Seguridad de la información - XM S.A. E.S.P. La... · 2017-08-02 · Qué es la seguridad de la...
Transcript of Seguridad de la información - XM S.A. E.S.P. La... · 2017-08-02 · Qué es la seguridad de la...
Seguridad de la información
Objetivo
Precisar el impacto de la seguridad de la información en la
operación del Sistema Interconectado Nacional y la importancia del
rol que desempeñan los operadores en relación con su adecuado
manejo
Fuente: El Tiempo http://www.eltiempo.com/economia/bienestar/ARTICULO-
WEB-NEW_NOTA_INTERIOR-12164156.html, Agosto 25 de 2012
Seguridad de la información, parte del día a día de las personas
Fuente: Dinero http://www.dinero.com/actualidad/articulo/multan-
bancolombia-fallas-prestacion-del-servicio/148198, 4 de abril de 2012
Fuente: Enter.co http://www.enter.co/vida-digital/hackers-hacen-
visibles-vulnerabilidades-atacando-planta-de-agua/
Fuente: La República http://www.larepublica.com.co/archivos/FINANZAS/2010-
05-24/renuncio-mauricio-aranguren-a-la-uiaf_100987.php
Qué es la seguridad de la información
Disponibilidad: Se refiere a que la información exista y
esté disponible en el momento y lugar que se requiere y
sea recuperable bajo cualquier eventualidad.
Integridad: Se refiere a lo exacto y completo de la
información. Garantiza que la información almacenada
contenga la totalidad de los datos críticos requeridos
para el negocio, así como también que refleje de forma
veraz su situación.
Confidencialidad: Garantiza que la información esté
disponible únicamente para las personas indicadas.
Transparencia y confiabilidad: Cumplimiento de la
normatividad y compromisos que haya adquirido la
empresa, y la garantía plena de su veracidad y
posibilidad de ser verificada.
Preservación de la calidad de la información: integridad, disponibilidad, confidencialidad,
transparencia y confiabilidad en el momento en que se captura o genera, recibe, procesa,
divulga o entrega y en el medio en que se transmita.
Por qué es importante la Seguridad de la Información en la operación del SIN
• Operación de infraestructura crítica“Elemento o sistema que es esencial para el
mantenimiento de funciones sociales vitales, la salud,
la integridad y el bienestar social y económico de la
población y cuya perturbación o destrucción afectaría
gravemente a un Estado.” UE
• Toma de decisiones en tiempo real
• Estándares y regulación establecida rigurosa
• Las acciones que se lleven a cabo tienen un impacto a escala país
• Cada vez son más los ataques a la infraestructura eléctrica lo que implica que se debe estar mejor preparados
• Clara y precisa, sin errores
• Flujo, intercambio deinformación adecuado
• Disponible en forma oportuna ysolo para quien estéautorizado
• Trabajo en equipo, coordinado
• Protección adecuada de lainformación y los elementos enque reside o se transmite
Información
Aspectos de seguridad de la información a evaluar
• Cuáles son los activos críticos de mi proceso y dónde están ubicados?
• A qué riesgos están expuestos?
• Con qué medidas y controles cuento para mitigar el riesgo? Son efectivos?
� Física
� Recurso Humano
� Tecnológico
� Gobernabilidad
• Qué tan vulnerables son?
• Cuál es el impacto en los activos?
• Se cuenta con un plan de continuidad del negocio?
• Qué tipo de incidentes se han tenido y con qué frecuencia?
• Cuál es la brecha frente a las mejores prácticas?
• Cómo sé si he mejorado?
Objetivo:
Incorporar de manera sistemática, estructurada y documentada, las mejores prácticasinternacionales que sobre el tema existen para asegurar la confiabilidad en la operación del SINy la administración del Mercado de Energía, tomando como referencia la Norma ISO\IEC 27000.
Org
an
izació
n d
e l
a
seg
uri
dad
de
la
info
rmació
n
Seguridad de la información en XM
Gestión de Activos
Gestión de
Riesgos
Gestión de Incidentes
Definición de lineamientos y
directrices
Monitoreo de la efectividad
Mejoramiento
Pers
on
as
Principales acciones Seguridad de la Información XM
Impacto de Activos Coordinar Operación
•Clientes Internos
•Clientes Externos•Proveedores Información
Flujo inf. entre aplicativos
•Aplicativo generador
•Aplicativo cliente
Medios de almacenamiento y divulgación Inf.
Criticidad de Activos
Clie
nte
s y
merc
ad
os
Pro
du
ctiv
idad
y e
ficie
ncia
Clientes
Pactar Niveles de servicio
Mejor servicio a clien-te interno\externo
Minimizar impacto en la disponibilidad de inf.
•Causas y consecuencias
•Aplicativo proveedor
Asegurar la integridad, confidencialidad y
disponibilidad de la inf.
•Medidas y controles
•Ubicación de Activos•Soportado por conti-nuidad de negocios
Minimizar riesgos
Costo de Activos
•Tipo de Activo
•Valor Adquisición
•Estado
Optimizar costos
Fin
an
cie
ra
Ap
ren
diz
aje
Pers
onas
Gestión de
Activos
Gestión de
Riesgos
Gestión de Inci-dentes
Def. li-neamien
tos
Verificar efectivi-
dad
Mejoramiento
Org
an
izació
n
seg
uri
dad
in
form
ació
n
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
R3 R5 R6 R7-c R8 R9 R10 R11 R16 R17 R18
2c-5m
0c-2m
10c-13m
13c-16m
12c-6m
8c-8m2c-37m
0c-4m
6c-5m
8c-15m
5c-6m
Principales acciones Seguridad de la Información XM
• Actualización de análisis de riesgos de Coordinar operación
• Incorporación de los 132 objetivos de control de la Norma 27000 y sus
respectivas medidas y controles al Mapa de Riesgos de XM (22 causas
y a qué riesgos apuntan)
Gestión de Riesgos:
Seguridad Información administra 11 riesgos del Mapa de XM
99
Gestión de
Activos
Gestión de
Riesgos
Gestión de
Inciidentes
Def. li-
neamientos
Verificar
efectivi-dadMejoramien
to
Fortalecimiento Cultura de la Información:
En XM: Capacitación – Campañas –Divulgación
• Plan anual de sensibilización unificado
• Inducción personal nuevo
• Asesoría, acompañamiento
Con terceros:
• Sensibilización a agente del Mercado sobre roles
y responsabilidades
• Sensibilización a proveedores sobre la
importancia del tema y su responsabilidad.
Gestión de Incidentes:
• Registro de incidentes como una herramienta para mejorar
el proceso
• Importancia del análisis de los incidentes y del seguimiento
de las acciones de mejoramiento
Indicador del estado de la seguridad de la información
Revisión de medidas y controles
• Levantamiento y revisión en sitio de medidas y controles de
seguridad física de centro de control y centro de cómputo
• Análisis de controles de TI a aplicativos de Coordinar
• Realización de auditorías de seguridad de la información
• Seguimiento a recomendaciones y planes de acción
Cuadro de Gestión Seguridad de Información - Gerencia CND
Dirección DCO DTM DPO DAO DI
Asistencia
capacitaciones
Gestión Activos 100% 70% 100% 100% 80%
Divulgación en GP´s
Concept Gestión Inf. Pendiente Finalizada Finalizada Finalizada Finalizada
Gestión de Activos Pendiente Pendiente Pendiente Finalizada Pendiente
Detalle
Detalle
Fortalecimiento Cultura Seguridad de Información
Incidentes Activos Clientes y
Mercados
Aprendizaje
y Desarrollo
Pers
onas
Gestión de
Activos
Gestión de
Riesgos
Gestión de Inci-dentes
Def. li-neamien
tos
Monitoreo efectivi-
dad
Mejoramiento
Org
an
izació
n
seg
uri
dad
in
form
ació
n
Dirección Activos No. Incidentes
Aplicativo 1 8
Activo Información 3 2
Activo físico 7 11
Aplicativo 4 4
Activo Información 9 2
Aplicativo 6 12
Aplicativo 8 17
Activo físico 2 6
Transacciones
del Mercado
Coordinar
Operación
Información
DTM
DAO
DCO
DIDPO
0%
3%
5%
8%
10%
13%
15%
18%
20%
23%
0 25 50 75 100 125 150 175 200
Activos por Dirección - % Activos Criticidad Muy Alta
P 1
P 2
P 3
P 1
P 2
P 3
P 4P 5
P 1 P 2 P 3 P 4 P 5
Transición de un proyecto a un proceso
Ajustar la estructura
organizacional de la seguridad
Integrar seguridad de información al
Sistema de Gestión de XM
Decisión de Certificación
• Definir y formalizar:o Objetivo\Alcance
o Roles y responsabilidades
o Recursos asignados
o Mecanismos para mantenimiento y monitoreo de la efectividad
• Definir ubicación en la estructura organizacional
• Definir Alcance
• Planear y realizar auditorías de
preparación a la certificación
• Incorporar elementos de seguridad identificados al Sistema de Gestión de XM • Documentar y formalizar• Divulgar
Pers
onas
Gestión de
Activos
Gestión de
Riesgos
Gestión de Inci-dentes
Def. li-neamien
tos
Monitoreo efectivi-
dad
Mejoramiento
Org
an
izació
n
seg
uri
dad
in
form
ació
n
Operadores, pieza clave en la seguridad de la información
Mejores prácticas
Cumplir el protocolo de comunicaciones y en general, acatar las directrices, estándares y
formatos establecidos en la normatividad vigente para el intercambio de información, en los
casos que aplique
Validar que la información que se entrega, recibe o intercambia sea completa, precisa y clara y
oportuna
Tener claridad respecto a la clasificación de la información (Pública\Reservada-Confidencial),
evaluar la pertinencia de entregarla\divulgarla e implementar las medidas y controles para que
solo personal autorizado tenga acceso a ella
Comunicar en forma oportuna cualquier duda, no entendimiento o información que se
considere pertinente para la operación
Ejecutar las acciones o maniobras requeridas en el momento indicado
Realizar un tratamiento adecuado de la información acorde con las políticas y lineamientos de
la organización
Operadores, pieza clave en la seguridad de la información
Mejores prácticas
Solicitar la capacitación que se requiera para el desempeño exitoso del cargo
Informar los incidentes o anomalías que sean detectadas en cuanto al funcionamiento de las
herramientas y canales de información y comunicación.
Hacer un uso adecuado de la clave de acceso a aplicaciones: no entregarla a terceros, no
dejarla expuesta, cambiarla frecuentemente.
Informar oportunamente sobre los cambios o modificaciones en el personal para la
interacción sea solo con el personal autorizado y de esta forma evitar ineficiencias y riesgos
en el intercambio de información que puedan afectar el desarrollo del Mercado.
Promover la implementación de medidas\controles o mejores prácticas de seguridad de la
Información tomando como base un estándar en el tema.
Seguridad de la Información
Compromiso de Todos.
16
Qué pasaría si…Algunos incidentes sobre seguridad de información
Fuente: La República http://www.larepublica.com.co/archivos/FINANZAS/2010-
05-24/renuncio-mauricio-aranguren-a-la-uiaf_100987.php
Fuente: Semana http://www.semana.com/noticias-nacion/contratista-une-asume-
responsabilidad-fallas-jornada-electoral/136462.aspx
Fuente: BBC Mundo http://www.bbc.co.uk/mundo/ciencia_tecnologia/2010/04/100420_ciberataque_goo
gle_lav.shtml
Fuente: BBC Mundo http://noticias.latam.msn.com/xl/economia/articulo_bbc.aspx?cp-
documentid=24164568