Documente Academic
Documente Profesional
Documente Cultură
TELECOMUNICACIONES V PROMOCIN
$1 Trilln
24B 120B EEUU
Costo promedio
Por ao
$5000
Por un minuto de cada
32000
nuevas muestras
97% 2 de cada 3
Empresas en riesgo
malware Violaciones seguridad son evitables Medios
mediante controles simples o
2013 intermedios Ingeniera
Social
1 Billn = 1x109 dlares Fuente: Ponemon Institute, McAfee Labs, ISACA, Banco Central y otros
Introduccin
Justificacin-Importancia
Vulnerabilidades Externas
39%
4872 Afectados
61%
patrimonio
No Afectados
Evidencia
Martes, 7 de Febrero, 2012 - 19h00 Advertencia de despidos en
PETROECUADOR por 'fuga' de informacin
Diario el Universo
Introduccin
Procesos
ERP
Hiptesis
La Gerencia de Tecnologas de Informacin y Comunicacin requiere de
un modelo de gestin de seguridad de la informacin alineado a
mejores prcticas y estndares internacionales los cuales influirn
positivamente en la optimizacin de los procesos empresariales
implementados en el sistema ERP de EP PETROECUADOR.
Objetivo General
Disear un modelo de gestin de seguridad de la informacin,
utilizando el estndar ISO/IEC 27002 y el marco de trabajo COBIT 5,
para facilitar la optimizacin de los procesos empresariales
implementados en el sistema ERP de EP PETROECUADOR.
Introduccin
Objetivos especficos
Describir el estado de la normativa de gestin y de procesos.
Analizar la relacin y aplicabilidad conjunta de ISO 27002 y COBIT 5.
Elaborar una propuesta para el modelo de gestin de seguridad de la
informacin.
Determinar la forma en que los procesos empresariales se beneficiarn
de un modelo de gestin de Seguridad de la Informacin.
Alcance
Complementa las definiciones del subproceso "GARANTIZAR LA
SEGURIDAD DE LOS SISTEMAS", perteneciente al macro proceso
"TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES" de la
Normativa Interna de EP PETROECUADOR.
Seguridad de la Informacin
Marcos de trabajo buenas prcticas
EP PETROECUADOR
Sistema ERP
Estado del
Arte
Seguridad de la Informacin
SeguridaddedelalaInformacin
Seguridad Informacin(S-I)
(S-I)
Riesgos:
Organizacionales, Seguridad informtica
Operacionales, Fsicos
Vulnerabilidades y amenazas
Polticas, normas de las TIC
No repudio, trazabilidad
Estado del
Arte
COBIT 5: Marco Empresarial Completofor
Gobierno Corporativo de TI
Evolucin del Alcance
Gobierno de TI
Val IT 2.0
Administracin (2008)
Control
Risk IT
(2009)
Auditora
11
Estado del
Arte
EP PETROECUADOR
La Empresa Pblica de Hidrocarburos del Ecuador fue creada mediante la
expedicin del Decreto Ejecutivo No. 315, el 6 de abril de 2010
Cadena de Valor
3 Refineras con capacidad
Gestin del Sector Hidrocarburfero procesamiento promedio de 175000
barriles
Comercializacin
245 gasolineras asociadas, 45 de
Refinacin Nacional propiedad del estado y 20 en frontera.
Transporte y Comercializacin SOTE con capacidad de 360000 barriles ,
Almacenamiento Internacional 1597 km de poliductos.
Capacidad de almacenamiento de
Seguridad, Salud y Ambiente 5.200.000 de crudo y 266.2617 de
derivados
Macroprocesos Habilitantes Venta de crudos y compra de derivados.
DETALLES TCNICOS
Arquitectura 3 capas (CLIENTE, APLICACIN,
BASE DE DATOS)
Interfaz de cliente HTML , Formularios y
plataforma mvil.
Soportado en MIDDLEWARE, Oracle 10G
Modular y flexible
ARQUITECTURA
SEGURIDAD
SERVICIOS
APLICACIONES INFRAESTRUCTURA
TECNOLGICOS
APLICACIONES
CENTRO DE DATOS MESA DE SERVICIO
TCNICAS
APLICACIONES DE SERVICIO A
COMUNICACIONES
NEGOCIO USUARIOS FINALES
Estado del
Arte S-I PEC
23% Alto
39%
Afectados 54% Medio
61% No afectados 23%
Bajo
28% 33%
Afectados Alto
72% 63%
Medio
No afectados Bajo
RIESGO ALTO
mbito Recomendacin
Elaborar polticas y procedimientos de seguridad de la
informacin
Gestin
Establecer pruebas peridicas de S-I
Establecer mtodos de control
Estado del
Arte S-I PEC
Anlisis de riesgo
MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin compatible con ISO 31000.
Informacin Crtica
Abastecimientos: Compras,
negociaciones, contratos y
liquidaciones.
Finanzas: Cuentas bancarias,
lotes de pagos, rangos de
presupuesto.
Manufactura: Frmulas, costos,
asignacin recursos.
Estado del
Arte S-I PEC
43 amenazas
Moda: riesgo medio (impacto
alto poco probable)
Metas de la
empresa
Metas de TI
Objetivos de TI
1. Polticas
Trminos y definiciones
El marco de Referencia
Responsabilidades y obligaciones
Sanciones
Funcin de seguridad
Control de acceso
S-I del Personal
Respuesta a incidentes
Dependientes de S-I
Gestin de comunicaciones
Adquisicin y desarrollo
Propuesta
del MGSI
2. Procesos
Alineamiento de TI y estrategia de negocio
Metas de TI
Seguridad de la informacin, infraestructura de procesamiento y aplicaciones
3. Estructura organizacional
Actual Propuesta
ARQUITECTURA
ARQUITECTURA SEGURIDAD
SEGURIDAD
Jefe de Seguridad de
la informacin
Nivel Estratgico
Nivel de Negocio Analista de Analista de
Seguridad de la Seguridad de la
Nivel Gerencial Informacin Informacin
Nivel Tcnico (Tcnico-Gestin) (Riesgos)
Propuesta
del MGSI
4. Cultura-tica
Comunicacin de valores por parte de la empresa
Comportamiento ejemplar de autoridades y agentes de
cambio
Incentivos para promover actitudes positivas
Gestin del cambio
5. Informacin
Estrategia de S-I
Presupuesto
Polticas
Requerimientos de S-I
Material de prevencin
Reportes de revisin
Catlogo de servicios de S-I
Riesgo e incidentes
Propuesta
del MGSI
ISACA 2012
Propuesta
del MGSI
Conclusiones
La falta de un modelo de gestin de seguridad de la informacin en EP
PETROECUADOR, imposibilita gestionar los riesgos asociados con el uso de
las TI, debido al desconocimiento de amenazas o vulnerabilidades y los
mtodos adecuados para tratarlas.
La infraestructura tecnolgica de EP PETROECUADOR se encuentra en un
nivel de riesgo alto debido a que el 29% y el 28% de los equipos externos e
internos, respectivamente, estn afectados por vulnerabilidades; y ms del
50% de estas son consideradas graves o de alto riesgo de acuerdo al Sistema de
Calificacin de Vulnerabilidades Comunes (CVSS).
De acuerdo al anlisis de riesgo y la informacin crtica identificada para el
sistema ERP, las amenazas con mayor impacto estn relacionadas con los
desastres naturales y la modificacin deliberada de informacin, siendo esta
ltima identificada como una amenaza interna que involucra a los usuarios
del sistema.
Propuesta
del MGSI
Conclusiones
Los Principios, Polticas y Marcos de Referencia son el catalizador o elemento
principal sobre el cual se debe disear los modelos de gestin, debido a que
establecen los lineamientos generales para los otros componentes, considerando
los requisitos legales o marco regulatorio de cumplimiento obligatorio.
El xito de toda iniciativa de S-I est relacionada con el apoyo de la alta gerencia,
quien debe reconocer y entender los beneficios de la S-I en la consecucin de las
metas corporativas.
Los beneficios del modelo de gestin de seguridad de la informacin relacionados
con los procesos implementados en el sistema ERP son:
Cumplimiento con requerimientos de normativa, regulacin, acuerdos.
Reconocimiento y proteccin de informacin crtica de los procesos.
Facilidad para tareas de auditora
Definicin de los roles y responsabilidades
Segregacin de tareas
Mantenimiento de la identidad corporativa
Alineamiento y cumplimiento de las metas de TI con las metas corporativas
del ERP.
Propuesta
del MGSI
Recomendaciones
Elaborar planes completos de remediacin para las vulnerabilidades reportadas en
los informes de hacking tico, y establecer revisiones peridicas de la
infraestructura tecnolgica de EP PETROECUADOR.
Incluir aspectos relacionados con la S-I y el anlisis de riesgos de S-I en todos los
proyectos que se desarrollen en EP PETROECUADOR.
Evitar las iniciativas aisladas o puramente reactivas para la compra de soluciones
tecnolgicas de S-I, en favor de procesos de mejora ordenados, bien
documentados y basados en las mejores prcticas que permitan un anlisis causa
efecto de los problemas detectados.
Incluir en el plan anual de capacitacin cursos dirigidos a todo el personal de la
EP PETROECUADOR, con el objetivo de concienciar sobre la importancia de la S-
I en la empresa.
Realizar un anlisis de factibilidad para la contratacin de un proceso de
consultora relacionado con la implementacin de un sistema de gestin de
seguridad de la informacin (SGSI) en EP PETROECUADOR.