Haga clic para modificar el estilo de título del patrón ... · de las respuestas a un cuestionario que ... ¿Qué dificultades hubo con los controles? Quién hace qué, ... de Seguridad

Haga clic para modificar el estilo de título del patrón

Casos de éxitos y precauciones en la implantación de

herramientas GRC

Evolucionando la Seguridad 2018

1. ¿Por qué?

2.¿Por qué?

3. ¿Por qué?

4. ¿Por qué?

5. ¿Por qué?

6.¿Por qué?

7.¿Por qué?

8. Lecciones aprendidas de un modelo GRC


¿Cuánto tiempo llevamos con nuestro GRC? Menos del que deseáramos


¿Cuánto tiempo llevamos con nuestro GRC? Es imparable…

2005 2006

2008 2009

2010 2014

2015 2016

2017

CLIENTE

CLIENTE

CLIENTE


¿Quién o qué fue el impulsor del proyecto? El descontrol producido por…

Áreas operativas

Controles operativos

Financiero

Seguridad

Calidad

Cumplimiento Normativo

Riesgos

Control Interno

Auditoría Interna

Auditoría Externa

Reguladores

…

ISO/IEC 27001

ISO/IEC 20000

ISO/IEC 9001

ISO/IEC 22301

ENS

LPIC

ISO/IEC 14001

Normas Internas

LOPD

SOX

Inventario Normativas y Procedimientos

Controles aplicables

Auditorías Roles Direcciones Planes de

Acción


¿Quién o qué fue el impulsor del proyecto? El sentido común

La racionalización permite:

•Reducir y optimizar las actividades de adecuación.

•Simplificar la ejecución de auditorías.

•Ser Eficiente = Eficaz al menor coste posible.

•Agilizar el seguimiento.

RE

QU

ISIT

OS

27

CO

NT

RO

LE

S

IMP

LA

NT

AC

IÓN

RE

QU

ISIT

OS

8 C

ON

TR

OL

ES

Informes

Indicadores

Estado Madurez

Controles

% cumplimiento

estándares

CO

NT

RO

LE

S

AP

LIC

AB

LE

S

Reg

istr

os

Lo

gs

Acta

s

Vu

lne

rab

ilid

ad

es

ENS C1 C2

ISO 27001 C3 C4 C5 C6

ISO 27002 C7 C8

LOPD C9 C10

ITIL C11 C12 C13

PCI C14 C15

Ley PIC C16 C17 C18 C19

INTERNAS C20 C21

SOX C22 C23

Otras… C24 C25 C26 C27

NO

RM

AT

IVA

S

CONTROLES

PLAN

DO CHECK

ACT

Reg

istr

os

CX


Áreas operativas

Controles operativos

Financiero

Seguridad

Calidad

Cumplimiento Normativo

Riesgos

Control Interno

Auditoría Interna

Auditoría Externa

Reguladores

…

¿Quién o qué fue el impulsor del proyecto? ¡¡¡Ahorrar!!!: Tiempo, €, problemas, €, …

Inventario Normativas y Procedimientos


Auditorías Roles Direcciones Planes de

Acción


¿Tenemos procesos documentados? Documentados y automatizados


¿Incluimos la ciberseguridad en los riesgos? Es uno de las principales necesidades

Gestión del

riesgo

Caracterización del

entorno

Caracterización de las

amenazas

Evaluación de

salvaguardas

Evaluación

Riesgos

potenciales

Riesgos

residuales

Identificación

Estimación frecuencia y degradación

Aplicabilidad

Evaluación CMM

Modelo Basado en los 4 pilares fundamentales para el Riesgo:

1. Establecer el contexto del Activo. 2. Estudiar las salvaguardas

aplicables. 3. Estudio de la aplicación de las

amenazas 4. Cálculo del riesgo.

Los niveles de impacto y probabilidad se determinan automáticamente a partir de las respuestas a un cuestionario que permite definir las características más importantes del elemento a analizar.


¿Qué dificultades hubo con los controles? Quién hace qué, cómo, cuándo y para qué

Almacenamiento de evidencias

Periodicidad para ejecutar y

evidenciar los requisitos y para

validarlos

Responsabilidades asignadas a la

ejecución y revisión del

requisito

Forma en que se va a ejecutar y

validar el requisito

Poblaciones Poblaciones en

las que cada requisito va a implantarse

Despliegue de los controles en

diferentes alcances que

controlar

Controles aplicados en la Organización

C1 Despliegue 1 Alcance 1

Procedimiento Ejecución 1

Responsables 1 (Propietario y responsable )

Periodicidad de ejecución y

registro

Evidencia 1

Evidencia 2

Procedimiento verificación 1

Responsable 2 (Revisor)

Periodicidad de revisión

Despliegue 2

CICLO DE VIDA DE IMPLANTACIÓN DE UN CONTROL

CONTROL

CMUC – 1.4

Realizar revisiones semestrales de los controles de acceso

IMPLANTACIÓN

Las revisiones de acceso se realizarán según los procesos definidos en el alcance 1 inicialmente

EJECUCIÓN

Seguir el proceso de revisión generado

ALCANCE

Aplicaciones internas (Archer, Outlook, Citrix, Remedy, SAP, Tivoli Backyp, Trendmicro, Wide Vision)

RESPONSABLE

EJECUCIÓN

ICT

PERIODICIDAD

EJECUCIÓN

6 meses

EVIDENCIA 1

Resultado de las revisiones realizadas

RESPONSABLE

REVISIÓN

Security

EVIDENCIA 2

Fecha de última revisión de accesos correcta de todas las aplicaciones

PERIODICIDAD

REVISIÓN

6 meses

REVISIÓN

Verificar todas las revisiones OK y que no hay aplicaciones sin revisión

OPERACIÓN DEL CONTROL

Normativas y Procedimientos


Planes de Acción Inventario Direcciones Roles Auditorías


¿Existen las tres líneas de defensa? Tenemos 4¡¡¡ ;-)

Reguladores

Estatales

Sectoriales

Buenas prácticas

Auditoría

Interna

Externa

Áreas Transversales

Financiero

Seguridad

Riesgos

Calidad

Control

Cumplimiento

Áreas Operativas

Control procesos Indicadores

1ª Línea

Líneas defensa

2ª Línea

3ª Línea

4ª Línea


¿Los controles se verifican independiente? Varias veces

CLIENTE CLIENTE

CLIENTE

“Donde exista un indicador, hay alguien velando por el cumplimiento del control”


¿Está maduro el proceso? Estamos en la adolescencia… pero creciendo

• Una única herramienta.

• Un único repositorio.

• Un único modelo de Gestión de Riesgos.

• Una implantación de cada control.

• Un único comité.

• Una rutina.

• Un único presupuesto.

• Varias empresas auditoras.


¿Tenemos segregación de funciones?

• Existen responsables de:

– Definición: generando el control en el .

– Implantación: de los controles en sus ámbitos de control.

– Auditoría:

• Generando evidencias.

• Revisando las evidencias.

• Externos auditando todo el control.

Roles


¿Habéis desarrollado un Modelo GRC? Uno no… ¡¡¡4!!!

Diseño particularizado y específico de los procesos de negocio, en base a un Sistema Integrado de Gestión (SIG), concretos en el ámbito de la Seguridad Física, Lógica y de las Personas (Seguridad Integral).

Creación de un Modelo Unificado de Controles (MUC) que incluya todas las normas y estándares aplicables de los procesos definidos.

Implantación de un modelo de Ciclo de Vida de los Controles (CVC).

Creación de un Método de Análisis de Riesgos Ágil y especializado para cada proceso (MARA).

MARA


Lecciones aprendidas Conclusiones

• La simbiosis es la única forma de

trabajar.

• Si no pierdes, no buscas.

• No se puede mantener un control sin el

proceso que lo mantenga.

• Si no controlas, no puedes dirigir.

1. ¿Por qué no empecé antes?

2.¿Por qué no pusimos responsable?

3. ¿Por qué no creamos un único modelo?

4. ¿Por qué no se hizo un único AARR?

5. ¿Por qué no hicimos un modelo de implantación y revisión?

6.¿Por qué no pedimos ayuda?

7.¿Por qué no lo vendimos antes?

8. ¿Por qué tardamos tanto…?


Gracias por su atención

Juan Fco. Cornago Baratech

CISA, CGEIT, C|CISO, Lead Auditor 27001, Lead Auditor 22301, Director y Jefe de Seguridad por el MIR, Profesional Nivel Negro del CCI, Detective Privado

Senior Manager Governance, Risk & Compliance (GRC) [email protected]

Grupo SIA Avda.Europa,2 - Alcor Plaza, Edificio B - Parque Oeste Alcorcón

28922 Alcorcón - Madrid Telf.: +34 902 480 580 Fax: +34 91 307 79 80 Móvil:+34 669 852 191

www.sia.es

delivering value

@juancornago | linkedin.com/in/juancornago

mailto:[email protected]

http://www.sia.es

https://twitter.com/juancornago

https://twitter.com/juancornago

Documents

Haga clic para modificar el estilo de título del patrón ... · de las respuestas a un cuestionario que ... ¿Qué dificultades hubo con los controles? Quién hace qué, ... de Seguridad