Enlace procesos salida

Participantes y función

Herramientas del proceso

Indicadores del proceso

.

Registros del proceso

Requerimientos de Seguridad/Criticidad

Impacto en el Negocio

Mapeo de Proceso

¿Porqué la Seguridad de Información en los procesos de Negocio?

Las empresas cada vez más dependen de la tecnología de información en sus procesos críticos, Internet se ha convertido en pieza fundamental de las operaciones de un negoocio.

La seguridad de información es una responsabilidad compartida y que debe estar a cargo de la alta dirección

Una empresa constantemente administra o debe administrar el riesgo. Tener un negocio es administrar riesgos.

Al identificar los procesos de negocio críticos y sus requerimientos de seguridad se atiende la pérdida de valor de negocio.

Si no elevamos la seguridad de información a un rol ligado a las actividades de negocio, el impacto adverso seguirá en las organizaciones y continuaremos con problemas para justificar el costo de la seguridad de información.

Procesos y cultura para mitigar los riesgos

La Seguridad de la Información no debe ser vista como un producto o paquete, sino como una serie de procesos que en combinación con la educación y concientización del personal que labora dentro de la empresa, permite alcanzar el nivel mínimo de riesgo aceptado por la alta dirección.

Definición

Administración de Riesgos Proceso de identificar, controlar y mitigar(o eliminar)

riesgos de seguridad que pueden afectar los sistemas de información

A un costo Aceptable.

Enfoque Tradicional de Análisis de Riesgo

Identificación de procesos de negocio y sus actores Identificación y Valuación de Activos Identificación de Requerimientos de Seguridad

respecto a vulnerabilidades y Amenazas Evaluación de Riesgos Propuesta, Diseño e Implementación de Contramedidas

Limitaciones

No se verifica la adherencia de los sistemas a los requerimientos de seguridad

Algunos Criterios, modelos de seguridad y Marcos de Referencia

Marcos de Referencia de Seguridad Cobit

GITBPM

ISO 27002/ ISO 17799

Modelos de Madurez SSE-CMM (Systems Security Engineering-CMM)

Information Security Program Matrurity Grid (ISPMG)

Software Security Metrics (SSM)

Security Maturity Model (SMM)

Modelos: ALE, SooHoo, CBA, OCTAVE

!

Seguridad de Información y Procesos de Negocio

Soportados por

Implementados por

Establecer

Nivel de Criticidad de procesos – eventos que ocurren en los procesos particularmente críticos de negocio que ocasionarían un impacto substancial a la empresa.

Definición de objetivos y requerimientos de seguridad. Adherencia a los objetivos y requerimientos de seguridad de los datos usados en estos procesos en un momento dado – la no adherencia conducirá a eventos que ocasionen daño. Si los objetivos y requerimientos de seguridad se cumplen entonces los impactos implícitos de los eventos son mitigados debido a que existen las medidas

La capacidad de los procesos de seguridad de TI para tratar con los eventos de seguridad – la detección y prevención de eventos.

Marco de Referencia

Valuar las medidas de Seguridad basados en el valor externo de los procesos núcleo de negocio

Esto permite integrar Procesos corporativos núcleo de negocio que deberían

ser protegidos

Marcos de referencia que permitan la definición de niveles de seguridad y procesos de TI

Métodos para la valuación de la seguridad

Marco de Referencia

Uso de Procesos de TI para medir los costos necesarios para implementar y conservar un nivel definido de seguridad

Tipos de costos que deben ser considerados Costos de inversión para implementar un nivel definido de

seguridad

Costos operativos para mantener un nivel definido de seguridad

Costos de recuperación que incluyen el tiempo y gastos necesarios para recuperar el sistema despues de un incidente de seguridad

Marco de Referencia

Se debe considerar la pérdida de valor de negocio debido a la falta de disponibilidad de un sistema (costos indirectos / de oportunidad) Pérdida de utilidades que resultan de que se detenga un

proceso de negocio

Costos de empleados

Otros costos indirectos como los intangibles (pérdida de clientes, o pérdida de reputación).

Conclusión

Reto: Encontrar como Dar Valor de Negocio a la Seguridad de Información.

Es necesario ligar la seguridad con los procesos de negocio de la organización, ya que si desde estos no se considera la seguridad, el agregarla después será más costoso.

Es necesario mantener una visión holística para el tema de la seguridad de información

La seguridad de información y las tres logias: Metodología, Antropología, Tecnología

Monterrey Sendero Sur 285, Col. Contry

64860 Monterrey, N.L., México Tel: +52 (81) 1001-0460

Fax: +52 (81) 1001-0461

México, D.F. Mariano Escobedo 510 PH Col. Anzures 11590 México, D.F. Tel: +52 (55) 3300-5213 Fax: +52 (55) 3300-5210

01800-CIT-CITI / www.citi.com.mx

¿Preguntas?

Ejemplo de créditos Nombre del instructor de Línea contacto@seguridad.unam.mx

Otro puesto Nombre de otro ponente

Dirección de contacto Calle #3 S/N

Colonia Polanco Mexico D.F C.P. 66000