Upload
salimmanzur
View
34
Download
1
Embed Size (px)
DESCRIPTION
Sistemas de Gestión de Seguridad de la Información y Continuidad de Negocios
Citation preview
S
Sistemas de GestiónSeguridad de la Información y
Continuidad del Negocio
Temario
Qué es Riesgo?
Qué es Información?
Qué protegemos?
Sistema de Gestión de Seguridad de la Información
Sistema de Gestión de Continuidad del Negocio
Por qué son sistemas?
Organigrama del Equipo de Trabajo
Próximos Pasos a Seguir
Política del Sistema de Gestión
Riesgo
Qué es el riesgo?
1. La International Organization for Standarization (ISO) define al riesgo como la “Combinación de la Probabilidad de un Evento y su Consecuencia”. ISO aclara que el término riesgo es generalmente usado siempre y cuando exista la posibilidad de pérdidas (resultado negativo).
2. The Institute of Internal Auditors (The IIA) define al riesgo como “La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad”.
3. Es también el potencial de que una amenaza explote las vulnerabilidades de un activo o grupo de activos, causando pérdida o daño a los mismos.
Tipos de Riesgo
Riesgos Sistemáticos: Riesgo de Inflación, Riesgo de Interés, Riesgo de Cambio, Riesgo de Reinversión, Riesgo País.
Riesgos Específicos: Riesgo Económico, Riesgo Financiero, Riesgo de Crédito, Riesgo de Liquidez, Riesgos Industriales, Riesgo debido a cambios tecnológicos, Riesgo relacionado con las inversiones, Riesgo relacionado con la demanda, Riesgos de Operación, Riesgo de Empresa.
Riesgo Operacional
Es el riesgo derivado de la posibilidad de que se produzcan pérdidas directas o indirectas asociadas a errores humanos, fallos en los sistemas, existencia de políticas, procesos o controles inadecuados y eventos externos. Personas: relativos a fraude interno, fraude externo. Sistemas: relativos a interrupciones de negocio y
fallos en los sistemas. Políticas y procesos: relativos a incumplimiento de
políticas laborales, clientes, productos y prácticas comerciales no apropiadas y ejecución, entrega y gestión de los procesos.
Externos: riesgos operacionales no encuadrados en las categorías anteriores.
Información
Qué es Información?
De acuerdo con el estándar ISO/IEC 27001:2005, la información es:
“Un activo que, al igual que otros activos importantes de la empresa, es esencial para la organización y consecuentemente necesita estar
protegido adecuadamente.”
Tipos de Información
Verbal/Conversaciones
Escrita/Impresa
Electrónica/Digital
Presentaciones
Enviada por correo
Cuáles son los Activos de Información?
Las personas, el conocimiento, las relaciones y secretos comerciales, las patentes, las licencias, la imagen corporativa/marca/reputación/confianza, la documentación y los manuales, el material de formación, los procedimientos operativos o de soporte, los planes de continuidad, la maquinaria industrial, las instalaciones y edificios, las redes y sistemas de comunicación, los equipos de computación, las aplicaciones de software, las investigaciones, las estrategias.
Cualquier otro componente que tenga valor para la empresa y sustente uno o más procesos de negocios de una unidad o área de negocio.
Qué activos de información tiene CAEU?
Archivo
Bocetos
Biblioteca
Dpto. de Arte
Publicidad
Diseño y Diagramación
Planchas
Bobinas
Rotativa
Tecnología
Agencias Internacionales
Transporte/Distribución
Editores
Corresponsales
Editor Gráfico
Redacción
Jefe de Redacción
Reportero
Periodistas
Qué protegemos?
Qué protegemos?
Cualquiera que sea la forma que tome la información, o el medio por el cual sea compartida o almacenada, ésta siempre debe estar protegida apropiadamente.
ISO/IEC 27001:2005
Sistema de Gestión de Seguridad de la
Información
Sistema de Gestión de Seguridad de Información
ISO 27001:2005
La adopción de un SGSI es una decisión estratégica de la dirección de una organización.
En las empresas las personas reciben información, la procesan y luego la envían al próximo procesador; así todos en una organización son clientes, procesadores y proveedores, por lo tanto deben proteger la información que manejan.
El SGSI está orientado a establecer un sistema gerencial que permita minimizar el riesgo y proteger la información de la empresa de amenazas internas o externas.
Qué se debe garantizar?
1. CONFIDENCIALIDAD
Garantizando que la información es accesible sólo a aquellas personas autorizadas.
Qué se debe garantizar?
2. INTEGRIDAD
Salvaguardando la exactitud y totalidad de la información y los métodos de procesamiento y transmisión.
Qué se debe garantizar?
3. DISPONIBILIDAD
Garantizando que los usuarios autorizados tienen acceso a la información y a los recursos relacionados toda vez que lo requieran.
Sistema de Gestión de Continuidad del
Negocio
Qué es Continuidad del Negocio?
La continuidad del negocio involucra capacidades estratégicas y tácticas, definidas por la dirección de la empresa, para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente acordado.
Plan de Continuidad(Origen)
Gobierno Corporativo: OECD.
Control Interno: COSO, CoCo (Canadá), Turnbull (Gran Bretaña), Kon Trag (Alemania), Cobit (USA).
Gestión de Riesgos: ORMBOK, NTP 537, HAZOP.
Gestión de Seguridad: SGSI, ISO27001:2005
Qué es un Plan de Continuidad de Negocios?
Existen muchas definiciones:
BCP (Business Continuity Plan): Es un plan documentado y probado con el fin de responder ante una emergencia de manera adecuada, logrando así el mínimo impacto a la operación del negocio.
ISO/IEC 27001:2005
Qué es un Plan de Continuidad de Negocios?
Sistema de Gestión de Continuidad de Negocios
ISO 22301:2012
Es la parte del Sistema de Gestión general que establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.
ISO 22301:2012 especifica los requisitos para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente un Sistema de Gestión de la Continuidad del Negocio.
La norma desarrolla los requisitos a cumplir en un SGCN o BCMS (Sistema de Gestión de la Continuidad del Negocio) en cada uno de los ámbitos de la organización: alcance, liderazgo, responsabilidad de la dirección, planificación, soporte, designación de recursos, operación, evaluación y mejora continua.
Partes de la Gestión de la Continuidad del Negocio
Plan de Contingencia
Es un subconjunto de un plan de continuidad de negocio (BCP), que contempla cómo reaccionar ante una situación que pueda afectar la disponibilidad o los servicios ofrecidos por los sistemas, sean estos informáticos (Sistemas), productivos (CTP, Imprentas, Rotativas, Transporte) o procedimentales (Procedimientos, Formularios y Documentos).
Una contingencia puede ser un problema de corrupción de datos, falla en el suministro eléctrico, daño en equipos industriales, un problema de software o hardware, errores humanos, intrusión, etc.
Plan de Recuperación de Desastres
DRP – Disaster Recovery Plan: Es aquella parte del plan de contingencia y del plan de continuidad de negocio (BCP), que aborda aquellas contingencias que, por su gravedad, no permiten a una empresa continuar prestando el servicio desde su Oficina Matriz y debe realizarse desde un nuevo centro operativo.
Este plan debe contemplar el retorno a la operación normal cuando, tras arreglar las consecuencias del desastre, el servicio pueda ser reanudado en la Oficina Matriz.
Sistemas
Por qué son Sistemas?Kaizen
Kaizen (Kai ”Cambio”, Zen “Mejora”) es un concepto arraigado en Japón que define una forma de gestionar las organizaciones hacia la mejora de la productividad.
La traducción más común que se utiliza para definir de esta palabra es “mejora continua” o “gradual” y tiene mucha relación con los “ciclos de calidad” que tradicionalmente han propulsado a las empresas japonesas hacia el éxito.
Elementos del Ciclo SGSI
Elementos del Ciclo SGCN
El Equipo
Organigrama del Equipo
Próximos pasos a seguir
1. Inventario y Tasación de los Activos de Información
2. Análisis de los procesos de negocio de la cadena de valor
3. Análisis de Riesgos
4. Business Impact Analysis (BIA)
5. Statement Of Applicability (SOA)
6. Business Continuity Plan and Strategies (BCP)
1. Inventario y Tasación de los Activos de Información (1/3)
1. Inventario y Tasación de los Activos de Información (2/3)
1. Inventario y Tasación de los Activos de Información (3/3)
2. Mapeo de Procesos (1/2)
2. Mapeo de Procesos (2/2)
3. Análisis de RiesgosTipología del Riesgo (1/4)
3. Matriz de Riesgos (2/4)
3. Matriz de Riesgos (3/4)
3. Matriz de Frecuencia – Severidad (4/4)
4. Business Impact Analysis (BIA)
5. Statement Of Applicability (SOA)
6. Business Continuity Plan and Strategies (1/2)
6. Business Continuity Plan and Strategies (2/2)