Roberto Arienti
Responsable de Seguridad de la Información
ARGENTINA 2014
15 - 16 de Mayo
Mónica Rela
Computadora Científica - Universidad de Buenos Aires.
Segunda parte
• Normas internacionales y Mejores prácticas para AI
• Articulación entre el Modelo conceptual de Seguridad y Auditoría de Sistemas
• Modelo 3LoD para Gestión de Riesgos / Seguridad de la Información
• Roles Gestión de Riesgos / Seguridad de la Información / Auditoría Interna
Conclusiones
Seguridad Informática
No es solamente implementar usuarios y contraseñas
La seguridad es…
Control de Accesos
Servicio
Plan de Continuidad de Negocio
Análisis de Vulnerabilidades
Gestión de Incidentes
Concientización de usuarios
Encripción
Evaluación de Software Análisis de Eventos Análisis de Riesgo
Análisis Forense ABM de Usuarios
Desarrollo de Políticas Normas y Estándares
627 Sucursales
14 Sucursales en el Exterior
57 Anexos Operativos
4 Agencias Móviles
+17.000 Empleados
Banco de la Nación Argentina
Equipamiento Informático
Equipamiento Central
Mainframe
Equipamiento Distribuido
+ 16.000 Estaciones de Trabajo
+ 2.000 Servidores
+900 Switches
+700 Routers
TOTAL: 74.500
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Gestión de Incidentes de Seguridad
10. Plan de Continuidad del Negocio
11. Cumplimiento
Normativa
Políticas
Normas
Software
Negocio Información y Aplicaciones Hardware Canales Usuarios
PLANIFICACIÓN
ANÁLISIS DE RIESGO
POLÍTICAS / NORMAS / PROCEDIMIENTOS / ESTANDARES
Como concientizar ?
Cursos presenciales de concientización a usuarios finales
Inducción / Mandos Medios / Gerencia
Cursos a distancia (elearning)
Circulares
Publicaciones en revista corporativa
Algunos temas tratados:
Navegar Protegido
Prevención contra Virus
Consejos sobre Redes Sociales
Buenas Prácticas de Contraseñas
Uso de Medios extraíbles
Consejos sobre Home Banking
Resguardo de Archivos Personales
La importancia de Reporte de Incidentes
Aspectos a Tener en Cuenta
Apoyo de la Alta Gerencia
Independencia del Área de Sistemas
Implementación de un Sistema de Gestión de Seguridad (SGSI)
Capacitación continua
(Atributos: 1200 – Aptitud y cuidado profesional)
Verifica / Evalúa
Existencia, adecuación y
cumplimiento de las Políticas,
Normas, Procedimientos y
Estándares Técnicos
Monitoreo ejercido por SI
Contribuye
al conocimiento de la normativa
por parte de áreas auditadas,
Alta Dirección y Comité de
Auditoría, a través de sus
informes de auditoría, donde
expone debilidades, riesgo
asociado y recomendaciones.
Modelo Conceptual SI
AUDITORIA DE SISTEMAS
Participa
Comité de TI y SI (proyectos
y Continuidad de Negocio
Proyectos de TI y SI
Proceso de Gestión de Riesgo de TI
Pruebas de Continuidad y Recuperación
Evalúa
Comunicación de las Aspiraciones y la
Dirección de las Gerencias
Normas Internacionales para el ejercicio Procesos, Organización y Relaciones de
profesional - Glosario: TI
Controles de TI: “Soportan la gestión y el gobierno
del negocio, y proporcionan controles generales y Responsabilidad sobre el Riesgo, la
técnicos sobre las infraestructuras de tecnología de la Seguridad y el Cumplimiento
información tales como aplicaciones, información, Gestión de Riesgo de TI
infraestructura y personas.”
Gobierno de TI: “Consiste en el liderazgo, las Planeación de Proyectos y Métodos de
estructuras de la organización y los procesos que Aseguramiento
aseguran que la tecnología de la información de la Controles de TI (Generales/de
empresa soporta las estrategias y objetivos de la
organización.” Aplicación)
Plan y Pruebas de Continuidad
Negocio
AUDITORIA DE SISTEMAS
Elabora
Plan Anual de Auditoría basado en
riesgo (considerando el BIA)
Efectúa
Auditorías por Procesos
y Continuidad de Negocio
Auditorías Específicas
Verifica / Evalúa
Controles
Verifica / Evalúa
Esquema de Clasificación de
Datos
Controles de Acceso según
y Continuidad de Negocio
Procesamiento, Resguardo y
Recuperación de Datos
Administración de Contratos y
Riesgos con Proveedores
Gestión de Incidentes y
problemas de seguridad
Gestión de Usuarios sensitivos
Monitoreo ejercido por SI
Software y Aplicaciones
AUDITORIA DE SISTEMAS
Verifica / Evalúa
Seguridad y Disponibilidad de las
Aplicaciones y SW de base (SOs,
BDs)
y Continuidad de Negocio
Verifica / Evalúa
Seguridad y Disponibilidad de la
Infraestructura tecnológica
Monitoreo ejercido por TI
Ciclo de Vida (Adquisición,
y Continuidad de Negocio
Instalación, Mantenimiento,
Controles
Configuración, Cambios)
Gestión de la Capacidad
Continuidad de Servicio
Administración de Contratos y
Riesgos con Proveedores
Gestión de Incidentes y Problemas
Gestión de Usuarios sensitivos
Monitoreo ejercido por SI
Canales
AUDITORIA DE SISTEMAS
Verifica / Evalúa
Seguridad y Disponibilidad de
Canales (ATM/TAS/BI/BT/BM)
Protocolos / Encripción
Monitoreo ejercido por TI
y Continuidad de Negocio
Instalación, Mantenimiento,
Configuración, Cambios)
Gestión de la Capacidad
Continuidad del servicio
Administración de Contratos y
Riesgos con Proveedores
Gestión de Incidentes y
Problemas
Gestión de Usuarios sensitivos
Monitoreo ejercido por SI
Usuarios
AUDITORIA DE SISTEMAS
Verifica / Evalúa
Concientización sobre temas de
seguridad / Compromiso de
confidencialidad
Roles sobre activos de información
Asignación de perfiles por función
y Continuidad de Negocio
“mínimo privilegio”
Generación, Distribución y
Revocación de Usuarios
Monitoreo ejercido por SI
Monitorea
Usuarios sensitivos de SI
Contribuye
a generar conciencia en temas de
seguridad a través de sus informes
de auditoría
3LoD para Gestión de Riesgos
AUDITORIA DE SISTEMAS
Verifica / Evalúa / Utiliza Gestión de
Riesgo
la Gestión de Riesgos de TI Gestión de Operacional
Riesgos de
Activos de
Análisis de Información
Riesgos de
Activos de
Información
Clasificación Mejores prácticas / Regulaciones
de Activos de ISO 27005 framework Risk Analysis and Evaluation
Información ISO 31000 Risk Management
Risk IT Framework (ISACA)
NIST SP 800 30 framework for Mitigation
Magerit Methodology for IT Risk Analysis
BCRA 4609 / 4793 / 5374
Riesgos de TI
Seguridad Informática
Auditoría de Sistemas
Seguridad Informática
Clasificación de Activos, Análisis y Gestión de Riesgos
Servidor Servidor
MIRADA HOLISTICA
SINERGIA
La Seguridad: Otra mirada
“La Buenaventura” - Michelangelo Caravaggio
Mónica Rela
mrela@bna.com.ar
54 11 4347 7008
Roberto Arienti
rarienti@bna.com.ar
54 11 4347 6806