Grado de madurez de la

organizacin en
Seguridad de la
Informacin
 Presentada por:

Taich, Diego
Director, PwC
 Aclaracin:

Todos los derechos reservados. No est permitida

la reproduccin parcial o total del material de
esta sesin, ni su tratamiento informtico, ni la
transmisin de ninguna forma o por cualquier
medio, ya sea electrnico, mecnico, por
fotocopia, por registro u otros mtodos, sin el
permiso previo y por escrito de los titulares de los
derechos. Si bien este Congreso ha sido
concebido para difusin y promocin en el
mbito de la profesin a nivel internacional,
previamente deber solicitarse una autorizacin
por escrito y mediar la debida aprobacin para
su uso.
 Agenda
Introduccin
El grado de madurez de las Organizaciones (Encuesta PwC)
Modelos de madurez
Madurez en Seguridad de la Informacin
Iniciativas y Proyectos
Factores clave para madurar la funcin de SI

SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

Introduccin
Qu es?

La madurez hace referencia a la adopcin y

uso de buenas prcticas de Seguridad en la
Organizacin.
Hoy en da, el alcance de los modelos de
madurez se ha expandido a la
Ciberseguridad.

Definicin de madurez (segn la Real Academia Espaola):

madurez.
(De maduro).
1. f. Sazn de los frutos.
2. f. Buen juicio o prudencia, sensatez.
3. f. Edad de la persona que ha alcanzado su plenitud vital y an no ha
llegado a la vejez.
Encuesta anual de PwC
El grado de madurez en las organizaciones
Porcentaje de los encuestados que 60%
tiene en marcha un estrategia de 54%
Seguridad de la informacin alineada
49%
con los procesos de negocio. Q14

Global Amrica del Sur Argentina

7%
La mitad de los encuestados desconoce si
su estrategias de gestin de riesgos
incluye la CiberSeguridad como un
50%
50%
43% componente clave. Q21

No Si No lo saben 24%

15%
La mitad de los encuestados desconoce 7%
cuales sern sus prioridades para 2% 2%
los prximos 5 aos. Q3
Monitoreo Ciber Seguridad Seguridad HSDP-12 No lo
Continuo comando en la nube en disp. saben
Mviles
 Encuesta anual de PwC (cont.)
Aplicacin de Prcticas de SI Evolucin del Presupuesto de SI $4.3 $ 4.1
Control de accesos 59% millones millones

2.8
Prevencin

Acceso a usuarios privilegiados 56% $

$ 2.7 millones
Entrenamiento y concientizacin de
empleados 51% $2.2 millones

Cumplimiento de polticas por parte

millones
de terceros 54%
Control de antecedentes 55%
Cifrado de e-mails 55%

3.8%

3.8%

3.8%
3.6%

3.5%
Proteccin

IPS 55%
DLP 52%
2010 2011 2012 2013 2014
Patch management 53% Presupuesta para Seguridad de la Informacin para 2014
% de presupuesto de IT gastado en Seguridad de la Informacin
Proteccin de APTs 49%
IDS 55%
Deteccin

Participacin del Directorio en actividades clave de SI

Deteccin de malware 59%
Presupuesto en Seguridad
Herramientas de monitoreo de acceso 55% 40%
Revisin de Roles y Responsabilidades
Monitoreo activo 52% de Seguridad 20%
Polticas de Seguridad
Herramientas de anlisis de
vulnerabilidades 54% 36%
Tecnologas de Seguridad
Herramientas de correlacin de
30%
Respuesta

eventos 55%
Estrategias de Seguridad Total
BCP / DRP 61% 42%
Revisin de nivel de Seguridad actual y
Respuesta de incidentes 52% riesgos 25%
Modelos de Madurez de SI
Marcos de referencia para la evaluacin de la
madurez
NICE CMM
C2M2
ISM3
ISO/IEC 21827 SSE CMM
ISF CMM
.

SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

Modelos de Madurez de SI
Modelos de Madurez NICE-CMM

El modelo CMM desarrollado y provisto por NICE en 2014.

Enfoque orientado a la evaluacin de madurez sobre los
requerimientos de CiberSeguridad.
Fuerte foco en el desarrollo de la fuerza de trabajo para
soportar la prctica de CiberSeguridad.

Gobierno
integrado

Profesionales
Procesos y
cualificados
anlisis
y tecnologas
Modelos de Madurez de SI
Modelos de Madurez C2M2

El modelo C2M2 fue desarrollado y provisto por el

Departamento de Seguridad Nacional y el Departamento de
Energa de Estados Unidos en 2014.
Enfoque orientado a la evaluacin de madurez sobre los
requerimientos de CiberSeguridad. Est alineado al
framework desarrollado por NIST y se enfoca en la
proteccin de infraestructuras crticas.
Se han desarrollado modelos de madurez especficos para
Oil&Gas y Electricidad

SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

Modelos de Madurez de SI
Modelos de Madurez SSE CMM

Desarrollado por Information Systems Security

Engineering Association.
Enfocado en logra que el proceso de ingeniera de
seguridad est definida y sea medible.
Modelos de Madurez de SI
Modelos de Madurez ISM3

Desarrollado y provisto por ISM3 Consortium.

Enfocado en alinear la Seguridad con los Objetivos
de la Organizacin.
Cubre las sgtes. actividades:
Evaluacin de Riesgo

Auditora de cumplimiento con las normas internas

Cumplimiento de estndares externos (ej. ISO 27001)

Monitoreo

Prueba

Diseo y Mejora

Optimizacin

Basada en procesos, incluye mtricas para medir su

evolucin.
Modelos de Madurez de SI
Modelos de Madurez ISF

Desarrollado por el Information Security Forum.

Enfocado en la aplicacin de los modelos de
madurez.
Incluye un modelo de madurez de alto nivel basado en sus
propias buenas prcticas.
Modelos de Madurez de SI
Principales beneficios
Visin holstica sobre el estado de la seguridad.
Comparacin de la situacin actual con otras
organizaciones y con mejores prcticas.
Identificacin y priorizacin de focos de inversin
en Seguridad de la Informacin.
Base para el desarrollo tanto del plan estratgico
como de los planes operativos y mapas de ruta para
alcanzar el nivel de madurez deseado.
Establecer y consensuar nuevos requerimientos
entre reas de las organizacin.
Evaluar la factibilidad de xito en nuevos proyectos
de Seguridad de la Informacin.
SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO
La Madurez de SI
Iniciativas y proyectos
La determinacin del grado de madurez de SI permite
iniciar distintos proyectos, por ej.:
Remediacin en el corto plazo situaciones de alto
riesgo/probabilidad de ocurrencia.
Determinacin de la necesidad de ampliacin de capacidades
(personas, tecnologa, etc.).
Establecimiento de planes de accin para pasar de los niveles
iniciales de madurez a niveles aceptables para la organizacin.

SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

La Madurez de SI
Iniciativas y proyectos (cont.)

En Organizaciones con mayor grado de madurez:

Definicin de una estrategia y gobierno de seguridad de la
informacin alineada a los requerimientos del negocio.
Definicin de un plan de gestin de riesgos y amenazas a las
que se encuentra expuesto.
Definicin de un programa de concientizacin y cultura de
seguridad de la informacin en la organizacin.
Establecimiento de un programa de continuidad y
recuperacin de las funciones del negocio.
Definicin de un programa de gestin de crisis y respuesta a
incidentes.
Certificacin de estndares internacionales (ej.: ISO 27001)

SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

La Madurez de SI
Factores claves para madurar la SI
Perspectiva
Qu hacen los
histrica en
lderes hoy
Seguridad de
la informacin

Limitada a sus "4 paredes" y la Expansin del ecosistema de negocio:

Alcance del desafo
empresa extendida interconectado y global
El negocio est alineado y es dueo del
Quin es dueo y quin es
Liderado y Operado por IT tema; el CEO y el Directorio tienen
responsable
responsabilidad

Ataque de una sola vez y Ataques organizados, financiados y

Caractersticas de los oportunista; motivado por la dirigidos; motivados por los
adversarios notoriedad, el desafo tcnico, y la acontecimientos econmicos, monetarios, y
ganancia individual para obtener beneficios polticos

Proteccin de activos de Enfoque de priorizacin y proteccin de los

Enfoque "One-size-fits-all"
informacin activos importantes de la organizacin.

Proteger el permetro; responder si Planificar, monitorear y responder

Postura defensiva
es atacado rpidamente para cuando es atacado
Asociacin con otras organizaciones
Inteligencia de Seguridad e
"Mantngalo para s mismo" pblicas y privadas; colaboracin con los
intercambio de informacin
grupos de trabajo de la industria
La Madurez de SI
Agregando valor al Negocio: 5 pasos para
lograr la madurez
Asegurarse que su estrategia de ciberseguridad se encuentra alineada con los
1 objetivos del negocio y sea estratgicamente financiada.

Identificar los activos ms valiosos y priorizar la proteccin de los datos de

2 mayor valor.

Conocer sus principales adversarios / amenazas, sus motivos, recursos y

3 principales tcnicas de ataque para reducir los tiempos de deteccin y respuesta.

Evaluar la seguridad de proveedores y socios de negocio, y asegurarse

4 que los mismos acepten sus polticas y prcticas de seguridad.

Colaborar con otros para aumentar la concientizacin sobre las amenazas a la

5 seguridad y las tcticas de repuesta.

SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO

Gracias por asistir a esta
sesin
Para mayor informacin:

Diego Taich

(diego.taich@ar.pwc.com)

Para descargar esta presentacin visite

www.segurinfo.org
Los invitamos a sumarse al grupo Segurinfo en