Grado de madurez de la organización en Seguridad de la Información

Grado de madurez de la
organización en
Seguridad de la
Información
Presentada por:
Taich, Diego
Director, PwC
Aclaración:
©
Todos los derechos reservados. No está permitida
la reproducción parcial o total del material de
esta sesión, ni su tratamiento informático, ni la
transmisión de ninguna forma o por cualquier
medio, ya sea electrónico, mecánico, por
fotocopia, por registro u otros métodos, sin el
permiso previo y por escrito de los titulares de los
derechos. Si bien este Congreso ha sido
concebido para difusión y promoción en el
ámbito de la profesión a nivel internacional,
previamente deberá solicitarse una autorización
por escrito y mediar la debida aprobación para
su uso.
Agenda
•
•
•
•
Introducción
El grado de madurez de las Organizaciones (Encuesta PwC)
Modelos de madurez
Madurez en Seguridad de la Información
– Iniciativas y Proyectos
– Factores clave para madurar la función de SI
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
Introducción
¿Qué es?
La “madurez” hace referencia a la adopción y
uso de buenas prácticas de Seguridad en la
Organización.
Hoy en día, el alcance de los modelos de
madurez
se
ha
expandido
a
la
Ciberseguridad.
Definición de madurez (según la Real Academia Española):
madurez.
(De maduro).
1. f. Sazón de los frutos.
2. f. Buen juicio o prudencia, sensatez.
3. f. Edad de la persona que ha alcanzado su plenitud vital y aún no ha
llegado a la vejez.
Encuesta anual de PwC
El grado de madurez en las organizaciones
“Porcentaje de los encuestados que
tiene en marcha un estrategia de
Seguridad de la información alineada
con los procesos de negocio.” – Q14
60%
54%
49%
Global
7%
50%
No
43%
Si
No lo saben
América del Sur
Argentina
“La mitad de los encuestados desconoce si
su estrategias de gestión de riesgos
incluye la CiberSeguridad como un
50%
componente clave.” – Q21
24%
15%
“La mitad de los encuestados desconoce
cuales serán sus prioridades para
los próximos 5 años.” – Q3
7%
2%
2%
Monitoreo Ciber
Seguridad Seguridad HSDP-12
Continuo comando en la nube en disp.
Móviles
No lo
saben
Encuesta anual de PwC (cont.)
Aplicación de Prácticas de SI
Acceso a usuarios privilegiados
Entrenamiento y concientización de
empleados
55%
IPS
55%
DLP
52%
Patch management
53%
Detección de malware
49%
2010
2011
2012
2013
Monitoreo activo
% de presupuesto de IT gastado en Seguridad de la Información
55%
59%
Participación del Directorio en actividades clave de SI
52%
Revisión de Roles y Responsabilidades
de Seguridad
Políticas de Seguridad
54%
Herramientas de correlación de
eventos
55%
Respuesta de incidentes
40%
55%
Herramientas de análisis de
vulnerabilidades
BCP / DRP
2014
Presupuesta para Seguridad de la Información para 2014
Presupuesto en Seguridad
Herramientas de monitoreo de acceso
3.8%
Cifrado de e-mails
3.8%
55%
2.8
3.5%
Control de antecedentes
2.2
$
millones
4.1
millones
$
millones
2.7
$
millones
3.8%
54%
IDS
Detección
51%
$
millones
56%
Cumplimiento de políticas por parte
de terceros
Protección de APTs
Respuesta
59%
3.6%
Protección
Prevención
Control de accesos
Evolución del Presupuesto de SI $4.3
61%
52%
Tecnologías de Seguridad
20%
36%
30%
Estrategias de Seguridad Total
Revisión de nivel de Seguridad actual y
riesgos
42%
25%
Modelos de Madurez de SI
Marcos de referencia para la evaluación de la
madurez
• NICE CMM
• C2M2
• ISM3
• ISO/IEC 21827 SSE CMM
• ISF CMM
• ….
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
Modelos de Madurez de SI
Modelos de Madurez NICE-CMM

El modelo CMM desarrollado y provisto por NICE en 2014.

Enfoque orientado a la evaluación de madurez sobre los
requerimientos de CiberSeguridad.

Fuerte foco en el desarrollo de la fuerza de trabajo para
soportar la práctica de CiberSeguridad.
Gobierno
integrado
Procesos y
análisis
Profesionales
cualificados
y tecnologías
Modelos de Madurez de SI
Modelos de Madurez C2M2

El modelo C2M2 fue desarrollado y provisto por el
Departamento de Seguridad Nacional y el Departamento de
Energía de Estados Unidos en 2014.

Enfoque orientado a la evaluación de madurez sobre los
requerimientos de CiberSeguridad. Está alineado al
“framework” desarrollado por NIST y se enfoca en la
protección de infraestructuras críticas.

Se han desarrollado modelos de madurez específicos para
Oil&Gas y Electricidad
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
Modelos de Madurez de SI
Modelos de Madurez SSE CMM

Desarrollado por Information Systems Security
Engineering Association.

Enfocado en logra que el proceso de ingeniería de
seguridad esté definida y sea medible.
Modelos de Madurez de SI
Modelos de Madurez ISM3

Desarrollado y provisto por ISM3 Consortium.

Enfocado en alinear la Seguridad con los Objetivos
de la Organización.

Cubre las sgtes. actividades:


Evaluación de Riesgo

Auditoría de cumplimiento con las normas internas

Cumplimiento de estándares externos (ej. ISO 27001)

Monitoreo

Prueba

Diseño y Mejora

Optimización
Basada en procesos, incluye métricas para medir su
evolución.
Modelos de Madurez de SI
Modelos de Madurez ISF

Desarrollado por el Information Security Forum.

Enfocado en la aplicación de los modelos de
madurez.

Incluye un modelo de madurez de alto nivel basado en sus
propias buenas prácticas.
Modelos de Madurez de SI
Principales beneficios
• Visión holística sobre el estado de la seguridad.
• Comparación de la situación actual con otras
organizaciones y con mejores prácticas.
• Identificación y priorización de focos de inversión
en Seguridad de la Información.
• Base para el desarrollo tanto del plan estratégico
como de los planes operativos y mapas de ruta para
alcanzar el nivel de madurez deseado.
• Establecer y consensuar nuevos requerimientos
entre áreas de las organización.
• Evaluar la factibilidad de éxito en nuevos proyectos
de Seguridad de la Información.
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
La Madurez de SI
Iniciativas y proyectos
La determinación del grado de madurez de SI permite
iniciar distintos proyectos, por ej.:
•
Remediación en el corto plazo situaciones de alto
riesgo/probabilidad de ocurrencia.
•
Determinación de la necesidad de ampliación de capacidades
(personas, tecnología, etc.).
•
Establecimiento de planes de acción para pasar de los niveles
iniciales de madurez a niveles aceptables para la organización.
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
La Madurez de SI
Iniciativas y proyectos (cont.)
En Organizaciones con mayor grado de madurez:
•
Definición de una estrategia y gobierno de seguridad de la
información alineada a los requerimientos del negocio.
•
Definición de un plan de gestión de riesgos y amenazas a las
que se encuentra expuesto.
•
Definición de un programa de concientización y cultura de
seguridad de la información en la organización.
•
Establecimiento de un programa de continuidad y
recuperación de las funciones del negocio.
•
Definición de un programa de gestión de crisis y respuesta a
incidentes.
•
Certificación de estándares internacionales (ej.: ISO 27001)
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
La Madurez de SI
Factores claves para madurar la SI
Perspectiva
histórica en
Seguridad de
la información
Qué hacen los
líderes hoy
 Limitada a sus "4 paredes" y la
empresa extendida
 Expansión del ecosistema de negocio:
interconectado y global
Quién es dueño y quién es
responsable
 Liderado y Operado por IT
 El negocio está alineado y es dueño del
tema; el CEO y el Directorio tienen
responsabilidad
Características de los
adversarios
 Ataque de una sola vez y
oportunista; motivado por la
notoriedad, el desafío técnico, y la
ganancia individual
 Ataques organizados, financiados y
dirigidos; motivados por los
acontecimientos económicos, monetarios, y
para obtener beneficios políticos
Protección de activos de
información
 Enfoque "One-size-fits-all"
 Enfoque de priorización y protección de los
activos importantes de la organización.
Postura defensiva
 Proteger el perímetro; responder si
es atacado
 Planificar, monitorear y responder
rápidamente para cuando es atacado
 "Manténgalo para sí mismo"
 Asociación con otras organizaciones
públicas y privadas; colaboración con los
grupos de trabajo de la industria
Alcance del desafío
Inteligencia de Seguridad e
intercambio de información
La Madurez de SI
Agregando valor al Negocio: 5 pasos para
lograr la madurez
1
Asegurarse que su estrategia de ciberseguridad se encuentra alineada con los
objetivos del negocio y sea estratégicamente financiada.
2
Identificar los activos más valiosos y priorizar la protección de los datos de
mayor valor.
3
Conocer sus principales adversarios / amenazas, sus motivos, recursos y
principales técnicas de ataque para reducir los tiempos de detección y respuesta.
4
Evaluar la seguridad de proveedores y socios de negocio, y asegurarse
que los mismos acepten sus políticas y prácticas de seguridad.
5
Colaborar con otros para aumentar la concientización sobre las amenazas a la
seguridad y las tácticas de repuesta.
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
Gracias por asistir a esta
sesión…
Para mayor información:
Diego Taich
([email protected])
Para descargar esta presentación visite
www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en

Download Report