ISACA

Confianza y valor desde Sistemas de Informacin

Curso de Preparacin 2011 CISM

Captulo 1 Gobierno de la Seguridad de la Informacin

Agenda del Curso Objetivos de aprendizaje Discutir las tareas y las declaraciones de conocimiento Discutir tpicos especficos dentro del captulo Casos de estudio Preguntas ejemplo

Relevancia para el Examen

Asegurar que el candidato a CISM
Comprenda los amplios requerimientos para un gobierno eficaz de seguridad de la informacin, as como los elementos y las acciones que se requieren para desarrollar una estrategia de seguridad de la informacin y un plan de accin para implementarla.
% sobre el Total de Preguntas del Examen

El rea contenida en este captulo representa aproximadamente el 23% del examen CISM (cerca de 46 preguntas).

Captulo 5 14% Captulo 4 24% Captulo 3 17%

Captulo 1 23%

Captulo 2 22%

Captulo 1 Objetivos de Aprendizaje

Desarrollo de una estrategia de seguridad de la informacin alineada con metas y objetivos de negocios Alinear la estrategia de seguridad de la informacin con el gobierno corporativo Desarrollo de casos de negocios que justifiquen la inversin en seguridad de la informacin Identificar los requerimientos legales y regulatorios vigentes y potenciales. Identificar impulsores que afectan a la organizacin Obtener el apoyo de la alta direccin Definir roles y responsabilidades para seguridad de la informacin Establecer canales de reporte y comunicacin tanto externos como internos

1.1 Introduccin

El objetivo de este trabajo es el anlisis de tareas para asegurar que el ISM entiende:
Los amplios requerimientos para un efectivo gobierno de la seguridad de la informacin. Los elementos y acciones requeridos para desarrollar una estrategia de seguridad de la informacin y un plan para ejecutarla.

1.4 Visin General del Gobierno de la Seguridad de la Informacin

La informacin se ha convertido en un componente indispensable de la conduccin de los negocios de virtualmente todas las organizaciones. De acuerdo a un estudio de The Brookings Institute, la informacin de una organizacin y otros activos intangibles representan ms del 80% de su valor de mercado. La proteccin de los recursos de informacin es una tarea de nivel de directorio como una funcin de gobierno.

1.4 Visin General del Gobierno de la Seguridad de la Informacin (continuacin)

Adems de la importancia que tiene la informacin en el valor de mercado de la organizacin:

Los delitos y el vandalismo asociados a computadores se han incrementado Las leyes y regulaciones, tanto nuevas y existentes, estn demandando cada vez ms exigencia en cumplimiento y mayores niveles de responsabilidad. La proteccin de los recursos de informacin se ha convertido en una tarea de nivel de directorio.

1.4 Visin General del Gobierno de la Seguridad de la Informacin (continuacin)

seguridad de la informacin no es lo mismo que seguridad TI Seguridad TI es slo una pieza de la seguridad de la informacin

1.4 Visin General del Gobierno de la Seguridad de la Informacin (continuacin) Seguridad de TI

Focalizada en la tecnologa. Conducida a nivel del Chief Information Officer (CIO)

Seguridad de la informacin
Universo de riesgos, beneficios y procesos involucrados con la informacin Conducida por un ejecutivo y apoyada por el directorio Se refiere a los contenidos, informacin y conocimiento

1.4 Visin General del Gobierno de la Seguridad de la Informacin (continuacin)

Gobierno de seguridad de la informacin Se convierte en algo crecientemente crtico Responsabilidad del directorio y los miembros del equipo ejecutivo Parte del gobierno corporativo
Consiste en: Liderazgo Estructura Organizacional Procesos

1.4.1 Importancia del Gobierno de la Seguridad de la Informacin

El gobierno de la seguridad de informacin es un faceta fundamental. El gobierno de la seguridad de informacin es simplemente un buen negocio.

El objetivo del No-repudio, es decir, prevenir que alguna persona o proceso sea capaz de negar falazmente haber iniciado una transaccin electrnica, se incluye a menudo como objetivo de CIA.

 Un gobierno de seguridad de la informacin robusto puede ofrecer muchos beneficios a una organizacin. Estos incluyen:
Abordar el creciente potencial de responsabilidad civil o legal de la organizacin y su alta direccin como resultado de informacin inexacta, la ausencia de debido cuidado en su proteccin o cumplimiento regulatorio inadecuado. Ofrecer garantas de cumplimiento de polticas Aumentar la predictibilidad y reducir la incertidumbre en el negocio. Disminuir riesgos a niveles definibles y aceptables

1.4.1 Importancia del Gobierno de la Seguridad de la Informacin (continuacin)

Un gobierno de seguridad de la informacin robusto puede ofrecer muchos beneficios a una organizacin. Estos incluyen:
Mejora la confianza en la relacin con los clientes Protege la reputacin de la organizacin Entrega responsabilidades por el resguardo de la informacin durante actividades crticas para el negocio

1.4.1 Importancia del Gobierno de la Seguridad de la Informacin (continuacin)

 Una seguridad de la informacin efectiva puede agregar valores significativos a la organizacin a travs de:
Reduccin de perdidas por eventos relativos a seguridad. Aseguramiento de que incidentes y brechas de seguridad no sean catastrficos.

1.4.1 Importancia del Gobierno de la Seguridad de la Informacin (continuacin)

1.4.2 Resultados del Gobierno de la Seguridad de la Informacin

Los seis resultados ms importantes son:
Alineamiento Estratgico Gestin de Riesgos Generacin de Valor Gestin de Recursos Medicin de Desempeo Integracin

1.4.2 Resultados del Gobierno de la Seguridad de la Informacin (continuacin)

Los seis resultados ms importantes son:
Alineamiento Estratgico Gestin de Riesgos Generacin de Valor Gestin de Recursos Medicin de Desempeo Integracin

1.5 Gobierno Eficaz de Seguridad de la Informacin

Una clara estrategia organizacional para la preservacin es igualmente importante y debe acompaar a la estrategia para el progreso.

De acuerdo a Aberdeen Group:

Las firmas que operan en niveles best-in-class (seguridad) han disminuido sus prdidas financieras a menos de 1% de su ingresos, mientras otras organizaciones estn experimentando tasas de prdida que superan el 5%

1.5.1 Metas y Objetivos del Negocio

El gobierno corporativo es el conjunto de responsabilidades y prcticas ejercidas por el directorio y el equipo ejecutivo Sus metas pueden incluir: Entregar direccin estratgica Asegurar el logro de los objetivos Asegurar que los riesgos son gestionados apropiadamente Verificar que los recursos de la compaa son utilizados responsablemente

1.5.1 Metas y Objetivos del Negocio (continuacin)

Qu es Gobierno de seguridad de la informacin?
Es un subconjunto del Gobierno Corporativo Entrega direccin estratgica a las actividades de seguridad y asegura el logro de los objetivos. Ayuda a asegurar que los riesgos de seguridad son gestionados apropiadamente Tambin ayuda a asegurar que los recursos de informacin son utilizados responsablemente.

1.5.1 Metas y Objetivos del Negocio (continuacin)

En orden a asegurar la efectividad del Gobierno de seguridad de la informacin, la gerencia debe establecer y mantener un marco de trabajo
Este marco de trabajo deber guiar el desarrollo y gestin de un programa de seguridad de la informacin consistente que apoye los objetivos de negocios.

1.5.1 Metas y Objetivos del Negocio (continuacin)

El marco de trabajo de gobierno generalmente consistir en:
Una estrategia de seguridad completa vinculada a los objetivos del negocio Las polticas de Seguridad deben ocuparse de cada aspecto estratgico, controles y regulaciones Un conjunto completo de estndares para cada poltica Una estructura organizacional libre de conflictos de intereses con la suficiente autoridad y recursos Mtricas y procesos de monitoreo para garantizar el cumplimiento y entregar retroalimentacin

1.5.2 Roles y Responsabilidades de la Alta Direccin

Consejo de direccin/Alta direccin
Gobierno de seguridad de la informacin

Direccin ejecutiva
Implementar un gobierno efectivo de seguridad y definir los objetivos estratgicos de seguridad

Comit Directivo
Asegurar que todas las partes interesadas impactadas por consideraciones de seguridad estn involucradas.

CISO
Las responsabilidades van desde el CISO (quien reporta al CEO) hasta los administradores de sistemas que tiene una responsabilidad de medio tiempo por la gerencia de la seguridad

1.5.3 Matriz de Resultados y Responsabilidades

1.5.5 Modelo de Negocios para seguridad de la informacin

Modelo creado por el Institute for Critical Information Infrastructure Protection Un enfoque orientado a negocios para gestionar la seguridad de la informacin. Se ve mejor como un sistema flexible, en 3-D, la estructura piramidal compuesta por cuatro elementos unidos por seis interacciones dinmicas

1.5.5 Modelo de Negocios para seguridad de la informacin (continuacin)

1.6 Conceptos de Seguridad de la Informacin

Acceso Arquitectura Ataques Auditabilidad Autenticacin Autorizacin Disponibilidad Anlisis de Dependencia del Negocio Anlisis de Impacto en el Negocio Confidencialidad Controles Contramedidas Criticidad Clasificacin de Datos Exposicin Anlisis de Brecha Gobierno

1.6 Conceptos de Seguridad de la Informacin (continuacin)

Identificacin Impacto Integridad Capas de Seguridad Gestin No repudio Polticas Riesgo Residual Riesgo Mtricas de Seguridad Sensibilidad Estndares Estrategia Amenazas Vulnerabilidad Arquitectura Corporativa Dominios de Seguridad Modelos de Confianza

1.6.1 Tecnologas
Firewalls Administracin de Cuentas de Usuario Deteccin de Intrusos y Prevencin de Intrusos Antivirus Antispam Infraestructura de llave pblica (PKI) Secure Sockets Layer (SSL) Single sign-on (SSO) Biometra Cifrado Cumplimiento en Privacidad Acceso remoto Firma Digital Intercambio Electrnico de datos (EDI) y transferencia electrnica de fondos (EFT) Redes Privadas Virtuales (VPNs) Forense Tecnologas de Monitoreo Administracin de identidades y accesos (IAM) Administracin de Seguridad de informacin y eventos (SIEM)

1.7.1 Responsabilidades de Administracin de Seguridad de Informacin

Las responsabilidades relativas a seguridad de informacin pueden ser asignadas a:
El CISO, quien reporta al CEO Ejecutivos part-time quienes tienen responsabilidad en seguridad adems de sus responsabilidades principales.

1.7.1 Responsabilidades de Administracin de Seguridad de Informacin (continuacin)

1.7.2 Compromiso de la Alta Direccin

Para que la seguridad de la informacin sea exitosa debe contar con el apoyo de la alta direccin Una aproximacin de gestin ascendente (bottom-up) a las actividades de seguridad de la informacin es menos probable que tenga xito.

1.7.2 Compromiso de la Alta Direccin (continuacin)

Aspectos de Seguridad relativos a la Alta Direccin: Regulaciones Requerimientos de Cumplimiento Posibles Sanciones

1.7.2 Compromiso de la Alta Direccin (continuacin)

La alta direccin debe tener un alto nivel de compromiso para : Asegurar altos estndares de Gobierno Corporativo Tratar a la seguridad de la informacin como un aspecto crtico del negocio y crear un ambiente positivo para la seguridad. Demostrando a los terceros involucrados que la organizacin cumple con seguridad de la informacin en una forma profesional Aplicando principios fundamentales como asumir la responsabilidad final por seguridad de la informacin, implementando controles proporcionales al riesgo y asegurando las responsabilidades individuales

1.7.2 Compromiso de la Alta Direccin (continuacin)

La alta direccin demuestra su compromiso con la seguridad de la informacin a travs de:
Involucrarse directamente en aspectos de seguridad de alto nivel tales como la poltica de seguridad de la informacin. Proporcionando control de alto nivel Asignado suficientes recursos a la seguridad de la informacin Revisando peridicamente la efectividad de la seguridad de la informacin Dar el ejemplo mediante la adhesin a las polticas y las prcticas de seguridad de la organizacin

1.7.2 Compromiso de la Alta Direccin (continuacin)

Obteniendo la participacin de la Alta Direccin:
Una presentacin formal es la manera ms ampliamente utilizada para que el gestor de seguridad de la informacin asegure la participacin de la alta direccin y el apoyo a las polticas de gestin, estndares y estrategias de seguridad de la informacin.

1.7.2 Compromiso de la Alta Direccin (continuacin)

Estableciendo canales de reporte y comunicacin
Antes de obtener la participacin de la Alta Gerencia, debe establecerse un canal de comunicacin a travs de la organizacin para asegurar la efectividad y eficiencia de todo el sistema de gobierno de seguridad de informacin.

 Seguridad de la Informacin se ocupa de todos los aspectos de la informacin Seguridad de TI es concerniente a la seguridad de la informacin en los lmites del dominio de la tecnologa.

1.8 Alcance y Estatutos del Gobierno de la Seguridad de la Informacin

1.8.1 Integracin del Proceso de Aseguramiento Convergencia

Integracin de los procesos de aseguramiento de una organizacin con respecto a la seguridad La meta es reducir las brechas de seguridad resultantes de la divisin arbitraria de funciones relativas a la seguridad (por ejemplo, seguridad fsica, gestin de riesgos, privacidad y cumplimiento).

Integracin de varias actividades de seguridad centradas en torno a la seguridad de la informacin.

1.9 Mtricas del Gobierno de la Seguridad de la Informacin

Mtrica es un trmino que se utiliza para denotar una medida que se basa en una referencia y que implica, al menos, dos puntos: la medida y la referencia Las mtricas actuales de seguridad normalmente fallan en informarnos acerca del estado o grado de seguridad relativa a un punto de referencia

1.9.1 Mtricas de Seguridad de la Informacin

Es muy difcil o imposible administrar cualquier actividad que no se puede medir. Mtricas estndar de seguridad incluyen algunas:
Tiempo de inactividad producido por virus, Porcentaje de servidores parchados. Nmero de penetraciones de sistemas.

1.9.1 Mtricas de Seguridad de la Informacin (continuacin)

Ninguna mtrica en s misma puede realmente proporcionar informacin sobre que tan segura es la organizacin en realidad, sin embargo, todo lo que puede decirse es que:
Algunas organizaciones son atacadas ms frecuentemente y/o sufren mayores perdidas que otras. Existe una gran correlacin entre la buena gestin de seguridad y buenas prcticas y relativamente menor nmero de incidentes y prdidas.

1.9.2 Mtricas de Implementacin de Gobierno

Algunas formas de mtricas deben utilizarse durante la implementacin de un plan de gobierno Indicadores clave de meta (KGIs) * e indicadores clave de desempeo (KPIs) pueden utilizarse:
Entregar informacin acerca de la consecucin de metas de procesos y servicios Ayudar a determinar los hitos que son alcanzados.

* - KGIs tienden ms a reflejar metas estratgicas, por ejemplo, metas estratgicas de gobierno de seguridad de informacin, mientras los KPI tienden a reflejar metas tcticas, tales como la reduccin del nmero de cadas del sistema.

1.9.3 Alineacin Estratgica

El alineamiento estratgico de seguridad de la informacin en apoyo de los objetivos organizacionales es una meta altamente deseable aunque difcil de lograr. El mejor indicador general de que las actividades de seguridad estn alineadas con los objetivos de negocios es una estrategia de seguridad que:
Define Objetivos de seguridad en trminos de negocios Ayuda a asegurar que los objetivos son directamente articulados desde la planificacin a la implementacin de polticas, estndares , procedimientos, procesos y tecnologa.

1.9.3 Alineacin Estratgica (continuacin)

Indicadores de alineamiento:
Un programa de seguridad que demostrablemente habilite actividades especificas del negocio. Una organizacin de seguridad que es responsable de definir requerimientos de negocio Los objetivos organizacionales y de seguridad estn definidos y claramente entendidos por todos los involucrados en seguridad y reas relacionadas con el aseguramiento. Los programas de seguridad estn mapeados con los objetivos organizacionales y el equipo ejecutivo ha validado este mapa. Existe un comit directivo de seguridad conformado por ejecutivos clave y cuenta con estatutos para garantizar la continua alineacin de las actividades relacionadas con la seguridad y la estrategia de negocio.

1.9.4 Gestin de Riesgos

La gestin de Riesgos es el objetivo ltimo las actividades de seguridad de la informacin y, de hecho, de todos los esfuerzos de aseguramiento de la organizacin.

El administrador de seguridad de la informacin debe crear y mantener un programa de administracin de riesgos

Meta final Reducir los impactos adversos a un nivel aceptable.

Se deben definir los objetivos y las expectativas de administracin de riesgos.

Muchas mtricas (por ejemplo, menores impactos de incidentes en el tiempo) son indicativas de una administracin de riesgos efectiva

1.9.5 Entrega de Valor

La generacin de valor ocurre cuando las inversiones en seguridad son optimizadas en apoyo a los objetivos organizacionales Los indicadores clave (KGI y KPI) son utilizados para demostrar la generacin de valor.

1.9.5 Entrega de Valor (continuacin)

Los KPIs y KGIs pueden crearse para mostrar:
Actividades de Seguridad diseadas para alcanzar ciertos objetivos estratgicos especficos El costo de seguridad es proporcional al valor de los activos Recursos de Seguridad que son asignados por grado de riesgo valorado e impacto potencial Los costos de proteccin que se agregan en funcin de ingresos o valoracin de activos Los controles que estn bien diseados sobre la base de objetivos de control definidos y se utilizaron en su totalidad Un nmero adecuado y apropiado de controles para alcanzar los niveles de riesgo e impacto aceptable

1.9.5 Entrega de Valor (continuacin)

KGIs KPIs pueden crearse para mostrar :
Control de eficacia que se determina mediante pruebas peridicas Polticas implantadas que requieren todos los controles a ser reevaluados peridicamente por el costo, el cumplimiento y la eficacia Utilizacin de controles; aquellos controles que se utilizan con poca frecuencia no es probable que sean eficaces El nmero de controles para lograr un nivel de riesgo e impacto aceptables; para ser ms costo efectivo son necesarios pocos controles ms efectivos que muchos controles poco efectivos. La eficacia de los controles segn lo determinado por las pruebas; los controles marginales no parecen ser rentables.

1.9.6 Gestin de Activos

Administracin de recursos de seguridad de la informacin

Procesos de planeacin, asignacin y control de los recursos de seguridad de la informacin Incluye personal, procesos y tecnologas, para mejorar la eficiencia y la efectividad de las soluciones de negocio

1.9.6 Gestin de Activos (continuacin)

Indicadores de gestin efectiva de recursos:
Problemas infrecuentes redescubiertos Captura y difusin efectivas del conocimiento. Procesos Estandarizados Roles y responsabilidades claramente definidas para las funciones de seguridad de la informacin Funciones de seguridad de la informacin incorporadas dentro de todos los planes de proyectos Activos de informacin y amenazas asociadas cubiertas por recursos de seguridad La apropiada localizacin organizacional, nivel de autoridad y nmero de personal para la funcin de seguridad de informacin.

1.9.7 Medicin del Desempeo

Medicin, monitoreo y reporte son crticos para asegurar que los objetivos organizacionales son alcanzados Mtodos para monitorear eventos relativos a seguridad a lo largo de toda la organizacin deben ser desarrollados Entre los tipos ms frecuentes de medidas de desempeo son:
Mtricas que entregan una seal del desempeo de la maquinaria de seguridad Cuadros de mando de seguridad

1.9.7 Medicin del Desempeo (continuacin)

Indicadores de Medicin del Desempeo eficaz:
Tiempo tomado para detectar y reportar incidentes relativos a seguridad. El nmero y frecuencia de incidentes no reportados descubiertos posteriormente. Evaluacin comparativa de las organizaciones por costos y eficacia La habilidad para determinar la efectividad/eficiencia de los controles. Claros indicios de que los objetivos de seguridad se estn cumpliendo

1.9.7 Medicin del Desempeo (continuacin)

Indicadores de Medicin del Desempeo eficaz:
La ausencia de eventos de seguridad inesperados Conocimiento de la inminencia de amenazas Medios efectivos para determinar las vulnerabilidades de la organizacin Mtodos de seguimiento de evolucin de riesgos Coherencia de la prcticas de revisin de registros Resultados de las pruebas de planificacin de continuidad de negocios (BCP)/Recuperacin ante desastres (DR)

1.9.8 Integracin del Proceso de Aseguramiento (Convergencia)

Un rea de inters conceptual emergente en relacin con una propuesta de resultados de Gobierno de seguridad de la informacin se denomina Aseguramiento de Procesos de Negocios o Aseguramiento de la Integracin:
Esfuerzo para integrar las funciones de aseguramiento para lograr que procesos operen como se espera desde principio a fin, minimizando los riesgos ocultos.

1.9.8 Integracin del Proceso de Aseguramiento (Convergencia) (continuacin)

Los KGIs son diseados para medir los resultados estratgicos:
No existen brechas en la proteccin de activos de informacin. Eliminacin de superposiciones de seguridad innecesarias La perfecta integracin de las actividades de aseguramiento Roles y responsabilidades bien definidas Comprensin por parte de los Proveedores de Aseguramiento de su relacin con otras funciones de aseguramiento. Todas las funciones de aseguramiento son identificadas y consideradas en la estrategia

1.10 Visin General de la Estrategia de Seguridad de la Informacin

Qu es estrategia?
Kenneth Andrews define estrategia corporativa como: El patrn de decisiones en una compaa que determina y revela sus objetivos, propsitos o metas, produce las principales polticas y planes para conseguir las metas y define el rango de negocios que la compaa seguir, el tipo de organizacin econmica y humana que es o intenta ser, y la naturaleza de la contribucin econmica o no-econmica que busca entregar a sus accionistas, empleados, clientes y comunidades

1.10 Visin General de la Estrategia de Seguridad de la Informacin (continuacin)

Una estrategia de seguridad de la informacin:
Declara objetivos/propsitos/metas Delinea las polticas y planes principales para asegurar objetivos/propsitos/metas Define:
El rango de negocios Estado deseado para los negocios

Entrega la base para los planes de accin

Los planes de accin deben ser formulados basndose en los recursos y obligaciones disponibles. Los planes de accin deben contener provisiones para el monitoreo y mtricas para determinar el nivel de xito

1.10 Visin General de la Estrategia de Seguridad de la Informacin (continuacin)

1.10.1 Una Perspectiva Alterna de la Estrategia

Existen visiones alternativas acerca de estrategia:
McKinsey Modelo Adaptativo Sherwood Applied Business Security Architecture (SABSA)

1.11.1 Dificultades Comunes

Exceso de Confianza Optimismo Anclaje

1.11.1 Dificultades Comunes (continuacin)

Tendencia al status quo Contabilidad Mental Instinto Gregario Falso Consenso

1.12 Objetivos de la Estrategia de Seguridad de la Informacin

El objetivo de desarrollar una estrategia de seguridad de la informacin
Se deben definir Deben estar acompaados por el desarrollo de mtricas para determinar si los objetivos sern alcanzados.

1.12 Objetivos de la Estrategia de Seguridad de la Informacin (continuacin)

Las seis metas del gobierno son: Alineamiento Estratgico Gestin efectiva de riesgos Generacin de Valor Gestin de Recursos Gestin de Desempeo Integracin de Procesos de Aseguramiento

1.12.1 La Meta
La meta de la seguridad de la informacin es proteger todos los activos de informacin de la organizacin. Toda la informacin realmente relevante debe ser:
Localizada e identificada Catalogada o clasificada, por criticidad y sensibilidad Etiquetada (por ejemplo confidencial, secreta, para uso interno) Protegida de acuerdo a su etiquetado

1.12.2 Definicin de Objetivos

La estrategia de seguridad de la informacin es la base de los planes de accin para asegurar el logro de los objetivos de seguridad Los objetivos de largo plazo en trminos de un Estado Deseado Deben reflejar la visin bien articulada de los resultados deseados de un programa de seguridad Los objetivos de la estrategia de seguridad tambin deben ser definidos en trminos de metas especficas directamente orientadas a apoyar las actividades de negocios

1.12.2 Definicin de Objetivos (continuacin)

Vnculos de Negocios
Pueden iniciar desde la perspectiva de los objetivos especficos de una determinada lnea de negocio Deben tomar en consideracin todos los flujos de informacin que son crticos para asegurar la continuidad de operaciones Pueden descubrir los problemas de seguridad de la informacin a nivel operativo

1.12.3 Desarrollo del Caso de Negocios

La motivacin para iniciar un proyecto debe ser capturada y comunicada Debe incluir : Referencias Contexto Proposicin de valor Foco Entregables Dependencias Mtricas del Proyecto Carga de Trabajo Recursos Requeridos Apoyos

1.12.4 El Estado Deseado

El estado deseado comprende una fotografa de todas las condiciones relevantes en un punto del tiempo
Incluyendo personas, procesos y tecnologas

Un Estado deseado de seguridad debe ser definido en trminos de atributos, caractersticas y resultados:
El desarrollo de la estrategia tendr lmites sobre los tipos de mtodos de aplicacin a considerar

1.12.4 El Estado Deseado (continuacin)

El estado deseado de acuerdo a COBIT (Control Objectives for Information and related Technologies)
"La proteccin de los intereses de aquellos que confan en la informacin, procesos, sistemas y comunicaciones que manipulan, almacenan y entregan la informacin, de cualquier dao resultante de fallas de disponibilidad, confidencialidad e integridad Focalizada en los procesos relacionados con TI desde las perspectivas de Gobierno TI, gestin y control.

1.12.4 El Estado Deseado (continuacin)

El estado deseado de la seguridad puede ser definido como el logro de algn nivel especfico de Capability Maturity Model (CMM) 0: Inexistente La organizacin no reconoce la necesidad de seguridad. 1: Ad hoc Los riesgos son considerados sobre una base ad hoc No existen procesos formales 2: Repetible pero intuitiva Comprensin emergente de riesgos y necesidades de seguridad 3: Procesos Definidos Gestin amplia de riesgos polticas/capacitacin de seguridad 4: Gestionado y Medido Procedimientos estandarizados de valorizacin de riesgos, roles y responsabilidades asignadas, polticas y estndares implantados 5: Optimizado Procesos ampliamente implantados, monitoreados y gestionados a lo largo de toda la organizacin.

1.12.4 El Estado Deseado (continuacin)

El Cuadro de Mandos Balanceados usa cuatro perspectivas

1.12.4 El Estado Deseado (continuacin)

ISO/IEC 27002/ISO/IEC 27001 Las 11 Divisiones Principales:
Poltica de Seguridad Organizando la seguridad de la informacin Gestin de Activos Seguridad de Recursos Humanos Seguridad Fsica y Ambiental Gestin Comunicaciones y Operaciones Control de Acceso Adquisicin, desarrollo y mantencin de sistemas de informacin Gestin de incidentes de seguridad de la informacin Gestin de Continuidad de Negocios Cumplimiento

1.12.4 El Estado Deseado (continuacin)

Otras aproximaciones
Estndares de Calidad ISO (ISO 9001:2000) Six Sigma Publicaciones de NIST y ISF US Federal Information Security Management Act (FISMA)

1.12.5 Objetivos de Riesgo

Debe alcanzar un nivel de riesgo que la gerencia considere aceptable Un riesgo aceptable definido determinar los objetivos de control u otras medidas de mitigacin del riesgo utilizadas Los objetivos de control sern decisivos para determinar el tipo, la naturaleza y el alcance de los controles y contramedidas que utilizar la organizacin para administrar el riesgo Una forma con la que cuenta el administrador de seguridad de la informacin para resolver la cuestin del riesgo aceptable es mediante el desarrollo de Tiempo Objetivo de Recuperacin (RTOs) que indica el tiempo apropiado de intervencin (por ejemplo, durante un apagn).

1.12.5 Objetivos de Riesgo (continuacin)

Desarrollar los objetivos correctos:
Por lo general requiere de un enfoque iterativo Basado en un anlisis de costos para alcanzar el estado deseado y los niveles de riesgo aceptable

Los controles fsicos, de procesos y procedimientos deben ser ms efectivos y menos costosos A menudo los riesgos de procesos implican el mayor peligro Es poco probable que los controles tcnicos puedan resolver de manera adecuada una administracin deficiente

1.13 Determinacin del Estado Actual de la Seguridad

La determinacin del estado actual de la seguridad de la informacin otra actividad crtica
Utilizando las mismas metodologas o la combinacin de stas que se aplic para definir los objetivos de la estrategia o el estado deseado.

1.13.1 Riesgo actual

El estado de riesgo actual se debe determinar mediante una evaluacin integral de riesgos Despus de la Valorizacin del Riesgo, debe ejecutarse una evaluacin/anlisis de impacto al negocio (BIA)
Mostrar el impacto de eventos adversos (por ejemplo, apagones) sobre diferentes perodos de tiempo.
Arrojar parte de la informacin que se requiere para desarrollar una estrategia eficaz

El objetivo final de seguridad es brindar confianza en el proceso

de negocio y minimizar el impacto que puedan ocasionar los incidentes adversos La estrategia debe resolver la diferencia entre niveles aceptables de impacto y el nivel actual de posibles impactos

1.14 Estrategia de Seguridad de la Informacin

Para moverse del estado actual al estado deseado Base para elaborar una hoja de ruta
Un conjunto de objetivos de seguridad de la informacin junto con procesos, mtodos, herramientas y tcnicas disponibles proporcionan los medios para elaborar una estrategia de seguridad

1.14.1 Elementos de una Estrategia

Una estrategia de seguridad necesita incluir:
Recursos necesarios Limitaciones Hoja de ruta
Incluye personas, procesos, tecnologas y otros recursos Una arquitectura de seguridad: definir los impulsores del negocio, las relaciones de recursos y los flujos de procesos

Alcanzar el estado deseado ser una meta a largo plazo de una serie de proyectos

1.14.2 Recursos y Limitaciones de la Estrategia - Visin General

Polticas Normas Procedimientos Lineamientos Arquitecturas Controles - fsicos, tcnicos y de procedimientos

Contramedidas Defensas en capas Tecnologas Seguridad del personal Estructura organizacional Roles y responsabilidades Habilidades

1.14.2 Recursos y Limitaciones de la Estrategia - Visin General

Capacitacin concienciacin y formacin Auditoras Exigencia de cumplimiento Anlisis de amenazas Anlisis de vulnerabilidad Evaluacin de riesgos

Evaluacin de impacto al negocio Anlisis de dependencia de recursos Proveedores externos de seguridad Otros proveedores de soporte y aseguramiento organizacional Instalaciones Seguridad ambiental

1.14.2 Recursos y Limitaciones de la Estrategia - Visin General (continuacin) Limitaciones Leyes - requerimientos legales y regulatorios Fsicas - limitaciones en la capacidad, espacio y ambiente tica - apropiadas, razonables y habituales Cultura - tanto dentro como fuera de la organizacin Costos - tiempo, dinero Personal - resistencia al cambio y resentimiento contra nuevas limitaciones

1.14.2 Recursos y Limitaciones de la Estrategia - Visin General (continuacin) Limitaciones Estructura organizacional Como son tomadas las decisiones y por quien, turf proteccin Recursos - de capital, tecnolgicos y humanos Capacidades - conocimiento, capacitacin, habilidades y conocimientos especializados Tiempo - ventana de oportunidad y cumplimiento forzoso Tolerancia al riesgo - amenazas, vulnerabilidades e impactos

1.15 Recursos de la Estrategia

El ISM debe estar al tanto de:
Los recursos que estn disponibles. Culturales u otro tipo de razones (por ejemplo, la renuencia mostrada por la gerencia a cambiar o modificar las polticas) por las cuales determinadas opciones quedarn descartadas.

1.15.1 Polticas y Normas

Las polticas son declaraciones de alto nivel de la intencin, las expectativas y la direccin de la gerencia Las normas son las mtricas, los lmites permisibles o el proceso que se utiliza para determinar si los procedimientos cumplen con los requerimientos que establecen las polticas

1.15.1 Polticas y Normas (continuacin)

Los procedimientos son responsabilidad de operaciones pero se incluyen aqu para brindar mayor claridad
Las guas para ejecutar procedimientos tambin son responsabilidad de operaciones

1.15.2 Arquitecturas
El concepto de arquitectura de seguridad de la informacin es anlogo al de arquitectura asociada a edificios
Concepto Diseo Modelo Planos detallados, herramientas Construccin, desarrollo

Sin embargo, no existe un consenso general sobre lo que es la arquitectura de seguridad o por qu una organizacin podra querer tener una La arquitectura puede ser un poderoso elemento estratgico

1.15.3 Controles
Los controles se definen como las polticas, procedimientos, prcticas, y estructuras organizacionales que estn diseados para brindar una confianza razonable de que
Se alcanzarn los objetivos de negocio Se evitarn, o bien, detectarn y corregirn los incidentes no deseados

Los controles pueden ser fsicos, tcnicos o de procedimientos

1.15.3 Controles (continuacin)

Los conceptos de gestin de riesgos efectiva comprende:
Controles TI Controles No TI Defensa en capas

1.15.4 Contramedidas
Las contramedidas son las medidas de proteccin que reducen el nivel de vulnerabilidad a las amenazas Las contramedidas pueden ser consideradas simplemente como controles especficos.

1.15.5 Tecnologas
La tecnologa es una de las piedras angulares de una estrategia de seguridad efectiva El ISM debe familiarizarse con la forma en la que estas tecnologas funcionarn como controles para alcanzar el estado deseado de seguridad Para alcanzar defensas, la tecnologa debe ser acompaada por polticas, normas y procedimientos

1.15.6 Personal
El gerente de seguridad tambin debe considerar los riesgos relativos al personal
La primera lnea de defensa es intentar garantizar la confianza y la integridad del personal tanto existente como de nuevo ingreso Las verificaciones tradicionales de antecedentes son muy comunes, pero la extensin de este tipo de verificaciones puede estar limitado por privacidad u otras leyes.

Las medidas relativas al personal deben ser proporcionales a la sensibilidad y criticidad de los requerimientos de la posicin que se tiene. Es necesario desarrollar mtodos para el seguimiento de casos de hurto o robo Tambin se deben desarrollar polticas y normas de investigacin de antecedentes

1.15.7 Estructura Organizacional

De acuerdo a una encuesta, el 36 por ciento de todos los ISMs tiene una lnea de dependencia directa o indirectamente al CIO
Podra no ser la estructura ideal y la alta direccin debe evaluarla como parte de sus responsabilidades de gobierno

Debe estar la seguridad centralizada y estandarizada?

La centralizacin/estandarizacin funciona mejor si la estructura de la organizacin es similar Un proceso de seguridad descentralizado permite a los administradores de seguridad estar ms cerca de los usuarios y a comprender mejor sus problemas locales

1.15.8 Roles y Responsabilidades

La estrategia debe incluir un mecanismo que defina todos los roles y responsabilidades de seguridad y que los incluya en las descripciones de cargo de los empleados Las mediciones relacionadas con la seguridad se pueden incluir en el desempeo laboral y los objetivos anuales del empleado El ISM debe coordinarse con Recursos Humanos para definir los roles y las responsabilidades de seguridad

1.15.9 Habilidades
Elegir una estrategia que utilice las habilidades con las que ya se cuenta aparece como una opcin ms rentable Tener un inventario de las habilidades o competencias ayudara a determinar los recursos que estn disponibles para desarrollar una estrategia de seguridad Las pruebas de competencias pueden servir para determinar si se cuenta con las habilidades requeridas o si se pueden alcanzar mediante capacitacin

1.15.10 Concienciacin y Formacin

La capacitacin, la formacin y la concienciacin son elementos fundamentales para la estrategia en su conjunto porque
La seguridad con frecuencia es ms dbil al nivel del usuario final La seguridad depende en gran medida del cumplimiento individual Un programa recurrente de concienciacin sobre la seguridad dirigido a usuarios finales refuerza la importancia de la seguridad de la informacin y en la actualidad incluso se exige por ley Los programas de concienciacin y capacitacin pueden lograr que se reconozca de un modo generalizado que la seguridad es importante Existen evidencias que indican que la mayora de los usuarios finales no son conscientes de las polticas y estndares de seguridad existentes

1.15.10 Concienciacin y Formacin (continuacin)

La concienciacin y capacitacin en seguridad a menudo produce las mejoras ms rentables sobre seguridad Ampliar y profundizar las habilidades apropiadas del personal de seguridad mediante capacitacin pueden mejorar en gran medida la eficiencia de la seguridad en una organizacin
Capacitar a personal de seguridad de nuevo ingreso o ya existente para dotarlos de las habilidades que se necesitan para satisfacer los requerimientos de seguridad especficos tanto existentes como emergentes puede ser una opcin ms rentable que contratar nuevo personal con las habilidades apropiadas.

La capacitacin efectiva tiene que estar dirigida a

Sistemas especficos Procesos y polticas A la forma nica y especfica de la organizacin para hacer negocio Al contexto de seguridad particular de la organizacin

1.15.11 Auditoras
Las auditoras, tanto internas como externas, son uno de los procesos principales que se utilizan para identificar deficiencias en la seguridad de la informacin Las auditoras internas en la mayoras de las organizaciones grandes son ejecutadas por un departamento de auditoria interna, generalmente reportando al Gerente de Riesgo (Chief Risk Officer, CRO) o a un comit de auditoria del directorio. Las auditorias externas son generalmente iniciadas por el departamento de finanzas. (Los resultados a menudo no se ofrecen
a seguridad de la informacin, pero el ISM debe ayudar a garantizar que se encuentren.)

1.15.12 Exigencia de Cumplimiento

Es importante que el ISM desarrolle procedimientos para manejar las violaciones de cumplimiento Es preferible un sistema de auto informe y cumplimiento voluntario

1.15.13 Anlisis de Amenazas

El anlisis de amenazas es un componente del anlisis de riesgos y el resultado es un elemento crucial de la estrategia La estrategia debe tener en cuenta los tipos, la naturaleza y la magnitud de las amenazas cuando se desarrollen contramedidas y controles

1.15.14 Anlisis de Vulnerabilidad

Es comn el uso de evaluaciones tcnicas de la vulnerabilidad empleando exploracin automtica de vulnerabilidades, pero ellas tienen un valor

limitado para el desarrollo de la estrategia de seguridad

Una evaluacin exhaustiva de la vulnerabilidad deber incluir las vulnerabilidades en
Procesos Tecnologas Instalaciones

1.15.15 Valoracin de Riesgos

An cuando las evaluaciones tanto de amenazas como de vulnerabilidades son tiles por s mismas, tambin es necesario evaluar el riesgo al que est expuesta la organizacin

1.15.16 Contratacin de Seguros

Los tipos ms comunes de Seguros que pueden ser considerados son: Primera Parte Tercera Parte Garanta de Fidelidad

1.15.17 Valoracin de Impacto al Negocio

Diseado para determinar el resultado final del riesgo Son un componente primario para desarrollar una estrategia que resuelva posibles impactos* adversos para la organizacin Requerimiento para determinar la criticidad y sensibilidad de la informacin

1.15.18 Anlisis de la Dependencia de Recursos

Tambin denominado Anlisis de Dependencia del Negocio Otra perspectiva sobre la criticidad de los recursos de informacin Hasta cierto grado, puede utilizarse en lugar de un anlisis de impacto (BIA) para garantizar que la estrategia incluye los recursos que son crticos para las operaciones de negocio.

1.15.19 Proveedores Externos de Seguridad

Usado cada vez ms para reducir costos, sin embargo:
Los riesgos debidos a la tercerizacin pueden ser difciles de cuantificar y potencialmente difciles de mitigar Tanto los recursos como las habilidades de las funciones que se contratan a proveedores externos no se encuentran dentro del control de la organizacin Los proveedores pueden operar con base en diferentes criterios y puede ser difcil controlarlos Los servicios contratados a proveedores externos no pueden constituir un punto crtico y/o nico de falla

1.15.20 Otros Proveedores de Soporte y Aseguramiento Organizacionales

Legal Cumplimiento Auditora Adquisiciones Seguros Recuperacin de desastres Seguridad fsica Capacitacin Oficina de proyectos Recursos humanos Administracin de cambios Aseguramiento de calidad

Las consideraciones estratgicas deben incluir enfoques para garantizar que estas funciones operan perfectamente a fin de evitar brechas que puedan ocasionar que la seguridad se vea comprometida

1.16 Restricciones a la Estrategia

Existen numerosas restricciones que establecen los lmites para las opciones con las que cuenta el gerente de seguridad Deben definirse y comprenderse claramente antes de comenzar a desarrollar una estrategia

1.16.1 Requerimientos Legales y Regulatorios

El desarrollo de una estrategia requiere comprender y considerar
Temas legales y regulatorios que afectan a la seguridad de la informacin Legislacin acerca de Privacidad, propiedad intelectual y Contratos Negocios por Internet Transmisiones globales Implicancia de flujos de datos transfronterizos Integridad del personal Requerimientos sobre el contenido y la retencin de registros de negocio

1.16.1 Requerimientos Legales y Regulatorios (continuacin)

El ISM debe establecer diferentes estrategias de seguridad para cada divisin regional El ISM debe
Estar al da de todos los requerimientos relevantes Asegurar el cumplimiento

1.16.1 Requerimientos Legales y Regulatorios (continuacin)

Requerimientos sobre el contenido y la retencin de registros de negocio
Existen dos aspectos principales que debe tener en cuenta una estrategia de seguridad de la informacin sobre el contenido y la retencin de registros de negocio:
Los requerimientos comerciales para registros de negocio Los requerimientos legales y regulatorios para registros

1.16.2 Factores Fsicos

Existe una variedad de factores fsicos y ambientales que influirn o impondrn limitaciones en la estrategia de seguridad de la informacin
Capacidad Espacio Peligros ambientales Disponibilidad de la infraestructura Capacidad de la infraestructura

Tambin es importante considerar la integridad del personal y de los recursos

1.16.3 tica
La percepcin de un comportamiento tico por los clientes de una organizacin y el pblico Una estrategia eficaz por lo tanto incluye tambin consideraciones ticas

1.16.4 Cultura
Tiene que considerarse la cultura interna de la organizacin cuando se desarrolle una estrategia de seguridad
Fallar en la consideracin de la cultura interna produce resistencia y esto podra dificultar una implementacin exitosa.

1.16.5 Estructura Organizacional

La estructura organizacional puede tener un impacto en cmo puede desarrollarse e implementarse una estrategia de gobierno

1.16.6 Costos
El desarrollo y la implementacin de una estrategia consumirn recursos, incluyendo tiempo y dinero
Debe ser rentable

La evasin de un riesgo en especfico o el cumplimiento con las regulaciones son por lo general los principales impulsores, no el valor del proyecto
El ROI no es un buen enfoque para justificar los programas de seguridad El anlisis de costo-beneficio es el enfoque de mayor aceptacin

1.16.7 Personal

Una estrategia de seguridad tiene que considerar la resistencia de usuarios y otros que podra encontrar durante la implementacin

1.16.8 Recursos
El ISM debe considerar y vigilar:
El presupuesto con el que se cuenta Los costos de tecnologas nuevas o adicionales Los requerimientos de recursos humanos en el diseo, implementacin, operacin y eventual retiro de controles y contramedidas El costo total de propiedad (TCO) debe desarrollarse para el ciclo de vida completo de las tecnologas, procesos y recursos humanos

1.16.9 Capacidades
Las capacidades dependen en gran medida de los recursos disponibles El ISM debe evaluar y utilizar
Capacidades conocidas de la organizacin Conocimientos especializados y habilidades Capacidades demostradas

1.16.10 Tiempo
El tiempo es una limitacin significativa en el desarrollo de una estrategia algunos ejemplos:
Fechas lmite de cumplimiento Plazos para la implementacin de determinadas estrategias

1.16.11 Tolerancia al Riesgo

La tolerancia al riesgo desempear una funcin importante en el desarrollo de una estrategia de seguridad de la informacin Dificultades para medir
Desarrollar RTOs* para sistemas crticos El punto ptimo se alcanza cuando el costo de reducir los RTOs es igual al valor que se deriva de operar los recursos

* - RTOs

estn basados en BIAs o Anlisis de Dependencia del Negocio.

1.17 Plan de Accin para la Estrategia

Implementar la estrategia requiera de uno o ms proyectos o iniciativas El anlisis de brecha entre el estado actual y el estado deseado para cada mtrica definida identifica los requerimientos y prioridades para los planes generales u hojas de ruta para asegurar los objetivos y cerrar las brechas.

1.17.1 Anlisis de Brechas Base para un Plan de Accin

Necesario para diversos componentes de la estrategia
Niveles de madurez (CMM) Objetivo de control Riesgo Objetivo de impacto

Podra ser necesario repetir este ejercicio cada ao o con mayor frecuencia a fin de proporcionar mtricas de desempeo y de metas

El estado deseado incluye: La estrategia de seguridad cuente con la aceptacin y respaldo de la alta direccin La estrategia de seguridad tenga un vnculo intrnseco con los objetivos de negocio Las polticas de seguridad estn completas y sean congruentes con la estrategia Se mantengan de manera consistente normas completas para todas las polticas aplicables Se tengan procedimientos completos y precisos para todas las operaciones importantes

1.17.1 Anlisis de Brechas Base para un Plan de Accin (continuacin)

1.17.1 Anlisis de Brechas Base para un Plan de Accin (continuacin) El estado deseado incluye (continuacin)
Exista una clara asignacin de roles y responsabilidades Se cuente con una estructura organizacional que otorgue una autoridad apropiada a la gerencia de seguridad de la informacin sin que existan conflictos de inters inherentes Los activos de informacin han sido identificados y clasificados segn su criticidad y sensibilidad Controles efectivos han sido diseados, implementados y mantenidos. Mtricas de seguridad y procesos de monitoreo efectivos se encuentran en operacin.

El estado deseado incluye (continuacin) Procesos de cumplimiento y ejecucin efectivos. Capacidades de respuesta a incidentes y emergencias probadas y funcionales Planes de continuidad de negocios y recuperacin ante desastres probados. Aprobaciones de seguridad apropiadas en los procesos de gestin de cambios. Los riesgos son apropiadamente identificados, evaluados, comunicados y gestionados.

1.17.1 Anlisis de Brechas Base para un Plan de Accin (continuacin)

El estado deseado incluye (continuacin) Capacitacin y entrenamiento en seguridad apropiado para todos los usuarios. El desarrollo y ejecucin de actividades que puedan influir positivamente en la orientacin de la cultura de seguridad y el comportamiento del personal Aspectos regulatorios y legales son conocidos y abordados Abordar aspectos de seguridad con los proveedores de servicios externos La resolucin oportuna de los problemas de incumplimiento y otras variaciones

1.17.1 Anlisis de Brechas Base para un Plan de Accin (continuacin)

1.17.2 Elaboracin de Polticas

Uno de los aspectos ms importantes del plan de accin ser crear o modificar polticas y normas La creacin de polticas y normas es una parte crtica del plan de accin
Las polticas deben capturar la intencin, expectativas y direccin de la gerencia A medida que evoluciona una estrategia, es fundamental que se desarrollen polticas de apoyo y en muchos casos modificadas para articular la estrategia Las polticas de seguridad en general deben estar relacionadas con la estrategia de seguridad

1.17.2 Elaboracin de Polticas (continuacin)

Algunos atributos de las buenas polticas:
Deben ser una articulacin de una estrategia de seguridad de la informacin bien definida y captar la intencin, las expectativas y la direccin de la gerencia Cada poltica debe establecer solo un mandato general de seguridad Las polticas deben ser claras y de fcil comprensin para todas las partes interesadas Las polticas rara vez deben tener una extensin que exceda unas cuantas oraciones
Rara vez habr una razn para tener ms de dos docenas de polticas

1.17.3 Elaboracin de Estndares

Los estndares son herramientas poderosas para la gerencia de la seguridad
Establecen los lmites permisibles para procedimientos y prcticas, de tecnologa y sistemas, y para personas e incidentes Son la ley desarrollada a partir de la poltica Proporcionan la vara que mide el cumplimiento de la poltica y una base slida para realizar auditoras Regulan la elaboracin de procedimientos y lineamientos

1.17.4 Capacitacin y Concienciacin

Un plan de accin eficaz para implementar una estrategia debe considerar un programa continuo de concienciacin y capacitacin sobre seguridad.

1.17.5 Mtricas del Plan de Accin

El plan de accin para implementar la estrategia requerir de mtodos para monitorear y medir el progreso y el logro de las etapas importantes
La alta direccin casi nunca muestra inters por las mtricas tcnicas detalladas

Se deben monitorear el progreso realizado y los costos incurridos de manera continua Se deben llevar a cabo correcciones a mitad del camino de manera oportuna

1.17.5 Mtricas del Plan de Accin (continuacin)

El plan de accin debe incluir el uso de:
KPIs (indicadores crticos de desempeo)
Resultados de las pruebas aplicadas a la eficacia del control Planes de pruebas a la eficacia del control

KGIs (indicadores crticos de meta)

Alcanzar mandatos de cumplimiento sobre pruebas de controles de Sarbanes-Oxley Elaborar la declaracin requerida sobre la eficacia del control

CSFs (factores crticos de xito)

Identificar y definir los controles Definir pruebas adecuadas para determinar su eficacia

1.17.5 Mtricas del Plan de Accin (continuacin)

La alta direccin quiere un resumen con la informacin importante desde un punto de vista de la gerencia:
Avances de acuerdo al plan y presupuesto Cambios significativos en el riesgo y posibles impactos a los objetivos del negocio Resultados de las pruebas al plan de recuperacin de desastre Resultados de auditora Estado del cumplimiento regulatorio

El ISM desear recibir informacin ms detallada (ej., mtricas del cumplimiento de polticas y estado de la aplicacin de parches)

1.17.5 Mtricas del Plan de Accin (continuacin)

Las actividades de diseo y monitoreo de mtricas deben tener en consideracin
Lo que es importante para las operaciones de seguridad de la informacin Los requerimientos de la gerencia de seguridad de la informacin Las necesidades de los dueos del proceso de negocio Lo que desea saber la alta direccin

El ISM tambin debe crear procesos de reporte

1.18 Implementacin del Gobierno de Seguridad - Ejemplo

Implementando gobierno de seguridad utilizando CMM
Para definir objetivos (KGIs) Para determinar una estrategia Como mtrica del progreso Alcanzar un CMM de nivel 4 es un estado deseado organizacional tpico

1.18 Implementacin del Gobierno de Seguridad Ejemplo (continuacin)

De forma alternativa, COBIT
Debera producir una lista de atributos y caractersticas Podra no servir para delinear todos los atributos y las caractersticas del estado deseado de seguridad de informacin, sin embargo podra ser necesario aadir otros elementos.

1.18 Implementacin del Gobierno de Seguridad Ejemplo (continuacin)

Despus de desglosar los elementos individuales del CMM 4 se obtiene la siguiente lista:
1. La evaluacin del riesgo es un procedimiento estndar y las excepciones al seguimiento del procedimientos deberan ser informadas a la gestin de seguridad 2. La gestin de riesgos en la seguridad de la informacin es una funcin gerencial definida bajo la responsabilidad del nivel superior 3. La alta direccin y la gestin de seguridad de informacin han determinado los niveles de riesgo que tolerar la organizacin y tendr medidas establecidas para las proporciones de riesgo/retorno. 4. Las responsabilidades por seguridad de informacin estn claramente asignadas, gestionadas y ejecutadas.

1.18 Implementacin del Gobierno de Seguridad Ejemplo (continuacin)

La lista contina:
5. Se lleva a cabo de manera consistente el anlisis de impacto y riesgo de seguridad de la informacin 6. Las polticas y las prcticas de seguridad se completan con niveles mnimos especficos de seguridad 7. Las sesiones de concienciacin sobre la seguridad se han vuelto obligatorias 8. La identificacin, autenticacin y autorizacin de usuarios se han homologado 9. Se ha establecido la certificacin de seguridad del personal 10.Las pruebas de intrusos son un proceso establecido y formalizado que conduce a mejoras

1.18 Implementacin del Gobierno de Seguridad Ejemplo (continuacin)

La lista contina:
11.El anlisis de costo-beneficio, como apoyo a la implementacin de las medidas de seguridad, se est utilizando cada vez con mayor frecuencia 12.Los procesos de seguridad de la informacin se coordinan con la funcin de seguridad de toda la organizacin. 13.Los reportes de informacin relativa a la seguridad de la informacin est vinculada con los objetivos de negocio 14.Se exige el cumplimiento de las responsabilidades y las normas para un servicio continuo 15.Las prcticas de redundancia de sistemas, incluyendo el uso de componentes de alta disponibilidad, se utilizan de manera consistente.

1.18 Implementacin del Gobierno de Seguridad Ejemplo (continuacin)

Dependiendo de la estructura organizacional, ser necesario evaluar cada rea o proceso significativo de la organizacin por separado En la mayora de las organizaciones, los tpicos resultados para cada una de las 15 caractersticas definidas anteriormente oscilarn entre los niveles de madurez en una escala de 1 a 4 Ser necesario revisar las polticas para determinar si cubren tambin cada uno de los elementos de CMM Uno de los objetivos es alcanzar niveles consistentes de madurez a lo largo de dominios de seguridad especficos
Todos los procesos crticos deben estar a un nivel de madurez similar

1.18.1 Muestras Adicionales de Polticas

Ejemplos de polticas que podran crearse para abordar algunos aspectos de CMM 4 son las siguientes: Clara asignacin de roles y responsabilidades
Los roles y las responsabilidades de la Compaa XYZ deben definirse claramente y deben asignarse formalmente todas las reas de seguridad necesarias para garantizar la determinacin de responsabilidad. Un desempeo aceptable deber asegurarse mediante un monitoreo y mtricas apropiados

Activos de informacin que se han identificado y clasificado de acuerdo con su criticidad y sensibilidad
- Todos los activos de informacin deben tener a su dueo debidamente identificado y debern ser catalogados. Asimismo, deber determinarse su valor y debern clasificarse con base en su criticidad y sensibilidad a lo largo de su ciclo vital

1.19 Metas Intermedias del Plan de Accin

Las metas intermedias del plan de accin deberan ser:
Definidas una vez que se ha concluido la estrategia total Con base en la determinacin del BIA de los recursos de negocio crticos Establecidas a partir del anlisis de brechas anterior

1.19 Metas Intermedias del Plan de Accin (continuacin)

Si el objetivo de la estrategia de seguridad es alcanzar la certificacin CMM 4, entonces un ejemplo de un plan de accin (o tctico) a un plazo cercano podra establecer:
Cada unidad de negocio tiene que identificar las aplicaciones actuales en uso Tiene que revisarse el 25% de toda la informacin almacenada para determinar su propiedad, criticidad y sensibilidad Cada unidad de negocio llevar a cabo un BIA de los recursos de informacin a fin de identificar los recursos crticos Las unidades de negocio tienen que dar cumplimiento a las regulaciones. Deben definirse todos los roles y las responsabilidades de seguridad.

1.19 Metas Intermedias del Plan de Accin (continuacin)

Se desarrollar un proceso para verificar los vnculos a los procesos de negocio. Se debe realizar una evaluacin de riesgo exhaustiva para cada unidad de negocio. Todos los usuarios deben recibir formacin sobre una poltica de uso aceptable. Todas las polticas deben revisarse y modificarse segn sea necesario para la consistencia con los objetivos de la estrategia de seguridad. Deben existir normas para todas las polticas

1.20 Objetivos del Programa de Seguridad de la Informacin

Los fundamentos de un programa de seguridad de la informacin son:
La estrategia de seguridad El plan de accin

El programa es, en esencia, el plan de proyecto para implementar y establecer gestin en curso de alguna parte o partes de la estrategia

 El objetivo del programa de seguridad de la informacin es proteger tanto los intereses de aquellos que dependen de la informacin como los procesos, sistemas y comunicaciones que la manejan, almacenan y entregan de sufrir algn dao que sea consecuencia de fallas en
Disponibilidad Confidencialidad Integridad

1.20 Objetivos del Programa de Seguridad de la Informacin (continuacin)

1.20 Objetivos del Programa de Seguridad de la Informacin (continuacin)

Para la mayora de las organizaciones, el objetivo de la seguridad se cumple cuando: La informacin est disponible y se puede utilizar cuando se le requiere, y los sistemas que la proporcionan pueden resistir ataques en forma apropiada (disponibilidad) La informacin se divulga slo a aquellos que tengan derecho a conocerla y slo puede ser observada por ellos (confidencialidad) La informacin est protegida contra modificaciones no autorizadas (integridad) Se puede confiar en las transacciones de negocio y en el intercambio de informacin entre locaciones de la empresa o con socios (autenticidad y no repudio)

Pregunta de Prctica
1-1. Una estrategia de seguridad es importante para una organizacin PRINCIPALMENTE porque proporciona:
A. una base para determinar la mejor arquitectura de seguridad lgica para la organizacin B. la intencin y la direccin de la gerencia para las actividades relacionadas con la seguridad C. orientacin a los usuarios sobre cmo operar de manera segura en el desempeo de sus funciones cotidianas D. ayuda a los auditores de TI a verificar el cumplimiento

Pregunta de Prctica
1-2.La razn MS importante para asegurarse de que existe una buena comunicacin con respecto a la seguridad en toda la organizacin es:
A. hacer la seguridad ms agradable a los empleados renuentes B. porque la gente representa el mayor riesgo para la seguridad C. informar a las unidades de negocio sobre la estrategia de seguridad D. dar cumplimiento a las regulaciones que requieren que todos los empleados estn informados acerca de la seguridad

Pregunta de Prctica
1-3. El ambiente regulatorio para la mayora de las organizaciones establece que se debe realizar una variedad de actividades relacionadas con la seguridad. Lo MS importante es que el ISM:
A. recurra al rea jurdica corporativa para informarse sobre cules son las regulaciones aplicables. B. se mantenga actualizado sobre todas las regulaciones aplicables y solicitar al rea jurdica su interpretacin. C. requiera la participacin de todos los departamentos afectados y tratar a las regulaciones como otro riesgo. D. ignore muchas de las disposiciones que no son realmente efectivas.

Pregunta de Prctica
1-4. La consideracin MS importante para desarrollar polticas de seguridad es que:
A. B. C. D. se basen en un perfil de amenaza sean completas y no omitan ningn detalle la gerencia las apruebe todos los empleados las lean y las entiendan

Pregunta de Prctica
1-5. El PRINCIPAL objetivo de seguridad al elaborar buenos procedimientos es:
A. asegurarse de que funcionan segn lo planeado B. no sean ambiguos y que cumplan con las normas C. estn redactados en un lenguaje sencillo y ampliamente difundidos D. se pueda monitorear el cumplimiento

Pregunta de Prctica
1-6. La asignacin de roles y responsabilidades ser MS EFECTIVA si:
A. Hay soporte de la alta gerencia B. Las asignaciones son consistentes con las competencias C. Los roles estn mapeados con las competencias requeridas D. Las responsabilidades son tomadas voluntariamente

Pregunta de Prctica
1-7. El PRINCIPAL beneficio que obtienen las organizaciones de un gobierno eficaz de seguridad de la informacin es:
A. B. C. D. garantizar un cumplimiento regulatorio apropiado garantizar niveles de interrupcin aceptables priorizar la asignacin de recursos correctivos maximizar el retorno de la inversin en seguridad

Pregunta de Prctica
1-8. Desde el punto de vista del ISM, los factores MS importantes con respecto a la retencin de datos son:
A. B. C. D. Requerimientos regulatorios y de negocio Integridad y destruccin de documentos Disponibilidad de medios y almacenamiento Confidencialidad y encriptacin de datos

Pregunta de Prctica
1-9. Cul de los siguientes roles est en la MEJOR posicin para revisar y confirmar que una lista de acceso de usuarios es apropiada?
A. B. C. D. El dueo de los datos El ISM El administrador del dominio El gerente de negocio

Pregunta de Prctica
1-10. En la implementacin del gobierno de la seguridad de la informacin, el ISM es responsable PRINCIPALMENTE de:
A. B. C. D. desarrollar la estrategia de seguridad revisar la estrategia de seguridad comunicar la estrategia de seguridad aprobar la estrategia de seguridad