Grado de madurez de la organización en Seguridad de la Información Presentada por: Taich, Diego Director, PwC Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso. Agenda • • • • Introducción El grado de madurez de las Organizaciones (Encuesta PwC) Modelos de madurez Madurez en Seguridad de la Información – Iniciativas y Proyectos – Factores clave para madurar la función de SI “SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO” Introducción ¿Qué es? La “madurez” hace referencia a la adopción y uso de buenas prácticas de Seguridad en la Organización. Hoy en día, el alcance de los modelos de madurez se ha expandido a la Ciberseguridad. Definición de madurez (según la Real Academia Española): madurez. (De maduro). 1. f. Sazón de los frutos. 2. f. Buen juicio o prudencia, sensatez. 3. f. Edad de la persona que ha alcanzado su plenitud vital y aún no ha llegado a la vejez. Encuesta anual de PwC El grado de madurez en las organizaciones “Porcentaje de los encuestados que tiene en marcha un estrategia de Seguridad de la información alineada con los procesos de negocio.” – Q14 60% 54% 49% Global 7% 50% No 43% Si No lo saben América del Sur Argentina “La mitad de los encuestados desconoce si su estrategias de gestión de riesgos incluye la CiberSeguridad como un 50% componente clave.” – Q21 24% 15% “La mitad de los encuestados desconoce cuales serán sus prioridades para los próximos 5 años.” – Q3 7% 2% 2% Monitoreo Ciber Seguridad Seguridad HSDP-12 Continuo comando en la nube en disp. Móviles No lo saben Encuesta anual de PwC (cont.) Aplicación de Prácticas de SI Acceso a usuarios privilegiados Entrenamiento y concientización de empleados 55% IPS 55% DLP 52% Patch management 53% Detección de malware 49% 2010 2011 2012 2013 Monitoreo activo % de presupuesto de IT gastado en Seguridad de la Información 55% 59% Participación del Directorio en actividades clave de SI 52% Revisión de Roles y Responsabilidades de Seguridad Políticas de Seguridad 54% Herramientas de correlación de eventos 55% Respuesta de incidentes 40% 55% Herramientas de análisis de vulnerabilidades BCP / DRP 2014 Presupuesta para Seguridad de la Información para 2014 Presupuesto en Seguridad Herramientas de monitoreo de acceso 3.8% Cifrado de e-mails 3.8% 55% 2.8 3.5% Control de antecedentes 2.2 $ millones 4.1 millones $ millones 2.7 $ millones 3.8% 54% IDS Detección 51% $ millones 56% Cumplimiento de políticas por parte de terceros Protección de APTs Respuesta 59% 3.6% Protección Prevención Control de accesos Evolución del Presupuesto de SI $4.3 61% 52% Tecnologías de Seguridad 20% 36% 30% Estrategias de Seguridad Total Revisión de nivel de Seguridad actual y riesgos 42% 25% Modelos de Madurez de SI Marcos de referencia para la evaluación de la madurez • NICE CMM • C2M2 • ISM3 • ISO/IEC 21827 SSE CMM • ISF CMM • …. “SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO” Modelos de Madurez de SI Modelos de Madurez NICE-CMM  El modelo CMM desarrollado y provisto por NICE en 2014.  Enfoque orientado a la evaluación de madurez sobre los requerimientos de CiberSeguridad.  Fuerte foco en el desarrollo de la fuerza de trabajo para soportar la práctica de CiberSeguridad. Gobierno integrado Procesos y análisis Profesionales cualificados y tecnologías Modelos de Madurez de SI Modelos de Madurez C2M2  El modelo C2M2 fue desarrollado y provisto por el Departamento de Seguridad Nacional y el Departamento de Energía de Estados Unidos en 2014.  Enfoque orientado a la evaluación de madurez sobre los requerimientos de CiberSeguridad. Está alineado al “framework” desarrollado por NIST y se enfoca en la protección de infraestructuras críticas.  Se han desarrollado modelos de madurez específicos para Oil&Gas y Electricidad “SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO” Modelos de Madurez de SI Modelos de Madurez SSE CMM  Desarrollado por Information Systems Security Engineering Association.  Enfocado en logra que el proceso de ingeniería de seguridad esté definida y sea medible. Modelos de Madurez de SI Modelos de Madurez ISM3  Desarrollado y provisto por ISM3 Consortium.  Enfocado en alinear la Seguridad con los Objetivos de la Organización.  Cubre las sgtes. actividades:   Evaluación de Riesgo  Auditoría de cumplimiento con las normas internas  Cumplimiento de estándares externos (ej. ISO 27001)  Monitoreo  Prueba  Diseño y Mejora  Optimización Basada en procesos, incluye métricas para medir su evolución. Modelos de Madurez de SI Modelos de Madurez ISF  Desarrollado por el Information Security Forum.  Enfocado en la aplicación de los modelos de madurez.  Incluye un modelo de madurez de alto nivel basado en sus propias buenas prácticas. Modelos de Madurez de SI Principales beneficios • Visión holística sobre el estado de la seguridad. • Comparación de la situación actual con otras organizaciones y con mejores prácticas. • Identificación y priorización de focos de inversión en Seguridad de la Información. • Base para el desarrollo tanto del plan estratégico como de los planes operativos y mapas de ruta para alcanzar el nivel de madurez deseado. • Establecer y consensuar nuevos requerimientos entre áreas de las organización. • Evaluar la factibilidad de éxito en nuevos proyectos de Seguridad de la Información. “SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO” La Madurez de SI Iniciativas y proyectos La determinación del grado de madurez de SI permite iniciar distintos proyectos, por ej.: • Remediación en el corto plazo situaciones de alto riesgo/probabilidad de ocurrencia. • Determinación de la necesidad de ampliación de capacidades (personas, tecnología, etc.). • Establecimiento de planes de acción para pasar de los niveles iniciales de madurez a niveles aceptables para la organización. “SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO” La Madurez de SI Iniciativas y proyectos (cont.) En Organizaciones con mayor grado de madurez: • Definición de una estrategia y gobierno de seguridad de la información alineada a los requerimientos del negocio. • Definición de un plan de gestión de riesgos y amenazas a las que se encuentra expuesto. • Definición de un programa de concientización y cultura de seguridad de la información en la organización. • Establecimiento de un programa de continuidad y recuperación de las funciones del negocio. • Definición de un programa de gestión de crisis y respuesta a incidentes. • Certificación de estándares internacionales (ej.: ISO 27001) “SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO” La Madurez de SI Factores claves para madurar la SI Perspectiva histórica en Seguridad de la información Qué hacen los líderes hoy  Limitada a sus "4 paredes" y la empresa extendida  Expansión del ecosistema de negocio: interconectado y global Quién es dueño y quién es responsable  Liderado y Operado por IT  El negocio está alineado y es dueño del tema; el CEO y el Directorio tienen responsabilidad Características de los adversarios  Ataque de una sola vez y oportunista; motivado por la notoriedad, el desafío técnico, y la ganancia individual  Ataques organizados, financiados y dirigidos; motivados por los acontecimientos económicos, monetarios, y para obtener beneficios políticos Protección de activos de información  Enfoque "One-size-fits-all"  Enfoque de priorización y protección de los activos importantes de la organización. Postura defensiva  Proteger el perímetro; responder si es atacado  Planificar, monitorear y responder rápidamente para cuando es atacado  "Manténgalo para sí mismo"  Asociación con otras organizaciones públicas y privadas; colaboración con los grupos de trabajo de la industria Alcance del desafío Inteligencia de Seguridad e intercambio de información La Madurez de SI Agregando valor al Negocio: 5 pasos para lograr la madurez 1 Asegurarse que su estrategia de ciberseguridad se encuentra alineada con los objetivos del negocio y sea estratégicamente financiada. 2 Identificar los activos más valiosos y priorizar la protección de los datos de mayor valor. 3 Conocer sus principales adversarios / amenazas, sus motivos, recursos y principales técnicas de ataque para reducir los tiempos de detección y respuesta. 4 Evaluar la seguridad de proveedores y socios de negocio, y asegurarse que los mismos acepten sus políticas y prácticas de seguridad. 5 Colaborar con otros para aumentar la concientización sobre las amenazas a la seguridad y las tácticas de repuesta. “SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO” Gracias por asistir a esta sesión… Para mayor información: Diego Taich ([email protected]) Para descargar esta presentación visite www.segurinfo.org Los invitamos a sumarse al grupo “Segurinfo” en