Servicios de Consultor铆a en Sistemas de Gesti贸n
de la Seguridad de la Informaci贸n ISO/IEC 27001
Antecedentes y Necesidades ► Las Compañías conocen la importancia que tiene la información en el desarrollo de las operaciones del negocio, y están trabajando arduamente en la identificación de los riesgos de seguridad de la información a los cuales se encuentra expuesta, para definir esquemas de protección que la resguarden de situaciones que puedan comprometer su confidencialidad, integridad y disponibilidad. ► El sector de servicios financieros está sujeto a exigentes regulaciones en materia de seguridad informática, riesgo operativo, continuidad del negocio y de control interno, que requieren de una respuesta optimizada para su cumplimiento en condiciones de eficacia y costo efectividad.
Antecedentes Page 2
Necesidades ►Establecer el contexto, alcance y objetivos del Sistema de Gestión de la Seguridad de la Información –SGSI- y los requisitos de sus grupos de interés. ►Realizar un diagnóstico de la situación actual e identificar las brechas frente al objetivo de establecer su SGSI de acuerdo con las prácticas líderes. ►Establecer programas de seguridad para proteger la información y apoyar el desempeño del negocio. ►Desarrollar una hoja de ruta para la optimización de controles para gestionar las vulnerabilidades, administrar las identidades y mitigar las amenazas. ►Implementar el SGSI que permita dirigir y controlar la seguridad de la información en la organización integrado con el enfoque de riesgos de TI mediante procesos eficientes, sostenibles y controlados.
¿Por qué ISO/IEC 27001? ► ►
► ►
►
Enfoque holístico y basado en riesgos para el cumplimiento Demuestra el estado de la seguridad de acuerdo con criterios aceptados globalmente Prestigio e imagen que marcan diferencias en el mercado Credibilidad y confianza en la satisfacción de las necesidades de los grupos de interés Real integración y articulación de los sistemas de gestión
Page 3
¿Es útil la certificación ISO/IEC 27001? Las organizaciones líderes buscan la certificación como un diferenciador. La utilizan como una herramienta formal para garantizar que su Sistema de Gestión se mantiene vigente, es relevante, y que satisface las cambiantes necesidades y para que la estrategia corporativa cubra adecuadamente los riesgos y oportunidades del negocio.
Cumplimiento regulatorio
Page 4
Requisitos contractuales
Reducir impacto de múltiples auditorías
Acceder a nuevos mercados
Credibilidad y confianza
Mejoramiento Continuo
¿Por qué EY? Gente • Profesionales certificados en las normas y prácticas líderes en seguridad de la información (v.gr. ISO IEC 27001, CISM, CISSP, CEH, CISA, CRISC, CIA, ITIL, entre otras)
Experiencia • Práctica líder de servicios de consultoría especializada en el sector financiero y asegurador a nivel global •
• Comprensión de las necesidades e implicaciones estratégicas y operacionales de la gestión integral
•
• Profundo entendimiento del negocio financiero en el contexto global y local
• Advanced Security Centers: Centros altamente especializados en seguridad ubicados alrededor del mundo • EY Certify Point: Organismo de certificación acreditado internacionalmente elegido por los líderes de las industrias financiera y de TI
Factores Críticos de Éxito
• Gestión de Conocimiento: metodologías, herramientas y lineamientos estandarizados que nos permite prestar un servicio consistente en cada una de nuestros proyectos EY en el mundo.
Page 5
Capacidades adecuadas
Múltiples proyectos de diagnóstico, implementación, evaluación y fortalecimiento de Sistemas de Gestión Servicios de seguridad de información a organizaciones de todos los tamaños y estadios de madurez
• Solución end-to-end desde la conceptualización hasta la realización de los beneficios • Enfoque con la mezcla óptima de tecnología y procesos • Total neutralidad en relación con proveedores y soluciones
Enfoque
Solución Nuestros servicios de Consultoría en Seguridad de la Información para las compañías del sector financiero se encuentran estrechamente relacionados con las siguientes áreas:
Gobernabilidad, Políticas y Estándares Arquitectura Técnica de Seguridad
Procesos & Prácticas Operacionales
Especificaciones Técnicas
Personal & Organización
Programa de Seguridad para el Cumplimiento, Seguimiento y Generación de Reportes
Page 6
Proceso de Continuidad del Negocio
Proceso de Concientización en Seguridad
Ciclo de Vida de la Seguridad del Sistema
Administración del Riesgo
Proceso de Desempeño y Aseguramiento de la Seguridad
Business Drivers
Estrategia Seguridad
Solución Análisis para establecer las brechas (GAP) del modelo y la función de seguridad de la información frente a la práctica líder aceptada globalmente por la industria ISO/IEC 27001:2013.
Asistiencia en el diseño, validación, desarrollo y documentación de los elementos de control requeridos para contar con un Sistema de Gestión de Seguridad de la Información que responda a las necesidades de negocio.
Asesoría para la evaluación del diseño, eficacia y eficiencia de los procesos, controles y recursos para identificar las áreas de mejora y el fortalecimiento de sus competencias organizacionales para la gestión de la seguridad de la información. Page 7
Beneficios Desarrollar una iniciativa SGSI con el acompañamiento de EY le permitirá a su compañía:
Transferencia de conocimiento hacia el personal, que participará en el proyecto, a través de un enfoque participativo
Actualizar los mapas de riesgo operativo, considerando el nivel de madurez del modelo y la función de seguridad de la información
Confirmar las fortalezas de seguridad de la información en cuanto a las medidas de protección implantadas en sus recursos de información
SGSI ISO/IEC 27001:2013
Generar información que permita atender los requerimientos de control y seguridad regulatorios de la Superintendencia Financiera de Colombia, y la norma ISO/IEC 27001
Los resultados del proyecto generarán información que permita fortalecer las medidas de seguridad definidas e implementadas
Ejecutar un análisis comparativo del modelo y la función de seguridad de la información Priorizar los esfuerzos dirigidos a fortalecer la seguridad de la información
Page 8
Identificar las posibles deficiencias de seguridad de la información que puedan ser aprovechadas por personal no autorizado para poner en riesgo la integridad, confidencialidad o disponibilidad de la información
Enfoque de trabajo Entendimiento del Sistema de Gestión de Seguridad de la Información y de los procesos de negocio objetivo
Estructura organizacional
Actividades
Listas de chequeo
Observación controles
Recomendaciones de control
Establecer el plan de implementación para el cierre de las brechas
Frecuencia Proceso XXX Soportes
Soportes
GAP Análisis norma ISO27001
GAP
Plan de implementación
Acompañamiento en el aseguramiento de calidad de los planes de acción implementados y el enfoque metodológico del sistema de gestión de seguridad Operación Control & Seguridad
Políticas, normas y guías
Page 9
Plataforma de TI / Seguridad
Identificación y análisis de las brechas contra los requisitos de implementación de la norma
Naturaleza
Implementación para cierre de brechas y fortalecimiento del SGSI
Políticas, Procesos y procedimientos
Desempeño
Modelo de Gobierno / Estructura Organizacional del SGSI
Actividades
Salida
Diagnóstico para identificar las brechas y definir el plan de acción
Esquema de Gobierno
Entrada
Entendimiento del sistema de seguridad de la información
Ejecución de listas de chequeo de indagación y observación de los requisitos de seguridad
Procesamiento Procesos y procedimientos asociados al SGSI
Lineamientos sobre la Arquitectura de seguridad de TI
Metodología
Confirmar las expectativas
La metodología desarrollada por EY para los trabajos relacionados con la implementación y el mejoramiento de sistemas de Gestión de la Seguridad de la Información se basa en el entendimiento del negocio de nuestros clientes, alinear las expectativas del cliente con los objetivos de la Gestión de la Seguridad, analizar y gestionar los riesgos existentes y emergentes que puedan ser considerados como clave o de valor para la alta dirección.
Page 10
Planear y administrar el proyecto Establecer el contexto, alcance, política y objetivos de la Gestión de la Seguridad de la Información
Identificar las brechas frente a los requisitos de la norma técnica internacional ISO/IEC 27001:2013
Diseñar los procesos y los controles del SGSI para atender los requisitos de los grupos de interés
Transferencia de conocimiento
Formular y acompañar la ejecución del plan de trabajo para la implementación, seguimiento y mejora continua del SGSI
EY en la Industria Bancaria EY para atender el sector financiero en Latinoamérica ha conformado un grupo de profesionales, y esta región ha sido denominada FSO Región Norte (Financial Services Organization). Las experiencias de este grupo están relacionadas principalmente con:
Diseño e implementación de sistemas de administración de riesgos de acuerdo con prácticas líderes y estándares internacionales aceptados por la industria.
Planeación estratégica (Negocio, administración de riesgos, Tecnología de Información, seguridad, y mercado, entre otras.).
6 Gobierno de la organización, sistema de control interno y la gestión de tecnología de información (TI)
5
2
4
Evaluación, diseño e implementación de componentes para la gestión de la seguridad de la información, de acuerdo con prácticas líderes y estándares internacionales aceptados por la industria.
Page 11
1
Análisis de riesgo y efectividad en los procesos
3 Fortalecimiento del ambiente de control y gestión organizacional (v.gr. modelo de control, modelo de medición, etc.)
Presentation title
5
Claudia Marcela G贸mez Socia E-mail: claudia.gomez@co.ey.com
Gustavo D铆az Rojas Socio E-mail: gustavo.diaz@co.ey.com