Este documento resume las experiencias de implementar un programa nacional para mejorar la gestión de la seguridad de la información. Detalla los objetivos de la seguridad de la información, las razones legales para su implementación, y las restricciones que enfrentan las organizaciones públicas. Explica los hitos clave y factores críticos para el éxito como el compromiso de la alta dirección y la gestión del cambio cultural. El resumen proporciona una visión general de los temas principales discutidos en el documento.
2. Experiencias en la implementación
de un programa de mejora
de la gestión de la seguridad de la información
a nivel nacional.
3.
4. Agenda
• Las experiencias.
• Los objetivos y valor detrás de la SI.
• Las razones legales.
• Las restricciones existentes en organismos
• Implantación de SGSI – Responsabilidad social
• Principales Hitos.
• Factores Claves
5. Las experiencias que consideramos.
• Implantación de CERTs
– Difusión de buenas practicas, capacitación, concientización.
– Protección de Activos de Información Críticos del Estado.
• Implantación de Buenas Practicas en Gestión de la
Seguridad de la Información en Organismos Públicos.
• Implantación de un conjunto mínimo de controles en los
Organismos para la protección de activos críticos.
6. ¿Cuál es el objetivo de la SI en un organismo del estado?
¿Por qué se implementa SGSI en organismos del estado?
Si el valor esperado no es el correcto, el valor obtenido nunca estará
alienado!
VALOR ESPERADO
7. ¿Por qué invierten las organizaciones
en SI?
• Proteger los datos de los usuarios (clientes, ciudadanos)
• Prevenir caída y fallas de sistemas.
• Cumplir con Requisitos legales.
• Proteger la reputación de la organización.
• Mantener la integridad de los datos
• Continuidad del negocio en un desastre.
• Proteger Propiedad Intelectual.
• Oportunidades de negocios/servicios
• Fuente PWC 2012
8. Objetivos de la seguridad de la
Información:
• La seguridad de la información consiste en procesos y
controles diseñados para proteger información de su
divulgación no autorizada, transferencia, modificación o
destrucción, a los efectos de:
– asegurar la continuidad del negocio;
– minimizar posibles daños al negocio;
– maximizar oportunidades de negocios.”
10. ¿Cuál es el valor esperado?
• ¿Por qué razones fundamentales NO debemos
implementar un SGSI?
– Queremos obtener la certificación ISO/IEC 27001!
– Nos lo solicita la casa matriz!
– Existe un subsidio que nos permite justificar otros gastos!
– Una legislación/regulación/contrato nos lo requiere!
– Nos robaron/hackearon/etc. información y en virtud de
esto queremos revisar nuestra seguridad
– Pensamos que es un sistema/software/solución que nos
hará estar seguro ante ataques externos.
11. ¿Cuál es el valor esperado?
• ¿Por qué razones fundamentales SI debemos implementar
un SGSI?
– Somos consientes de que debemos trabajar en la seguridad de
la información (de nuestros clientes,, ciudadanos, operaciones)
y entendemos que debemos comenzar por su gestión!
– Deseamos demostrarle a todas las partes interesadas que
contamos con un adecuado sistema para la gestión de la
seguridad de la información. Que se cumplen con las políticas y
procedimientos establecido, solicitando auditorías anuales por
parte de un tercero.
– Deseamos brindar transparencia y rendir cuentas por la
seguridad de la información (CID) almacenada, procesada y
transmitida
12. La Normativa sobre Seguridad de la Información.
LAS RAZONES LEGALES
Datasec 12
13. Legislación Aplicable
• Leyes de Habeas Data y Protección de Datos Personales.
– Proceso de Habeas Data
– Protección de los datos personales almacenados
– Registro de Bases
– Consentimiento Informado..
• Leyes de Transparencia y de Acceso a la Información Pública.
– Establecer procedimiento para la Clasificación de la información
– Publicar información Pública.
– Establecer procedimientos de acceso a la información para los
ciudadanos.
• Existen diferentes casos en los que surgen conflictos entre ambas
leyes.
Datasec 13
14. Cliente, Ciudadanos, Funcionarios, Accionistas, Socios de Negocios,
Proveedores, Gobierno, otros.
ASUMIENDO QUE TENEMOS TODAS LAS BUENAS
RAZONES, ¿PODEMOS HACERLO?
15. Restricciones que podrían afectar
• Es fundamental tomar en consideración todas las restricciones que afectan a la organización
y que determinan la factibilidad de desarrollar y aplicar con éxito un conjunto de planes de
mejora. Los orígenes de estas situaciones pueden estar dentro de la organización, en cuyo
caso ésta tiene algún control sobre ellas, o fuera de la organización y por lo tanto, en general,
son poco negociables (pero deben ser igualmente identificadas).
– Restricciones de naturaleza política
– Restricciones de naturaleza estratégica
– Restricciones territoriales
– Restricciones que se originan en el clima político y económico
– Restricciones estructurales (organizativas)
– Restricciones funcionales
– Restricciones relacionadas con el personal
– Restricciones que se originan en el calendario de la organización
– Restricciones relacionadas con los métodos y tecnología.
– Restricciones de naturaleza cultural.
– Restricciones de presupuesto
16. ¿Como percibimos los riesgos en américa latina?
¿Nos preocupa la privacidad realmente?
¿Son los organismos consientes de los riesgos?
¿Cuantificamos el impacto de los incidentes?
RIESGOS PERCIBIDOS
17. Incidente Consecuencia Impacto
Caída de los sistemas de Interrupción de los procesos
información vitales de negocio Pérdida de imagen
Error de control de acceso Fuga de información Pérdida de mercado
Robo de notebooks Juicios, reclamos legales Pérdida financiera
Empleados descontentos
con acceso a información Divulgación de información Pérdida de confianza
sensible confidencial/ estratégica
18.
19. Se debe iniciar un proceso gradual, que implica un cambio cultural.
La seguridad de la información, y la de sus sistemas de procesamiento,
debe ser un prioridad, y parte fundamental de la responsabilidad social
de las organizaciones.
EL SGSI EN LA ORGANIZACIONES
PUBLICAS Y PRIVADAS
UNA RESPONSABILIDAD SOCIAL
Datasec 19
20. Nuestra Experiencia- Primeras Tareas
Claves a Realizar
• Establecer el marco Organizacional para la Gestión de
la Seguridad de la Información.
– Concientizar a los actores claves.
– Designar y apoderar al Comité de Seguridad de la
Información y
– Designar y apoderar al Responsable de Seguridad de la
Información.
– Establecer las responsabilidades de todos los actores
involucrados.
Datasec 20
21. Nuestra Experiencia- Primeras Tareas
Claves a Realizar
• Establecer las bases del marco formal.
– Resolución de Políticas de: Seguridad de la Información, Gestión
de Riesgos y Gestión de Incidentes.
– Establecer un Procedimiento y Herramienta para el Reporte de
Incidentes de Seguridad.
– Establecer un Plan de Capacitación y Concientización en
Seguridad
• Realizar un primer Análisis de Riesgos de Seguridad en un
alcance limitado.
• Establecer un Plan de Seguridad Anual (gradual de mejora).
22. Nuestra Experiencia- Plan de Mejora
Anual (Gradual)
• Entre los primeros controles y tareas a realizar se
encuentran:
– Formalización de Políticas, Procedimientos y controles para el control de
acceso físico, incorporación/egreso de RRHH .
– Formalización de Políticas, Procedimientos y controles para el control de
acceso lógico a sistemas/aplicaciones y documentación.
– Formalización de un Plan para la continuidad Operativa.
– Formalización de Procedimientos para el cumplimiento con la Legislación
de Transparencia y Protección de Datos Personales.
– Capacitación y Concientización del Personal
– Monitoreo de la eficacia de los controles técnicos y físicos para la
implementación de las políticas y procedimientos definidos.
– Auditorías Externas/Revisiones de Seguridad.
Datasec 22
23. Nuestra experiencia - Algunas prácticas
recomendadas
• Desarrollar un conjunto mínimo de buenas prácticas
homogéneas a nivel nacional:
– Política General de Seguridad de la Información para el Estado.
– Política de Gestión de incidentes, riesgos, continuidad del
negocio.
– Formalización de roles claves (comité, responsable)
• Impulsar la capacitación continua en materia de gestión de
la seguridad de la información – entre otros temas - para
todo el estado.
• Definir un conjunto mínimo de compras (consultorías,
auditorias, controles) homogéneas para los diferentes
organismos.
24. Impulsar una cultura de la seguridad, en la que la seguridad de la
información, la privacidad, la transparencia sean parte.
Difundir buenas practicas en materia de seguridad de la información a
nivel nacional a todos los actores de la sociedad.
Impulsar la seguridad de la información como parte de la responsabilidad
social de las organizaciones y las personas.
A NIVEL NACIONAL.
25. ´ El apoyo visible y el compromiso evidente de la alta
dirección ´
FACTORES CRÍTICOS DE ÉXITO
Datasec 25
26. Factores críticos de éxito
• GESTION DEL CAMBIO:
Es fundamental comprender que se requiere un cambio en la forma de
trabajo. Esto siempre genera turbulencias dentro de la organización, que
deben ser analizadas y adecuadamente tratadas.
De lo contrario, tal vez el proyecto de implantación sea exitoso, pero
difícilmente su operación y mantenimiento lo sea. Finalmente, no aportará
el valor esperado.
Este es un cambio a nivel nacional y personal. Si los funcionarios,
ciudadanos, clientes, no comprenden lo que implica, difícilmente se
obtendrá el valor esperado.
El desarrollo de actividades de capacitación a todos los niveles es
un elemento clave del éxito a mediano plazo de estas iniciativas.
Datasec 26
27. Factores críticos de éxito
GESTION DE
INDICADORES
EVENTOS
de EFICACIA
TRATAMIENTO DE
COMPROMISO RRRIESGOS
OBJETIVOS CONCIENTIZACION y
CAPACITACION
28. “SEGURIDAD DE LA INFORMACIÓN: EL
QUINTO ELEMENTO EN LA ESTRATEGIA
DE GOBIERNO ELECTRÓNICO DEL PERÚ”