sgsi: de la academia a la práctica
TRANSCRIPT
www.isaca.org.uy
SGSI: de la academia a la práctica
María Emilia Irrazabal
Darío Gómez
Walther Cardoso
www.isaca.org.uy
Agenda
● ¿Qué entendemos por Seguridad de la Información?
● ¿Por qué formar RRHH en SI?
● Rol de TI y SI en la Organización
● Proyecto final de PDP en Seguridad
● Debilidades
● Conclusiones
● Lecciones aprendidas
www.isaca.org.uy
¿Qué entendemos por Seguridad de la Información?
Evitar ataques
Proteger
información
con copyright
Restringir el acceso
Evitar desastres
Eliminar lo que
no se usa
www.isaca.org.uy
Rol de TI y SI en la Organización
Históricamente
● área de servicios
● evaluadas como un
“costo”
Actualmente
● socio de negocios
● generadoras de
ingresos
www.isaca.org.uy
PDP en Seguridad de Información
● Curso dictado por la Universidad ORT Uruguay
● Duración: 6 meses
● 5 Módulos
● Proyecto Final:
○ Duración: 2 meses
○ Grupo: 3 personas
www.isaca.org.uy
Proyecto final de PDP en Seguridad
● Especificar una empresa, definir assumptions
● Implementar un SGSI
○ Gobernabilidad
○ Evaluación de vulnerabilidades
○ Implantación de controles
○ Sensibilización y capacitación a los RRHH
● Asegurar continuidad operativa
www.isaca.org.uy
Assumptions
● Empresa Familiar (30 años en el mercado)
● Geolocalización para automoviles y flotas
● Seguridad basada en confianza
● Nuevo producto "estrella"
● Cambio en objetivos de ventas
● Cambio de dirección
Proyecto final de PDP en Seguridad
www.isaca.org.uy
Assumptions
● Carece de políticas y procedimientos establecidos
● Tecnología obsoleta o desactualizada
● Ausencia de Clasificación de la Información
● Incidentes de seguridad (no se les dio relevancia)
Proyecto final de PDP en Seguridad
www.isaca.org.uy
Por qué implementarlo?
● Asegurar la continuidad de la empresa
● Estandarizar procesos
● Reducir al mínimo posible los riesgos
● Posicionarse como líder de mercado
● Información bien utilizada y resguardada
● Nuevos nichos de mercado
Proyecto final de PDP en Seguridad
www.isaca.org.uy
Implementación
● Crear el departamento de SI
● Crear un comité de Seguridad
● Evaluar los riesgos metodológicamente
● Políticas de Seguridad (v1) y sus procedimientos
● Capacitar y concientizar empleados a los empleados
● Segmentación de tareas
● Mejorar el SGSI en forma continua
Proyecto final de PDP en Seguridad
www.isaca.org.uy
Resultados
● Análisis de la Situación Actual
● Evaluación de Riesgos
● 11 Políticas
● 8 Procedimientos relacionados
● Análisis Técnico
● Evaluación de Madurez (ISO 27001)
Proyecto final de PDP en Seguridad
www.isaca.org.uy
Midiendo los resultados
• Definir indicadores para evaluar avance del SGSI y
eficacia de controles.
• Implementar métricas y evaluar cumplimiento con
indicadores.
• Evaluación del nivel de madurez de la Empresa.
• Recomendaciones sobre certificación en Unit-ISO/IEC
27001:2005.
Proyecto final de PDP en Seguridad
www.isaca.org.uy
Falta de experiencia en gestión de proyectos
Escenario complejo
Falta de estadísticas para América Latina
Falta de experiencia laboral en SI
Debilidades - Restricciones
www.isaca.org.uy
Definir, entender y enfocar la SI a la realidad
empresarial
Resistencia al cambio es un dato, gestionarlo
Enriquecimiento personal y profesional
Distintos perfiles, diversos aportes
Teamwork
Conclusiones
www.isaca.org.uy
Agradecimientos
● Docentes:
○ Ing. Roberto Ambrosoni
○ Ing. Cristina Ledesma
○ A/P Ethel Kornecki
○ Ing. Felipe Sotuyo
● Universidad ORT Uruguay