Presentación en PDF - Criptored

Gobernando la seguridad hacialos objetivos corporativosAntonio Ramos3 de abril de 2013

Agenda• ¿Qué es ISACA?• ¿Qué se entiende por gobierno?• La cascada de objetivos• Catalizadores corporativos• Conclusión1

¿QUÉ ES ISACA?2

¿Qué es ISACA?• Non-profit association of individual members:– IT auditors– IT security professionals– IT risk and compliance professionals– IT governance professionals and more!• Nearly all industry categories: financial, publicaccounting, government/public sector, technology,utilities and manufacturing.• Formerly, the Information Systems Audit and ControlAssociation -- ISACA now goes by its acronym only.3

¿Qué es ISACA?ISACA’s vision (to aspire to as an organization)“Trust in, and value from, information systems”ISACA’s mission (to guide decision making and investments)“For professionals and organizationsbe the leading global provider of knowledge, certifications,community, advocacy and educationon information systems assurance and security,enterprise governance of IT, and IT-related risk and compliance”4

¿Qué es ISACA?Formación a nivel global5

¿Qué es ISACA?Certificaciones1978+100.0002003+18.0002008+5.0002010+16.000+1.300 certificados en Madrid+350 horas de formación ofertadas cada año6

¿Qué es ISACA?Certificaciones▶ CISAInformaciónCertified Information Systems AuditorAuditor Certificado de Sistemas de▶ CATEGORÍA Certificación de personas▶ AÑO 1978▶ BoK (áreas de conocimiento)- Proceso de auditoría de sistemas de información- Gobernanza de TI- Ciclo de vida de sistemas e infraestructura- Soporte y entrega de servicios de TI- Protección de los activos de información▶ CONVOCATORIAS▶ OTROSJunio, septiembre y diciembre5 años y CPE7

¿Qué es ISACA?Certificaciones▶ CISM Certified Information Security ManagerGerente Certificado de Seguridad de laInformación▶ CATEGORÍA Certificación de personas▶ AÑO 2002▶ BoK (áreas de conocimiento)- Gobernanza de Seguridad de la Información- Gerencia de riesgo de la Información- Desarrollo de programa de seguridad de lainformación- Gerencia de programa de seguridad de lainformación- Gestión y respuesta a incidentes▶ CONVOCATORIAS Junio, septiembre y diciembre▶ OTROS5 años y CPE8

¿Qué es ISACA?Certificaciones▶ CGEIT▶ CATEGORÍACertified in the Governance of Enterprise ITCertificación profesional▶ AÑO 2007▶ DOMINIOS (áreas de conocimiento)- Marco de referencia para la Gobernanza de TI- Alineamiento estratégico- Entrega de valor- Gestión del riesgo- Gestión de los recursos de TI- Medida del rendimiento▶ EXÁMENES▶ OTROS REQUISITOSJunio y diciembre5 años de experiencia y CPE9

¿Qué es ISACA?Certificaciones▶ CRISCCertified in Risk and Information Systems ControlCertificado en Riesgo y Control de los SSII▶ CATEGORÍA Certificación de personas▶ AÑO 2010▶ BoK (áreas de conocimiento)- Identificación, evaluación y valoración del riesgo- Respuesta al riesgo- Supervisión (vigilancia) del riesgo- Diseño e implantación de marcos de control de SSII- Supervisión y mantenimiento de marcos de control deSSII▶ CONVOCATORIAS▶ OTROSJunio y diciembre5 años y CPE10

¿Qué es ISACA?Investigación• COBIT5• COBIT5: Procesos Catalizadores• COBIT5: Catalizador Información• COBIT5: Implementación• COBIT5 Toolkit• COBIT5 para Seguridad de la Información• COBIT5 OnlineBMIS The Business Model for Information Security11

¿Qué es ISACA?InvestigaciónCOBIT 5 consolida e integra: COBIT 4.1 Val IT 2.0 Risk IT Y, aprovecha de manerasignificativa:• BMIS (Business Model forInformation Security), and• ITAFwww.isaca.org/COBIT512

¿Qué es ISACA?Dimensión global… en 82 países13

¿Qué es ISACA?Dimensión globalTotal miembros ISACA® a octubre100.0002.8152.885 3.0013.2293.47680.00060.00040.00020.000-2.1801.88932.82828.94515.41213.2181.967 2.1942.53048.48345.73940.941 41.331 42.39537.12127.96922.566 23.840 24.683 25.93918.8612.9303.340 3.585 3.917 4.328 4.80015.118 16.569 19.590 21.840 22.089 21.500 21.847 23.2502005 2006 2007 2008 2009 2010 2011 2012OceaníaNorteaméricaEuropa/ÁfricaLatinoaméricaAsia14

¿Qué es ISACA?Dimensión nacionalTotal miembros ISACA® en España a octubre1.6001.4001.2001.000800600400200-176 192 183 161339 351 339 3611.059 1.053 1.055 1.0352009 2010 2011 2012ValenciaBarcelonaMadrid15

¿Qué es ISACA?Objetivos de ISACA Madrid• Difundir y desarrollar las actividades de Auditoría de Sistemas deInformación, Seguridad de la Información y Gestión y Gobierno dela Tecnologías de la Información.• Formar a los profesionales y mantenerlos actualizados sobre lasprincipales novedades de la materia.• Promover y asistir en la certificación internacionalmente a losprofesionales como cualificados para el ejercicio de la profesión(Certificados CISA, CISM, CGEIT, CRISC)• Realizar estudios sobre la profesión y desarrollar estándares de laindustria.• Asistir a los profesionales (Bolsa de trabajo, orientación, etc.)16

¿Qué es ISACA?Beneficios de los miembrosDesarrolloprofesionalInvestigaciónyConocimientoComunidad &LiderazgoCapítuloLocalIncrementar tu valoravanzando en tucarrera• ELibrary• Webinars, SeminariosVirtuales y eSymposiaarchivados (CPE gratis)• Career Centre• Descuentos enexámenes y tasasmantenimiento anual deCISA, CISM, CGEIT,CRISC• Mentoring (CPE gratis)• Descuentos enconferencias /formación• Descuentos en laLibreríaAbrir la puerta a unrobusto liderazgo,investigación yconocimiento• Journal (CPE gratis)• Publicaciones deinvestigación(muchas gratis paramiembros)• COBIT 5 - Abril 2012• Val IT• Risk IT• ITAF• BMIS• Mapeos de COBIT• COBIT SecurityBaseline 2 nd Ed.• Sitio web interactivo• Programas de auditoríaConectarte con unacomunidad globalde 100.000• Networking• Oportunidades deLiderazgo a nivellocal y global• Nuevascomunidades onlineen el nuevo sitioweb de ISACAProporcionar unared local deprofesionales• Educación barata• Formaciónpresencial• Preparación aexámenes• Eventos denegocios y sociales• Encuentro conpersonas queentienden tusnecesidadesprofesionales17

¿Qué es ISACA?Oferta para el Sector Educativo• Academic AdvocateMembership– Complimentarymembership to facultymembers who use ISACAteaching materials andagree to share their own– Classroom supportmaterials– Receive discounts andcomplimentary access toprofessional resources– Prepare your students toenter the job marketwww.isaca.org/academicadvocate18

¿Qué es ISACA?Oferta para el Sector Educativowww.isaca.org/modelcurricula• Model Curricula– 18 universities around theworld specialize in use ofthe ISACA Model Curricula– ISACA® Model Curriculumfor IS Audit and Control(2nd Edition)– ISACA® Model Curriculumfor Information SecurityManagement– Information Security Usingthe CISM® Review Manualand BMIS19

¿Qué es ISACA?Oferta para el Sector Educativowww.isaca.org/student• Student Membership– Online access to ISACAjournal, webcasts, andmany resources foreducation beyond theclassroom– Opportunities to networkwith local chapter membersfor meaningful interactionswith professionals– Knowledge and experienceto put students far ahead ofthe competition when itcomes time to begin theircareers.20

¿Qué es ISACA?Oferta para el Sector Educativo• ISACA Student Groups– Affiliated, if possible, withan ISACA chapter– Recognized by aneducational institution;student membership inISACA is not required– Recognized by ISACA HQwith an official studentgroup logo.www.isaca.org/studentgroup21

¿Qué es ISACA?Oferta para el Sector Educativo• Local Chapter StudentSupport– Assist with the formation ofISACA Student Groups oncampus– Provide speakers andnetworking opportunitieswith professionals– Invite students and facultyto local chapter eventswww.isaca.org/chapters22

¿Qué es ISACA?Oferta para el Sector Educativo• Fees anualesCuotaInternacionalFee para NuevosMiembrosCuota CapítuloMadridTotal25 $ - 15 $ 40 $• CertificacionesConcepto Miembros No-miembrosRegistro examen 460 $ (410 $) 635 $ (585 $)Renovación45 $ c.u.(-15 $ si más de 3)85 $ c.u.(-35 $ si más de 3)23

¿QUÉ SE ENTIENDE PORGOBIERNO?24

Conflicto principal - agente25

Conflicto principal - agente• Bruce Schneier(2012). “Liars andOutliers: Enabling theTrust that SocietyNeeds to Thrive”26

ConceptoEl Gobierno asegura que se evalúan lasnecesidades, condiciones y opciones de las partesinteresadas para determinar los objetivosempresariales equilibrados y acordados a alcanzar;estableciendo dirección para la priorización y la tomade decisiones; y monitorizando el rendimiento y elcumplimiento con la dirección y objetivos acordados27

ConceptoLa Gestión planifica, construye, ejecutiva y supervisalas actividades alineadas con la dirección establecidapor el cuerpo de gobierno para alcanzar los objetivosempresariales.28

Concepto1. Cumplirnecesidadesdeinteresados5. SepararGobierno deGestiónPrincipiosdeCOBIT52. Cubrir laempresaextremo-aextremo4. Habilitarun enfoqueholístico3. Aplicar unmarcointegradoúnico29

Gobierno vs GestiónRealizaciónde beneficiosObjetivos de Gobierno: Creación de ValorOptimizaciónde riesgosOptimizaciónde recursosFacilitadoresde GobiernoAlcance deGobiernoRoles, actividades y relaciones30

Gobierno vs GestiónDelegaEstablecedirecciónInstruye yalineaPropietariosy partesinteresadasCuerpodeGobiernoGestiónOperaciónyEjecuciónResponsable Supervisa Informa31

CASCADA DE OBJETIVOS32

Cascada de objetivosNecesidades de laspartes interesadasConducenObjetivos de Gobierno: Creación de ValorRealizaciónde beneficiosOptimizaciónde riesgosOptimizaciónde recursos33

Cascada de objetivosInternos• Consejo• CEO• CFO• CIO• CRO• Ejecutivos de negocio• Propietarios deprocesos• HHRR• Auditoría• Seguridad• DPO• UsuariosExternos• Socios• Proveedores• Accionistas• Legislador / Gobierno• Usuarios externos• Clientes• Auditores externos• Consultores• Etc.34

Cascada de objetivosNecesidades de las partes interesadasObjetivos empresarialesObjetivos para Seguridad de la InformaciónObjetivos para los Catalizadores35

Cascada de objetivos36

Cascada de objetivosNecesidades de las partes interesadasObjetivos empresarialesObjetivos para Seguridad de la InformaciónObjetivos para los Catalizadores37

Cascada de objetivos38

Cascada de objetivosÁrbol de Objetivos Intermedios39

¿Quién es eldueño delsistema?40

Cascada de objetivosNecesidades de las partes interesadasObjetivos empresarialesObjetivos para Seguridad de la InformaciónObjetivos para los Catalizadores41

Cascada de objetivos42

Cascada de objetivos“Cualquier inversión en seguridad estájustificada siempre que:• el nivel de seguridad sea el factor limitantepara que la organización alcance su metao• la seguridad se subordine al factorlimitante de la organización y contribuya aque éste rinda a su máxima capacidad”43

Cascada de objetivosNecesidades de las partes interesadasObjetivos empresarialesObjetivos para Seguridad de la InformaciónObjetivos para los Catalizadores44

Cascada de objetivos45

CATALIZADORESCORPORATIVOS46

Catalizadores Corporativos2. Procesos3. Estructurasorganizativas4. Cultura, Ética yComportamiento1. Principios, Políticas y Marcos de Referencia5. Información6. Servicios,Infraestructura yAplicacionesRecursos7. Personas,Habilidades yCompetencias47

1. Principios, Políticas yMarcos de Referencia• Mecanismos de comunicación puestos enmarcha para transmitir la dirección y lasinstrucciones de los cuerpos de gobierno ygestión.• El marco de políticas debe definir:– Los aprobadores de las políticas corporativas– Las consecuencias de no cumplir– Los medios para gestionar las excepciones– La forma en que el cumplimiento serácomprobado y medido48

1. Principios, Políticas y Marcos deReferencia• Principios (ISACA, ISF & ISC 2 )Soportar el negocio1. Enfocarse en el negocio2. Entregar calidad y valor a los interesados3. Cumplir con los requisitos legales y regulatorios4. Proporcionar información a tiempo y precisa sobre el rendimientode la seguridad de la información5. Evaluar las amenazas actuales y futuras6. Promover una mejora continua en seguridad de la informaciónDefender el negocio7. Adoptar un enfoque basado en el riesgo8. Proteger la información clasificada9. Concentrarse en aplicaciones de negocio críticas10.Desarrollar sistemas de manera seguraPromover un comportamiento responsable11.Actuar de una manera ética y profesional12.Fomentar una cultura positiva hacia la seguridad de la información49

1. Principios, Políticas y Marcos deReferencia• Es necesario adaptarseel entorno corporativo.• Ron Collette, MikeGentile, and SkyeGentile (2008), “CISOSoft Skills. SecuringOrganizations Impairedby Employee Politics,Apathy, and IntolerantPerspectives”50

2. Procesos• Conjunto de prácticas influidas por laspolíticas y los procedimientos corporativosque toman entradas de varias fuentes(incluyendo otros procesos), manipulanlas entradas y producen salidas.51

2. ProcesosNecesidades de NegocioGobiernoEvaluarDirigirFeedback de la GestiónSupervisarGestiónPlan(APO)Construir(BAI)Ejecutar(DSS)Supervisar(MEA)52

2. ProcesosGobiernoEDM01Asegurar elEstablecimientoyMantenimientodel Marco deGobiernoEDM02Asegurar laEntrega deBeneficiosEDM03Asegurar laOptimizacióndel RiesgoEDM04Asegurar laOptimizaciónde RecursosEDM05Asegurar laTransparenciacon las partesinteresadasAlinear, Planificar y OrganizarConstruir, Adquirir e ImplementarSupervisar, Evaluar yValorarEntregar, Dar servicio y Soporte53

2. Procesos54

3. Estructuras organizativas• Entidades de toma de decisión claves enuna organización.• Su definición debe incluir:– Composición– Mandato, principios operativos, ámbito decontrol y nivel de autoridad– Matriz RACI de alto nivel– Entradas / Salidas55

3. Estructuras organizativas• AccountabilityEl Comité de Dirección carga con laresponsabilidad final para todo los aspectos,incluyendo la seguridad de la información.– Puede ser delegada– Como elemento crítico, la responsabilidadfinal debería ser asignada consecuentemente– En caso contrario, podría considerarse comouna negligencia.56

4. Cultura, ética ycomportamiento• Cultura: “Patrones de comportamientos, creencias,actitudes y maneras de hacer las cosas”.• Cultura de seguridad– “Todas las empresas tienen una cultura de seguridad de lainformación. En la mayoría de casos, carece deintencionalidad y es inconsistente hasta el punto de queno exista; es decir, es robusta y orienta las actividadesdiarias de empleados y otras personas en contacto con laempresa”.ISACA, Creating a Culture of Security, EE.UU., 201157

¿Cuál es el factorlimitante denuestro sistemade seguridad?58

5. Información• La información (y, en consecuencia, lacomunicación) no es solo el principalsujeto de la seguridad de la información,sino un catalizador fundamental para lamisma.• La información como catalizador se refierea que la dirección puede usar lainformación como base para la toma dedecisiones.59

6. Servicios, infraestructura yaplicaciones• Catálogo de servicios– Provide a security architecture.– Provide security awareness.– Provide secure development (development in line with securitystandards).– Provide security assessments.– Provide adequately secured and configured systems, in line withsecurity requirements and security architecture.– Provide user access and access rights in line with businessrequirements.– Provide adequate protection against malware, external attacksand intrusion attempts.– Provide adequate incident response.– Provide security testing.– Provide monitoring and alert services for security-related events.60

6. Servicios, infraestructura yaplicaciones• Requieren:– Información (entradas y salidas)– Estructuras organizativas (matrices RACI,funciones o roles específicos de seguridad…)• Componentes:– Descripción detallada– Atributos– Objetivos61

7. Personas, habilidades ycompetencias• Se necesitan individuos con un apropiado nivel deconocimiento y experiencia si se quiere operar demanera efectiva la función de seguridad de lainformación.• Ejemplos:– Gobierno de seguridad de la información– Formulación de estrategia de seguridad de la información– Gestión de riesgos de la información– Desarrollo de arquitecturas de seguridad de la información– Operaciones de seguridad de la información– Evaluaciones, pruebas y cumplimiento62

Conclusiones• La seguridad de la información esresponsabilidad del Consejo deAdministración.• Los árboles no nos dejan ver el bosque.• Gestionar no es gobernar.63

07/ Ruegos y preguntas64

Muchas graciasAntonio Ramos, PresidenteISACA, Capítulo de Madridpresidente@isacamadrid.es