Remediacion parche o upgrade (INFORIESGO 2014)
-
Upload
fabian-descalzo -
Category
Presentations & Public Speaking
-
view
186 -
download
3
description
Transcript of Remediacion parche o upgrade (INFORIESGO 2014)
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
1
a.c.
Fabián Descalzo, Gerente de Governance, Risk & Compliance (GRC)
Certificado en Dirección de Seguridad de la Información (Universidad CAECE)
Instructor Certificado ITIL® version 3:2011, Certification for Information Management
Certificado ISO/IEC 20000-1:2011, Implementación de Sistemas de Gestión IT
Internal Audit ISO/IEC 20000:2011, Auditor Interno en Sistemas de Gestión IT
Proceso de Remediación,¿Parche o Upgrade?
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
2
a.c.
Nuevas Regulaciones, Requerimientos por Certificaci ón, Planes de Trabajo por Auditorías, Actualización Tec nológica
Impactan en
Lo regula Lo eligeNEGOCIO
Deben acompañar
Procesos de Negocio
El principio
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
3
a.c.
Áreas deNegocio
AplicacionesSoftware de BaseHardware
Tecnología ySeguridad
Situaciones de CrisisIDENTIFICARLA BRECHA
¿Y DESPUÉS?
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
4
a.c.
¿Parche o Upgrade?
¿Cuál es la mejor versión que quiero de mis sistemas y
procesos?
Que el “remedio” cure la “enfermedad”
Situaciones de Crisis
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
5
a.c.
Decidiendo el “remedio”
Tiempo + Recursos + Conocimiento
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
6
a.c.
Necesidades del Negocio
Necesidades de los Procesos Tecnológicos
Asociándose con el Negocio
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
7
a.c.
Nivel de Cumplimiento
Áreas de NegocioProcesos de
Negocio soportados por la tecnología
Sistemas de Procesamiento
Tecnología de la Información
Operaciones
Arquitectura
Desarrollo
Seguridad de la Información
Seguridad Organizacional
Seguridad Informática
Seguridad Física
Seguridad Legal
Asociándose con el Negocio
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
8
a.c.
Como llegar a la mejor versión
• Definición de estrategias en función de observaciones, alcances y experiencia
• Identificación de recursos técnicos y humanos• Definición de roles y funciones bien definidos• Conformación de equipos de trabajo• Capacitación a los diferentes equipos de acuerdo a su visión de objetivo
y a su participación en la remediación• Definición de las evidencias a obtener y su formato• Seleccionar la documentación que nos sirva para operar, seguir y
controlar la remediación
Principales actividades para una remediación efectiva
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
9
a.c.
Alcance de Observaciones
Cantidad de Plataformas
Aplicaciones alcanzadas
Magnitud de No-Conformidades
Configuraciones técnicas
Cuentas de usuario
Accesos, permisos y privilegios
Documentación de Soporte
Conformación de los Equipos de Trabajo
Aporta a
Resultado del análisis de brecha
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
10
a.c.
• Parámetros• Carpetas
compartidas• Cuentas de
Usuario• Permisos• Servicios
1Sistema
Operativo
• Parámetros• Cuentas de
Usuario• Permisos
2Base de Datos
• Parámetros• Cuentas de
usuario• Funciones
3Aplicación
Orden lógico de ejecución
Inconsistencia en el software de base que generan demoras y retrabajo sobre la aplicación (Interfaces,
Tareas Programadas, Cuentas Especiales, Servicios, etc.)
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
11
a.c.
Equipos de Trabajo
Seguridad de la Información
Tecnología
Jefes de Aplicación o Líderes Funcionales de Sistemas
Líderes de Proyecto
Adm SO Adm BBDD Operación
Compliance
Conocedores del funcionamiento aplicativo para responder a los requerimientos del Negocio
Servicio consultivo y de soporte técnico
Acompañamiento y operación de relevamiento y remediación
Capacitación y definiciones de cumplimiento
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
12
a.c.
Identificación de argumentos de remediación
Normas Estándares
Aplicaciones Plataformas
Matriz de Revisión
• Remediación posible y cumpliendo los plazos
• Remediación posible pero fuera de plazo con Plan de Trabajo
• No se puede remediar y debe exceptuarse
Definición de Registrosy Documentos paraControl y Seguimiento
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
13
a.c.
Definición de registros para evidencias
Tipo y formato de evidencia
Completitud de datos a
obtener por evidencia
Estrategia de generación y
administración de evidencias
Certifica que la remediación ha sido efectiva y evidencia aceptada por una
probable Auditoría
Optimiza la operación de obtención y el volumen de archivos de datos a
tratar y almacenar
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
14
a.c.
Gestión de Excepciones
Limitaciones Funcionales
Obsolescencia Tecnológica
Análisis de
mitigantesRespaldar Registrar
CIA
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
15
a.c.
Entendimiento del Proyecto y motivos de
los cambios
Roles y funciones
Componentes del Marco Normativo
Contexto Aplicativo (Procesos de Negocio,
Manuales)
Estrategias asumidas
Excepciones
Diseñar la Capacitación(Ampliar la Visión)
Equipo Técnico Equipo Funcional
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
16
a.c.
Ejecución ordenada en el tiempo especificado, orientada al resultado y de
bajo impacto en el Negocio
Plan definido para la mejora
Análisis de brecha
Orden de Ejecución
Armado de Equipos de
trabajo
Argumentos de Remediación
Definición de Registros
Gestión de Excepciones
Diseño de Capacitación
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
17
a.c.
Valoremos cada participación que tengamos en los diferentes frentes de trabajo y aprendamos que la tarea en equipo nutre de conocimiento y
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
17
Recordemos que todos somos el Negocio
Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados
INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs
18
a.c.
Muchas gracias por su atención
FABIÁN DESCALZOGerente de Governance, Risk & Compliance
CYBSEC S.A. - www.cybsec.com� (5411) 4371-4444� [email protected]