El cumplir con la existencia de un Marco Normativo no contempla únicamente actividades relacionadas con la creación y publicación de documentos requeridos por auditorías o entes certificadores.
Un Marco Normativo es la biblioteca de referencia que representa los diferentes procesos de una organización y establecen una guía operativa para el desarrollo de estos, y debe estar adecuado a la cultura de la organización tanto en los aspectos de los recursos humanos (comportamiento, cumplimiento, entendimiento) como en lo referente a los procesos y cómo la organización los gestiona (madurez organizacional).
¿El desafío? Gestionar un marco normativo que ofrezca un balance aceptable entre cultura en la gestión y madurez organizacional con las nuevas metodologías de gestión IT y las nuevas tecnologías adoptadas y elegidas por el negocio, sin que se alejen de sus necesidades de cumplimiento, cuya presión cada vez es más importante.
https://youtu.be/XPjTvpfaJkc
3. (ISC)2 | Capítulo Argentina
3
Programa de
concientización,
capacitación y
educación a distancia
Gestión y control de
servicios tecnológicos
tercerizados
Evaluación y gestión
del gobierno de
ciberseguridad y
tecnología
4. (ISC)2 | Capítulo Argentina
GOBIERNO DE TECNOLOGÍA Y
CIBERSEGURIDAD EN LAS
ORGANIZACIONES
MARCO NORMATIVO EN LA
ACTUALIDAD
Fabián Descalzo – Director (fdescalzo@bdoargentina.com)
Fabián posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI,
Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compañías de diferentes áreas de negocio. Docente del módulo de Seguridad de la Información en la “Diplomatura en Gobierno y
Gestión de Servicios de IT” del ITBA; en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina; del módulo Auditoría y
Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. Miembro del Comité Científico del IEEE (Institute of Electrical and
Electronics Engineers), del Comité Directivo de ADACSI/ISACA. Disertante nacional e internacional y columnista especializado en áreas de Gobierno de
la Tecnología y Seguridad de la Información, Ciberseguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES
(ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter de España y MAGAZCITUM de México.
ESPECIALIDADES Y ÁREAS DE CONOCIMIENTO
Riesgo, Gobierno y Auditoría de TI
Continuidad de Negocio y Recuperación de Procesos de Servicios de TI
Análisis de riesgos de Ti y Seguridad de la Información
Cumplimiento de Marco Regulatorio (SOX, HIPAA, PCI-DSS, Data Privacy, Internal Frame)
Gobierno de Seguridad de la Información
Procesos de Servicios TI
Cibercrimen
CERTIFICACIONES - PRACTICAS NOTABLES
COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, IRCA ISMS Auditor: Lead Auditor ISO/IEC 27001, Lead Auditor ISO/IEC
22301:2019, ITIL® version 3:2011 Information Management, ITIL® version 3:2011, Accredited Trainer (EXIN Accreditation)
5. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO COMO REFERENCIA DEL
NEGOCIO: RIESGOS, TECNOLOGÍA Y
SEGURIDAD
| Capítulo Argentina
6. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Marco normativo y gobierno
7. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
8. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Qué debe cumplirse
Bajo que parámetros
Cómo debe cumplirse
9. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
10. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Sustituir la documentación
por la comunicación
Discutir un diseño en una
pizarra, que escribirlo en
papel
Una duda sobre como
implementar un requisito
nada mejor que hablar con
el Product Owner
11. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Pensábamos que no
necesitábamos
documentar nada,
porque utilizábamos
metodologías ágiles
Se fue un
desarrollador y no
sabemos como hizo
parte del sistema
12. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Integramos nuestro software con
el de otra empresa, y no sabemos
donde acaba un producto y
empieza el otro”
Valorar más el software
que funciona que la
documentación
exhaustiva
13. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
14. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
SALUD SERVICIOS
LEGALES
BANCOS COMPAÑÍAS
DE SEGURO
GOBIERNO
15. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Operativo y Cumplimiento
Administración ineficiente o fallas en la
prestación de servicios internos y externos
Débil seguridad de los datos y mayores riesgos
de privacidad
Riesgos en los procesos de servicio de TI y
seguridad de la información
Incapacidad de explotar y proteger activos
(piratería y derechos de propiedad intelectual)
Sistemas y procesos inadecuados para sustentar
el negocio
Estratégico
Fallas del gobierno corporativo y control
interno
Rechazo interno al marco regulatorio
Acciones legales o punitivas por falta de
cumplimiento al marco regulatorio
Incapacidad para atraer y retener
conocimientos y competencias durante la
transición
16. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Marco normativo y gobierno
17. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
18. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
19. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
20. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
GESTIÓN DE INCIDENTES
Planes de respuesta ante incidentes
GESTIÓN DE CONTINUIDAD
Planes de Continuidad
Ransomware y
malware
Robo de datos
personales
Robo de
información
comercial
Ataque a medios
digitales
Plan de continuidad
de negocios (BCP)
Plan de continuidad
de servicios
tecnológicos (DRP)
21. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Separar lo esencial de lo accidental
22. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Marco normativo y gobierno
23. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Marco normativo y gobierno
Objetivos de los procesos
24. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Uno o más procesos
específicos dentro de la
organización
A través de toda la
organización cubriendo
todos sus procesos
Para varias
organizaciones que
comparten procesos
25. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
El propósito de la documentación es enseñar a quienes no están familiarizados
con un proceso cómo este se estructura, funciona, sus necesidades de
cumplimiento y los motivos que llevaron al diseño del proceso
Nivel Estratégico
Conceptual
Contexto
Objetivos
Principios
Políticas
MarcoNormativo
DocumentalDefiniciones
Recursos
Metodologías
Documentaciónexterna
Tecnológico
Arquitectura
Repositorio
Integración
Organizativo
Responsabilidades
Organizaciónyfunciones
Gestióndelcambio
26. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
El propósito de la documentación es enseñar a quienes no están familiarizados
con un proceso cómo este se estructura, funciona, sus necesidades de
cumplimiento y los motivos que llevaron al diseño del proceso
Nivel Operativo
Conceptual
Políticadocumental
Inclusiónenplan
estratégico
Documental
Clasificación
Mapadocumental
Procesosyprocedimientos
Registros
Tecnológico
Análisisfuncional
Configuración
Desarrollos/Servicios/
Integraciones
Proyectos
Organizativo
Asignaciónde
responsabilidades
Plandegestiónde
cambios
Seguimientoy
planificación
27. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Marco Documental Corporativo
Política de Ética, Gobierno Corporativo, Riesgos Corporativos, Antifraude, Anticorrupción
Política General y
Normas de Seguridad
Familia ISO 27000
Normas,
procedimientos
Estándares Registros
Procesos de Negocio
Norma ISO 9001 / Norma ISO 20000 - ITIL
Documentación
asociada a las áreas
administrativas
Procedimientos Formularios
Documentación de los
sistemas y
operaciones
Manuales Instructivos
28. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Objetivos
Llevar a cabo las actividades de la organización
Cumplir con los requisitos legislativos, reglamentarios y de rendición de cuentas
Optimizar la toma de decisiones
Facilitar el funcionamiento efectivo de una organización en el caso de desastre;
Proporcionar protección y apoyo en los litigios
Proteger los intereses de la organización, los derechos de los empleados y de los
clientes
Soportar las actividades de investigación y desarrollo
Mantener la memoria corporativa o colectiva y apoyar la responsabilidad social.
29. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
Procedimiento documentado para definir los siguientes controles:
Aprobación de los documentos
Revisión y actualización de los documentos
Asegurarse de que estén identificados los cambios y el estado de revisión actual
de los documentos
Asegurarse de que las respectivas versiones de los documentos estén disponibles
en el punto de uso
Asegurarse de que los documentos se mantengan legibles, identificables y
fácilmente recuperables
Asegurarse de que los documentos de origen externo estén identificados y su
distribución esté controlada
Impedir el uso involuntario de documentos obsoletos
30. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Comprendiendo nuestro contexto
31. (ISC)2 | Capítulo Argentina
MARCO NORMATIVO EN LA ACTUALIDAD
Conclusión
“Una vez más, pensar
corporativamente es el principio de la
solución para alcanzar un nivel
aceptable de mitigación de riesgos
para el negocio, sin hacerlo disruptivo,
pero si asegurando sus resultados”
32. (ISC)2 | Capítulo Argentina
CLASIFICACIÓN Y GESTIÓN DE LA INFORMACIÓN