Professional Documents
Culture Documents
Agenda del Curso Objetivos de aprendizaje Discutir las tareas y las declaraciones de conocimiento Discutir tpicos especficos dentro del captulo Casos de estudio Preguntas ejemplo
El rea contenida en este captulo representa aproximadamente el 23% del examen CISM (cerca de 46 preguntas).
Captulo 1 23%
Captulo 2 22%
1.1 Introduccin
El objetivo de este trabajo es el anlisis de tareas para asegurar que el ISM entiende:
Los amplios requerimientos para un efectivo gobierno de la seguridad de la informacin. Los elementos y acciones requeridos para desarrollar una estrategia de seguridad de la informacin y un plan para ejecutarla.
seguridad de la informacin no es lo mismo que seguridad TI Seguridad TI es slo una pieza de la seguridad de la informacin
Seguridad de la informacin
Universo de riesgos, beneficios y procesos involucrados con la informacin Conducida por un ejecutivo y apoyada por el directorio Se refiere a los contenidos, informacin y conocimiento
El objetivo del No-repudio, es decir, prevenir que alguna persona o proceso sea capaz de negar falazmente haber iniciado una transaccin electrnica, se incluye a menudo como objetivo de CIA.
Un gobierno de seguridad de la informacin robusto puede ofrecer muchos beneficios a una organizacin. Estos incluyen:
Abordar el creciente potencial de responsabilidad civil o legal de la organizacin y su alta direccin como resultado de informacin inexacta, la ausencia de debido cuidado en su proteccin o cumplimiento regulatorio inadecuado. Ofrecer garantas de cumplimiento de polticas Aumentar la predictibilidad y reducir la incertidumbre en el negocio. Disminuir riesgos a niveles definibles y aceptables
Un gobierno de seguridad de la informacin robusto puede ofrecer muchos beneficios a una organizacin. Estos incluyen:
Mejora la confianza en la relacin con los clientes Protege la reputacin de la organizacin Entrega responsabilidades por el resguardo de la informacin durante actividades crticas para el negocio
Una seguridad de la informacin efectiva puede agregar valores significativos a la organizacin a travs de:
Reduccin de perdidas por eventos relativos a seguridad. Aseguramiento de que incidentes y brechas de seguridad no sean catastrficos.
Direccin ejecutiva
Implementar un gobierno efectivo de seguridad y definir los objetivos estratgicos de seguridad
Comit Directivo
Asegurar que todas las partes interesadas impactadas por consideraciones de seguridad estn involucradas.
CISO
Las responsabilidades van desde el CISO (quien reporta al CEO) hasta los administradores de sistemas que tiene una responsabilidad de medio tiempo por la gerencia de la seguridad
1.6.1 Tecnologas
Firewalls Administracin de Cuentas de Usuario Deteccin de Intrusos y Prevencin de Intrusos Antivirus Antispam Infraestructura de llave pblica (PKI) Secure Sockets Layer (SSL) Single sign-on (SSO) Biometra Cifrado Cumplimiento en Privacidad Acceso remoto Firma Digital Intercambio Electrnico de datos (EDI) y transferencia electrnica de fondos (EFT) Redes Privadas Virtuales (VPNs) Forense Tecnologas de Monitoreo Administracin de identidades y accesos (IAM) Administracin de Seguridad de informacin y eventos (SIEM)
Aspectos de Seguridad relativos a la Alta Direccin: Regulaciones Requerimientos de Cumplimiento Posibles Sanciones
Seguridad de la Informacin se ocupa de todos los aspectos de la informacin Seguridad de TI es concerniente a la seguridad de la informacin en los lmites del dominio de la tecnologa.
* - KGIs tienden ms a reflejar metas estratgicas, por ejemplo, metas estratgicas de gobierno de seguridad de informacin, mientras los KPI tienden a reflejar metas tcticas, tales como la reduccin del nmero de cadas del sistema.
1.12.1 La Meta
La meta de la seguridad de la informacin es proteger todos los activos de informacin de la organizacin. Toda la informacin realmente relevante debe ser:
Localizada e identificada Catalogada o clasificada, por criticidad y sensibilidad Etiquetada (por ejemplo confidencial, secreta, para uso interno) Protegida de acuerdo a su etiquetado
Un Estado deseado de seguridad debe ser definido en trminos de atributos, caractersticas y resultados:
El desarrollo de la estrategia tendr lmites sobre los tipos de mtodos de aplicacin a considerar
Los controles fsicos, de procesos y procedimientos deben ser ms efectivos y menos costosos A menudo los riesgos de procesos implican el mayor peligro Es poco probable que los controles tcnicos puedan resolver de manera adecuada una administracin deficiente
Alcanzar el estado deseado ser una meta a largo plazo de una serie de proyectos
Contramedidas Defensas en capas Tecnologas Seguridad del personal Estructura organizacional Roles y responsabilidades Habilidades
Capacitacin concienciacin y formacin Auditoras Exigencia de cumplimiento Anlisis de amenazas Anlisis de vulnerabilidad Evaluacin de riesgos
Evaluacin de impacto al negocio Anlisis de dependencia de recursos Proveedores externos de seguridad Otros proveedores de soporte y aseguramiento organizacional Instalaciones Seguridad ambiental
1.14.2 Recursos y Limitaciones de la Estrategia - Visin General (continuacin) Limitaciones Leyes - requerimientos legales y regulatorios Fsicas - limitaciones en la capacidad, espacio y ambiente tica - apropiadas, razonables y habituales Cultura - tanto dentro como fuera de la organizacin Costos - tiempo, dinero Personal - resistencia al cambio y resentimiento contra nuevas limitaciones
1.14.2 Recursos y Limitaciones de la Estrategia - Visin General (continuacin) Limitaciones Estructura organizacional Como son tomadas las decisiones y por quien, turf proteccin Recursos - de capital, tecnolgicos y humanos Capacidades - conocimiento, capacitacin, habilidades y conocimientos especializados Tiempo - ventana de oportunidad y cumplimiento forzoso Tolerancia al riesgo - amenazas, vulnerabilidades e impactos
1.15.2 Arquitecturas
El concepto de arquitectura de seguridad de la informacin es anlogo al de arquitectura asociada a edificios
Concepto Diseo Modelo Planos detallados, herramientas Construccin, desarrollo
Sin embargo, no existe un consenso general sobre lo que es la arquitectura de seguridad o por qu una organizacin podra querer tener una La arquitectura puede ser un poderoso elemento estratgico
1.15.3 Controles
Los controles se definen como las polticas, procedimientos, prcticas, y estructuras organizacionales que estn diseados para brindar una confianza razonable de que
Se alcanzarn los objetivos de negocio Se evitarn, o bien, detectarn y corregirn los incidentes no deseados
1.15.4 Contramedidas
Las contramedidas son las medidas de proteccin que reducen el nivel de vulnerabilidad a las amenazas Las contramedidas pueden ser consideradas simplemente como controles especficos.
1.15.5 Tecnologas
La tecnologa es una de las piedras angulares de una estrategia de seguridad efectiva El ISM debe familiarizarse con la forma en la que estas tecnologas funcionarn como controles para alcanzar el estado deseado de seguridad Para alcanzar defensas, la tecnologa debe ser acompaada por polticas, normas y procedimientos
1.15.6 Personal
El gerente de seguridad tambin debe considerar los riesgos relativos al personal
La primera lnea de defensa es intentar garantizar la confianza y la integridad del personal tanto existente como de nuevo ingreso Las verificaciones tradicionales de antecedentes son muy comunes, pero la extensin de este tipo de verificaciones puede estar limitado por privacidad u otras leyes.
Las medidas relativas al personal deben ser proporcionales a la sensibilidad y criticidad de los requerimientos de la posicin que se tiene. Es necesario desarrollar mtodos para el seguimiento de casos de hurto o robo Tambin se deben desarrollar polticas y normas de investigacin de antecedentes
1.15.9 Habilidades
Elegir una estrategia que utilice las habilidades con las que ya se cuenta aparece como una opcin ms rentable Tener un inventario de las habilidades o competencias ayudara a determinar los recursos que estn disponibles para desarrollar una estrategia de seguridad Las pruebas de competencias pueden servir para determinar si se cuenta con las habilidades requeridas o si se pueden alcanzar mediante capacitacin
1.15.11 Auditoras
Las auditoras, tanto internas como externas, son uno de los procesos principales que se utilizan para identificar deficiencias en la seguridad de la informacin Las auditoras internas en la mayoras de las organizaciones grandes son ejecutadas por un departamento de auditoria interna, generalmente reportando al Gerente de Riesgo (Chief Risk Officer, CRO) o a un comit de auditoria del directorio. Las auditorias externas son generalmente iniciadas por el departamento de finanzas. (Los resultados a menudo no se ofrecen
a seguridad de la informacin, pero el ISM debe ayudar a garantizar que se encuentren.)
Las consideraciones estratgicas deben incluir enfoques para garantizar que estas funciones operan perfectamente a fin de evitar brechas que puedan ocasionar que la seguridad se vea comprometida
1.16.3 tica
La percepcin de un comportamiento tico por los clientes de una organizacin y el pblico Una estrategia eficaz por lo tanto incluye tambin consideraciones ticas
1.16.4 Cultura
Tiene que considerarse la cultura interna de la organizacin cuando se desarrolle una estrategia de seguridad
Fallar en la consideracin de la cultura interna produce resistencia y esto podra dificultar una implementacin exitosa.
1.16.6 Costos
El desarrollo y la implementacin de una estrategia consumirn recursos, incluyendo tiempo y dinero
Debe ser rentable
La evasin de un riesgo en especfico o el cumplimiento con las regulaciones son por lo general los principales impulsores, no el valor del proyecto
El ROI no es un buen enfoque para justificar los programas de seguridad El anlisis de costo-beneficio es el enfoque de mayor aceptacin
1.16.7 Personal
Una estrategia de seguridad tiene que considerar la resistencia de usuarios y otros que podra encontrar durante la implementacin
1.16.8 Recursos
El ISM debe considerar y vigilar:
El presupuesto con el que se cuenta Los costos de tecnologas nuevas o adicionales Los requerimientos de recursos humanos en el diseo, implementacin, operacin y eventual retiro de controles y contramedidas El costo total de propiedad (TCO) debe desarrollarse para el ciclo de vida completo de las tecnologas, procesos y recursos humanos
1.16.9 Capacidades
Las capacidades dependen en gran medida de los recursos disponibles El ISM debe evaluar y utilizar
Capacidades conocidas de la organizacin Conocimientos especializados y habilidades Capacidades demostradas
1.16.10 Tiempo
El tiempo es una limitacin significativa en el desarrollo de una estrategia algunos ejemplos:
Fechas lmite de cumplimiento Plazos para la implementacin de determinadas estrategias
* - RTOs
Podra ser necesario repetir este ejercicio cada ao o con mayor frecuencia a fin de proporcionar mtricas de desempeo y de metas
El estado deseado incluye: La estrategia de seguridad cuente con la aceptacin y respaldo de la alta direccin La estrategia de seguridad tenga un vnculo intrnseco con los objetivos de negocio Las polticas de seguridad estn completas y sean congruentes con la estrategia Se mantengan de manera consistente normas completas para todas las polticas aplicables Se tengan procedimientos completos y precisos para todas las operaciones importantes
1.17.1 Anlisis de Brechas Base para un Plan de Accin (continuacin) El estado deseado incluye (continuacin)
Exista una clara asignacin de roles y responsabilidades Se cuente con una estructura organizacional que otorgue una autoridad apropiada a la gerencia de seguridad de la informacin sin que existan conflictos de inters inherentes Los activos de informacin han sido identificados y clasificados segn su criticidad y sensibilidad Controles efectivos han sido diseados, implementados y mantenidos. Mtricas de seguridad y procesos de monitoreo efectivos se encuentran en operacin.
El estado deseado incluye (continuacin) Procesos de cumplimiento y ejecucin efectivos. Capacidades de respuesta a incidentes y emergencias probadas y funcionales Planes de continuidad de negocios y recuperacin ante desastres probados. Aprobaciones de seguridad apropiadas en los procesos de gestin de cambios. Los riesgos son apropiadamente identificados, evaluados, comunicados y gestionados.
El estado deseado incluye (continuacin) Capacitacin y entrenamiento en seguridad apropiado para todos los usuarios. El desarrollo y ejecucin de actividades que puedan influir positivamente en la orientacin de la cultura de seguridad y el comportamiento del personal Aspectos regulatorios y legales son conocidos y abordados Abordar aspectos de seguridad con los proveedores de servicios externos La resolucin oportuna de los problemas de incumplimiento y otras variaciones
Se deben monitorear el progreso realizado y los costos incurridos de manera continua Se deben llevar a cabo correcciones a mitad del camino de manera oportuna
El ISM desear recibir informacin ms detallada (ej., mtricas del cumplimiento de polticas y estado de la aplicacin de parches)
Activos de informacin que se han identificado y clasificado de acuerdo con su criticidad y sensibilidad
- Todos los activos de informacin deben tener a su dueo debidamente identificado y debern ser catalogados. Asimismo, deber determinarse su valor y debern clasificarse con base en su criticidad y sensibilidad a lo largo de su ciclo vital
El programa es, en esencia, el plan de proyecto para implementar y establecer gestin en curso de alguna parte o partes de la estrategia
El objetivo del programa de seguridad de la informacin es proteger tanto los intereses de aquellos que dependen de la informacin como los procesos, sistemas y comunicaciones que la manejan, almacenan y entregan de sufrir algn dao que sea consecuencia de fallas en
Disponibilidad Confidencialidad Integridad
Pregunta de Prctica
1-1. Una estrategia de seguridad es importante para una organizacin PRINCIPALMENTE porque proporciona:
A. una base para determinar la mejor arquitectura de seguridad lgica para la organizacin B. la intencin y la direccin de la gerencia para las actividades relacionadas con la seguridad C. orientacin a los usuarios sobre cmo operar de manera segura en el desempeo de sus funciones cotidianas D. ayuda a los auditores de TI a verificar el cumplimiento
Pregunta de Prctica
1-2.La razn MS importante para asegurarse de que existe una buena comunicacin con respecto a la seguridad en toda la organizacin es:
A. hacer la seguridad ms agradable a los empleados renuentes B. porque la gente representa el mayor riesgo para la seguridad C. informar a las unidades de negocio sobre la estrategia de seguridad D. dar cumplimiento a las regulaciones que requieren que todos los empleados estn informados acerca de la seguridad
Pregunta de Prctica
1-3. El ambiente regulatorio para la mayora de las organizaciones establece que se debe realizar una variedad de actividades relacionadas con la seguridad. Lo MS importante es que el ISM:
A. recurra al rea jurdica corporativa para informarse sobre cules son las regulaciones aplicables. B. se mantenga actualizado sobre todas las regulaciones aplicables y solicitar al rea jurdica su interpretacin. C. requiera la participacin de todos los departamentos afectados y tratar a las regulaciones como otro riesgo. D. ignore muchas de las disposiciones que no son realmente efectivas.
Pregunta de Prctica
1-4. La consideracin MS importante para desarrollar polticas de seguridad es que:
A. B. C. D. se basen en un perfil de amenaza sean completas y no omitan ningn detalle la gerencia las apruebe todos los empleados las lean y las entiendan
Pregunta de Prctica
1-5. El PRINCIPAL objetivo de seguridad al elaborar buenos procedimientos es:
A. asegurarse de que funcionan segn lo planeado B. no sean ambiguos y que cumplan con las normas C. estn redactados en un lenguaje sencillo y ampliamente difundidos D. se pueda monitorear el cumplimiento
Pregunta de Prctica
1-6. La asignacin de roles y responsabilidades ser MS EFECTIVA si:
A. Hay soporte de la alta gerencia B. Las asignaciones son consistentes con las competencias C. Los roles estn mapeados con las competencias requeridas D. Las responsabilidades son tomadas voluntariamente
Pregunta de Prctica
1-7. El PRINCIPAL beneficio que obtienen las organizaciones de un gobierno eficaz de seguridad de la informacin es:
A. B. C. D. garantizar un cumplimiento regulatorio apropiado garantizar niveles de interrupcin aceptables priorizar la asignacin de recursos correctivos maximizar el retorno de la inversin en seguridad
Pregunta de Prctica
1-8. Desde el punto de vista del ISM, los factores MS importantes con respecto a la retencin de datos son:
A. B. C. D. Requerimientos regulatorios y de negocio Integridad y destruccin de documentos Disponibilidad de medios y almacenamiento Confidencialidad y encriptacin de datos
Pregunta de Prctica
1-9. Cul de los siguientes roles est en la MEJOR posicin para revisar y confirmar que una lista de acceso de usuarios es apropiada?
A. B. C. D. El dueo de los datos El ISM El administrador del dominio El gerente de negocio
Pregunta de Prctica
1-10. En la implementacin del gobierno de la seguridad de la informacin, el ISM es responsable PRINCIPALMENTE de:
A. B. C. D. desarrollar la estrategia de seguridad revisar la estrategia de seguridad comunicar la estrategia de seguridad aprobar la estrategia de seguridad