7, 8, 14 y 15 de noviembre de 2013
La seguridad de la información en las empresas y los gobiernos: mejores practicas y lecciones aprendidas
Germán Castro Arévalo Cross Border Technology
Noviembre 14 de 2013 www.uexternado.edu.co
2
Agenda •
Introducción •
• •
Buenas prácticas y retos al implementar seguridad
Lecciones aprendidas Casos de éxito
www.uexternado.edu.co
3
Buenas prรกcticas / Estรกndares / Regulaciones
www.uexternado.edu.co
4
Retos • • • • • •
Obtener el apoyo y compromiso “real” de la Alta Dirección Administrar los riesgos eficazmente Integrar la seguridad en los procesos de la Entidad Cumplir a nivel legal, normativo y regulatorio Construir una verdadera cultura de Seguridad Implementar un Plan de Continuidad que vaya más allá del papel
www.uexternado.edu.co
5
Lecciones aprendidas •
1
Mantener siempre un marco de marco de referencia
www.uexternado.edu.co
6
Lecciones aprendidas • •
2
Definir claramente los límites del alcance del SGSI Iniciar la implementación en los procesos misionales Incorporar seguridad • •
Cumplimiento legal y regulatorio Misión y visión
www.uexternado.edu.co
7
Lecciones aprendidas • •
3
Implementar un SGSI no es seguir ISO 27002 al pie de la letra La gestión de riesgos es el eje del SGSI
www.uexternado.edu.co
8
Evaluación de Riesgos 3
Vulnerabilidades Activos de Información
Amenazas
ISO 31000
Riesgos
ISO 27005
Tratamiento de Riesgos
Implementar Controles ISO 27001 Anexo A ISO 27002
Lecciones aprendidas • •
4
Tecnología es uno de los componentes clave en la implementación del SGSI Los pasos básicos: • • •
Segmentar la red Incorporar requerimientos de seguridad en el desarrollo y/o adquisición de software Definir estándares de seguridad para cada plataforma tecnológica
www.uexternado.edu.co
10
Lecciones aprendidas • • • •
5
Sensibilización constante Un tema a la vez Definir un plan Capacitación en seguridad a todo nivel organizacional y funcional Compartir conocimiento
www.uexternado.edu.co
11
Lecciones aprendidas • • •
6
Definir una estructura documental liviana Políticas de seguridad Lineamientos de alto nivel Procedimientos concretos y cumplibles
www.uexternado.edu.co
12
Lecciones aprendidas • •
7
Plan de continuidad (Personas, procesos y tecnología) Alinear y sincronizar las expectativas de los procesos de la entidad con el plan de contingencia (DRP)
www.uexternado.edu.co
13
Lecciones aprendidas • •
8
Alta Dirección comprometida con la seguridad = Cultura fuerte en seguridad El ejemplo es la mejor herramienta en la creación de cultura en seguridad
www.uexternado.edu.co
14
Agenda •
Introducción •
• •
Buenas prácticas y retos de la seguridad
Lecciones aprendidas Casos de éxito
www.uexternado.edu.co
15
Caso
Decisi贸n estrat茅gica de Implementar SGSI www.uexternado.edu.co
16
Metas y Beneficios • • • • •
Garantizar la Guarda de la Fé Pública mediante el aseguramiento de la información Generar credibilidad y confianza en los procesos que entregan datos a los ciudadanos Ser ejemplo de una Cultura de Seguridad para las entidades del estado Encontrar el balance costo/beneficio en la implementación de controles que mitiguen los riesgos Lograr el aseguramiento de la información a través de una disciplina de cumplimiento constante www.uexternado.edu.co
17
Caso
• • •
Call center Presencia en Bogotá Especializada en la comercialización de seguros
Implementación SGSI Certificación ISO 27001 obtenida en diciembre de 2012 www.uexternado.edu.co
18
Beneficios Álvaro Márquez Gerente General TOP FACTORY S.A. • •
•
Lograr mantener activo nuestro portafolio de clientes, que demandan altos estándares de seguridad por pertenecer al sector asegurador y financiero. Se ha fortalecido nuestra relación comercial con los clientes, por ser considerados aliados «seguros» y punto de referencia en la industria de los contact center. La gestión de la seguridad de la información nos ha permitido multiplicar el conocimiento y compartir con nuestros clientes, proveedores y empleados, la implementación de prácticas seguras que propenden por un mercado más competitivo. www.uexternado.edu.co
19
Preguntas? Gracias por su tiempo.
GermĂĄn Castro ArĂŠvalo gcastro@crossbordertech.com PBX: (1) 756-0710
www.uexternado.edu.co
20