Anda di halaman 1dari 36

CLAVES PARA UNA GOBERNANZA

EFECTIVA DE SEGURIDAD DE LA
INFORMACIÓN
MG. Sebastián Vargas
AGENDA SLIDE

1. Presentación exponente
2. Reflexiones principales
3. Tips de gobernanza efectiva
4. Concluciones
5. Consultas

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
PRESENTACIÓN EXPONENTE

Sebastián Alejandro Vargas Yáñez


Magíster en Gestión de Tecnologías de la información
Diplomado en Gerencia de Seguridad de la información
Ingeniero Civil en informática
Licenciado en Ciencias de la Ingeniería.

Oficial de Seguridad de la información del INE


Más de 10 años de experiencia profesional.

• Secretario General de Fundación Whilolab


• Impulsor de la Mesa Técnica de Ciberseguridad del Estado de Chile.
• Miembro impulsor de la Comunidad de Seguridad de la información del estado de Chile.
• Miembro de Party/Hack
• Adherente de OWASP Chile, Cloud Security Alliance Chile
• Colaborador de la Conferencia 8.8 Infinity, seguridadyfirewall.cl y directorio de ISACA Santiago
• Autor del blogdelciso.com
¡LOS ATACANTES SE ACERCAN!

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿NUESTRAS TROPAS ESTÁN PREPARADAS?

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
DETÉNGANSE A PENSAR UN MINUTO…
¿Cuál es nuestro aporte en el ecosistema de
seguridad de la información?

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
DETÉNGANSE A PENSAR UN MINUTO…

¿Qué quiero ser, profesionalmente?


• CISO – Chief Information Security Officer
• LISO – Local Information Security Officer
• DPO – Data Protection Officer
• Director de en Seguridad de la Información
• Director de Seguridad Corporativa
• Director en Ciberseguridad
• Auditor de sistemas de información
• Auditor en Ciberseguridad
• Consultor especializado en seguridad de la información
• Consultor / Asesor en seguridad de la información
• Responsable de Gestión de Riesgos y Cumplimiento Normativo en el área de
tecnología
• IT Security Arquitect
• Analista en seguridad de la información
• Hacker ético
• Pentester
• Analista NOC/SOC/CSIRT
• Muchos otros más.

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡NUESTRO CAMINO COMIENZA!

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿CÓMO ENTENDEMOS LA SEGURIDAD DE LA
INFORMACIÓN?

ORGANIZACIÓN

Diseño/Estrategía

GOBIERNO

AR
RA

Q
UI
U
LT

TE
CU

CT
UR
PROCESO

A
HA
BIL
I TA
IA CIÓ
E NC N YS
E RG OP
EM OR
TE

PERSONAS TECNOLOGÍAS

FACTORES HUMANOS
Fuente: ISACA ® - Manual de preparación para el examen CISM 15º edición

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿CUÁL ES EL GIRO DEL NEGOCIO
DE LA ORGANIZACIÓN?

CORE

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡COMPRA MÁS CAJAS MÁGICAS DE HARDWARE Y SOFTWARE, LAS NECESITAS!

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿CUÁLES SON LOS PROCESOS DE LA ORGANIZACIÓN?

Debe identificar los procesos críticos.

Procesos estratégicos

Procesos operacionales

Procesos de apoyo

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿CUÁL ES NUESTRO ESTADO ACTUAL?

Estado Estado Estado


actual deseado futuro

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿CUÁL ES NUESTRA ESTRATEGIA?

¡Defina su estrategia con la ayuda de estos seis principios!

1. Establecer responsabilidad con respecto a la


seguridad de la información en toda la organización.
2. Adoptar una aproximación basada en el riesgo.
3. Establecer la dirección de las decisiones de inversión
en Seguridad de la Información
4. Asegurar conformidad con los requerimientos internos
y externos.
5. Fomentar un entorno positivo respecto de la
seguridad.
6. Revisar el rendimiento en relación a los resultados de
negocio.

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡CREE LA CULTURA DE LA SEGURIDAD!

La cultura de Seguridad de la Información es el factor principal de éxito y el más complejo, las personas
debe ser su foco.

¡Forme agentes de cambio de


Seguridad de la Información!

¡Empodere a lideres dentro de


la organización!

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡CREE LA CULTURA DE LA SEGURIDAD!

La cultura de Seguridad de la Información es el factor principal de éxito y el más complejo, las personas
debe ser su foco.

Debe crear un plan de concientización anual y


medible, por ej: 300 personas del negocio
capacitadas anualmente en introducción a
seguridad de la información.

Debe crear un plan de marketing de la seguridad


de la información, el foco pasar de tema difícil de
entender a un tema que los colaboradores hagan
propio.

Los mensajes deben ser segmentados y


personalizados pensados en la audiencia que los
recibirá, puesto es clave su entendimiento.

• Promoción para gerentes


• Promoción trabajadores del negocio
• Promoción trabajadores administrativos

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡FORME EL COMITÉ DE SEGURIDAD DE LA
INFORMACIÓN!

Gerente General

Oficial de
Gerente de Gerente de Representante Gerente de Gerente Gerente de Seguridad de la
Operaciones RR.HH legal Tecnologías Comercial Comunicaciones información

Esquema básico de Comité de seguridad de la información.

Objetivo: Alinear la estrategia de Seguridad de la información con los objetivo de negocio


Reuniones: trimestral

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡FORME EL COMITÉ DE TÉCNICO SEGURIDAD DE LA
INFORMACIÓN!

Oficial de Seguridad de la
información

Coordinadores Especialistas
Agentes de cambio
internos internos

Esquema básico de Comité de técnico seguridad de la información.

Objetivo: Implementar las medidas necesarias para el fiel


Cumplimiento del programa de seguridad de la información.
Mg. Sebastián Vargas
Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡IDENTIFIQUÉ QUÉ DESEA PROTEGER!

Gestión de activos de información.

“Identifiqué lo crítico para llegar a todo.”

1. Matriz de activos de información actualizada.


2. Documentación asociada oficializada.
3. Un procedimiento definido para:
a) Etiquetar los activos.
b) Clasificar los activos.
c) Asignar un propietario.
d) Asignar un custodio.
Fuente: http://www.normas-iso.com/iso-27001/

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿CÓMO GESTIONAR LOS RIESGOS?

Tips para riesgos.

1. Hay diferentes metodologías de gestión de riesgos.


Utilice la que mejor se adapte a su negocio: ISO
27.005, COBIT para riesgos, MAGERIT, ISO
31.000, COSO ERM.
2. Nosotros soló podemos hacernos cargo de lo que
declaramos como tal.
3. No reinvente la rueda. Hay organizaciones que
llevan años en esto, apóyese en los cuerpos de
buenas practicas para identificar correctamente las
amenazas y vulnerabilidades: OWASP, CIS, NIST,
SANS, ISACA, ISC2…
4. El compliance es vital. Apóyese en el equipo jurídico,
para revisar las implicancias de la ley vigente.
5. Jamás se podrá hacer cargo del 100%. ¡ Priorice !
6. Soló hay que mitigar lo que la organización estime,
recuerde que hay 3 respuestas más.
7. Una mala gestión de riesgos puede terminar en
incidentes críticos.
Fuente: http://www.normas-iso.com/iso-27001/

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
AHORA IMPLEMENTEMOS NUESTRO SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Dominios Norma Chilena 27.001:2013 Dominios Norma Chilena 27.002:2013

Estratégico
Política de Seguridad
Cláusula Aspectos organizativos
1 Contexto de la Organización para la seguridad
2 Liderazgo
Clasificación y control
3 Planeación Control de accesos
de activos
4 Soporte
5 Operación Conformidad

Táctico
6 Evaluación de rendimiento
Seguridad en los Seguridad física Relaciones con
7 Mejora personas Y ambiental Proveedores

Adquisición, Desarrollo y
Seguridad de Gestión de continuidad
mantenimiento
comunicaciones del negocio
Operacional

de sistemas

Seguridad en a las Gestión de incidentes de


Criptografía operaciones Seguridad de la información

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
AHORA IMPLEMENTEMOS COMPONENTES DE
CIBERSEGURIDAD

Dominios Norma Chilena 27.035:2015

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡APOYÉMONOS DE LAS MEJORES PRÁCTICAS!

CENTER SECURITY INTERNET (CIS) TOP 20 CONTROLES CRITICOS DE CIBERSEGURIDAD


Conjunto de acciones prioritarias para proteger su organización y los datos de los vectores conocidos de ataque cibernético.

Fuentes: https://www.cisecurity.org/controls/

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿TENEMOS UNA POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN ROBUSTA?
DECLARACIÓN INSTITUCIONAL
PRINCIPIOS
CONTENIDOS
OBJETIVO DE LA POLÍTICA
ALCANCE
GOBERNANZA
COMITÉ DE SEGURIDAD DE LA INFORMACIÓN
COMITÉ TÉCNICO DE SEGURIDAD DE LA INFORMACIÓN
ENCARGADO(A) DE SEGURIDAD DE LA INFORMACIÓN
ROLES Y RESPONSABILIDADES
ÁMBITOS DE LA SEGURIDAD DE LA INFORMACIÓN
ORGANIZACIÓN DE LA SEGURIDAD
GESTIÓN DE ACTIVOS DE INFORMACIÓN
SEGURIDAD LIGADA A LAS PERSONAS
SEGURIDAD FÍSICA Y AMBIENTAL
SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES
SEGURIDAD EN EL ACCESO A LA INFORMACIÓN
SEGURIDAD EN LA ADQUISICIÓN, DESARROLLO Y MANTENCIÓN DE SISTEMAS DE
INFORMACIÓN
GESTIÓN DE INCIDENTES DE SEGURIDAD
¿Le gustaría aprender a hacer una política? SEGURIDAD EN LAS RELACIONES CON LOS PROVEEDORES
https://blogdelciso.com/politica-general-de-seguridad-de-la-informacion/ SEGURIDAD Y CRIPTOGRAFÍA
SEGURIDAD Y CONFORMIDAD
GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
CONTROL NORMATIVO
EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA
DIFUSIÓN
CUMPLIMIENTO Y SANCIONES
CONTROL DE VERSIONES

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿CUALES SON LAS POLÍTICAS LÍNEA BASE QUE
DEBEMOS TENER?

DEPENDE 100% DEL GIRO DEL NEGOCIO Y LOS RIESGOS QUE DECIDIERON
MITIGAR A TRAVÉS DE CONTROLES.

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡PARA MEJORAR LA GOBERNANZA RECOMIENDO!

Política de Seguridad de la información.

Política de Recursos Humanos.

Política de gestión de riesgos de seguridad de la información.

Política de gestión de incidentes.

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¿TENEMOS EL PERSONAL ADECUADO?

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡PARTICIPE EN GRUPOS ESPECIALES
DE ÍNTERES!

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
¡DEFINA UN MODELO DE SEGURIDAD DE LA
INFORMACIÓN, QUE SEA ACORDE A SU NEGOCIO.!

Modelo de seguridad por capas.

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
DESARROLLE CASOS
DE NEGOCIO Y UNA CARTERA
DE INVERSIÓN EN SEGURIDAD
DE LA INFORMACIÓN

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
LECCIONES APRENDIDAS

Conozca su estado actual, para modificar el deseado y proyectar


el futuro.

Entender la seguridad de la información como un todo y que


incluye aspectos de ciberseguridad.

Entender el giro de negocio es clave, para invertir con inteligencia


y ser estratega en las decisiones

Conócete para triunfar, debes tener claros tus procesos de


negocio

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
LECCIONES APRENDIDAS

Para proteger, debes saber que la matriz de activos de


información es vital

La gestión de riesgo no es trivial: la seguridad es la consecuencia


de tener riesgos.

El liderazgo de la seguridad debe promover un cambio de cultura.


Empodere a gente del negocio, forme agentes de cambio, aliados
estratégicos.

Sin gobernanza los sistemas están destinados a perecer. Lidere ,


luego gerencie.

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
!SIN ESTRATEGIA,
USTED NO NECESITA
MÁS CAJAS
INVIERTA EN LAS
PERSONAS PRIMERO!
Mg. Sebastián Vargas
Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
CONCLUSIÓN

“Llegó el momento que dejemos de actuar como islas, y


compartamos. Hoy más que nunca se necesita a múltiple nivel la
cooperación.

Las amenazas y riesgos son globales, los ciberdelincuentes


invierten y están más preparados que las organizaciones.

Si queremos un Chile más ciberseguro y resiliente es tarea de


todos los actores público-privado-independientes, con énfasis en
la tolerancia, respeto profesional, acá todos tienen algo qué
pueden decir, aportar, contribuir, y con esto crear cultura de
ciberseguridad en nuestro país.”

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/
COMUNIDADES DE CIBERSEGURIDAD

Fundación Whilolab Comunidad Party/Hack Blogdelciso

https://whilolab.cl https://partyhack.cl https://blogdelciso.com

Mg. Sebastián Vargas


Claves para una gobernanza efectiva de Seguridad de la Información https://cl.linkedin.com/in/cisosebastianvargas/