material didactico semana 7

8/18/2019 Material Didactico Semana 7

1/44

1

Gestión de Procesos de Negocios (BPM)Solución para lograr Eficiencia Operativa y Reducción de Costos

Alex MartínezLíder BPM Regional (South Spanish America) - SWG

Julio LarrechartBPM Practice Leader – GBS/AS


2/44

Seguridad de la Información

Agenda

Gobierno de Seguridad de la Información

Organización del Proyecto

Alineando el negocio con la Seguridad de la Información

Gestión de Riesgos

Indicadores de gestión

Mejora Continua


3/44


Gobierno de Seguridad de la Información


4/44


5/44


El Gobierno de Seguridad de la Informaci ón es un subconjunto de Gobiernode la Empresa que proporciona la direcci ón estrat égica, asegura que losobjetivos se logran, gestiona los riesgos adecuadamente, asignaresponsabilidades a los recursos de la organizaci ón, y supervisa el éxito o elfracaso del programa de seguridad de la empresa.Fuente - Information Security Governance

Gobierno de Seguridad dela Informaci ón


6/44


La ISO-27014 indica seis principios de gobiernos de la seguridad deinformación los cuales son:

1. Establecer responsabilidad con respecto a la seguridad de la informaciónen toda la organización

2. Adoptar una aproximación basada en el riesgo.3. Establecer la dirección de las decisiones de inversión en seguridad de la

información4. Asegurar conformidad con los requerimientos internos y externos.5. Fomentar un entorno positivo respecto de la seguridad.

6. Revisar el rendimiento en relación a los resultados de negocio .

ISO 27014


7/44Seguridad de la Información

ISO 27014

1. Establecer responsabilidad con respecto a la seguridad de lainformación en toda la organización.

• ¿La seguridad de la información se gestiona a un nivel de la organización quepermita la toma de decisiones?• ¿Las actividades asociadas a la seguridad lógica y física se realizan de forma

coordinada?.• ¿La responsabilidad y rendición de cuentas con respecto a la seguridad seestablece a través del ciclo completo de las actividades de la organizaciónincluidos terceros?.



2. Adoptar una aproximación basada en el riesgo.

• ¿Las decisiones se toman en función del riesgo?.• El nivel aceptable de seguridad ¿se basa en el apetito alriesgo de la organización?, ¿se incluye en él la posiblepérdida de ventaja competitiva, riesgos de cumplimientoy responsabilidad, interrupciones operativas, pérdidafinanciera y daño a la reputación?.• ¿Se asignan los recursos apropiados para implementarla gestión de riesgos en la organización?.

ISO 27014



ISO 27014

3. Establecer la dirección de las decisiones deinversión en seguridad de la información .

• ¿La estrategia de inversiones en seguridad de la

información se establece en función de los resultados denegocio alcanzados?.• ¿Las inversiones en seguridad se integran con losprocesos generales existentes para las inversiones ygastos de la organización?.



ISO 27014

4. Asegurar conformidad con los requerimientos internos y externos .

• ¿Se garantiza que las políticas y prácticas son conformes con la regulacióny legislación existente, con los compromisos y contratos de la organizacióny con otros requerimientos internos o externos?.• ¿Se realizan auditorías de seguridad independientes?.



ISO 27014

5. Fomentar un entorno positivo respecto de laseguridad .

A la hora de implementar la gobernanza de la seguridad,¿se tiene en cuenta el comportamiento humano, incluyendola evolución de las necesidades de las partes interesadas?

¿Se exige, promueve y apoya la coordinación de lasactividades de las partes interesadas para alcanzar unadirección coherente de la seguridad (educación, formación yprogramas de concienciación)?.



ISO 27014

6. Revisar el rendimiento en relación alos resultados de negocio.

¿La aproximación tomada para proteger lainformación es adecuada al propósito deapoyar la organización proporcionando

niveles acordados de seguridad de lainformación?.¿Se mantiene la seguridad en los nivelesrequeridos para alcanzar losrequerimientos actuales y futuros delnegocio?.

¿Se evalúa la seguridad en relación a suimpacto en el negocio y no sólo en base ala eficacia y eficiencia de los controles?.



ISO 27014



Organización del Proyecto



R e q u i s i t o s y e x

p e c t a t i v a s

d e

l a s p a r t e s i n t e r e s a

d a s

r e s p e c t o a

l S G S I

R e q u i s i t o s y e x p e c t a t i v a s

d e

l a s p a r t e s i n t e r e s a

d a s

g e

s t i o n a

d a s c o n e

l S G

S I

Contexto de laOrganización

Liderazgo

Planificación

Operación

Evaluación

Mejora

ENTRADA

SALIDA

Fases de la Metodología



Proyectodel SGSI

Contextoorganización

Liderazgo

Planificación

Soporte

Operación

Evaluación

Mejora

7 FASES

Implantación delSGSI




Contextoorganización Liderazgo Planificación Soporte Operación Evaluación Mejora



20/44


23/44





24/44


Alineando el negocio con la Seguridad de la Información


25/44


Comprensión de la Misión,Objetivos, Valores y Estrategias

Misión

Valores

Losobjetivos

DeLa

Seguridadde la

Información

EstratégicoAlineamiento

Estrategias

Objetivos

Políticas CorporativasPolíticas de Seguridad de

la Información


26/44


Análisis del AmbienteExterno

Existen varias metodologías paraentender cómo funciona unaorganización

Lo importante es identificar lascaracterísticas de los factoresambientales internos y externosque influyen en la gestión de lacontinuidad del negocio: misión,actividades principales,organización interna, partesinteresadas, ttc.

Fortalezas Debilidades

Oportunidades Amenazas


27/44


Análisis del Entorno Interno

Comprender la estructura y losprincipales actores de laorganización relacionados conel ámbito de aplicación en los

planos:

• Estratégico (¿Quién establece las orientaciones estratégicas?)• Gobierno (¿Quién coordina y gestiona las operaciones?)• Operacional ( ¿Quién participa en las actividades de producción yapoyo?)


28/44


Identificación de los PrincipalesProcesos y Actividades

Activos de

Información Claves

¿Cuáles son losActivos de información

Claves de laOrganización?

Oferta de Productos

y servicios

¿Cuáles son los bienes yServicios producidos por

la organización?

Procesos de

Negocios

¿Cuáles so losProcesos claves que

Permiten a laOrganización cumplir

Con su misión?

A áli i d l A bi


29/44


• Plan del proyecto• Diagrama de GANNT• Documento Alcance del SGSI• Acta de Constitución del proyecto

Análisis del AmbienteExterno

D

http://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-001%20-%20Plan%20del%20Proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Proyecto/Diagrama%20de%20Gannt%20Proyecto%20con%20ISO%2027001%202013.pdfhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-003%20-%20Documento%20de%20alcance%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/Acta%20de%20constitucion%20del%20proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/Acta%20de%20constitucion%20del%20proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-003%20-%20Documento%20de%20alcance%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Proyecto/Diagrama%20de%20Gannt%20Proyecto%20con%20ISO%2027001%202013.pdfhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-001%20-%20Plan%20del%20Proyecto.docx


30/44


• Plan del proyecto• Diagrama de GANNT• Documento Alcance del SGSI• Acta de Constitución del proyecto

Documentos

http://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-001%20-%20Plan%20del%20Proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Proyecto/Diagrama%20de%20Gannt%20Proyecto%20con%20ISO%2027001%202013.pdfhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-003%20-%20Documento%20de%20alcance%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/Acta%20de%20constitucion%20del%20proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/Acta%20de%20constitucion%20del%20proyecto.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-003%20-%20Documento%20de%20alcance%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Proyecto/Diagrama%20de%20Gannt%20Proyecto%20con%20ISO%2027001%202013.pdfhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-001%20-%20Plan%20del%20Proyecto.docx


31/44


Gestión de Riesgos


32/44


No tenemos que usar la norma ISO 31000 parala gestión de riesgos. La norma ISO 31000 sólose menciona en la norma ISO 27001: 2013,pero no es obligatorio.

No se tiene que eliminar los activos, amenazasy vulnerabilidades de nuestra evaluación deriesgos. Se puede mantener la metodologíaantigua porque la norma ISO 27001: 2013 tedeja libertad para determinar los riesgos de laforma que desee.

¿Qué cambia en la gestiónde riesgos?


33/44


No se debe dejar de lado el identificar a lospropietarios de activos. Aunque la norma ISO27001: 2013 no requiere que usted identifiquelos propietarios de activos como parte de laevaluación del riesgo, el control A.8.1.2 Controllo requiere.

En la Política de seguridad de la información denivel superior no se necesita establecercriterios con los que los riesgos seránevaluados - este era el requisito de la norma

ISO 27001: 2005 4.2.1 b 4)); en la norma ISO27001: 2013, usted todavía tiene que definirlos criterios de evaluación de riesgo, pero nocomo parte de la política de nivel superior .



34/44


Se puede identificar los riesgos en función desus procesos, en función de susdepartamentos, utilizando sólo las amenazas yvulnerabilidades no, o cualquier otrametodología

Es necesario identificar los propietarios delriesgo.

ISO 27001: 2005 requiere que la

administración apruebe riesgos residuales, asícomo la implementación y operación del SGSI.Por el contrario, en la norma ISO 27001: 2013los propietarios de los riesgos deben aceptarlos riesgos residuales y aprobar el plan detratamiento de riesgos.



35/44


Las opciones de tratamiento en la revisión2013 no sólo se limitan a la aplicación de loscontroles, la aceptación de riesgos, evitandolos riesgos, y la transferencia de riesgos comolo fueron en la revisión de 2005 - básicamente,usted es libre de considerar cualquier opciónde tratamiento que crea apropiado.



36/44


37/44


Indicadores de gestión


38/44


Indicadores del SGSIISO 27004


39/44


Entrenamiento del SGSI Personal entrenado en el SGSI Entrenamiento en Seguridad de la Información Concientización en el Cumplimiento de la Seguridad de

la Información Políticas de contraseñas Calidad de las contraseñas – manual Calidad de las contraseñas – automática

Proceso de revisión del SGSI Mejora continua de la gestión de incidentes de laseguridad de la información del SGSI


d d d l


40/44


Efectividad Implementación de accionescorrectivas Compromiso de la alta dirección Protección contra código malicioso Controles físicos de entrada Revisión de los archivos de registro de actividades Gestión de la periodicidad del mantenimiento

Seguridad en acuerdos con terceras partes


D t


41/44


Documento

• Documento Indicadores del SGSI

http://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-017%20Documento%20indicadores%20del%20SGSI.docxhttp://localhost/var/www/apps/conversion/tmp/scratch_7/Plantillas%20SGSI/SGSI-017%20Documento%20indicadores%20del%20SGSI.docx


42/44


Mejora Continua

R i ió d D


43/44


Revisión de Documentos

R i ió d C l


44/44

Revisión de Controles

material didactico semana 7

Documents