“seguridad en los marcos de trabajo” · n y evaluación prestación de servicio y soporte 1....
TRANSCRIPT
16 de Octubre de 2008
“Seguridad en los marcos de trabajo”
Ciclo de Conferencias Rafael Bernal 2008
Albert MartínezJefe de Servicio de Informática
Departamento de Salud 12Agència Valenciana de Salut
16 de Octubre de 2008
El contexto
� Tendencias en el mercado de las TIC– Incremento de los costes.– Incremento de los requisitos de calidad.– Aumento de la complejidad de las infraestructuras.– Incremento de la frecuencia de los cambios.– Aumento de la dependencia de los servicios de TIC
� Las organizaciones han incrementado su dependencia de las TIC para conseguir los objetivos corporativos.
� El aumento de la dependencia conlleva un aumento en la calidad de los servicios de TIC prestados a la organización.
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
El contexto
� Importancia de una aproximación metódica y sistemática para la gestión de TIC.– Para usuarios y clientes de los servicios de TIC– Para los proveedores de servicios de TIC
� Algunas barreras– Insuficiente reconocimiento corporativo.– Tendencia al “sobrecompromiso” en la atención a las necesidades
de los clientes.– Escasez de recursos.
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Nuevo escenario en la gestión de TIC
A : Focalizada en Servicios de TISoportando el Negocio
Servicios de TI
Prioridades Del Negocio
Procesos de TIDe: Focalizada en losComponentes de Tecnología
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
La seguridad de la información
• La información es un activo que tiene valor para una organización y por consecuencia necesita ser protegida de manera adecuada Fuente: ISO 27002
� Proteger la información, significa lograr los siguientes objetivos:– Confidencialidad– Integridad– Disponibilidad
• Política de Seguridad• Dar una dirección y soporte a las iniciativas de protección de la información,
de acuerdo con los requerimientos de negocio y de acuerdo con las leyes y regulaciones aplicables.
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
¿Que pretendemos con la seguridad en TI?
� Proveer el aseguramiento a la dirección de que los riesgos son definidos y administrados apropiadamente
� Hacer uso de procesos, técnicas y herramientas (tecnología) de Seguridad de TI para contribuir al logro de los objetivos delnegocio.
� Establecer y mantener un marco de garantías y estrategias de seguridad de la información.
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Entorno Actual
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Factor Organizacional
� Solución de seguridad de la información debe cubrir los tres ámbitos fundamentales para que sea integral
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Seguridad de la Información
� No existe la seguridad total.� Siempre existe un riesgo que debe ser aceptado.� Existe un balance entre la solución de Seguridad, Inversión y
Riesgo Aceptado.
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Desarrollo de programa de seguridad
� Identificar riesgos� Cualificarlos� Cuantificarlos� Evaluar controles� Mantenimiento� Requerimientos por ley, y regulaciones.� Costos.� Procedimientos� Documentación
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
SGSI
� Sistema de Gestión de Seguridad de la Información� Enfoque sistemático para la administración de información� Engloba gente, procesos y sistemas de Tecnología de
Información� Un SGSI permite la coordinación efectiva de los diferentes
esfuerzos de seguridad y Continuidad� Enfoque holístico� Hace de la mejora continua, un proceso obligatorio y constante
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Dominios de control de un SGSI
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Implementación de un SGSI
� Alinear SGSI, área de TI y el negocio.
SGSI
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
� Gobierno de las tecnologias de la información.– Subconjunto de la disciplina de Gobierno Corporativo con foco
en la tecnología de la información (TI), su desempeño y manejo de riesgo.
ITSG
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
ITSG
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
� El difundido uso de la tecnología ha creado que se dependa en gran medida de IT.
� Las organizaciones con éxito entienden y manejan los riesgos relacionados con la implementación de nuevas tecnologías.
� Se administran los riesgos y las restricciones originados en IT y su importancia estrategica para la organización.
El enfoque de la seguridad
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
� Alinear la estrategia de TI con la operación empresarial� Difundir la estrategia y las metas por toda la empresa� Proporcionar las estructuras de la organización que faciliten la
puesta en practica de las mentas y estrategias� Insistir en que la estructura de control de ti se adopte e
implemente� Medir el desempeño de la TI
Que se busca con IT Governance?
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
� ITG tiene como objetivo principal establecer procesos de alta calidad, bien definidos y repetibles.
� Implementar un grupo de “best practices”.� Utilizar la capacidad habilitadora para crear nuevos modelos
de negocio.� Mantener los riesgos relacionados con IT en niveles
aceptados.� En una frase “Certidumbre y Control”.
Que se busca…
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Dirección de IT Governance
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Integración de procesos ITG
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
� Cobit, ITIL, ISO 17799, CMM…
Frameworks
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Beneficios en Seguridad de IT Governance
� Disminución y control de las vulnerabilidades
� Cultura de procesos y mejora continua
� Manejo del riesgo, inversiones, y la seguridad de la Información por servicios
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
SERIE ISO27000
• La norma 27001 proporciona el marco para establecer un SGSI
• ISO 27002, Origen BS7799• Estándar para la seguridad de la información • “Information technology - Security techniques - Code of practice for
information security management”• Proporciona recomendaciones de las mejores prácticas en la
gestión de la seguridad de la información.
• 27000. Vocabulario.• 27003. Guia de implementación.• 27004. Métricas.• 27005. Análisis de riesgos.
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Dominios de Control ISO27002
1. Política de Seguridad2. Seguridad Organizacional3. Manejo de Activos de Información4. Seguridad en recursos Humanos5. Seguridad física6. Manejo de comunicaciones y operaciones7. Control de acceso8. Adquisición, desarrollo y mantenimiento de sistemas de
información9. Manejo de incidentes de seguridad.10. Gestión de continuidad de operaciones11. Cumplimiento con legislaciones
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
SGSI Beneficios
� Facilita la trasparencia, al ser un sistema auditable por terceros.
� Permite establecer una comparación con otras organizaciones.� Proporciona una medición objetiva del desempeño de la
seguridad.� Permite a la Alta Dirección tomar responsabilidad y control de
los esfuerzos de seguridad.� La Implementación y éxito depende del nivel de madurez de la
organización en sus procesos internos.
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
� Control OBjectives for Information and related Technology.� Actualmente versión 4.1� Estandar Abierto de IT Governance Institute.� Publicado por ISACA (The Information Systems Audit and
Control Association & Foundation).
COBIT
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Cobit
Ciclo de Conferencias Rafael Bernal 2008
DominiosAgrupación natural de procesos, normalmente corresponden a una responsabilidad organizacional
Procesos
Conjuntos de actividades unidas con delimitación o cortes de control.
Actividadeso tareas Acciones requeridas para lograr un
resultado medible. Las Actividadestienen un ciclo de vida mientras que las tareas son discretas.
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Cobit
Ciclo de Conferencias Rafael Bernal 2008
REQUISITOS DE INFORMACIÓN DEL NEGOCIO
RECURSOSDE TI
PROCESOS DE TI
16 de Octubre de 2008
Cobit. Requisitos de la información
Ciclo de Conferencias Rafael Bernal 2008
Requisitos de Calidad
Requisitos Financieros
Requisitos de Seguridad
Efectividad y eficiencia operacional.
Confiabilidad financiera.
Cumplimiento de leyes y regulaciones.
Calidad (cumplimiento de requisitos)
Costo (dentro del presupuesto).
Oportunidad (en el tiempo indicado)
Confidencialidad.
Integridad.
Disponibilidad.
16 de Octubre de 2008
Cobit. Requisitos de la información
Ciclo de Conferencias Rafael Bernal 2008
Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.
Efectividad
Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.
Eficiencia
Relativa a la protección de la información sensitiva de su revelación no autorizada.
Confidencialidad
Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio.
Integridad
16 de Octubre de 2008
Cobit. Requisitos de la información
Ciclo de Conferencias Rafael Bernal 2008
Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.
Disponibilidad
Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio.
Cumplimiento
Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los informes de su gestión.
Confiabilidad
16 de Octubre de 2008Ciclo de Conferencias Rafael Bernal 2008
Recursos de TIDatos, Aplicaciones
Infraestructura, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planificación y Organización
Adquisición eImplementación
Monitorización y Evaluación
Prestación de Servicio y Soporte
1. Seguimiento de los procesos2. Evaluar lo adecuado del control Interno3. Obtener aseguramiento inndependiente4. Proveer una auditoría independiente
1. Identificación de soluciones2. Adquisición y mantenimiento de SW aplicativo3. Adquisición y mantenimiento de arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de TI5. Aprovisionamiento recursos6. Administración de Cambios7. Instalación y Acreditación de sistemas
IT. Governance1. Definir un plan estratégico de TI2. Definir la arquitectura de información3. Determinar la dirección tecnológica4. Definir la organización y relaciones de TI5. Manejo de la inversión en TI6. Comunicación de la directrices Gerenciales7. Administración del Recurso Humano8. Administración de Calidad9. Evaluación de Riesgos10. Administración de Proyectos
1.Definición del nivel de servicio2.Admistración del servicio de terceros3.Admon de la capacidad y el desempeño4.Asegurar el servicio continuo5.Garantizar la seguridad del sistema6.Identificación y asignación de costos7.Capacitación de usuarios8.Soporte a los clientes de TI. Service Desk9.Admistración de la configuración10.Administración de problemas11.Administración de datos12.Administración de Instalaciones13.Administración de Operaciones
16 de Octubre de 2008
� 34 Objetivos de Control de TI◦ 10 Planificación y Organización◦ 7 Adquisición e implementación◦ 13 Entrega y Soporte◦ 4 Monitorización y evaluación
� 318 Detallados objetivos de control y guias de auditoria.◦ 3-30 objetivos de control detallados por proceso.
� Cada proceso de TI es soportado por:◦ 8-10 Factores críticos de éxito.◦ 5-7 Indicadores de metas◦ 6-8 Indicadores de desempeño
Cobit Arquitectura
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Mapping entre Cobit e ISO 27002
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Mapping entre Cobit e ISO 27002
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Mapping entre Cobit e ISO 27002
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
� Conjunto de conceptos y técnicas para administrar iT (Infraestructura, desarrollo y operaciones).
� Conjunto de mejores prácticas para la Gestión de Servicios de Tecnología de la Información. Es un marco de referencia de IT Management.
� Fue desarrollado en los 80’s y adoptado hasta mediado de los 90’s.� ITIL provee una aproximación sistematica para proveer y administar los
servicios de IT, desde su diseño, implementación, operación y mejora continua.� ITIL v3◦ Service Strategy◦ Service Design◦ Service Transition◦ Service Operation◦ Continual Service Improvement
� La mayor diferencia entre v2 y v3 es que v3 ha adoptado una aproximacion al ciclo de vida de la administracion del Servicio, opuesto a girar alrededor de Service Delivery and Support.
ITIL (IT Infraestructure Library)
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Procesos de ITIL
Gobierno de las TIC Alineamiento de norm
as
Case S
tud
ies
Quick W
ins
Calificaciones
Artículos de estudio
Conoci
mie
ntos
y per
files
As
un
tos
es
pec
iale
sIn
troducció
n e
jecutiv
a
Pla
ntilla
s
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Procesos de ITIL
Procesos ITIL V3
16 de Octubre de 2008
Procesos de ITIL
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Objetivos ITIL
� Favorecer la organización del departamento de TI� Contar con una visión clara de las capacidades reales de TI, aumentando la posibilidad de
medirlas y por tanto de mejorarlas� Incrementar el aprovechamiento de los recursos de TI
� Justificar el costo de los servicios de TI hacia sus clientes
� Establecer mecanismos formales para el aprendizaje de experiencias previas
� Mejorar los tiempos de implementación de los cambios a los servicios de TI, e incrementar en el número de éxitos de los mismos
� Aumentar la motivación y satisfacción del personal respecto a su trabajo gracias al mejor entendimiento de sus capacidades y mejor manejo de sus expectativas
� Disponer de información más completa sobre los servicios de TI
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
� Compromiso de la dirección general� Implementar las funciones de ITIL juntas.� Integrar y automatizar las mejores practicas.� Crear CMDB (base de datos de configuraciones).� Romper la inercia cultural. � Implementar las prácticas que hagan sentido al negocio,
dimensionar los requerimientos.
Implementación de ITIL
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Mapping Cobit Itil v3
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Mapping Cobit Itil v3
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Mapping Cobit Itil v3
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
� ITS Governance es la base para una implementación exitosa y rápida de Seguridad de la Información.
� NO es obligatorio implementar todas las funcionalidades, ni todos los controles de los Marcos de referencia de IT y Seguridad.
� Implementar un SGSI (Sistema de Gestión de Seguridad de la Información) es necesario para evaluar el desempeño y nivel de seguridad de la organización.
� Es necesario personalizar el SGSI de acuerdo al perfil de riesgo y alinearlo al negocio.
� Todos los riegos deben estar identificados y administrados.
Resumen
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008
Resumen
ES TIEMPO DE INTRODUCIRSE EN LOS MARCOS DE
TRABAJO PARA LA GESTIÓN DE LA SEGURIDAD
EN LAS TIC
Ciclo de Conferencias Rafael Bernal 2008
16 de Octubre de 2008Ciclo de Conferencias Rafael Bernal 2008
GraciasAlbert Martínez
Jefe del Servicio de InformáticaDepartamento de Salud 12. Agència Valenciana de Salut