Post on 18-Dec-2014
description
transcript
Rafael Rodríguez de Cora
Conferencia FIST Enero/Madrid 2008 @
Sponsored by:
El Information Security Forum y el Estándar de Buenas Prácticas
2
Rafael Rodríguez de Cora
Licenciado en Informática por la Universidad de Chile.
Varios años de experiencia con Arthur Andersen, CORITEL, PWC, etc.
Director General de
Profesor en Master ALI / UPM de Auditoria y Seguridad Informática
3
Computer Aided Logistics
CALS es es una empresa nacida en mayo de 1997 para ofrecer soluciones tecnológicas para la logística, el transporte y la seguridad informática.
Es Agente para España, Portugal y América Latina del Information Security Forum (ISF)
Tiene la representación en España y Portugal de los productos de Methodware para la Gestión de Riesgos y Auditoría de Sistemas de Información, tales como el producto software Enterprise Risk Assessor (ERA).
4
Horizonte de las Amenazas
Modelo de Riesgo según el ISF
5
Horizonte de las Amenazas
Un mundo cambiante – Tipos de Amenazas
Políticas (Aumento de inestabilidades regionales, terrorismo, problemas energéticos)
Legales (Aumento del cumplimiento, litigios por problemas con manejo y gestión inadecuada de transacciones, etc.)
Económicas (e-economía, crimen organizado, continuidad del negocio, cambio climático)
Socio-culturales (tecno-generación, trabajo remoto, ocio vstrabajo)
Tecnológicas (Convergencia digital de medios, convergencia de dispositivos, nuevos productos y arquitecturas)
6
Gestión de Riesgos
� La Gestión de Riesgos Operacionales y la gestión de Riesgos Empresariales está en un proceso de redefinición y existen cambios y orientaciones importantes en el concepto de la Gestión de Riesgos en las Organizaciones.
� El concepto del Riesgo se vincula ahora, cada vez más, al concepto de valor añadido y objetivos de negocio de la Organización
� La Gestión de Riesgos de la Información debe considerarse como parte de la solución, o se convertirá como parte del problema.
� En el fondo se trata de definir claramente y gestionar bien lo siguiente, en ambos casos:
� Impacto de los Riesgos sobre el Negocio� Amenazas y Vulnerabilidades� Controles
Un mundo cambiante – Tipos de Riesgos
7
El Information Security Forum
¿Qué aporta el Foro en el contexto anterior?
¿Cuál es su rentabilidad?
¿Cómo convencer a la Dirección General?
Preguntas:
8
El Information Security Forum
Aspectos Clave del ISFProductos y Servicios. ProyectosEncuestas de SituaciónGestión y Control de RiesgosProgramas de Sensibilización
Respuestas:
9
¿Qué es el ISF?
Una asociación internacional de más de 300 organizaciones de primer orden, que...
� Se dedica a clarificar y resolver temas fundamentales acerca de la seguridad de la información
� Es independiente y sin fines de lucro
� Financia y gestiona el desarrollo de soluciones prácticas orientadas al negocio (herramientas y servicios)
� Está conducida y gobernada por sus Miembros
� Está gestionada por una organización gerencial profesional
10
Aspectos Clave del Foro
Acceso independiente al “estado del arte”Prestigio y reconocimiento internacionalFinanciación de Proyectos (estudios específicos)No “re-inventar” la rueda (por tiempo y coste)Las “Mejores Prácticas” (por sectores)Plataforma de intercambio de experiencias
Soluciones Prácticas y de Calidad
11
Aspectos Clave del Foro
Misión del Foro – Mission Statement:
‘ The Information Security Forum will strive to sustain its position as the world’s leading independent authority on information risk
management . ’
12
Miembros actuales en:
� Australia
� Bélgica
� Canadá
� Dinamarca
� Finlandia
� Francia
� Alemania
� Irlanda
� Italia
� Latvia
� Luxemburgo
� Noruega
� Serbia
� Singapur
� Sur África
� España
• Suecia
• Suiza
• Holanda
• Emiratos Árabes Unidos
• Reino Unido
• Estados Unidos
13
Banca, Finanzas y Seguros (1) Metavante CorporationMetLifeMetropolitan Holdings LimitedMizuho Corporate Bank, LtdMunich Re GroupNational Australia Bank GroupNational Bank of CanadaNationwide Building SocietyNordea BankNorges BankNykredit A/SOP Bank GroupPemco Corporation + Pemco Mutual InsurancePrudential PlcRabobank NederlandReuters Ltd.Royal Bank of CanadaRoyal Bank of Scotland GroupS.W.I.F.TSamlinkSanlamSchroders Investment Management Ltd.Scotiabank (Canada)Secure Trading GroupSkandinaviska Enskilda Banken (SEB)Societe Generale GroupSouth African Reserve BankStandard Bank of South AfricaStandard Chartered BankStandard Life AssuranceState Farm Mutual Automobile Insurance Company
Dresdner Kleinwort WassersteinEuroclearEuropean Central BankEuropean Investment BankFidelity InvestmentsFirst Rand BankFortisFriends ProvidentGjensidigeGMAC-RFCGoldman Sachs & CoGreat-West Life Assurance CompanyGuardian Life Insurance Company ofAmericaHBOS Group plcHDFC BankHSBCINGIsabel NV/SAJP Morgan Chase & CoKBC GroupLa CaixaLCH. ClearnetLegal and General PLCLehman BrothersLloyds TSBMan Group PlcMarsh & McLennan Companies Inc.Mashreq BankMerrill Lynch
ABN-AMROABSA BankAegon NVAlliance & LeicesterAllianz SEANZ BankAXAAssurantBank for International SettlementsBank of AmericaBank of Ireland GroupBank of LatviaBank of Tokyo-Mitsubishi UFJ Ltd.Barclays BankBBVA BankBECBMO Financial GroupBNP ParibasCaja MadridCanadian Imperial Bank of CommerceCapital OneCitigroupCLS ServicesCommerzbank AGCrédit Agricole SACredit SuisseDanske Bank A/SDelta Lloyd Group (AVIVA)Deutsche BankDnB NOR
Miembros por sectores (1 de 5):
14
Miembros por sectores (2 de 5):
Air Liquide SAAnglo American plcBritish EnergyBritish Nuclear GroupCentrica plcChevronConocoPhillipsDolphin Energy LimitedDONG EnergyE.ON UKEDF Energy plcEskomFortum OyjNeste Oil OyjNuonRepsol YPF SARWE Npower picSasol Shared ServicesSaudi AramcoSellafield Ltd.Severn Trent plcShell InternationalSUEZSyncrude Canada Ltd.Thames WaterTransCanada
Centrales, Energía yRecursos Minerales
Ind. Química, Sanidad y Farmacéuticas
Akzo NobelAstraZenecaBASF AktiengesellschaftBaxter Healthcare CorporationBayer AGBorealisBrenntag Holding GmbH & Co KGBristol-Myers SquibbClariant International Ltd.DSMF Hoffmann La Roche AGHenkel KGaAICI plcKaiser PermanenteL’OrealNorsk Hydro ASANovartis International AGNovo Nordisk A/SPfizerShire PharmaceuticalsSmart Systems for Health Agency (SSHA)StatoilHydro ASASyngenta International AGUnited Healthcare Services Inc.
Sun Life FinancialSvenska HandelsbankenThe Co-operative GroupThe London Stock ExchangeToronto Dominion Bank FinancialGroupUBS AGUSAAVanguardVP Securities ServicesWachovia CorporationWells Fargo BankWestLB AGYorkshire Building SocietyZurich Financial Services
Banca, Finanzas y Seguros (2)
15
Miembros por sectores (3 de 5):
Electrónica, Ingeniería y Fabricación
ABB Information System Ltd.Aker Kvaerner ASAAlcatel - LucentArla Foods AMBAAshok Leyland Ltd.Bechtel CorporationBoeingBritish American Tobacco plcCadbury SchweppesCanon Europa NVChrysler LLCDaimler AGEssilor International SAGrampian Country Food GroupGrundfosHoneywell InternationalInfineon Technolgies AGKimberly-Clark CorporationKraft FoodsMichelin GroupMotorolaNestléNokia GroupOrkla ASAPitney BowesProcter & Gamble Services CompanyReliance Industries Limited
SAB MillerSandvik ABSCAScaniaSiemens AGSKFST MicroelectronicsStora Enso OyTata Steel CorusTetra PakToyota Motor Sales USAUnileverVolvo AB
ACA (AAA Affiliate)Arbeids – og velferdsetatenarivia.komATPBundesamt für Sicherheit in der I.Centre for the Protection of National
Infrastructure (CPNI)CentrlinkDanish Tax and Custom AdministrationDept of Health & NHSDept of Social & Family Affairs Finnish Communications Regulatory AuthorityForeign & Commonwealth OfficeGOVCERT.NLGovernment of AlbertaGovernment of OntarioGovernment of VictoriaHM Revenue & CustomsICPO - InterpolInformatikstrategieorgan Bund ISBKELAManitoba Provincial GovernmentMaritime ProvincesMISA OntarioNational Board of Taxes (Finland)National Institute of Standards & TechnologyNational Policing Improvement Agency (NPIA)
Agencias Gubernamentales
Parliamentary Information Communications
TechnologyRegion HovedstadenRoyal Canadian Mounted Police (RCMP)South African Revenue ServiceState Information Technology AgencyThe Department for Works and PensionsThe Government of British ColumbiaThe Government of Newfoundland &
Labrador
16
Miembros por sectores (4 de 5):
(ISC)2
Bell CanadaBritish Broadcasting CorporationBritish Telecommunications plcCable & WirelessCanada Post CorporationCOLT TelecommunicationsDanish Broadcasting CorporationDe Post – N.V.Deutsche TelekomItella CorporationKPN Royal Dutch TelecomMobile Telephone NetworksO2Orange plcPost DanmarkPosten Norge BARoyal Mail Group plcSwisscom IT Services AGTDCTelecom New Zealand LtdTelefónica EspañaTelekom SrbijaTelenor ASTelephone & Data Systems Inc.TeliaSoneraTelkom SA LimitedTNT Express Worldwide UK LtdVerizonVodafone Ltd
Medios, Correos, Telecom. y Educación
Adobe Systems, IncArabella (Arab Bank Group)BDO Stoy Hayward LLPBrabeion SoftwareBusiness Connexion (Pty) LtdClifford Chance LLPDeloitte & ToucheDet Norske VeritasEDB Business Partner ASAElectronic Data SystemsElektron (P/F)Ernst & YoungFreshfields Bruckhaus DeringerFujitsu ServicesIBM Global ServicesInfoSecureKPMGLogicaCMGMicrosoft CorporationPricewaterhouseCoopersQualysSecureOps Inc.SIA s.p.aSun Microsystems Inc.Symantec CorporationTietoEnator CorporationTNO ICTTowers PerrinUnisysVeriSign, IncVertex Data Science LimitedYell Ltd
Consultoras, IT y Servicios
17
Miembros por sectores (5 de 5):
A P Møller - MaerskBritish AirwaysCopenhagen Airports A/SCóras Iompair ÉireannDHL Exel Supplay Chain & DHL
Global ForwardingEADSEUROCONTROLKLM Royal Dutch AirlinesNetwork Rail Infrastructure Ltd.SASSingapore Airlines Ltd.The Emirates GroupTransnet Freight RailVR-Group Ltd.
Loterías y Comercio Minorista
Kesko CorporationMarks & Spencer plcSainsbury’s Supermarkets LtdStarwood Hotels & ResortsTarget CorporationTesco Stores Ltd
Líneas Aéreas y Servicios de Transporte
18
ISF: Productos y Servicios
Red de Contactos / Intercambios de Información
Programas de Trabajo Amplios
Encuestas de Situación sobre las condiciones de seguridad
Extranet segura
Estándar del Foro sobre Mejores Prácticas
Servicios
19
ISF: Red de Contactos
Reuniones Regionales del Capítulo (Tres anuales)
Participación en Proyectos (Intercambios de experiencias, diseño y alcance del proyecto, formación)
Congreso Anual(En Barcelona del 16 al 18 de Noviembre 2008)
20
ISF: Programas de Trabajo
El Foro lleva a cabo un amplio programa anual. Cada proyecto...
� Obtiene documentos y herramientas de alta calidad y fáciles de usar:
� Se basa en las necesidades de negocio de los Miembros
• Informes a Dirección.
• Documentos de Consulta
• Guías prácticas de implantación y metodologías
� Incorpora experiencias de las organizaciones miembro
� Representa la mejor práctica entre los miembros
21
ISF: Encuestas de Situación
Benchmarks: Encuestas de Situación del Foro – Evaluación detallada sobre el estado de la seguridad
La participación en la Encuesta permite…
� Ver la situación general del estado de la seguridad de información a través de la organización
� Comparar nuestro nivel con otros usuarios de IT en el sector
� Identificar áreas susceptibles de mejora para un mayor análisis
� Asignar presupuestos de seguridad donde sea más rentable
�Documentar necesidades de mejoras sobre seguridad
�Aumentar la sensibilización sobre la seguridad entre los empleados
Elemento fundamental para el
programa corporativo de seguridad del ISF
22
ISF: Extranet Segura
‘MX2’ – La extranet segura del Foro
El sistema MX2 permite participar a los Miembros, por medios electrónicos, en las actividades del Foro. Posibilita ...
� Acceder al conjunto completo de los productos del Foro en formato electrónico
� Registrarse para atender a las reuniones del Foro
� Acceder a la información de los proyectos, del Congreso y de las reuniones regionales
� Participar en reuniones on-line, con otros Miembros y con el Equipo de Gestión del Foro
23
ISF: Estándar sobre Mejores Prácticas
El Estándar del Foro sobre las Mejores Prácticas
Implantado en algunas de las organizaciones más importantes del mudo, el Estándar está...
� Diseñado para los requerimientos del negocio
� Basado en experiencias prácticas
� Orientado hacia los temas que pueden causar el mayor
daño
� Posibilitado para llevarse a cabo en la práctica
� Definido con un amplio alcance
� Realizado con un enfoque independiente
� Descrito usando un lenguaje familiar de buenas prácticas
24
ISF: Estándar sobre Mejores Prácticas
Cubre seis aspectos de la Seguridad de la Información:
� Security Management (SM)
� Critical Business Applications (CB)
� Computer Installations (CI)
� Networks (NW)
� Systems Development (SD)
� End User Environment (UE)
����������������������������������������
��� �������������� �������������� �������������� �����������
���������������������
2007
25
ISF: Estándar sobre Mejores Prácticas
Temas relativos a la gestión de la seguridad de la información de alto nivel, a la disposición de la seguridad de la información a través de la organización, y al establecimiento de un entorno seguro
Security Management (SM)
����������������������������������������
��� �������������� �������������� �������������� �����������
���������������������
2007
26
ISF: Estándar sobre Mejores Prácticas
Critical Business Applications (CB)
Temas relativos a los requerimientos para mantener aplicaciones de negocios seguras, para identificar los riesgos de la información y para determinar el nivel de protección requerido con el objeto de mantener los riesgos de la información dentro de límites aceptables.
����������������������������������������
��� �������������� �������������� �������������� �����������
���������������������
2007
27
ISF: Estándar sobre Mejores Prácticas
Computer Installations (CI)
Temas relativos al diseño y configuración de los sistemas informáticos, a la gestión de actividades requeridas para establecer unas instalaciones seguras y al mantenimiento y continuidad del servicio.
����������������������������������������
��� �������������� �������������� �������������� �����������
���������������������
2007
28
ISF: Estándar sobre Mejores Prácticas
Networks (NW)
Temas relativos al diseño e implantación de la red, a la gestión de actividades requeridas para el funcionamiento y gestión de redes seguras, incluyendo redes locales y corporativas, y redes de comunicación de voz
����������������������������������������
��� �������������� �������������� �������������� �����������
���������������������
2007
29
ISF: Estándar sobre Mejores Prácticas
Systems Development (SD)
Temas relativos a la aplicación de seguridad de la información en todas las etapas de desarrollo de sistemas, incluyendo el diseño, desarrollo, pruebas e implantación.
����������������������������������������
��� �������������� �������������� �������������� �����������
���������������������
2007
30
ISF: Estándar sobre Mejores Prácticas
End User Environment (UE)
Temas relativos a la gestión de la seguridad local, a la protección de las aplicaciones corporativas y en desktops, y a la seguridad de dispositivos portátiles.
����������������������������������������
��� �������������� �������������� �������������� �����������
���������������������
2007
31
ISF: En resumen ….
Beneficios:
� Acceso a las experiencias y conocimientos de organizaciones mundiales destacadas
� Obtención de soluciones útiles para problemas de seguridad de alta prioridad
� Obtención de estudios comparativos para analizar los niveles de seguridad propios
� Entendimiento de las mejores prácticas globales sobre seguridad de la información
� Establecimiento de una red de contactos para temas de seguridad
� Rentabilidad: obtención de resultados por una fracción de los costes reales
32
Velázquez 86- B
28006 - MADRID
Tel: +34 91 432 14 15
Fax: +34 91 578 27 97
Rafael Rodríguez de Cora
E-mail: rrcora@calogistics.com
ISF: Contacto
33
Attribution. You must give the original authorcredit.
For any reuse or distribution, you must make clear to others the license terms ofthis work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivsLicense. To view a copy of this license, visithttp://creativecommons.org/licenses/by-nd/2.0/ or send a letter to CreativeCommons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
Creative CommonsAttribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
No Derivative Works. You may not alter, transform, orbuild upon this work.
Rafael Rodríguez de Cora
Madrid, Enero 2008
@ with the sponsorship of:
www.fistconference.org