Plan Director Seguridad
• El tamaño de la organización
• El nivel de madurez de tecnología
• El sector al que pertenece la empresa
• Las regulaciones de los entes de control
Factores que deben tomarse en cuenta en el PDS
Confidencialidad
Integridad
Disponibilidad
Fundamentos/Pilares de la seguridad de la Información
Herramientas utilizadas para fomentar la disponibilidad, integridad y confidencialidad de la información, para asegurar las operaciones del negocio, así como también para evitar posibles incidencias de ciberseguridad, inherentes a las tecnologías de la información.
Estándar de seguridad
Conjunto de modos de vida y costumbres, conocimientos y grado de desarrollo artístico, científico, industrial, en una época, grupo social
Cultura
Desarrolla concepto de sistemas y trabaja en las fases de capacidades del ciclo de vida de desarrollo de sistemas; traduce la tecnología y las condiciones ambientales en diseños y procesos de sistemas y seguridad.
Arquitecto de seguridad
1.Evaluar la estrategia organizacional
2.Identificar los sistemas y procesos que se encuentran más expuestos a riesgos de seguridad
3.Adoptar las medidas técnicas y organizativas para mitigar el impacto de los riesgos
Objetivos del PDS
•Ser revisadas periódicamente
Una de las características de una política
Para cerrar brechas de seguridad relevantes identificadas por el responsable de seguridad
Por decisión comercial (incluyendo la certificación)
Presiones regulatorias
Origen de la aplicación de estándares
• CISO
• Gerente de Auditoría Interna o su delegado
• Responsables del negocio o sus delegados
• Oficial de Cumplimiento
• Oficial de Protección de Datos
• Director de Tecnología o su delegado
Comité de Seguridad de la Información
• Conocimiento de los procesos de gestión de riesgos
• Conocimiento de leyes, reglamentos, políticas y ética en relación con la ciberseguridad y la privacidad.
• Conocimiento de los principios de ciberseguridad y privacidad.
• Conocimiento de Ciber amenazas y vulnerabilidades.
Conocimientos que debe tener un arquitecto de seguridad
Conocer la situación actual
Conocer la estrategia de la organizacion
Definir proyectos e iniciativas
Tres primeras fases del desarrollo de un PDS
Característica "Obligatoria"
La protección de la información requiere de un enfoque que considere perspectivas desde cuestiones de personas, procesos, cultura, hasta legales o contractuales.
Enfoque holístico
Liderazgo y enfoque holístico
Personas y grupos de interés
Métricas
Elementos de cultura de seguridad
Seguridad basada en la defensa por capas
Defensa en profundidad
Riesgos que mitiga un PDS
Característica "Concreta"
Seleccionar de forma parcial o completa los controles de seguridad a implementar de un estándar, sin que lo revise un ente certificador.
Alineación con un estándar
Una de las funciones del comité de seguridad de la información
Sistemas que no pueden parcharse
Accesos de terceros no controlado
Cortafuegos consecutivos
Malas prácticas de seguridad
Responsable de revisar el PDS, realizar los cambios que crea oportunos y aprobarlo.
Alta dirección
Proporcionar los requisitos y pautas de actuación necesarias para proteger los sistemas de información
Objetivo de una política de seguridad
Estándar que nace en EEUU, del Departamento de Defensa de Estado, para garantizar la seguridad de las infraestructuras críticas.
NIST Cybersecurity Framework
Enfoque que considera procesos, personas y tecnología
Enfoque sociotécnico
Confía, pero verifica
Modelo Zero Trust