presentación cumplimiento circular 052 07

Sun Proprietary/Confidential: Need to know

Jaime Contreras

José Luis Velasco

Circular 52

Cumplimiento Circular 052-07

Normativa de obligatorio cumplimiento

Alcance de la Normativa

Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Interfaz Sistema Central 3.1.16, 3.1.183.1.1, 3.1.6,

3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9

Backbone 3.1.16, 3.1.183.1.3, 3.1.6,

3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9

Plataforma Medio de Entrega 3.1.16, 3.1.183.1.3, 3.1.6, 3.1.7, 3.1.14

3.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9

Base de Datos Medio de Entrega 3.1.16, 3.1.183.1.6, 3.1.7,

3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9

Aplicación Medio de Entrega3.1.16, 3.1.18,

3.4,5.6

3.1.6, 3.1.9,3.1.10, 3.1.12,3.1.1,

3.3.1.14, 5.3,5.5

3.1.15, 3.3.1, 3.3.5, 3.3.6,5.1,

5.2,5.4

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9

Red de Distribución Medio de Entrega 3.1.16, 3.1.183.1.6,

3.1.7,3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9

Acceso por parte del Usuario 3.1.16, 3.1.183.1.1, 3.1.6, 3.1.7,3.1.11

3.1.15, 3.3.1, 3.3.5, 3.3.6,3.3.7

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9

Requisitos Generales


Circular 052-07

ISO

270

01 Plan DoCheckAct

3.4.2, 3.1.20, 4.1.7, 4.4.1. 6.1, 6.10, 6.7, 6.9, 4.5.4, 4.9.4, 4.10, 5.4, 5.6, 6.8, 7.2, 3.2.2,3.3.8, 3.4.44.3.2, 4.3.4, 4.4.2, 4.6.1, 6.1, 6.10, 4.5.4, 4.10, 5.4, 5.6, 6.4, 6.8, 7.4,3.2.34.1.6, 4.4.4, 4.6.2, 6.1, 4.10, 6.4, 7.3,3.2.4, 3.2.5

4.11, 4.1.6, 3.1.2, 3.1.20, 6.1, 4.10, 5.6, 6.5,6.8, 7.1, 7.5, 7.6, 3.2.1

Por dónde empezar?

Sw PGP - Cifrado de mensajes y archivos

Cifrado de HD

VPN logs

Firewall logs

Windows logs Client & file

server logs

Windows domain logins

Oracle Financial Logs

San File

Access Logs

VLAN Access & Control

logs

Linux,Unix, Windows OS logs

Mainframe logs

Database Logs

Web server activity

logs

Procesos de Admón de Carpetas Compartidas

Respaldos de Equipos Móviles

DRM

Respaldos Centrales

Tokens

Biométricos

Cifrado de mails

Transferencia de archivos cifrada

Sanitización

Protección de Hojas de Cálculo

Control de Medios Desmontables

Monitoreo de Transacciones en Bases de Datos

Cifrado de Bases de Datos

Control Automatizado de Registros

Content management logsWeb cache &

proxy logs

$$ $

Elementos Requeridos por la Circular

Gobierno

Controles Tecnología

Cultura

Tecnología Sugerida para el Cumplimiento de la 052-07



3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9

Backbone 3.1.16, 3.1.183.1.3, 3.1.6,

3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.4,5.6

3.1.6, 3.1.9,3.1.10, 3.1.12,3.1.1,

3.3.1.14, 5.3,5.5

3.1.15, 3.3.1, 3.3.5, 3.3.6,5.1,

5.2,5.4

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.1.7,3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.1.15, 3.3.1, 3.3.5, 3.3.6,3.3.7

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


Firewalls, IPS en Alta Disponibilidad

Control de Acceso, IPS

Monitoreo de Accesos a BD, Cifrado de Datos

Control de Configuración, Gestión de Identidad

Firewalls, IPS en Alta DisponibilidadMonitoreo de Patrones de Uso, ILP

Ge

st

ió

n

de

V

ul

ne

ra

bi

li

da

de

s,

Pr

ue

ba

s

de

P

en

et

ra

ci

ón

Virtualización de Escritorio

Tecnología SUN para el cumplimiento



3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9

Backbone 3.1.16, 3.1.183.1.3, 3.1.6,

3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.4,5.6

3.1.6, 3.1.9,3.1.10, 3.1.12,3.1.1,

3.3.1.14, 5.3,5.5

3.1.15, 3.3.1, 3.3.5, 3.3.6,5.1,

5.2,5.4

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.1.7,3.1.143.1.15, 3.3.1, 3.3.5, 3.3.6

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


3.1.15, 3.3.1, 3.3.5, 3.3.6,3.3.7

3.1.19, 3.3.2, 3.3.3,

3.3.4,3.3.10

3.1.8, 3.1.17,3.3.9


Firewalls, IPS en Alta Disponibilidad

Control de Acceso, IPS

Monitoreo de Accesos a BD, Cifrado de Datos

Sun Identity Management

Sun Virtual Desktop

Ge

st

ió

n

de

V

ul

ne

ra

bi

li

da

de

s,

Pr

ue

ba

s

de

P

en

et

ra

ci

ón

Firewalls, IPS en Alta Disponibilidad, Monitoreo de Patrones de Uso, ILP

Productos SUN

Metodología PropuestaCumplimiento de la Norma

Estrategia de Gobierno de Seguridad de

Información1– Definición de Alcance y Objetivos

del SGSI– Definición del Modelo de

Gobierno– Identificación de Prioridades de

Riesgo de Negocio– Evaluación de Instrumentos

Legales– Enfoque y Procedimientos para

Clasificación de Información

Fase 1Gobierno

• 4.11• 4.1.6• 3.1.2• 3.1.20• 6.1• 4.10• 5.6• 6.5 6.8• 7.5• 7.6


Análisis de la Situación Actual y Evaluación de

Riesgos2– Mapeo de Procesos vs. Riesgos de Negocio– Árbol de Activos por medio de entrega– Evaluación de Vulnerabilidades y Riesgos por

medio de entrega– Estrategia de Tratamiento de Riesgo por

medio de entrega• Identidad y Control de Acceso• Gestión de Riesgos y Vulnerabilidades• Protección de Activos de Información• Operaciones de Seguridad• Continuidad de Negocio• Cultura de Seguridad

– Arquitectura de Seguridad

Fase 2Gobierno

• 3.4.2• 3.1.20• 4.1.7• 4.4.1• 6.1• 6.10• 6.7• 6.9• 4.5.4• 4.9.4• 4.10• 5.4• 5.6• 6.8• 7.2


Ejecución del Plan de Tratamiento de Riesgos3

– Gestión de Proyectos de Reducción de Riesgo

– Diseño de Instrumentos Legales– Implantación de Tratamiento de Riesgo

• Identidad y Control de Acceso• Gestión de Riesgos y Vulnerabilidades• Protección de Activos de Información• Operaciones de Seguridad• Continuidad de Negocio• Cultura de Seguridad

– Procedimientos de Investigación y Seguimiento de Casos

– Servicios Administrados de Seguridad– Entrenamiento, Formación y

concientización

Fase 3Mejora

Continua

• 4.3.2• 4.3.4• 4.4.2• 4.6.1• 6.1• 6.10 • 4.5.4• 4.10• 5.4• 5.6• 6.4• 6.8• 7.4


Cumplimiento y

Certificación4– Evaluación de Madurez– Preauditorías– Acompañamiento

Fase 4Cumplimiento

• 4.1.6• 4.4.4• 4.6.2• 6.1• 4.10• 6.4• 7.3

Basado en mejores prácticas internacionales (ISO 27001, COBIT, ITIL)

Enfoca el proyecto desde no solo desde la perspectiva de cumplir con la Circular, sino que permite establecer un modelo de Gobierno de la Seguridad efectivo

Busca tomar ventaja de los controles existentes en el banco, integrándolos en un cuerpo coherente de medidas para control del riesgo

Busca racionalizar la inversión necesaria para cumplir con los requerimientos de la Circular

Beneficios de Nuestro Enfoque

Porqué SUN?

Mayor visión y profundidad en la ejecución de los proyectos Aplicación de la norma aplicados a los objetivos estratégicos y de negocio. Mayor capacidad para ejecutar exitosamente el proyecto y generar alto impacto en

el negocio. Inversión mejor aprovechada Mayor certeza y menor tiempo en la ejecución de los proyectos Aplicación concreta de los estándares y las metodologías al entorno real Sostenibilidad de los proyectos en el tiempo Disponibilidad de profesionales especializados a un menor costo Opciones flexibles de implantación de soluciones tecnológicas de avanzada a

menor costo. Cumplimiento de regulaciones y normativas, con la asesoría y el acompañamiento

de especialistas

Beneficios para Nuestros Clientes

Porqué Sun?

Sun Proprietary/Confidential: Need to know

Preguntas

???

presentación cumplimiento circular 052 07

Documents