SlideShare une entreprise Scribd logo

Datasec - Experiencias - Cybersecurity 2013

Reynaldo C. de la Fuente Abdala
Reynaldo C. de la Fuente Abdala

Este documento resume las experiencias de implementar un programa nacional para mejorar la gestión de la seguridad de la información. Detalla los objetivos de la seguridad de la información, las razones legales para su implementación, y las restricciones que enfrentan las organizaciones públicas. Explica los hitos clave y factores críticos para el éxito como el compromiso de la alta dirección y la gestión del cambio cultural. El resumen proporciona una visión general de los temas principales discutidos en el documento.

Business
1  sur  28
Experiencias en la implementación de un programa de mejora de la gestión de la seguridad de la información a nivel nacional.
Agenda • Las experiencias. • Los objetivos y valor detrás de la SI. • Las razones legales. • Las restricciones existentes en organismos • Implantación de SGSI – Responsabilidad social • Principales Hitos. • Factores Claves
Las experiencias que consideramos. • Implantación de CERTs – Difusión de buenas practicas, capacitación, concientización. – Protección de Activos de Información Críticos del Estado. • Implantación de Buenas Practicas en Gestión de la Seguridad de la Información en Organismos Públicos. • Implantación de un conjunto mínimo de controles en los Organismos para la protección de activos críticos.
¿Cuál es el objetivo de la SI en un organismo del estado? ¿Por qué se implementa SGSI en organismos del estado? Si el valor esperado no es el correcto, el valor obtenido nunca estará alienado! VALOR ESPERADO
¿Por qué invierten las organizaciones en SI? • Proteger los datos de los usuarios (clientes, ciudadanos) • Prevenir caída y fallas de sistemas. • Cumplir con Requisitos legales. • Proteger la reputación de la organización. • Mantener la integridad de los datos • Continuidad del negocio en un desastre. • Proteger Propiedad Intelectual. • Oportunidades de negocios/servicios • Fuente PWC 2012
Objetivos de la seguridad de la Información: • La seguridad de la información consiste en procesos y controles diseñados para proteger información de su divulgación no autorizada, transferencia, modificación o destrucción, a los efectos de: – asegurar la continuidad del negocio; – minimizar posibles daños al negocio; – maximizar oportunidades de negocios.”
Renunció.
¿Cuál es el valor esperado? • ¿Por qué razones fundamentales NO debemos implementar un SGSI? – Queremos obtener la certificación ISO/IEC 27001! – Nos lo solicita la casa matriz! – Existe un subsidio que nos permite justificar otros gastos! – Una legislación/regulación/contrato nos lo requiere! – Nos robaron/hackearon/etc. información y en virtud de esto queremos revisar nuestra seguridad – Pensamos que es un sistema/software/solución que nos hará estar seguro ante ataques externos.
¿Cuál es el valor esperado? • ¿Por qué razones fundamentales SI debemos implementar un SGSI? – Somos consientes de que debemos trabajar en la seguridad de la información (de nuestros clientes,, ciudadanos, operaciones) y entendemos que debemos comenzar por su gestión! – Deseamos demostrarle a todas las partes interesadas que contamos con un adecuado sistema para la gestión de la seguridad de la información. Que se cumplen con las políticas y procedimientos establecido, solicitando auditorías anuales por parte de un tercero. – Deseamos brindar transparencia y rendir cuentas por la seguridad de la información (CID) almacenada, procesada y transmitida
La Normativa sobre Seguridad de la Información. LAS RAZONES LEGALES Datasec 12
Legislación Aplicable • Leyes de Habeas Data y Protección de Datos Personales. – Proceso de Habeas Data – Protección de los datos personales almacenados – Registro de Bases – Consentimiento Informado.. • Leyes de Transparencia y de Acceso a la Información Pública. – Establecer procedimiento para la Clasificación de la información – Publicar información Pública. – Establecer procedimientos de acceso a la información para los ciudadanos. • Existen diferentes casos en los que surgen conflictos entre ambas leyes. Datasec 13
Cliente, Ciudadanos, Funcionarios, Accionistas, Socios de Negocios, Proveedores, Gobierno, otros. ASUMIENDO QUE TENEMOS TODAS LAS BUENAS RAZONES, ¿PODEMOS HACERLO?
Restricciones que podrían afectar • Es fundamental tomar en consideración todas las restricciones que afectan a la organización y que determinan la factibilidad de desarrollar y aplicar con éxito un conjunto de planes de mejora. Los orígenes de estas situaciones pueden estar dentro de la organización, en cuyo caso ésta tiene algún control sobre ellas, o fuera de la organización y por lo tanto, en general, son poco negociables (pero deben ser igualmente identificadas). – Restricciones de naturaleza política – Restricciones de naturaleza estratégica – Restricciones territoriales – Restricciones que se originan en el clima político y económico – Restricciones estructurales (organizativas) – Restricciones funcionales – Restricciones relacionadas con el personal – Restricciones que se originan en el calendario de la organización – Restricciones relacionadas con los métodos y tecnología. – Restricciones de naturaleza cultural. – Restricciones de presupuesto
¿Como percibimos los riesgos en américa latina? ¿Nos preocupa la privacidad realmente? ¿Son los organismos consientes de los riesgos? ¿Cuantificamos el impacto de los incidentes? RIESGOS PERCIBIDOS
Incidente Consecuencia Impacto Caída de los sistemas de Interrupción de los procesos información vitales de negocio Pérdida de imagen Error de control de acceso Fuga de información Pérdida de mercado Robo de notebooks Juicios, reclamos legales Pérdida financiera Empleados descontentos con acceso a información Divulgación de información Pérdida de confianza sensible confidencial/ estratégica
Se debe iniciar un proceso gradual, que implica un cambio cultural. La seguridad de la información, y la de sus sistemas de procesamiento, debe ser un prioridad, y parte fundamental de la responsabilidad social de las organizaciones. EL SGSI EN LA ORGANIZACIONES PUBLICAS Y PRIVADAS UNA RESPONSABILIDAD SOCIAL Datasec 19
Nuestra Experiencia- Primeras Tareas Claves a Realizar • Establecer el marco Organizacional para la Gestión de la Seguridad de la Información. – Concientizar a los actores claves. – Designar y apoderar al Comité de Seguridad de la Información y – Designar y apoderar al Responsable de Seguridad de la Información. – Establecer las responsabilidades de todos los actores involucrados. Datasec 20
Nuestra Experiencia- Primeras Tareas Claves a Realizar • Establecer las bases del marco formal. – Resolución de Políticas de: Seguridad de la Información, Gestión de Riesgos y Gestión de Incidentes. – Establecer un Procedimiento y Herramienta para el Reporte de Incidentes de Seguridad. – Establecer un Plan de Capacitación y Concientización en Seguridad • Realizar un primer Análisis de Riesgos de Seguridad en un alcance limitado. • Establecer un Plan de Seguridad Anual (gradual de mejora).
Nuestra Experiencia- Plan de Mejora Anual (Gradual) • Entre los primeros controles y tareas a realizar se encuentran: – Formalización de Políticas, Procedimientos y controles para el control de acceso físico, incorporación/egreso de RRHH . – Formalización de Políticas, Procedimientos y controles para el control de acceso lógico a sistemas/aplicaciones y documentación. – Formalización de un Plan para la continuidad Operativa. – Formalización de Procedimientos para el cumplimiento con la Legislación de Transparencia y Protección de Datos Personales. – Capacitación y Concientización del Personal – Monitoreo de la eficacia de los controles técnicos y físicos para la implementación de las políticas y procedimientos definidos. – Auditorías Externas/Revisiones de Seguridad. Datasec 22
Nuestra experiencia - Algunas prácticas recomendadas • Desarrollar un conjunto mínimo de buenas prácticas homogéneas a nivel nacional: – Política General de Seguridad de la Información para el Estado. – Política de Gestión de incidentes, riesgos, continuidad del negocio. – Formalización de roles claves (comité, responsable) • Impulsar la capacitación continua en materia de gestión de la seguridad de la información – entre otros temas - para todo el estado. • Definir un conjunto mínimo de compras (consultorías, auditorias, controles) homogéneas para los diferentes organismos.
Impulsar una cultura de la seguridad, en la que la seguridad de la información, la privacidad, la transparencia sean parte. Difundir buenas practicas en materia de seguridad de la información a nivel nacional a todos los actores de la sociedad. Impulsar la seguridad de la información como parte de la responsabilidad social de las organizaciones y las personas. A NIVEL NACIONAL.
´ El apoyo visible y el compromiso evidente de la alta dirección ´ FACTORES CRÍTICOS DE ÉXITO Datasec 25
Factores críticos de éxito • GESTION DEL CAMBIO: Es fundamental comprender que se requiere un cambio en la forma de trabajo. Esto siempre genera turbulencias dentro de la organización, que deben ser analizadas y adecuadamente tratadas. De lo contrario, tal vez el proyecto de implantación sea exitoso, pero difícilmente su operación y mantenimiento lo sea. Finalmente, no aportará el valor esperado. Este es un cambio a nivel nacional y personal. Si los funcionarios, ciudadanos, clientes, no comprenden lo que implica, difícilmente se obtendrá el valor esperado. El desarrollo de actividades de capacitación a todos los niveles es un elemento clave del éxito a mediano plazo de estas iniciativas. Datasec 26
Factores críticos de éxito GESTION DE INDICADORES EVENTOS de EFICACIA TRATAMIENTO DE COMPROMISO RRRIESGOS OBJETIVOS CONCIENTIZACION y CAPACITACION
“SEGURIDAD DE LA INFORMACIÓN: EL QUINTO ELEMENTO EN LA ESTRATEGIA DE GOBIERNO ELECTRÓNICO DEL PERÚ”

Recommandé

Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 
Fusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFabián Descalzo
 
Audisistem 2 paula oviedo
Audisistem 2 paula oviedoAudisistem 2 paula oviedo
Audisistem 2 paula oviedoOfficialFbPao
 
La gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoLa gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoFabián Descalzo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaUniversidad Dominicana OYM
 
Cobit1
Cobit1Cobit1
Cobit1Blue Delacour
 
Control interno-informatico
Control interno-informaticoControl interno-informatico
Control interno-informaticorichycc7
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 

Recommandé

Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 
Fusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFabián Descalzo
 
Audisistem 2 paula oviedo
Audisistem 2 paula oviedoAudisistem 2 paula oviedo
Audisistem 2 paula oviedoOfficialFbPao
 
La gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoLa gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoFabián Descalzo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaUniversidad Dominicana OYM
 
Cobit1
Cobit1Cobit1
Cobit1Blue Delacour
 
Control interno-informatico
Control interno-informaticoControl interno-informatico
Control interno-informaticorichycc7
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 
Cobit
CobitCobit
Cobitnikifitz
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFabián Descalzo
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1aleleo1
 
Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Jose Olivera
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridadYESENIA CETINA
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...Luis Fernando Aguas Bucheli
 
Control interno
Control internoControl interno
Control internoeikagale
 
Cobit
CobitCobit
Cobitfrancisco
 
Tema 1
Tema 1Tema 1
Tema 1Carmelo Branimir España Villegas
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...Reynaldo C. de la Fuente Abdala
 
Making Security Agile
Making Security AgileMaking Security Agile
Making Security AgileOleg Gryb
 
Informe scsi 2012 sobre ciberseguridad
Informe scsi 2012 sobre ciberseguridadInforme scsi 2012 sobre ciberseguridad
Informe scsi 2012 sobre ciberseguridadPablo Heraklio
 
Software
SoftwareSoftware
Softwaremacarenariann
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grcbalejandre
 
Implementing NIST Cybersecurity Framework Using COBIT 5
Implementing NIST Cybersecurity Framework Using COBIT 5Implementing NIST Cybersecurity Framework Using COBIT 5
Implementing NIST Cybersecurity Framework Using COBIT 5Francisco Javier Peris Montesinos
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCSUC - Consorci de Serveis Universitaris de Catalunya
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxItconic
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICorporacion Colombia Digital
 
ICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security GovernanceICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security GovernanceCharles Lim
 
¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...
¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...
¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...Paco Barranco
 

Contenu connexe

Tendances

FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFabián Descalzo
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1aleleo1
 
Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Jose Olivera
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridadYESENIA CETINA
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...Luis Fernando Aguas Bucheli
 
Control interno
Control internoControl interno
Control internoeikagale
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...Reynaldo C. de la Fuente Abdala
 

Tendances (12)

Cobit
CobitCobit
Cobit
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de seguros
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
 
Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridad
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
 
Control interno
Control internoControl interno
Control interno
 
Cobit
CobitCobit
Cobit
 
Tema 1
Tema 1Tema 1
Tema 1
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informatica
 
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
 

En vedette

Making Security Agile
Making Security AgileMaking Security Agile
Making Security AgileOleg Gryb
 
Informe scsi 2012 sobre ciberseguridad
Informe scsi 2012 sobre ciberseguridadInforme scsi 2012 sobre ciberseguridad
Informe scsi 2012 sobre ciberseguridadPablo Heraklio
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grcbalejandre
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxItconic
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICorporacion Colombia Digital
 
ICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security GovernanceICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security GovernanceCharles Lim
 
¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...
¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...
¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...Paco Barranco
 
End-user computing - The Mobile Workforce Report
End-user computing - The Mobile Workforce ReportEnd-user computing - The Mobile Workforce Report
End-user computing - The Mobile Workforce ReportDimension Data Asia Pacific
 
Digital transformation: introduction to cyber risk
Digital transformation: introduction to cyber riskDigital transformation: introduction to cyber risk
Digital transformation: introduction to cyber riskMosoco Ltd
 
Threat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk ProgramsThreat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk ProgramsRahul Neel Mani
 
The future of banking
The future of bankingThe future of banking
The future of bankingBarbara Biro
 
Application Security in an Agile World - Agile Singapore 2016
Application Security in an Agile World - Agile Singapore 2016Application Security in an Agile World - Agile Singapore 2016
Application Security in an Agile World - Agile Singapore 2016Stefan Streichsbier
 
DevSecCon Asia 2017 Ante Gulam: Integrating crowdsourced security into agile ...
DevSecCon Asia 2017 Ante Gulam: Integrating crowdsourced security into agile ...DevSecCon Asia 2017 Ante Gulam: Integrating crowdsourced security into agile ...
DevSecCon Asia 2017 Ante Gulam: Integrating crowdsourced security into agile ...DevSecCon
 
Affects of Media on the Mind
Affects of Media on the MindAffects of Media on the Mind
Affects of Media on the MindJanvi Pattni
 

En vedette (20)

Making Security Agile
Making Security AgileMaking Security Agile
Making Security Agile
 
Informe scsi 2012 sobre ciberseguridad
Informe scsi 2012 sobre ciberseguridadInforme scsi 2012 sobre ciberseguridad
Informe scsi 2012 sobre ciberseguridad
 
Software
SoftwareSoftware
Software
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grc
 
Implementing NIST Cybersecurity Framework Using COBIT 5
Implementing NIST Cybersecurity Framework Using COBIT 5Implementing NIST Cybersecurity Framework Using COBIT 5
Implementing NIST Cybersecurity Framework Using COBIT 5
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresariales
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXI
 
ICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security GovernanceICION 2016 - Cyber Security Governance
ICION 2016 - Cyber Security Governance
 
¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...
¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...
¡¡Ya hemos llegado!! @socialbrainsES, @BETA_permanente y @dygytalyaCOM han na...
 
End-user computing - The Mobile Workforce Report
End-user computing - The Mobile Workforce ReportEnd-user computing - The Mobile Workforce Report
End-user computing - The Mobile Workforce Report
 
Digital transformation: introduction to cyber risk
Digital transformation: introduction to cyber riskDigital transformation: introduction to cyber risk
Digital transformation: introduction to cyber risk
 
Threat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk ProgramsThreat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk Programs
 
Cybersecurity for the digital age
Cybersecurity for the digital ageCybersecurity for the digital age
Cybersecurity for the digital age
 
The future of banking
The future of bankingThe future of banking
The future of banking
 
Application Security in an Agile World - Agile Singapore 2016
Application Security in an Agile World - Agile Singapore 2016Application Security in an Agile World - Agile Singapore 2016
Application Security in an Agile World - Agile Singapore 2016
 
Cyber resilience (building the cyber security governance) isaca id tech ses ...
Cyber resilience (building the cyber security governance) isaca id tech ses ...Cyber resilience (building the cyber security governance) isaca id tech ses ...
Cyber resilience (building the cyber security governance) isaca id tech ses ...
 
Ancaman cyber terhadap keamanan nasional cybersecurityy risk and control - ...
Ancaman cyber terhadap keamanan nasional cybersecurityy risk and control - ...Ancaman cyber terhadap keamanan nasional cybersecurityy risk and control - ...
Ancaman cyber terhadap keamanan nasional cybersecurityy risk and control - ...
 
DevSecCon Asia 2017 Ante Gulam: Integrating crowdsourced security into agile ...
DevSecCon Asia 2017 Ante Gulam: Integrating crowdsourced security into agile ...DevSecCon Asia 2017 Ante Gulam: Integrating crowdsourced security into agile ...
DevSecCon Asia 2017 Ante Gulam: Integrating crowdsourced security into agile ...
 
Affects of Media on the Mind
Affects of Media on the MindAffects of Media on the Mind
Affects of Media on the Mind
 

Similaire à Datasec - Experiencias - Cybersecurity 2013

EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Presentación proyecto difusión PDP
Presentación proyecto difusión PDPPresentación proyecto difusión PDP
Presentación proyecto difusión PDPNYCE
 
Ley de Protección de Datos Personales
Ley de Protección de Datos PersonalesLey de Protección de Datos Personales
Ley de Protección de Datos PersonalesProtiviti Peru
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaFabián Descalzo
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en RedesBrian Piragauta
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la leyFabián Descalzo
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La OrganizacionFabián Descalzo
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad ITRamiro Cid
 
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfCap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfALDAIRALEXANDERUBILL
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadLilian Ramirez
 
Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)Martha Hurtado
 
Master ICAB - Curso de Riesgo operacional - Resumen
Master ICAB - Curso de Riesgo operacional - ResumenMaster ICAB - Curso de Riesgo operacional - Resumen
Master ICAB - Curso de Riesgo operacional - ResumenCarlos Soto
 

Similaire à Datasec - Experiencias - Cybersecurity 2013 (20)

EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
 
Presentación proyecto difusión PDP
Presentación proyecto difusión PDPPresentación proyecto difusión PDP
Presentación proyecto difusión PDP
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Ley de Protección de Datos Personales
Ley de Protección de Datos PersonalesLey de Protección de Datos Personales
Ley de Protección de Datos Personales
 
Presentación Protección de datos como estrategia empresarial: Un reto y una o...
Presentación Protección de datos como estrategia empresarial: Un reto y una o...Presentación Protección de datos como estrategia empresarial: Un reto y una o...
Presentación Protección de datos como estrategia empresarial: Un reto y una o...
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad Corporativa
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en Redes
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad IT
 
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfCap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)Guia procedimiento-seguridad-informacion (1)
Guia procedimiento-seguridad-informacion (1)
 
Master ICAB - Curso de Riesgo operacional - Resumen
Master ICAB - Curso de Riesgo operacional - ResumenMaster ICAB - Curso de Riesgo operacional - Resumen
Master ICAB - Curso de Riesgo operacional - Resumen
 

Dernier

exportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassexportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassJhonnyvalenssYupanqu
 
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAOANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAOCarlosAlbertoVillafu3
 
EVALUACIÓN PARCIAL de seminario de .pdf
EVALUACIÓN PARCIAL de seminario de .pdfEVALUACIÓN PARCIAL de seminario de .pdf
EVALUACIÓN PARCIAL de seminario de .pdfDIEGOSEBASTIANCAHUAN
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfdanilojaviersantiago
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónlicmarinaglez
 
modelo de flujo maximo unidad 4 en modelos de optimización de recursos
modelo de flujo maximo unidad 4 en modelos de optimización de recursosmodelo de flujo maximo unidad 4 en modelos de optimización de recursos
modelo de flujo maximo unidad 4 en modelos de optimización de recursosk7v476sp7t
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónjesuscub33
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESADanielAndresBrand
 
Continex para educación, Portafolio de servicios
Continex para educación, Portafolio de serviciosContinex para educación, Portafolio de servicios
Continex para educación, Portafolio de serviciosFundación YOD YOD
 
AUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptxAUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptxMatiasGodoy33
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfjesuseleazarcenuh
 
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxTIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxKevinHeredia14
 
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptxCarlosQuionez42
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfPriscilaBermello
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHkarlinda198328
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxedwinrojas836235
 
Gestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptxGestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptxignaciomiguel162
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfConstructiva
 
Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..JoseRamirez247144
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxgabyardon485
 

Dernier (20)

exportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassexportacion y comercializacion de palta hass
exportacion y comercializacion de palta hass
 
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAOANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
 
EVALUACIÓN PARCIAL de seminario de .pdf
EVALUACIÓN PARCIAL de seminario de .pdfEVALUACIÓN PARCIAL de seminario de .pdf
EVALUACIÓN PARCIAL de seminario de .pdf
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdf
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociación
 
modelo de flujo maximo unidad 4 en modelos de optimización de recursos
modelo de flujo maximo unidad 4 en modelos de optimización de recursosmodelo de flujo maximo unidad 4 en modelos de optimización de recursos
modelo de flujo maximo unidad 4 en modelos de optimización de recursos
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarización
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
 
Continex para educación, Portafolio de servicios
Continex para educación, Portafolio de serviciosContinex para educación, Portafolio de servicios
Continex para educación, Portafolio de servicios
 
AUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptxAUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptx
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdf
 
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxTIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
 
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdf
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
 
Gestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptxGestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptx
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
 
Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptx
 

Datasec - Experiencias - Cybersecurity 2013

  • 1.
  • 2. Experiencias en la implementación de un programa de mejora de la gestión de la seguridad de la información a nivel nacional.
  • 3.
  • 4. Agenda • Las experiencias. • Los objetivos y valor detrás de la SI. • Las razones legales. • Las restricciones existentes en organismos • Implantación de SGSI – Responsabilidad social • Principales Hitos. • Factores Claves
  • 5. Las experiencias que consideramos. • Implantación de CERTs – Difusión de buenas practicas, capacitación, concientización. – Protección de Activos de Información Críticos del Estado. • Implantación de Buenas Practicas en Gestión de la Seguridad de la Información en Organismos Públicos. • Implantación de un conjunto mínimo de controles en los Organismos para la protección de activos críticos.
  • 6. ¿Cuál es el objetivo de la SI en un organismo del estado? ¿Por qué se implementa SGSI en organismos del estado? Si el valor esperado no es el correcto, el valor obtenido nunca estará alienado! VALOR ESPERADO
  • 7. ¿Por qué invierten las organizaciones en SI? • Proteger los datos de los usuarios (clientes, ciudadanos) • Prevenir caída y fallas de sistemas. • Cumplir con Requisitos legales. • Proteger la reputación de la organización. • Mantener la integridad de los datos • Continuidad del negocio en un desastre. • Proteger Propiedad Intelectual. • Oportunidades de negocios/servicios • Fuente PWC 2012
  • 8. Objetivos de la seguridad de la Información: • La seguridad de la información consiste en procesos y controles diseñados para proteger información de su divulgación no autorizada, transferencia, modificación o destrucción, a los efectos de: – asegurar la continuidad del negocio; – minimizar posibles daños al negocio; – maximizar oportunidades de negocios.”
  • 10. ¿Cuál es el valor esperado? • ¿Por qué razones fundamentales NO debemos implementar un SGSI? – Queremos obtener la certificación ISO/IEC 27001! – Nos lo solicita la casa matriz! – Existe un subsidio que nos permite justificar otros gastos! – Una legislación/regulación/contrato nos lo requiere! – Nos robaron/hackearon/etc. información y en virtud de esto queremos revisar nuestra seguridad – Pensamos que es un sistema/software/solución que nos hará estar seguro ante ataques externos.
  • 11. ¿Cuál es el valor esperado? • ¿Por qué razones fundamentales SI debemos implementar un SGSI? – Somos consientes de que debemos trabajar en la seguridad de la información (de nuestros clientes,, ciudadanos, operaciones) y entendemos que debemos comenzar por su gestión! – Deseamos demostrarle a todas las partes interesadas que contamos con un adecuado sistema para la gestión de la seguridad de la información. Que se cumplen con las políticas y procedimientos establecido, solicitando auditorías anuales por parte de un tercero. – Deseamos brindar transparencia y rendir cuentas por la seguridad de la información (CID) almacenada, procesada y transmitida
  • 12. La Normativa sobre Seguridad de la Información. LAS RAZONES LEGALES Datasec 12
  • 13. Legislación Aplicable • Leyes de Habeas Data y Protección de Datos Personales. – Proceso de Habeas Data – Protección de los datos personales almacenados – Registro de Bases – Consentimiento Informado.. • Leyes de Transparencia y de Acceso a la Información Pública. – Establecer procedimiento para la Clasificación de la información – Publicar información Pública. – Establecer procedimientos de acceso a la información para los ciudadanos. • Existen diferentes casos en los que surgen conflictos entre ambas leyes. Datasec 13
  • 14. Cliente, Ciudadanos, Funcionarios, Accionistas, Socios de Negocios, Proveedores, Gobierno, otros. ASUMIENDO QUE TENEMOS TODAS LAS BUENAS RAZONES, ¿PODEMOS HACERLO?
  • 15. Restricciones que podrían afectar • Es fundamental tomar en consideración todas las restricciones que afectan a la organización y que determinan la factibilidad de desarrollar y aplicar con éxito un conjunto de planes de mejora. Los orígenes de estas situaciones pueden estar dentro de la organización, en cuyo caso ésta tiene algún control sobre ellas, o fuera de la organización y por lo tanto, en general, son poco negociables (pero deben ser igualmente identificadas). – Restricciones de naturaleza política – Restricciones de naturaleza estratégica – Restricciones territoriales – Restricciones que se originan en el clima político y económico – Restricciones estructurales (organizativas) – Restricciones funcionales – Restricciones relacionadas con el personal – Restricciones que se originan en el calendario de la organización – Restricciones relacionadas con los métodos y tecnología. – Restricciones de naturaleza cultural. – Restricciones de presupuesto
  • 16. ¿Como percibimos los riesgos en américa latina? ¿Nos preocupa la privacidad realmente? ¿Son los organismos consientes de los riesgos? ¿Cuantificamos el impacto de los incidentes? RIESGOS PERCIBIDOS
  • 17. Incidente Consecuencia Impacto Caída de los sistemas de Interrupción de los procesos información vitales de negocio Pérdida de imagen Error de control de acceso Fuga de información Pérdida de mercado Robo de notebooks Juicios, reclamos legales Pérdida financiera Empleados descontentos con acceso a información Divulgación de información Pérdida de confianza sensible confidencial/ estratégica
  • 18.
  • 19. Se debe iniciar un proceso gradual, que implica un cambio cultural. La seguridad de la información, y la de sus sistemas de procesamiento, debe ser un prioridad, y parte fundamental de la responsabilidad social de las organizaciones. EL SGSI EN LA ORGANIZACIONES PUBLICAS Y PRIVADAS UNA RESPONSABILIDAD SOCIAL Datasec 19
  • 20. Nuestra Experiencia- Primeras Tareas Claves a Realizar • Establecer el marco Organizacional para la Gestión de la Seguridad de la Información. – Concientizar a los actores claves. – Designar y apoderar al Comité de Seguridad de la Información y – Designar y apoderar al Responsable de Seguridad de la Información. – Establecer las responsabilidades de todos los actores involucrados. Datasec 20
  • 21. Nuestra Experiencia- Primeras Tareas Claves a Realizar • Establecer las bases del marco formal. – Resolución de Políticas de: Seguridad de la Información, Gestión de Riesgos y Gestión de Incidentes. – Establecer un Procedimiento y Herramienta para el Reporte de Incidentes de Seguridad. – Establecer un Plan de Capacitación y Concientización en Seguridad • Realizar un primer Análisis de Riesgos de Seguridad en un alcance limitado. • Establecer un Plan de Seguridad Anual (gradual de mejora).
  • 22. Nuestra Experiencia- Plan de Mejora Anual (Gradual) • Entre los primeros controles y tareas a realizar se encuentran: – Formalización de Políticas, Procedimientos y controles para el control de acceso físico, incorporación/egreso de RRHH . – Formalización de Políticas, Procedimientos y controles para el control de acceso lógico a sistemas/aplicaciones y documentación. – Formalización de un Plan para la continuidad Operativa. – Formalización de Procedimientos para el cumplimiento con la Legislación de Transparencia y Protección de Datos Personales. – Capacitación y Concientización del Personal – Monitoreo de la eficacia de los controles técnicos y físicos para la implementación de las políticas y procedimientos definidos. – Auditorías Externas/Revisiones de Seguridad. Datasec 22
  • 23. Nuestra experiencia - Algunas prácticas recomendadas • Desarrollar un conjunto mínimo de buenas prácticas homogéneas a nivel nacional: – Política General de Seguridad de la Información para el Estado. – Política de Gestión de incidentes, riesgos, continuidad del negocio. – Formalización de roles claves (comité, responsable) • Impulsar la capacitación continua en materia de gestión de la seguridad de la información – entre otros temas - para todo el estado. • Definir un conjunto mínimo de compras (consultorías, auditorias, controles) homogéneas para los diferentes organismos.
  • 24. Impulsar una cultura de la seguridad, en la que la seguridad de la información, la privacidad, la transparencia sean parte. Difundir buenas practicas en materia de seguridad de la información a nivel nacional a todos los actores de la sociedad. Impulsar la seguridad de la información como parte de la responsabilidad social de las organizaciones y las personas. A NIVEL NACIONAL.
  • 25. ´ El apoyo visible y el compromiso evidente de la alta dirección ´ FACTORES CRÍTICOS DE ÉXITO Datasec 25
  • 26. Factores críticos de éxito • GESTION DEL CAMBIO: Es fundamental comprender que se requiere un cambio en la forma de trabajo. Esto siempre genera turbulencias dentro de la organización, que deben ser analizadas y adecuadamente tratadas. De lo contrario, tal vez el proyecto de implantación sea exitoso, pero difícilmente su operación y mantenimiento lo sea. Finalmente, no aportará el valor esperado. Este es un cambio a nivel nacional y personal. Si los funcionarios, ciudadanos, clientes, no comprenden lo que implica, difícilmente se obtendrá el valor esperado. El desarrollo de actividades de capacitación a todos los niveles es un elemento clave del éxito a mediano plazo de estas iniciativas. Datasec 26
  • 27. Factores críticos de éxito GESTION DE INDICADORES EVENTOS de EFICACIA TRATAMIENTO DE COMPROMISO RRRIESGOS OBJETIVOS CONCIENTIZACION y CAPACITACION
  • 28. “SEGURIDAD DE LA INFORMACIÓN: EL QUINTO ELEMENTO EN LA ESTRATEGIA DE GOBIERNO ELECTRÓNICO DEL PERÚ”