Page 2
Antecedentes y Necesidades
►Las Compañías conocen la importancia que tiene la información en el desarrollo de las operaciones del negocio, y están trabajando arduamente en la identificación de los riesgos de seguridad de la información a los cuales se encuentra expuesta, para definir esquemas de protección que la resguarden de situaciones que puedan comprometer su confidencialidad, integridad y disponibilidad.
►El sector de servicios financieros está sujeto a exigentes regulaciones en materia de seguridad informática, riesgo operativo, continuidad del negocio y de control interno, que requieren de una respuesta optimizada para su cumplimiento en condiciones de eficacia y costo efectividad.
►Establecer el contexto, alcance y objetivos del Sistema de Gestión de la Seguridad de la Información –SGSI- y los requisitos de sus grupos de interés.
►Realizar un diagnóstico de la situación actual e identificar las brechas frente al objetivo de establecer su SGSI de acuerdo con las prácticas líderes.
►Establecer programas de seguridad para proteger la información y apoyar el desempeño del negocio.
►Desarrollar una hoja de ruta para la optimización de controles para gestionar las vulnerabilidades, administrar las identidades y mitigar las amenazas.
►Implementar el SGSI que permita dirigir y controlar la seguridad de la información en la organización integrado con el enfoque de riesgos de TI mediante procesos eficientes, sostenibles y controlados.
Antecedentes
Necesidades
Page 3
¿Por qué ISO/IEC 27001?
► Enfoque holístico y basado en riesgos para el cumplimiento
► Demuestra el estado de la seguridad de acuerdo con criterios aceptados globalmente
► Prestigio e imagen que marcan diferencias en el mercado
► Credibilidad y confianza en la satisfacción de las necesidades de los grupos de interés
► Real integración y articulación de los sistemas de gestión
Page 4
¿Es útil la certificación ISO/IEC 27001?
Cumplimiento regulatorio
Requisitos contractuales
Reducir impacto de múltiples auditorías
Acceder a nuevos mercados
Credibilidad y confianza
Mejoramiento Continuo
Las organizaciones líderes buscan la certificación como un diferenciador. La utilizan como una herramienta formal para garantizar que su Sistema de Gestión se mantiene vigente, es relevante, y que satisface las cambiantes necesidades y para que la estrategia corporativa cubra adecuadamente los riesgos y oportunidades del negocio.
Page 5
¿Por qué EY?
• Profesionales certificados en las normas y prácticas líderes en seguridad de la información (v.gr. ISO IEC 27001, CISM, CISSP, CEH, CISA, CRISC, CIA, ITIL, entre otras)
• Gestión de Conocimiento: metodologías, herramientas y lineamientos estandarizados que nos permite prestar un servicio consistente en cada una de nuestros proyectos EY en el mundo.
• Práctica líder de servicios de consultoría especializada en el sector financiero y asegurador a nivel global
• Múltiples proyectos de diagnóstico, implementación,
evaluación y fortalecimiento de Sistemas de Gestión
• Servicios de seguridad de información a organizaciones de todos los tamaños y estadios de madurez
• Solución end-to-end desde la conceptualización hasta la realización de los beneficios
• Enfoque con la mezcla óptima de tecnología y procesos
• Total neutralidad en relación con proveedores y soluciones
Factores Críticos de
Éxito
Experiencia
Enfoque
Gente
Capacidades adecuadas
• Comprensión de las necesidades e implicaciones estratégicas y operacionales de la gestión integral
• Profundo entendimiento del negocio financiero en el contexto global y local
• Advanced Security Centers: Centros altamente especializados en seguridad ubicados alrededor del mundo
• EY Certify Point: Organismo de certificación acreditado internacionalmente elegido por los líderes de las industrias financiera y de TI
Page 6
Solución
Programa de Seguridad para el Cumplimiento, Seguimiento y Generación de Reportes
Especificaciones Técnicas
Business Drivers
Procesos & Prácticas
Operacionales
Personal & Organización
Estrategia Seguridad
Administración del Riesgo
Gobernabilidad, Políticas y Estándares
Arquitectura Técnica de Seguridad
Proc
eso
de C
onci
entiz
ació
n en
Se
guri
dad
Ci
clo
de V
ida
de la
Seg
urid
ad d
el
Sist
ema
Proc
eso
de C
ontin
uida
d de
l Neg
ocio
Pr
oces
o de
Des
empe
ño y
Ase
gura
mie
nto
de la
Se
guri
dad
Nuestros servicios de Consultoría en Seguridad de la Información para las compañías del sector financiero se encuentran estrechamente relacionados con las siguientes áreas:
Page 7
Solución
Asistiencia en el diseño, validación, desarrollo y documentación de los elementos de control requeridos para contar con un Sistema de Gestión de Seguridad de la Información que responda a las necesidades de negocio.
Análisis para establecer las brechas (GAP) del modelo y la función de seguridad de la información frente a la práctica líder aceptada globalmente por la industria ISO/IEC 27001:2013.
Asesoría para la evaluación del diseño, eficacia y eficiencia de los procesos, controles y recursos para identificar las áreas de mejora y el fortalecimiento de sus competencias organizacionales para la gestión de la seguridad de la información.
Page 8
Beneficios Desarrollar una iniciativa SGSI con el acompañamiento de EY le permitirá a su compañía:
Los resultados del proyecto generarán información que permita fortalecer las
medidas de seguridad definidas e implementadas
Generar información que permita atender los requerimientos de control y seguridad
regulatorios de la Superintendencia Financiera de Colombia, y la norma ISO/IEC
27001
SGSI ISO/IEC
27001:2013
Confirmar las fortalezas de seguridad de la información en cuanto a las medidas de
protección implantadas en sus recursos de información Identificar las posibles deficiencias de
seguridad de la información que puedan ser aprovechadas por personal no autorizado
para poner en riesgo la integridad, confidencialidad o disponibilidad de la
información
Priorizar los esfuerzos dirigidos a fortalecer la seguridad de la información
Actualizar los mapas de riesgo operativo, considerando el nivel de madurez del modelo y la función de
seguridad de la información
Ejecutar un análisis comparativo del modelo y la función de seguridad de la
información
Transferencia de conocimiento hacia el personal, que participará
en el proyecto, a través de un enfoque participativo
Page 9
Enfoque de trabajo
Identificación y análisis de las brechas contra los requisitos de implementación de la norma
Establecer el plan de implementación para el cierre de las brechas
Plan de implementación GAP
Entendimiento del Sistema de Gestión de Seguridad de la Información y de los procesos de negocio objetivo
Estructura organizacional
Políticas, Procesos y procedimientos
Plataforma de TI / Seguridad
Ejecución de listas de chequeo de indagación y observación de los requisitos de seguridad
Recomendaciones de control
Esquema de Gobierno
Listas de chequeo
Observación controles
Acompañamiento en el aseguramiento de calidad de los planes de acción implementados y el enfoque metodológico del sistema de gestión de seguridad
Políticas, normas y guías Modelo de Gobierno / Estructura
Organizacional del SGSI
Control & Seguridad Desempeño
Operación
Entr
ada
Procesamiento
Salid
a
Actividades
Procesos y procedimientos asociados al SGSI
Lineamientos sobre la Arquitectura de seguridad de TI
Proceso XXX -
Soportes
Actividades
Naturaleza
Frecuencia
Soportes GAP Análisis
norma ISO27001
Implementación para cierre de brechas y fortalecimiento del
SGSI
Diagnóstico para identificar las brechas
y definir el plan de acción
Entendimiento del sistema de seguridad
de la información
Page 10
Metodología La metodología desarrollada por EY para los trabajos relacionados con la implementación y el mejoramiento de sistemas de Gestión de la Seguridad de la Información se basa en el entendimiento del negocio de nuestros clientes, alinear las expectativas del cliente con los objetivos de la Gestión de la Seguridad, analizar y gestionar los riesgos existentes y emergentes que puedan ser considerados como clave o de valor para la alta dirección.
Con
firm
ar la
s ex
pect
ativ
as Planear y administrar el proyecto
Establecer el contexto, alcance, política y objetivos de la Gestión de la Seguridad de la Información
Identificar las brechas frente a los requisitos de la norma técnica internacional ISO/IEC 27001:2013
Transferencia de conocimiento
Diseñar los procesos y los controles del SGSI para atender los requisitos de los grupos de interés
Formular y acompañar la ejecución del plan de trabajo para la implementación, seguimiento y mejora continua del SGSI
Page 11
EY en la Industria Bancaria
Fortalecimiento del ambiente de control y gestión organizacional (v.gr. modelo de control, modelo de medición, etc.)
Análisis de riesgo y efectividad en los procesos
Planeación estratégica (Negocio, administración de riesgos, Tecnología de Información, seguridad, y mercado, entre otras.).
1
2
6
5
3 4
Diseño e implementación de sistemas de administración de riesgos de acuerdo con prácticas líderes y estándares internacionales aceptados por la industria.
Gobierno de la organización, sistema de control interno y la gestión de tecnología de información (TI)
Evaluación, diseño e implementación de componentes para la gestión de la seguridad de la información, de acuerdo con prácticas líderes y estándares internacionales aceptados por la industria.
EY para atender el sector financiero en Latinoamérica ha conformado un grupo de profesionales, y esta región ha sido denominada FSO Región Norte (Financial Services Organization). Las experiencias de este grupo están relacionadas principalmente con:
Presentation title
Claudia Marcela Gómez Socia E-mail: [email protected]
Gustavo Díaz Rojas Socio E-mail: [email protected]
5
Top Related