Innovando

para

Acuerdo Ministerial
166
Guillermo Garca Granda
Andrs Almeida Caiza

Nuestro
Objetivo..

s a.
e
n zo
o
i
r
ac Pla na
l
Re rgo -Ga
La nar

El camino que vamos

a recorrer hoy..
ROADMAP de
implementaci
n

La
propuesta
de IBM

Incidentes
con gran
Cobertura

Origen de las
Normas

Un viaje de mil
millas comienza
con un primer
paso (Lao Tse).

Cuntenos un poco
de Ud
http://goo.gl/ng
khSo

Origen de las
Normas

Ataque interno

Ven un riesgo?

Ataque interno

LA
COMPUTADORA
de DAVE

Ven un riesgo?

Ventajas
Establecimiento de una metodologa de gestin
de la seguridad clara y estructurada.
Reduccin del riesgo de prdida, robo o
corrupcin de informacin.
Los clientes tienen acceso a la informacin a travs

medidas de seguridad.
Los riesgos y sus controles son continuamente
revisados.
Confianza de clientes y socios estratgicos por la
garanta de calidad y confidencialidad.
Las auditoras externas ayudan cclicamente a
identificar las debilidades del sistema y las reas a
mejorar.

Ventajas
Posibilidad de integrarse con otros sistemas de
gestin (ISO 9001, ISO 14001, OHSAS 18001).
Continuidad de las operaciones necesarias de
negocio tras incidentes de gravedad.
Conformidad con la legislacin vigente
sobre informacin personal, propiedad intelectual y
otras.
Imagen de la institucin
Confianza y reglas claras para las personas de la
organizacin.

Seguridad
VenPerimetral
un riesgo?

Seguridad Perimetra
eguridad Perimetral

Ven un riesgo?

Ataque interno

Ven un riesgo?

VIDEO

QU ES
APT???
APT es un conjunto de procesos
definidos para establecer un

acceso no autorizado a
la informacin de una

sin ser
detectado por un perodo
organizacin,

largo de tiempo.

Compaa

Sony Computer
Entertainment
(PlayStation
Network)

Cundo?

Abril 2011
Agosto 2012

Qu
comprometi
?
Informacin
Personal e
Informacin de
Tarjetas de
Crdito de ms
de 77 millones
de usuarios

Cmo lo
hicieron?
Encubierto
como una
compra en la
plataforma
online y
atravesaron
vulnerabilidad
del servidor de

Impacto

Ms de 172
millones de
dlares

Compaa

Banco de la
Reserva Federal
de Estados
Unidos

Cundo?

2010
2012

Qu
comprometi?

Cmo lo
hicieron?

Robo y filtro de
datos personales
de 4000 ejecutivos
bancarios

La informacin se
obtuvo por la
explotacin de
una
vulnerabilidad
temporal de un
website.

Impacto
Dao en la
reputacin,
ataques
personalizados
a ejecutivos de
la banca

Compaa

Direccin
Nacional de
Registro de
Datos Pblicos

Cundo?

Qu
comprometi?

Cmo lo
hicieron?

Impacto

Diciembre
2012 en
menos de
media hora

Informacin del
Presidente de la
Repblica del SRI,
Policia Nacional,
ANT, CNE, Registro
de la Propiedad,
entre otros

Buscando en
internet
informacin
bsica del
presidente y
adivinando
combinacin de la
huella dactilar

Reputacin del
sistema Dato
Seguro ,
desconfianza de
los usuarios

Por
dnd
e
inicia

IBM Security Framewo

Seguridad de Aplicaciones
Seguridad de Datos
Proteccin de Infraestructura
Gestin de Personas
Inteligencia y Anlisis de
Seguridad

IBM Security Framework, Soluciones

ROADMAP

Lo que la norma busca

Lo que tenemos

0.
Requerimientos
generales,
Acuerdo 166
1. Assessment o
situacin Inicial

6. Mejora
continua
Ms all de las
normas

ROADMAP
5. Uso y
Evaluacin

4.
Implementacin
del Plan

3. Proyectos de
implementacin
* Alcance
* Recursos
* Tiempo

2. Creacin del modelo de

gestin de seguridad
* Riesgos en equipos,
servidores y Sistemas
* Criticidad de Servicios
* Matriz de Impacto

Norma 166

Estructura ISO 27000 / Acuerdo 166

TOTAL PUNTOS DE CONTROL

133

10
5
5
16

26
31
13
9
5
11
2
0

10

15

20

25

30

35

IBM Security Framewo

Seguridad de Aplicaciones
Seguridad de Datos
Proteccin de Infraestructura
Gestin de Personas
Inteligencia y Anlisis de
Seguridad

ALINEACIN SOLUCIONES IBM A LA NORMA 166

35%

IT

INTELIGENCIA

APLICACIONES

INFRAESTRUCTURA

DATOS

GENTE

14%
10%
11%
13%
14%
37%

CONSULTORIA

SEGURIDAD FISICA

9%
85%

PROCESOS
0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

CUMPLIMIENTO DE NUESTRAS SOLUCIONES

70%
100%
100%
94%
100%
84%
23%
78%
80%
64%
0%
0%

20%

40%

60%

80%

100%

120%

Requisitos de la Organizacin

Requisitos de la Organizacin
Un proyecto de Seguridad de la Informacin, impacta en toda
la organizacin ya que implementa un modelo centrado en las
Buenas Prcticas alineado en la estrategia del negocio, para el
xito
del proyecto
se requiere:
Durante
el Proyecto
de implementacin:
1. Compromiso de los directivos de la Organizacin
2. Compromiso del Comit de Seguridad
3. Equipo de trabajo asignado para el Proyecto
4.

Gestin del Cambio / Comunicacin Organizacional

Luego del Proyecto:

5. Equipo de Gestin de Seguridad enfocado (Recomendacin)
6. Equipo operativo para administracin de herramientas
(Recomendacin)
7. Formalizacin de los Procesos de Gestin de Seguridad /
Entregados
8. Proceso de Mejora Continua

lcance de la Solucin

a solucin se sostiene en tiene 3 Pilares

Procesos

Herramien
tas

Personas

1. Procesos Gestin de la Seguridad

2. Herramientas para automatizacin
3. Entrenamiento del Equipo responsable

Pregunt
as?
Guillermo Garca Granda
ggarcia@sinergyteam.com.ec
Andrs Almeida Caiza
aalmeida@sinergyteam.com.e
c

Preguntas