1

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL

NEGOCIO”

La visión del CIO en la implementación del Plan Director de Seguridad de la Información

Caso Farmacity

Gustavo Sagasti – CIO FarmacityJulio Ardita – CTO CYBSEC

Presentada por:

2

“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL

NEGOCIO”

Aclaración:

©© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

3

4

Agenda

- Evolución de la Seguridad en Farmacity

- Plan Director de Seguridad de la Información

- Tips para el armado del PDSI

5

Evolución de la Seguridad en Farmacity

Farmacity

- Es la primera cadena de retail del sector farmacéutico de Argentina.

- 148 locales distribuidos en Capital Federal, Provincia de Buenos Aires, Chaco, Córdoba, Entre Rios, Formosa, Misiones, Salta, San Luis y Jujuy.

- Más de 3.500 empleados.

6

Evolución de la Seguridad en Farmacity

Año 2003 – Tareas generales de seguridad distribuidasen IT. Se comienza con el tema de seguridad por una auditoría de las tarjetas de crédito.

Año 2004 – Se trabaja en aspectos de seguridad básicos:seguridad física, definición de usuarios, fortaleza de los passwords, seguridad de los datos de las tarjetas de crédito, etc.

Año 2005 – Diagnóstico de seguridad externo, normativasde seguridad, re-diseño del esquema de red, etc.

Outsourcing de Seguridad

7

Evolución de la Seguridad en Farmacity

Año 2006 – Diagnóstico de seguridad interno, se implementan aspectos de seguridad en VoIP, se Instala el IDS y se comienza con el monitoreo de red.

Año 2007 – Seguridad redes wireless, se comienza a asegurar la plataforma interna, monitoreo continuo, concientización de seguridad, definición de estándares, etc.

Se crea la función del Responsable de Seguridad

8

Evolución de la Seguridad en Farmacity

Año 2008 – Charlas de concientización, implementaciónde normativas de seguridad, diagnósticos de seguridady aplicación de medidas correctivas.

Año 2009 - GAP Análisis PCI, armado del BCP, implementación de herramienta de monitoreo de equipos, mantenimiento de la seguridad.

Se crea el área de Seguridad Informática

Regulación PCI y Armado del PDSI

9

Evolución de la Seguridad en Farmacity

Año 2010 - Concientización, scannings externos, regularización de vulns, soporte de seguridad a marketing, patch management, monitoreo de av, etc.

Año 2011 – Prueba del BCP, auditoría continua PCI, gestión de incidentes de seguridad, monitoreo continuo,etc.

Auditoría PCI

10

Plan Director de Seguridad de la Información

El PDSI es la herramienta que permite a una organización definir sus actividades en Seguridad de los Sistemas de Información a corto, medio y largo plazo.

Actividades a

corto plazo

(1-12 meses)

Actividades a

mediano plazo

(12-24 meses)

Actividades a

largo plazo

(24-36 meses)

11

Plan Director de Seguridad de la Información

Motivación de un PDSI

- Conocer donde estamos parados y cual es nuestro “norte”.

- Integrar la seguridad de la información con el resto de la organización (al alimentarse de otros planes y estrategias corporativas).

- Creciente demanda de información.- Considerar la seguridad con una visión integral

(tecnológica, organizativa, legal, recursos humanos, marketing, etc.).

12

Plan Director de Seguridad de la Información

Motivación de un PDSI

- Permite medir (y luego poder mostrar resultados concretos y objetivos).

- Necesidad de abordar la seguridad en un plan coherente y sistemático que marque las pautas y lineamientos a seguir.

- Evitar iniciativas de seguridad tomadas de forma aislada.

- Regulaciones aplicables.

13

Plan Director de Seguridad de la Información

El PDSI forma parte de la madurez de la organización y del área de seguridad de la información.

El PDSI ayuda a formalizar y priorizar iniciativas, armar presupuestos y poder defenderlos.

El PDSI permite dar un nivel de “profesionalización” al área de seguridad.

14

Plan Director de Seguridad de la Información

Proceso para el armado de un PDSI

1. Identificar los requisitos de la seguridad de los Sistemas de Información (legislación aplicable, regulaciones específicas, políticas y normas de seguridad corporativas, gap análisis, etc.).

15

Plan Director de Seguridad de la Información

Proceso para el armado de un PDSI

2. Análisis de riesgos: identificar activos (relevamiento tecnológico), valoración, amenazas reales y potenciales sobre los mismos (análisis de riesgo basado en MAGERIT, registro de incidentes anteriores).

16

Plan Director de Seguridad de la Información

Proceso para el armado de un PDSI

3. Análisis de vulnerabilidades (diagnóstico externo e interno a todo nivel).

17

Plan Director de Seguridad de la Información

Proceso para el armado de un PDSI

4. Alinear la seguridad con la estrategia de negocio (Plan estratégico de la compañía, Plan Director de Sistemas, estándares internacionales, etc.).

5. Definición del PDSI. Determinar objetivos, estrategia y políticas. Definición de tareas. Integración de tareas. Armado de proyectos de seguridad. Definición de prioridades. Armado de presupuesto. Planificación de actividades a corto, mediano y largo plazo.

18

Plan Director de Seguridad de la Información

Resultados a obtener

- Conocer las medidas de Seguridad actualmente existentes en la Organización y la identificación de puntos débiles concretos.

- El nivel de seguridad que se desea alcanzar.

- Las necesidades reales en materia de Seguridad para la Organización.

- La planificación de la implementacióndel PDSI.

19

Plan Director de Seguridad de la Información

Resultados a obtener

- Hoja de ruta con la secuencia temporal y dependencia entre los proyectos.

- El presupuesto con la inversión a realizar para cada una de las acciones o proyectos que se identifiquen.

- Cuantificación de recursos y costos considerando la totalidad de los costos asociados (costos de adquisición, implementación, mantenimiento, capacitación, etc.) y la dedicación de los recursos internos.

20

Plan Director de Seguridad de la Información

Resultados a obtener

Matriz del PDSI

Componentes de la matriz

TareaDescripciónRiesgoEnvergadura (p, m, g)Plazo (c, m y l)Prioridad (1 a 5)Visibilidad (1 a 3)Impacto (1 a 3)DuraciónFecha probable comienzoCosto interno (area, IT, otras areas).Costo externo (hw, sw, cons).Costo mantenimiento y operación

21

Plan Director de Seguridad de la Información

Ciclo de vida del PDSI

- Armado y definición del PDSI.

- Seguimiento del PDSI en el cortoplazo.

- Feedback y ajuste del PDSI para las siguientes fases.

- PDSI continuo (la seguridad no es un producto, es un proceso).

22

Tips para el armado del PDSI

- No idealizar el PDSI (no es la solución a todos los problemas).

- Tener muy en cuenta que la definición del PDSI es importante, pero más importante es su cumplimiento y el avance permanente.

- No querer hacer todo el primer año.

- Ser realista con los tiempos y esfuerzos.

23

Tips para el armado del PDSI

- Priorizar correctamente los proyectos para poder mostrar resultados rápidamente.

- Involucrar al máximo nivel de la Organización en el PDSI (usualmente el Comité de Seguridad).

- Ponerle foco a las actividades con mayor nivel de riesgo.

Gracias por asistir a esta sesión…

24

Para mayor información:

25Los invitamos a sumarse al grupo “Segurinfo” en

Julio Ardita Gustavo Sagasti(jardita@cybsec.com) (g_sagasti@farmacity.com.ar)

Para descargar esta presentación visite www.segurinfo.org