Estratecorpoyaplicasi

ecsi - 1 ciprio@ciudad.com.
ar
De las
Estrategias Corporativas
a la
Seguridad de la Informacin
Ing. Carlos Ormella Meyer
Octubre 2006
ecsi - 2 ciprio@ciudad.com.ar
Llevar adelante y al xito una empresa implica
una cantidad de desafos.
Corporate Governance: Un paradigma de
cmo dirigir y controlar adecuadamente una
empresa.
Principios OECD de Gobierno Corporativo:
Buenas prcticas para velar por los accionistas
y los dems interesados o incumbentes
(stakeholders) en el correcto devenir de una
empresa.
Corporate Governance
Sistemas de Gestin: Herramientas tcticas
para concretar las estrategias resultantes de la
visin y misin del plan de negocios corporativo.
Kaizen: Esquema filosfico y estratgico para el
mejoramiento continuo de un sistema.
Kaizen en accin: Implementar polticas, aplicar
mtodos o herramientas: Six Sigma, Tablero de
Comando (Balanced Scorecard), Control de
Calidad Total, Matriz de Control Interno, y PDCA.
Tambin hay que considerar cuestiones
legales: Propiedad Intelectual, Habeas Data,
Firma Digital y Sarbanes-Oxley.
Kaizen y escenarios operativos
Para controlar y verificar el cumplimiento de la
visin, misin y decisiones estratgicas se
trabaja con un sistema de controles internos.
Controles Internos: procesos que aseguren
razonablemente el logro de objetivos respecto a
la confiabilidad de los reportes financieros,
efectividad y eficiencia de las operaciones, y el
cumplimiento de leyes y regulaciones.
Marcos de referencia: COSO, Turnbull y CoCo,
aprobados para conformidad Sarbanes-Oxley.
Hay una versin lite de COSO, para pequeas
empresas. Tambin, ISA 315 para auditora.
Controles Internos
Riesgos y Controles Internos
Misin
Misin
Objetivos Estratgicos
Objetivos Estratgicos
Riesgos de Negocios
Riesgos de Negocios
Riegos Aplicables
Riegos Aplicables
Controles Internos
Controles Internos
Revisin
Revisin
El establecimiento y
mantenimiento de un
proceso efectivo de gestin
de riesgos incluyendo un
sistema de controles
internos constituyen los
pilares del concepto de
Corporate Governance.
Los Controles Internos se
construyen en base a la
valuacin y gestin de
riesgos.
Aqu surge la necesidad de tomar decisiones
en condiciones de riesgo o incertidumbre.
Gestin de riesgos: Mecanismo que trata las
situaciones crticas, la incertidumbre y riesgos.
Marcos de referencia:
1) COSO/ERM: Extiende los controles internos
con la gestin de riesgos.
2) Turnbull: Asociado al Cdigo Combinado
usa controles internos operacionales,
financieros y de conformidad.
3) AS/NZS 4360 (IRAM 17550): Aproximacin
holstica a riesgos y decisiones de negocios.
Gestin de riesgos
Las empresas encuentran nuevas oportunidades
de negocios en e-business, comunicaciones
inalmbricas, trabajo a distancia, etc.
Pero las oportunidades vienen casi siempre con
cierto grado de exposicin, facilitando la
produccin de incidentes que pueden afectar
las nuevas operaciones y an las ya existentes.
Dichos incidentes de seguridad ponen en
evidencia riesgos tcnicos o de sistemas IT,
involucrando tambin a personas y procesos de
negocios, lo que se corresponde con riesgos
organizacionales, operacionales y fsicos.
Negocios y Seguridad
La Seguridad de la Informacin:
1) Es una forma de Control Interno referida a
la salvaguarda de los activos de una empresa.
2) Agrega valor y se entronca en el paradigma
del Corporate Governance, como nica forma
de gobierno de una empresa considerada
como un todo.
3) No crea una instancia separada porque la
empresa es una sola, y su anlisis y manejo
refleja los objetivos de negocio de la misma
en los aspectos de seguridad.
Gobierno Corporativo y Seguridad
Seguridad: Informacin vs. Informtica
Seguridad
de la
Informacin
Seguridad
Informtica
RIESGOS IT
Virus
Spam
Ataques DoS
etc.
RIESGOS NO IT +
Falta de Polticas y normas
Errores, actos deliberados personal
Control insuficiente de cambios
etc.
G
e
s
t
i
n

d
e

l
a

c
o
n
t
i
n
u
i
d
a
d

d
e

n
e
g
o
c
i
o
s
Poltica
Seguridad
Organizacin
Gestin de Activos
C
o
n
f
o
r
m
i
d
a
d
Fsica
Ambiental
Recursos
Humanos
Sistemas
Acceso
1
2
3
4 5
6
7 8
9
10
11
Gestin
Comunic.
Gestin de Incidentes
ISO 17799:2005
Aspectos de gestin
Aspectos tcnicos
Aspectos fsicos
11 reas de control
133 controles de seguridad
Normas de seguridad de la informacin
ISO 17799
ISO 17799
Auditora y
Certificacin
Lista de controles
recomendados
Requisitos para la
implementacin de los
controles seleccionados
ISO 27001
ISO 27001
Ambitos de aplicacin de la ISO 17799
El FUD no es la mejor solucin para justificar las
inversiones en seguridad.
ROSI: Indicador financiero para manejar la
incertidumbre por medio de las estadsticas,
probabilidades y la simulacin Monte Carlo.
Se inserta en el caso de negocio (business
case) de un proyecto completo de seguridad.
Cierra el crculo con las estrategias corporativas
puestas en accin en planes de seguridad que
aseguran la operatividad y eficiencia con
resultados que pueden medirse o evaluarse.
Inversiones en seguridad
De las
Estrategias Corporativas
a la
Muchas gracias
Muchas gracias
ciprio@ciudad.com.ar
Escenarios de Aplicaciones
de
Octubre 2006
1.- Estrategias corporativas y
Qu dicen las encuestas de
seguridad?
Cmo influyen los escenarios de
seguridad en las tendencias y
actividades?
Qu dicen las encuestas de seguridad?
Que los incidentes ms frecuentes son:
- No disponibilidad de los sistemas
- Infeccin por virus
- Fraudes
Que las vulnerabilidad ms comunes son:
- Accesos no autorizados
- Confiabilidad, tica y motivacin
- Software y hardware de comunicaciones
Que las prioridades estratgicas son:
- Fortalecer controles de seguridad en los
procesos de negocios
- Fortalecer la estructura de seguridad
Influencia de escenarios de seguridad
La complejidad de las nuevas oportunidades de
negocio impone una cantidad de condicionantes.
La seguridad no es slo una cuestin tcnica
sino que involucra personas y procesos,
manejando tambin riesgos organizacionales,
operacionales, fsicos y ambientales.
Se requiere separacin de funciones: los
controles de seguridad no pueden ser
manejados por el mismo rea que maneja los
sistemas o la tecnologa de una empresa.
El rea de seguridad debe estar conducida por
un nuevo tipo de gerente, el CISO.
2.- Gestin y auditora de seguridad de
la informacin
Es una norma tcnica la ISO
17799?
Cmo se complementan la ISO
17799 y la ISO 27001?
ISO 17799: Marco de referencia que recomienda
las mejores prcticas de seguridad bajo la forma
de diferentes controles.
Soporta el concepto de Gobierno Corporativo, y
hace una aproximacin holstica de 11 reas
funcionales:
7 reas de gestin: polticas, organizacin,
activos, recursos humanos, comunicaciones y
operaciones, continuidad de negocios, y
cumplimiento.
3 reas tcnicas: acceso, sistemas, incidentes.
1 rea: fsica y ambiental.
Caractersticas ISO 17799
SoA
Controles seleccionados ISO 17799
Implementacin SGSI con ISO 27001
Auditora y
Certificacin
Alcance y Poltica General
C
O
N
T
R
O
L
E
S
1
7
7
9
9
Valuacin
de Riesgos
Anlisis
Gap
ISO 27001: Establece metodologa y requisitos
para construir SGSI (Sistema de Gestin de
Seguridad de la Informacin), auditable y
certificable, a partir de una valuacin de riesgos.
Sigue el mismo modelo PDCA de mejoramiento
continuo de la ISO 9001 (SGC), ISO 14001
(SGA), la ISO 20000/ITIL y OHSAS 18001.
ISO 17799/27001 son la base de una serie de
normas auto-consistentes, y pueden usarse para
conformidad con la Seccin 404 (a) de Sarbanes-
Oxley, y riesgos operacionales del Nuevo
Acuerdo de Capitales Basilea II.
Complemento ISO 17799/27001
3.- Plan de Continuidad de Negocios
En que se diferencian
Plan de Continuidad de Negocios,
Recuperacin de Desastres y
Contingencias?
Cmo se mide el efecto de las
interrupciones en las operaciones
comerciales?
Continuidad, desastres y contigencias
Plan de Continuidad de Negocios, BCP:
Procedimientos para proteger y asegurar la
continuidad de los procesos crticos de negocios.
Recuperacin de desastres, DR:
Procedimientos para reanudar los procesos
crticos de negocios, incluso en sitio alternativo.
Tiende a estar enfocado a sistemas IT.
Plan de Contingencia: Procedimientos para
retomar operaciones luego de interrupciones que
no necesariamente implican un sitio alternativo.
Generalmente uno para cada aplicacin/sistema.
Efectos de las interrupciones
Los motivos de una interrupcin pueden ser
tcnicos de sistemas IT o energa, fallas
humanas, fuerza mayor, y actos deliberados.
Hay que determinar el impacto que puede
causar un incidente de interrupcin
estableciendo prioridades para los que afectan
los procesos crticos de negocio.
Se puede reducir el riesgo de una
interrupcin, tomar medidas preventivas y
tener un plan alternativo para el caso que
ocurra el incidente o interrupcin.
4.- Sarbanes- Oxley y Seguridad
De qu trata la ley Sarbanes-Oxley y
en qu puede dar conformidad de
cumplimiento la Seguridad de la
Informacin?
Cmo se relaciona Sarbanes-Oxley
con el Corporate Governance y otros
sistemas de gestin?
Sarbanes- Oxley y Seguridad
Esta ley busca evitar por medio de controles
internos financieros el ocultamiento o
modificacin de la situacin financiera.
El funcionamiento y efectividad de los
controles y reportes de la ley se mapean a
dos secciones de la ISO 27001:
Responsabilidad gerencial y Revisin del
SGSI.
A su vez, los componentes de un sistema
tpico de controles internos se mapean a
seis reas diferentes de la ISO 17799.
Sistemas de Gestin Corporativos
ISO 27001
ISO 17799
5.- ROSI o el Retorno Sobre la
Inversin en Seguridad
Cmo y con qu se calcula ROSI?
Cul es el efecto de la aplicacin
de la Simulacin Monte Carlo?
ROSI es el Retorno Sobre la Inversin de
Seguridad, en contramedidas o salvaguardas.
ROSI = Retorno / Costo, y por lo tanto:
ROSI = (Valor Costo) / Costo
Valor de las salvaguardas = Prdidas por
incidentes: sin tratar mitigados
Costo de las salvaguardas = Inversin inicial +
Gastos recurrentes
ALE: mtrica para calcular las prdidas. Igual al
producto de la frecuencia anual de ocurrencia
de un incidente, y el impacto monetario causado.
Clculo de ROSI
Efectos de la Simulacin Monte Carlo

F
r
e
c
u
e
n
c
i
a
s

A
c
u
m
u
l
a
d
o
Prdidas incidentes sin tratar, mitigados/Ahorro
Histograma limitado a 250 muestras. Con varios
miles se aprecia la aplicacin de los teoremas
fundamentales de la teora de las probabilidades.
6.- Firma digital y Factura electrnica
En qu consiste la firma digital?
Cmo se opera con la factura
electrnica?
MENSAJE o
DOCUMENTO
Extracto
Mezcla
Clave
Privada
Origen
FIRMA
DIGITAL
Clave
Pblica
Origen
Extracto
Original
Extracto
Recibido
Si los Extractos Original y
Recibido son iguales, verifican:
Autenticidad del Origen
Integridad del Mensaje
Si los Extractos Original y
Recibido son iguales, verifican:
Autenticidad del Origen
Integridad del Mensaje
Firma Digital
Funcin
Mezcla
Funcin
Mezcla
Funcin
Mezcla
Funcin
Mezcla
Certificado
Digital Origen
Certificado
Digital Origen
Factura electrnica
Se basa en la firma digital, con lo que
autentica el origen y asegura su integridad,
pero no es un documento confidencial.
Trabaja con facturas con o sin crdito fiscal,
previa inscripcin inicial en la AFIP, con un
registro por c/factura, o bien por todo un lote
de facturas iguales cada una menor de $ 1000.
La AFIP identifica cada registro con un nmero
CAE (Cdigo de Autorizacin Electrnica), que
sirve de comprobante para el comprador que
recibe la factura electrnica.
7.- Seguridad de Voz y Datos en WLANs
Cules son las restricciones de
seguridad en las configuraciones
por defecto de una WLAN?
Cules son las formas posibles de
dar seguridad a las comunicaciones
por una WLAN?
Cuestiones de seguridad WLAN

802.1x
TKIP CCMP/AES
WPA
8
0
2
.
1
1
i
WPA2
El protocolo original WEP, que por defecto viene
sin habilitar, tiene muchas debilidades: claves,
vector de inicializacin, CRC, etc.
Dos mejoras: TKIP (WPA) y 802.11i/AES (WPA2)
8.- VPNs, Redes Privadas Virtuales
Qu es un tnel VPN?
Qu cuestiones surgen con el uso
del llamado tnel dividido?
Nuevo
IP
ESP IP TCP Datos
Cola
ESP
Aut.
ESP
Encriptado
Autenticado e Integridad
Tnel IPsec
En realidad el tnel a travs de Internet es
un encapsulado.
La proteccin es slo entre los dispositivos
perifricos con Internet; no estn protegidas
las redes internas de cada extremo.
Split Tunneling
Acceso Remoto con tnel dividido
Escenarios de Aplicaciones
de
Muchas gracias
Muchas gracias
ciprio@ciudad.com.ar

Estratecorpoyaplicasi

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Estratecorpoyaplicasi

Diunggah oleh

Hak Cipta:

Format Tersedia

ecsi - 1 ciprio@ciudad.com.

Anda mungkin juga menyukai