Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de...
Transcript of Seguridad de información en los procesos de negocio v2 · compartida y que debe estar a cargo de...
Seguridad de información en los procesos de negocio
Seguridad de Información en los Procesos de Negocio de la Organización
David Treviño
Agenda Introducción Visión Holística Procesos de Negocio ¿Porqué la seguridad en los procesos de Negocio? Marco de Referencia Conclusiones
Citas
!La seguridad no es un producto, es un proceso". Bruce Schneier. Experto en seguridad.
!La seguridad es una travesía, no un destino." Microsoft.
!La seguridad no es un problema de tecnología, es un problema de gente y de administración". Kevin Mitnick. Conocido !Hacker"
!Cuando se trata de seguridad digital, no existe algo como una defensa impenetrable. Pero se pueden mitigar los riesgos siguiendo sólidas practicas operativas". Cristopher A.R. Darby. @Stake
RECORDEMOS
La seguridad de Información soporta la misión del negocio La seguridad de Información es un elemento integral de una
administración sólida Los dueños de recursos de información tienen responsabilidades
relacionadas con seguridad fuera de su propia organización La responsabilidad y la asignación de la misma en seguridad de
información debe ser establecida claramente La seguridad de información requiere de un enfoque integral y
completo La seguridad de información debe ser re-evaluada
periódicamente La seguridad de información se encuentra limitada por factores
sociales y de cultura
Fuente: OCDE
Visión Holística
ISO 27002/17799 La administración de seguridad requiere como mínimo
la participación de todos los miembros de una organización.
Clientes + Accionistas + Proveedores Consejo de especialistas en la materia
Visión Holística
La seguridad de información esta caracterizada por la preservación de: confidencialidad, integridad y disponibilidad
Para ello, se requiere de Metodología (Métodos, procesos, políticas)
Antropología (Gente)
Tecnología
Buenas noticias
La administración general no requiere aprender de los aspectos técnicos de las amenazas digitales
Sin embargo debe administrar riesgos
Introducción
Para muchos ejecutivos, se considera a la seguridad de información un problema de tecnología, no un problema de negocio.
¿Está funcionando este enfoque? De acuerdo a reporte de empresa de antivirus, hasta el
mes de noviembre de este año (2010) se han creado 20 millones de variantes de código malicioso.
El software de uso común sigue teniendo huecos (por ejemplo: Adobe Reader es la aplicación más explotada en el mundo por código malicioso)
El cibercrímen sigue creciendo y está saludable
¿Dónde está el reto?
La seguridad por si misma no ofrece valor de negocio, típicamente reduce la pérdida de valor de negocio.
Factores económicos: Masificación, economías de escala. Es rentable explotar software altamente usado.
Las decisiones respecto al nivel de seguridad razonable en un ambiente de negocio se toma de una forma en que es neutral al valor. No se considera el valor perdido de negocio.
Enfoque Tradicional
Identificar Activos
Definir Uso
Controlar Acceso
Insistir en Software Seguro
Saber que SW corre
Probar y Medir
Planear y Responder
Causa Raiz
Proceso General Simplificado de Administración de Riesgos
Identificar activos digitales y decidir que tanta protección requieren ¿cuáles son los activos digitales? Algunos no son tan
obvios.
Realizar inventario de datos y sistemas
Estimar que tan valiosos son para la empresa
Decidir que tanto riesgo la empresa puede aceptar para cada activo.
Proceso General Simplificado de Administración de Riesgos
¿Qué quiero decir con valor perdido de negocio?
Liga entre el impacto del incidente de seguridad y lo que el negocio pierde. Ejemplos:
Consideren una empresa que realiza 30,000,000 de transacciones de recarga al mes, en promedio cada una de 40 pesos.
¿Qué significa para la empresa la falta de disponibilidad de su infraestructura por un incidente de seguridad que la deje sin servicio de recargas por 1 hora?
Consideren una empresa que recibe 8 millones de correos electrónicos al mes
¿Qué significa para la empresa un incidente de seguridad en su servidor de correo de 1 hora?
Procesos de Negocio
Flujo estructurado de actividades, que soportan las metas de la empresa y es facilitado por datos y recursos. Para InfoSec: Enfoque en Actividades y Datos
Procesos núcleo de negocio Procesos que expresan las actividades “principales” o
“esenciales” de la empresa.
El éxito de la empresa depende , no sólo de que tan bien cada departamento desempeña su trabajo, sino también en que tan bien la empresa administra las actividades de coordinación entre departamentos para realizar esas actividades.
ANALISIS DE SECUENCIA DE PROCESOS
2. Prospectación 3. Preventa 1. Presupuesto y planeación
4. Ventas tramite y
preparación (T y P)
5. Ventas realización
del servicio
Segmentación
Control de
procesos
Concursos Licitaciones
Entrega
Calibración
Venta
INTERACCIÓN DE PROCESOS
2.- Proceso de Prospectación de Clientes.
1. Presupuesto y planeación 2. Prospectación
3. Preventa
X. Segmentación
3.- Proceso de Preventa.
1.Prospectación 3. Preventa 4. Ventas
X. Concursos (Licitación)
4.- Proceso de Venta Concreta: tramite y preparación.
3. Preventa
4. Ventas tramite y
preparación (T y P) 1. Presupuesto
y planeación
5. Ventas realización serv
5.- Proceso de Venta Concreta: realización.
4. Ventas T y P
5. Ventas realización
del servicio 1. Presupuesto
y planeación
6. Entrega
X. Control de procesos
X. Control de procesos
X. Control de procesos
X. Control de procesos
PROCESOS DE:
Entradas Proceso Salidas Enlace procesos entrada
Enlace procesos salida
Participantes y función
Herramientas del proceso
Indicadores del proceso
.
Registros del proceso
Requerimientos de Seguridad/Criticidad
Impacto en el Negocio
Mapeo de Proceso
¿Porqué la Seguridad de Información en los procesos de Negocio?
Las empresas cada vez más dependen de la tecnología de información en sus procesos críticos, Internet se ha convertido en pieza fundamental de las operaciones de un negoocio.
La seguridad de información es una responsabilidad compartida y que debe estar a cargo de la alta dirección
Una empresa constantemente administra o debe administrar el riesgo. Tener un negocio es administrar riesgos.
Al identificar los procesos de negocio críticos y sus requerimientos de seguridad se atiende la pérdida de valor de negocio.
Si no elevamos la seguridad de información a un rol ligado a las actividades de negocio, el impacto adverso seguirá en las organizaciones y continuaremos con problemas para justificar el costo de la seguridad de información.
Procesos y cultura para mitigar los riesgos
La Seguridad de la Información no debe ser vista como un producto o paquete, sino como una serie de procesos que en combinación con la educación y concientización del personal que labora dentro de la empresa, permite alcanzar el nivel mínimo de riesgo aceptado por la alta dirección.
Definición
Administración de Riesgos Proceso de identificar, controlar y mitigar(o eliminar)
riesgos de seguridad que pueden afectar los sistemas de información
A un costo Aceptable.
Enfoque Tradicional de Análisis de Riesgo
Identificación de procesos de negocio y sus actores Identificación y Valuación de Activos Identificación de Requerimientos de Seguridad
respecto a vulnerabilidades y Amenazas Evaluación de Riesgos Propuesta, Diseño e Implementación de Contramedidas
Limitaciones
No se verifica la adherencia de los sistemas a los requerimientos de seguridad
Algunos Criterios, modelos de seguridad y Marcos de Referencia
Marcos de Referencia de Seguridad Cobit
GITBPM
ISO 27002/ ISO 17799
Modelos de Madurez SSE-CMM (Systems Security Engineering-CMM)
Information Security Program Matrurity Grid (ISPMG)
Software Security Metrics (SSM)
Security Maturity Model (SMM)
Modelos: ALE, SooHoo, CBA, OCTAVE
!
Seguridad de Información y Procesos de Negocio
Soportados por
Implementados por
Establecer
Nivel de Criticidad de procesos – eventos que ocurren en los procesos particularmente críticos de negocio que ocasionarían un impacto substancial a la empresa.
Definición de objetivos y requerimientos de seguridad. Adherencia a los objetivos y requerimientos de seguridad de los datos usados en estos procesos en un momento dado – la no adherencia conducirá a eventos que ocasionen daño. Si los objetivos y requerimientos de seguridad se cumplen entonces los impactos implícitos de los eventos son mitigados debido a que existen las medidas
La capacidad de los procesos de seguridad de TI para tratar con los eventos de seguridad – la detección y prevención de eventos.
Marco de Referencia
Valuar las medidas de Seguridad basados en el valor externo de los procesos núcleo de negocio
Esto permite integrar Procesos corporativos núcleo de negocio que deberían
ser protegidos
Marcos de referencia que permitan la definición de niveles de seguridad y procesos de TI
Métodos para la valuación de la seguridad
Marco de Referencia
Uso de Procesos de TI para medir los costos necesarios para implementar y conservar un nivel definido de seguridad
Tipos de costos que deben ser considerados Costos de inversión para implementar un nivel definido de
seguridad
Costos operativos para mantener un nivel definido de seguridad
Costos de recuperación que incluyen el tiempo y gastos necesarios para recuperar el sistema despues de un incidente de seguridad
Marco de Referencia
Se debe considerar la pérdida de valor de negocio debido a la falta de disponibilidad de un sistema (costos indirectos / de oportunidad) Pérdida de utilidades que resultan de que se detenga un
proceso de negocio
Costos de empleados
Otros costos indirectos como los intangibles (pérdida de clientes, o pérdida de reputación).
Conclusión
Reto: Encontrar como Dar Valor de Negocio a la Seguridad de Información.
Es necesario ligar la seguridad con los procesos de negocio de la organización, ya que si desde estos no se considera la seguridad, el agregarla después será más costoso.
Es necesario mantener una visión holística para el tema de la seguridad de información
La seguridad de información y las tres logias: Metodología, Antropología, Tecnología
Monterrey Sendero Sur 285, Col. Contry
64860 Monterrey, N.L., México Tel: +52 (81) 1001-0460
Fax: +52 (81) 1001-0461
México, D.F. Mariano Escobedo 510 PH Col. Anzures 11590 México, D.F. Tel: +52 (55) 3300-5213 Fax: +52 (55) 3300-5210
01800-CIT-CITI / www.citi.com.mx
¿Preguntas?
Ejemplo de créditos Nombre del instructor de Línea [email protected]
Otro puesto Nombre de otro ponente
Dirección de contacto Calle #3 S/N
Colonia Polanco Mexico D.F C.P. 66000