2011 CISM Review Course Ch1 - EPN (1)
-
Upload
jonathan-imbaquingo -
Category
Documents
-
view
224 -
download
0
Transcript of 2011 CISM Review Course Ch1 - EPN (1)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
1/159
ISACA
Confianza y valor desdeSistemas de Informacin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
2/159
Curso de Preparacin 2011 CISM
Captulo 1Gobierno de la Seguridad
de la Informacin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
3/159
Agenda del Curso
Objetivos de aprendizaje Discutir las tareas y las declaraciones de
conocimiento Discutir tpicos especficos dentro del
captulo
Casos de estudio Preguntas ejemplo
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
4/159
Asegurar que el candidato a CISMComprenda los amplios requerimientos para un gobierno eficaz deseguridad de la informacin, as como los elementos y lasacciones que se requieren para desarrollar una estrategia de
seguridad de la informacin y un plan de accin paraimplementarla.
Relevancia para el Examen
% sobre el Total de Preguntas del
Examen
Captulo 1
23%
Captulo 2
22%Captulo 3
17%
Captulo 4
24%
Captulo 5
14%
El rea contenida en este captulorepresenta aproximadamente el
23% del examen CISM (cerca de46 preguntas).
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
5/159
Captulo 1 Objetivos de Aprendizaje
Desarrollo de una estrategia de seguridad de la informacinalineada con metas y objetivos de negocios
Alinear la estrategia de seguridad de la informacin con el gobiernocorporativo
Desarrollo de casos de negocios que justifiquen la inversin enseguridad de la informacin
Identificar los requerimientos legales y regulatorios vigentes ypotenciales.
Identificar impulsores que afectan a la organizacin Obtener el apoyo de la alta direccin Definir roles y responsabilidades para seguridad de la informacin Establecer canales de reporte y comunicacin tanto externos como
internos
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
6/159
1.1 Introduccin
El objetivo de este trabajo es el anlisis detareas para asegurar que el ISM entiende:
Los amplios requerimientos para un efectivogobierno de la seguridad de la informacin.Los elementos y acciones requeridos paradesarrollar una estrategia de seguridad de lainformacin y un plan para ejecutarla.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
7/159
1.4 Visin General del Gobierno de laSeguridad de la Informacin
La informacin se ha convertido en un componenteindispensable de la conduccin de los negocios devirtualmente todas las organizaciones.
De acuerdo a un estudio de The Brookings Institute, lainformacin de una organizacin y otros activosintangibles representan ms del 80% de su valor demercado.
La proteccin de los recursos de informacin es una tareade nivel de directorio como una funcin de gobierno.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
8/159
1.4 Visin General del Gobierno de laSeguridad de la Informacin
(continuacin)
Adems de la importancia que tiene la informacinen el valor de mercado de la organizacin:
Los delitos y el vandalismo asociados a computadores
se han incrementado Las leyes y regulaciones, tanto nuevas y existentes,
estn demandando cada vez ms exigencia encumplimiento y mayores niveles de responsabilidad.
La proteccin de los recursos de informacin se haconvertido en una tarea de nivel de directorio.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
9/159
1.4 Visin General del Gobierno de laSeguridad de la Informacin
(continuacin)
seguridad de la informacin no es lo mismo que
seguridad TI Seguridad TI es slo una pieza de la seguridad
de la informacin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
10/159
1.4 Visin General del Gobierno de laSeguridad de la Informacin
(continuacin)
Seguridad de TI Focalizada en la tecnologa. Conducida a nivel del Chief Information Officer(CIO)
Seguridad de la informacin Universo de riesgos, beneficios y procesos
involucrados con la informacin Conducida por un ejecutivo y apoyada por el directorio Se refiere a los contenidos, informacin y
conocimiento
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
11/159
1.4 Visin General del Gobierno de laSeguridad de la Informacin
(continuacin)
Gobierno de seguridad de la informacin Se convierte en algo crecientemente crtico Responsabilidad del directorio y los miembros del
equipo ejecutivo Parte del gobierno corporativo
Consiste en:
Liderazgo Estructura Organizacional Procesos
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
12/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
13/159
1.4.1 Importancia del Gobierno de laSeguridad de la Informacin
(continuacin) Un gobierno de seguridad de la informacin robusto puedeofrecer muchos beneficios a una organizacin. Estosincluyen:
Abordar el creciente potencial de responsabilidad civil o legal de
la organizacin y su alta direccin como resultado de informacininexacta, la ausencia de debido cuidado en su proteccin ocumplimiento regulatorio inadecuado.
Ofrecer garantas de cumplimiento de polticas Aumentar la predictibilidad y reducir la incertidumbre en el
negocio. Disminuir riesgos a niveles definibles y aceptables
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
14/159
1.4.1 Importancia del Gobierno de laSeguridad de la Informacin
(continuacin)Un gobierno de seguridad de la informacin robustopuede ofrecer muchos beneficios a unaorganizacin. Estos incluyen:Mejora la confianza en la relacin con los clientesProtege la reputacin de la organizacinEntrega responsabilidades por el resguardo de lainformacin durante actividades crticas para el negocio
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
15/159
1.4.1 Importancia del Gobierno de laSeguridad de la Informacin
(continuacin) Una seguridad de la informacin efectiva puedeagregar valores significativos a la organizacin atravs de: Reduccin de perdidas por eventos relativos a
seguridad. Aseguramiento de que incidentes y brechas de
seguridad no sean catastrficos.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
16/159
1.4.2 Resultados del Gobierno dela Seguridad de la Informacin
Los seis resultados ms importantes son: Alineamiento Estratgico
Gestin de Riesgos Generacin de Valor Gestin de Recursos Medicin de Desempeo
Integracin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
17/159
1.4.2 Resultados del Gobierno de laSeguridad de la Informacin
(continuacin)
Los seis resultados ms importantes son: Alineamiento Estratgico Gestin de Riesgos Generacin de Valor Gestin de Recursos Medicin de Desempeo
Integracin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
18/159
1.5 Gobierno Eficaz de Seguridadde la Informacin
Una clara estrategia organizacional para la preservacines igualmente importante y debe acompaar a laestrategia para el progreso.
De acuerdo a Aberdeen Group: Las firmas que operan en niveles best-in-class(seguridad) han
disminuido sus prdidas financieras a menos de 1% de suingresos, mientras otras organizaciones estn experimentandotasas de prdida que superan el 5%
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
19/159
1.5.1 Metas y Objetivos delNegocio
El gobierno corporativo es el conjunto deresponsabilidades y prcticas ejercidas por el directorio yel equipo ejecutivo
Sus metas pueden incluir: Entregar direccin estratgica Asegurar el logro de los objetivos Asegurar que los riesgos son gestionados
apropiadamente Verificar que los recursos de la compaa son
utilizados responsablemente
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
20/159
1.5.1 Metas y Objetivos delNegocio (continuacin)
Qu es Gobierno de seguridad de la informacin? Es un subconjunto del Gobierno Corporativo Entrega direccin estratgica a las actividades de seguridad y
asegura el logro de los objetivos.
Ayuda a asegurar que los riesgos de seguridad son gestionadosapropiadamente Tambin ayuda a asegurar que los recursos de informacin son
utilizados responsablemente.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
21/159
1.5.1 Metas y Objetivos delNegocio (continuacin)
En orden a asegurar la efectividad del Gobierno deseguridad de la informacin, la gerencia debe establecer ymantener un marco de trabajo Este marco de trabajo deber guiar el desarrollo y gestin de un
programa de seguridad de la informacin consistente que apoye losobjetivos de negocios.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
22/159
1.5.1 Metas y Objetivos delNegocio (continuacin)
El marco de trabajo de gobierno generalmenteconsistir en:
Una estrategia de seguridad completa vinculada a los
objetivos del negocio Las polticas de Seguridad deben ocuparse de cada
aspecto estratgico, controles y regulaciones Un conjunto completo de estndares para cada poltica
Una estructura organizacional libre de conflictos deintereses con la suficiente autoridad y recursos Mtricas y procesos de monitoreo para garantizar el
cumplimiento y entregar retroalimentacin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
23/159
1.5.2 Roles y Responsabilidadesde la Alta Direccin
Consejo de direccin/Alta direccin Gobierno de seguridad de la informacin
Direccin ejecutiva Implementar un gobierno efectivo de seguridad y definir los objetivos
estratgicos de seguridad Comit Directivo
Asegurar que todas las partes interesadas impactadas porconsideraciones de seguridad estn involucradas.
CISO Las responsabilidades van desde el CISO (quien reporta al CEO) hasta
los administradores de sistemas que tiene una responsabilidad demedio tiempo por la gerencia de la seguridad
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
24/159
1.5.3 Matriz de Resultados yResponsabilidades
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
25/159
1.5.5 Modelo de Negocios paraseguridad de la informacin
Modelo creado por el Institute for CriticalInformation Infrastructure Protection
Un enfoque orientado a negocios para gestionar la
seguridad de la informacin. Se ve mejor como un sistema flexible, en 3-D, laestructura piramidal compuesta por cuatroelementos unidos por seis interacciones dinmicas
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
26/159
1.5.5 Modelo de Negocios paraseguridad de la informacin
(continuacin)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
27/159
1.6 Conceptos de Seguridad de laInformacin
Acceso Arquitectura Ataques Auditabilidad Autenticacin Autorizacin
Disponibilidad Anlisis deDependencia delNegocio
Anlisis de Impacto en elNegocio
Confidencialidad
Controles Contramedidas Criticidad Clasificacin de Datos Exposicin Anlisis de Brecha Gobierno
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
28/159
1.6 Conceptos de Seguridad de laInformacin (continuacin)
Identificacin Impacto Integridad Capas de Seguridad Gestin No repudio Polticas Riesgo Residual Riesgo
Mtricas de Seguridad Sensibilidad Estndares Estrategia Amenazas Vulnerabilidad
Arquitectura Corporativa Dominios de Seguridad Modelos de Confianza
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
29/159
1.6.1 Tecnologas
Firewalls
Administracin de Cuentas deUsuario
Deteccin de Intrusos yPrevencin de Intrusos
Antivirus Antispam Infraestructura de llave pblica
(PKI) Secure Sockets Layer(SSL) Single sign-on(SSO) Biometra Cifrado Cumplimiento en Privacidad
Acceso remoto Firma Digital Intercambio Electrnico de
datos (EDI) y transferenciaelectrnica de fondos (EFT) Redes Privadas Virtuales
(VPNs) Forense
Tecnologas de Monitoreo Administracin de identidades y
accesos (IAM) Administracin de Seguridad de
informacin y eventos (SIEM)
1 7 1 R bilid d d
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
30/159
1.7.1 Responsabilidades deAdministracin de Seguridad de
Informacin
Las responsabilidades relativas a seguridad deinformacin pueden ser asignadas a:
El CISO, quien reporta al CEO Ejecutivos part-timequienes tienen responsabilidad
en seguridad adems de sus responsabilidadesprincipales.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
31/159
1.7.1 Responsabilidades de Administracinde Seguridad de Informacin
(continuacin)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
32/159
1.7.2 Compromiso de la AltaDireccin
Para que la seguridad de la informacin sea exitosa debecontar con el apoyo de la alta direccin
Una aproximacin de gestin ascendente (bottom-up) a lasactividades de seguridad de la informacin es menos
probable que tenga xito.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
33/159
1.7.2 Compromiso de la AltaDireccin (continuacin)
Aspectos de Seguridad relativos a la Alta Direccin:
Regulaciones Requerimientos de Cumplimiento Posibles Sanciones
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
34/159
1.7.2 Compromiso de la AltaDireccin (continuacin)
La alta direccin debe tener un alto nivel de compromisopara :Asegurar altos estndares de Gobierno CorporativoTratar a la seguridad de la informacin como un aspecto
crtico del negocio y crear un ambiente positivo para laseguridad.Demostrando a los terceros involucrados que laorganizacin cumple con seguridad de la informacin enuna forma profesional
Aplicando principios fundamentales como asumir laresponsabilidad final por seguridad de la informacin,implementando controles proporcionales al riesgo yasegurando las responsabilidades individuales
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
35/159
1.7.2 Compromiso de la AltaDireccin (continuacin)
La alta direccin demuestra su compromiso con la seguridadde la informacin a travs de:
Involucrarse directamente en aspectos de seguridad de alto niveltales como la poltica de seguridad de la informacin.
Proporcionando control de alto nivel Asignado suficientes recursos a la seguridad de la informacin Revisando peridicamente la efectividad de la seguridad de la
informacin Dar el ejemplo mediante la adhesin a las polticas y las prcticas
de seguridad de la organizacin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
36/159
1.7.2 Compromiso de la AltaDireccin (continuacin)
Obteniendo la participacin de la Alta Direccin: Una presentacin formal es la manera ms ampliamente
utilizada para que el gestor de seguridad de la
informacin asegure la participacin de la alta direccin yel apoyo a las polticas de gestin, estndares yestrategias de seguridad de la informacin.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
37/159
1.7.2 Compromiso de la AltaDireccin (continuacin)
Estableciendo canales de reporte y comunicacin Antes de obtener la participacin de la Alta Gerencia,
debe establecerse un canal de comunicacin a travs
de la organizacin para asegurar la efectividad yeficiencia de todo el sistema de gobierno de seguridadde informacin.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
38/159
1.8 Alcance y Estatutos delGobierno de la Seguridad de la
Informacin Seguridad de la Informacin se ocupa de todoslosaspectos de la informacin
Seguridad de TI es concerniente a la seguridad de lainformacin en los lmites del dominio de la tecnologa.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
39/159
1.8.1 Integracin del Proceso deAseguramiento Convergencia
Integracin de los procesos de aseguramiento de unaorganizacin con respecto a la seguridad
La meta es reducir las brechas de seguridad resultantes dela divisin arbitraria de funciones relativas a la seguridad(por ejemplo, seguridad fsica, gestin de riesgos,privacidad y cumplimiento).
Integracin de varias actividades de seguridad centradas
en torno a la seguridad de la informacin.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
40/159
1.9 Mtricas del Gobierno de laSeguridad de la Informacin
Mtrica es un trmino que se utiliza para denotar unamedida que se basa en una referencia y que implica, almenos, dos puntos: la medida y la referencia
Las mtricas actuales de seguridad normalmente fallanen
informarnos acerca del estado o grado de seguridadrelativa a un punto de referencia
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
41/159
1.9.1 Mtricas de Seguridad de laInformacin
Es muy difcil o imposible administrar cualquier actividadque no se puede medir.
Mtricas estndar de seguridad incluyen algunas: Tiempo de inactividad producido por virus,
Porcentaje de servidores parchados. Nmero de penetraciones de sistemas.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
42/159
1.9.1 Mtricas de Seguridad de laInformacin (continuacin)
Ninguna mtrica en s misma puede realmenteproporcionar informacin sobre que tan segura es
la organizacin en realidad, sin embargo, todo loque puede decirse es que:
Algunas organizaciones son atacadas ms frecuentemente y/osufren mayores perdidas que otras.
Existe una gran correlacin entre la buena gestin deseguridad y buenas prcticas y relativamente menor nmerode incidentes y prdidas.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
43/159
1.9.2 Mtricas de Implementacinde Gobierno
Algunas formas de mtricas deben utilizarse durante laimplementacin de un plan de gobierno Indicadores clave de meta (KGIs) * e indicadores clave de
desempeo (KPIs) pueden utilizarse: Entregar informacin acerca de la consecucin de metas de
procesos y servicios Ayudar a determinar los hitos que son alcanzados.
* - KGIs tienden ms a reflejar metas estratgicas, por ejemplo, metasestratgicas de gobierno de seguridad de informacin, mientras los KPItienden a reflejar metas tcticas, tales como la reduccin del nmero decadas del sistema.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
44/159
1.9.3 Alineacin Estratgica
El alineamiento estratgico de seguridad de la informacinen apoyo de los objetivos organizacionales es una metaaltamente deseable aunque difcil de lograr.
El mejor indicador general de que las actividades de
seguridad estn alineadas con los objetivos de negocios esuna estrategia de seguridad que: Define Objetivos de seguridad en trminos de negocios Ayuda a asegurar que los objetivos son directamente articulados
desde la planificacin a la implementacin de polticas, estndares ,
procedimientos, procesos y tecnologa.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
45/159
1.9.3 Alineacin Estratgica(continuacin)
Indicadores de alineamiento: Un programa de seguridad que demostrablemente habilite actividades
especificas del negocio. Una organizacin de seguridad que es responsable de definir
requerimientos de negocio Los objetivos organizacionales y de seguridad estn definidos y
claramente entendidos por todos los involucrados en seguridad y reasrelacionadas con el aseguramiento.
Los programas de seguridad estn mapeados con los objetivosorganizacionales y el equipo ejecutivo ha validado este mapa.
Existe un comit directivo de seguridad conformado por ejecutivos clavey cuenta con estatutos para garantizar la continua alineacin de lasactividades relacionadas con la seguridad y la estrategia de negocio.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
46/159
1.9.4 Gestin de Riesgos
La gestin de Riesgos es el objetivo ltimo las actividadesde seguridad de la informacin y, de hecho, de todos losesfuerzos de aseguramiento de la organizacin.
El administrador de seguridad de la informacin debe creary mantener un programa de administracin de riesgos
Meta final Reducir los impactos adversos a un nivel aceptable.
Se deben definir los objetivos y las expectativas de
administracin de riesgos. Muchas mtricas (por ejemplo, menores impactos de
incidentes en el tiempo) son indicativas de una
administracin de riesgos efectiva
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
47/159
1.9.5 Entrega de Valor
La generacin de valor ocurre cuando las inversiones enseguridad son optimizadas en apoyo a los objetivosorganizacionales
Los indicadores clave (KGIy KPI) son utilizados para
demostrar la generacin de valor.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
48/159
1.9.5 Entrega de Valor(continuacin)
Los KPIsy KGIspueden crearse para mostrar: Actividades de Seguridad diseadas para alcanzar ciertos
objetivos estratgicos especficos El costo de seguridad es proporcional al valor de los activos Recursos de Seguridad que son asignados por grado de riesgo
valorado e impacto potencial Los costos de proteccin que se agregan en funcin de ingresos
o valoracin de activos
Los controles que estn bien diseados sobre la base deobjetivos de control definidos y se utilizaron en su totalidad Un nmero adecuado y apropiado de controles para alcanzar los
niveles de riesgo e impacto aceptable
E d V l
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
49/159
1.9.5 Entrega de Valor(continuacin)
KGIs KPIspueden crearse para mostrar : Control de eficacia que se determina mediante pruebas
peridicas Polticas implantadas que requieren todos los controles a ser
reevaluados peridicamente por el costo, el cumplimiento y laeficacia Utilizacin de controles; aquellos controles que se utilizan con
poca frecuencia no es probable que sean eficaces El nmero de controles para lograr un nivel de riesgo e impacto
aceptables; para ser ms costo efectivo son necesarios pocoscontroles ms efectivos que muchos controles poco efectivos. La eficacia de los controles segn lo determinado por las
pruebas; los controles marginales no parecen ser rentables.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
50/159
1.9.6 Gestin de Activos
Administracin de recursos de seguridad de lainformacin
Procesos de planeacin, asignacin y control de losrecursos de seguridad de la informacin
Incluye personal, procesos y tecnologas, para mejorar laeficiencia y la efectividad de las soluciones de negocio
1 9 6 G i d A i
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
51/159
1.9.6 Gestin de Activos(continuacin)
Indicadores de gestin efectiva de recursos:
Problemas infrecuentes redescubiertos Captura y difusin efectivas del conocimiento. Procesos Estandarizados Roles y responsabilidades claramente definidas para las
funciones de seguridad de la informacin Funciones de seguridad de la informacin incorporadas dentro de
todos los planes de proyectos Activos de informacin y amenazas asociadas cubiertas por
recursos de seguridad La apropiada localizacin organizacional, nivel de autoridad y
nmero de personal para la funcin de seguridad de informacin.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
52/159
1.9.7 Medicin del Desempeo
Medicin, monitoreo y reporte son crticos para asegurarque los objetivos organizacionales son alcanzados Mtodos para monitorear eventos relativos a seguridad a
lo largo de toda la organizacin deben ser desarrollados Entre los tipos ms frecuentes de medidas de
desempeo son: Mtricas que entregan una seal del desempeo de la maquinaria
de seguridad Cuadros de mando de seguridad
1 9 7 M di i d l D
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
53/159
1.9.7 Medicin del Desempeo(continuacin)
Indicadores de Medicin del Desempeo eficaz: Tiempo tomado para detectar y reportar incidentes relativos a
seguridad. El nmero y frecuencia de incidentes no reportados descubiertos
posteriormente. Evaluacin comparativa de las organizaciones por costos y
eficacia La habilidad para determinar la efectividad/eficiencia de los
controles. Claros indicios de que los objetivos de seguridad se estn
cumpliendo
1 9 7 M di i d l D
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
54/159
1.9.7 Medicin del Desempeo(continuacin)
Indicadores de Medicin del Desempeo eficaz: La ausencia de eventos de seguridad inesperados Conocimiento de la inminencia de amenazas
Medios efectivos para determinar las vulnerabilidades de laorganizacin Mtodos de seguimiento de evolucin de riesgos Coherencia de la prcticas de revisin de registros Resultados de las pruebas de planificacin de continuidad de
negocios (BCP)/Recuperacin ante desastres (DR)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
55/159
1.9.8 Integracin del Proceso deAseguramiento (Convergencia)
Un rea de inters conceptual emergente en relacin conuna propuesta de resultados de Gobierno de seguridadde la informacin se denomina Aseguramiento deProcesos de Negocios o Aseguramiento de la
Integracin: Esfuerzo para integrar las funciones de aseguramiento paralograr que procesos operen como se espera desde principio a fin,minimizando los riesgos ocultos.
1 9 8 Integracin del Proceso de
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
56/159
1.9.8 Integracin del Proceso deAseguramiento (Convergencia)
(continuacin)
Los KGIsson diseados para medir los resultadosestratgicos:
No existen brechas en la proteccin de activos de informacin.
Eliminacin de superposiciones de seguridad innecesarias La perfecta integracin de las actividades de aseguramiento Roles y responsabilidades bien definidas Comprensin por parte de los Proveedores de Aseguramiento de
su relacin con otras funciones de aseguramiento. Todas las funciones de aseguramiento son identificadas y
consideradas en la estrategia
1.10 Visin General de la
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
57/159
1.10 Visin General de laEstrategia de Seguridad de la
Informacin
Qu es estrategia?Kenneth Andrews define estrategia corporativa como: Elpatrn de decisiones en una compaa que determina y
revela sus objetivos, propsitos o metas, produce lasprincipales polticas y planes para conseguir las metas ydefine el rango de negocios que la compaa seguir, eltipo de organizacin econmica y humana que es ointenta ser, y la naturaleza de la contribucin econmica ono-econmica que busca entregar a sus accionistas,empleados, clientes y comunidades
1.10 Visin General de la Estrategia
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
58/159
1.10 Visin General de la Estrategiade Seguridad de la Informacin
(continuacin)
Una estrategia de seguridad de la informacin: Declara objetivos/propsitos/metas Delinea las polticas y planes principales para asegurar
objetivos/propsitos/metas Define:
El rango de negocios Estado deseado para los negocios
Entrega la base para los planes de accin Los planes de accin deben ser formulados basndose en los
recursos y obligaciones disponibles. Los planes de accin deben contener provisiones para el
monitoreo y mtricas para determinar el nivel de xito
1.10 Visin General de la Estrategia
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
59/159
1.10 Visin General de la Estrategiade Seguridad de la Informacin
(continuacin)
1 10 1 Una Perspectiva Alterna de
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
60/159
1.10.1 Una Perspectiva Alterna dela Estrategia
Existen visiones alternativas acerca de estrategia:
McKinsey Modelo Adaptativo Sherwood Applied Business Security Architecture(SABSA)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
61/159
1.11.1 Dificultades Comunes
Exceso de Confianza Optimismo Anclaje
1 11 1 Dificultades Comunes
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
62/159
1.11.1 Dificultades Comunes(continuacin)
Tendencia al status quo Contabilidad Mental Instinto Gregario Falso Consenso
1 12 Obj ti d l E t t i d
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
63/159
1.12 Objetivos de la Estrategia deSeguridad de la Informacin
El objetivo de desarrollar una estrategia deseguridad de la informacin Se deben definir Deben estar acompaados por el desarrollo de mtricas
para determinar si los objetivos sern alcanzados.
1.12 Objetivos de la Estrategia de
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
64/159
j gSeguridad de la Informacin
(continuacin)
Las seis metas del gobierno son: Alineamiento Estratgico
Gestin efectiva de riesgos Generacin de Valor Gestin de Recursos
Gestin de Desempeo Integracin de Procesos de Aseguramiento
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
65/159
1.12.1 La Meta
La meta de la seguridad de la informacin esproteger todos los activos de informacin de laorganizacin.
Toda la informacin realmente relevante debeser: Localizada e identificada Catalogada o clasificada, por criticidad y sensibilidad
Etiquetada (por ejemplo confidencial, secreta, para uso interno) Protegida de acuerdo a su etiquetado
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
66/159
1.12.2 Definicin de Objetivos
La estrategia de seguridad de la informacin es la basede los planes de accin para asegurar el logro de losobjetivos de seguridad
Los objetivos de largo plazo en trminos de un Estado
Deseado Deben reflejar la visin bien articulada de los resultados
deseados de un programa de seguridad Los objetivos de la estrategia de seguridad tambin
deben ser definidos en trminos de metas especficasdirectamente orientadas a apoyar las actividades denegocios
1 12 2 Definicin de Objetivos
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
67/159
1.12.2 Definicin de Objetivos(continuacin)
Vnculos de Negocios Pueden iniciar desde la perspectiva de los objetivos
especficos de una determinada lnea de negocio Deben tomar en consideracin todos los flujos de
informacin que son crticos para asegurar lacontinuidad de operaciones
Pueden descubrir los problemas de seguridad de lainformacin a nivel operativo
1 12 3 Desarrollo del
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
68/159
1.12.3 Desarrollo delCaso de Negocios
La motivacin para iniciar un proyecto debe ser capturaday comunicada Debe incluir : Referencias Contexto Proposicin de valor
Foco Entregables Dependencias Mtricas del Proyecto
Carga de Trabajo Recursos Requeridos Apoyos
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
69/159
1.12.4 El Estado Deseado
El estado deseado comprende una fotografade todas las condiciones relevantes en un puntodel tiempo
Incluyendo personas, procesos y tecnologas
Un Estado deseado de seguridad debe serdefinido en trminos de atributos, caractersticas
y resultados: El desarrollo de la estrategia tendr lmites sobre lostipos de mtodos de aplicacin a considerar
1 12 4 El Estado Deseado
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
70/159
1.12.4 El Estado Deseado(continuacin)
El estado deseado de acuerdo a COBIT (ControlObjectives for Information and related Technologies) "La proteccin de los intereses de aquellos que confan
en la informacin, procesos, sistemas y comunicacionesque manipulan, almacenan y entregan la informacin, decualquier dao resultante de fallas de disponibilidad,confidencialidad e integridad
Focalizada en los procesos relacionados con TI desdelas perspectivas de Gobierno TI, gestin y control.
1 12 4 El Estado Deseado
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
71/159
1.12.4 El Estado Deseado(continuacin)
El estado deseado de la seguridad puede ser definido como el logro dealgn nivel especfico de Capability Maturity Model (CMM)
0: Inexistente La organizacin no reconoce la necesidad deseguridad.
1: Ad hoc Los riesgos son considerados sobre una base adhoc No existen procesos formales
2: Repetible pero intuitiva Comprensin emergente de riesgos ynecesidades de seguridad
3: Procesos Definidos Gestin amplia de riesgospolticas/capacitacin de seguridad
4: Gestionado y Medido Procedimientos estandarizados devalorizacin de riesgos, roles y responsabilidades asignadas,polticas y estndares implantados
5: Optimizado Procesos ampliamente implantados,monitoreados y gestionados a lo largo de toda la organizacin.
1 12 4 El Estado Deseado
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
72/159
1.12.4 El Estado Deseado(continuacin)
El Cuadro de Mandos Balanceados usa cuatro perspectivas
1 12 4 El Estado Deseado
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
73/159
1.12.4 El Estado Deseado(continuacin)
ISO/IEC 27002/ISO/IEC 27001 Las 11 DivisionesPrincipales: Poltica de Seguridad Organizando la seguridad de la informacin
Gestin de Activos Seguridad de Recursos Humanos Seguridad Fsica y Ambiental Gestin Comunicaciones y Operaciones Control de Acceso Adquisicin, desarrollo y mantencin de sistemas de informacin Gestin de incidentes de seguridad de la informacin Gestin de Continuidad de Negocios Cumplimiento
1 12 4 El Estado Deseado
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
74/159
1.12.4 El Estado Deseado(continuacin)
Otras aproximaciones Estndares de Calidad ISO (ISO 9001:2000) Six Sigma
Publicaciones de NIST y ISF US Federal Information Security Management Act
(FISMA)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
75/159
1.12.5 Objetivos de Riesgo
Debe alcanzar un nivel de riesgo que la gerenciaconsidere aceptable
Un riesgo aceptable definido determinar los objetivos decontrol u otras medidas de mitigacin del riesgo utilizadas
Los objetivos de control sern decisivos para determinar
el tipo, la naturaleza y el alcance de los controles ycontramedidas que utilizar la organizacin paraadministrar el riesgo
Una forma con la que cuenta el administrador deseguridad de la informacin para resolver la cuestin delriesgo aceptable es mediante el desarrollo de TiempoObjetivo de Recuperacin (RTOs) que indica el tiempoapropiado de intervencin (por ejemplo, durante unapagn).
1 12 5 Objetivos de Riesgo
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
76/159
1.12.5 Objetivos de Riesgo(continuacin)
Desarrollar los objetivos correctos: Por lo general requiere de un enfoque iterativo Basado en un anlisis de costos para alcanzar el estado deseado
y los niveles de riesgo aceptable
Los controles fsicos, de procesos y procedimientosdeben ser ms efectivos y menos costosos A menudo los riesgos de procesos implican el mayor
peligro Es poco probable que los controles tcnicos puedan
resolver de manera adecuada una administracindeficiente
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
77/159
1 13 1 Ri l
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
78/159
1.13.1 Riesgo actual
El estado de riesgo actual se debe determinar medianteuna evaluacin integral de riesgos Despus de la Valorizacin del Riesgo, debe ejecutarse
una evaluacin/anlisis de impacto al negocio (BIA)
Mostrar el impacto de eventos adversos (por ejemplo,apagones) sobre diferentes perodos de tiempo. Arrojar parte de la informacin que se requiere para desarrollar una
estrategia eficaz
El objetivo final de seguridad es brindar confianza en el proceso
de negocio y minimizar el impacto que puedan ocasionar losincidentes adversos
La estrategia debe resolver la diferencia entre niveles aceptables deimpacto y el nivel actual de posibles impactos
1.14 Estrategia de Seguridad de la
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
79/159
1.14 Estrategia de Seguridad de laInformacin
Para moverse del estado actual al estadodeseado Base para elaborar una hoja de ruta
Un conjunto de objetivos de seguridad de lainformacin junto con procesos, mtodos,herramientas y tcnicas disponibles proporcionanlos medios para elaborar una estrategia de
seguridad
1.14.1 Elementos de una
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
80/159
1.14.1 Elementos de unaEstrategia
Una estrategia de seguridad necesita incluir: Recursos necesarios Limitaciones Hoja de ruta
Incluye personas, procesos, tecnologas y otros recursos Una arquitectura de seguridad: definir los impulsores del
negocio, las relaciones de recursos y los flujos deprocesos
Alcanzar el estado deseado ser una meta alargo plazo de una serie de proyectos
1.14.2 Recursos y Limitaciones de la
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
81/159
1.14.2 Recursos y Limitaciones de laEstrategia - Visin General
Polticas Normas Procedimientos Lineamientos Arquitecturas Controles - fsicos,
tcnicos y deprocedimientos
Contramedidas Defensas en capas Tecnologas Seguridad del
personal Estructura
organizacional Roles y
responsabilidades Habilidades
1.14.2 Recursos y Limitaciones de la
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
82/159
1.14.2 Recursos y Limitaciones de laEstrategia - Visin General
Capacitacin concienciacin y
formacin Auditoras
Exigencia decumplimiento Anlisis de amenazas Anlisis de
vulnerabilidad Evaluacin de riesgos
Evaluacin de impactoal negocio
Anlisis dedependencia derecursos
Proveedores externosde seguridad
Otros proveedores desoporte yaseguramiento
organizacional Instalaciones Seguridad ambiental
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
83/159
1.14.2 Recursos y Limitaciones de laE t t i Vi i G l
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
84/159
Estrategia - Visin General(continuacin)
Limitaciones Estructura organizacional Como son tomadas
las decisiones y por quien, turf proteccin
Recursos - de capital, tecnolgicos y humanos Capacidades - conocimiento, capacitacin,habilidades y conocimientos especializados
Tiempo - ventana de oportunidad y cumplimiento
forzoso Tolerancia al riesgo - amenazas, vulnerabilidadese impactos
1 15 R d l E t t i
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
85/159
1.15 Recursos de la Estrategia
El ISM debe estar al tanto de: Los recursos que estn disponibles. Culturales u otro tipo de razones (por ejemplo, la
renuencia mostrada por la gerencia a cambiar o
modificar las polticas) por las cuales determinadasopciones quedarn descartadas.
1 15 1 Polticas Normas
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
86/159
1.15.1 Polticas y Normas
Las polticas son declaraciones de alto nivel de laintencin, las expectativas y la direccin de lagerencia
Las normas son las mtricas, los lmitespermisibles o el proceso que se utiliza paradeterminar si los procedimientos cumplen con losrequerimientos que establecen las polticas
1.15.1 Polticas y Normas
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
87/159
y(continuacin)
Los procedimientos son responsabilidad deoperaciones pero se incluyen aqu para brindarmayor claridad
Las guas para ejecutar procedimientos tambinson responsabilidad de operaciones
1 15 2 Arquitecturas
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
88/159
1.15.2 Arquitecturas
El concepto de arquitectura de seguridad de la informacines anlogo al de arquitectura asociada a edificios Concepto
Diseo
Modelo Planos detallados, herramientas
Construccin, desarrollo
Sin embargo, no existe un consenso general sobre lo que
es la arquitectura de seguridad o por qu una organizacinpodra querer tener una
La arquitectura puede ser un poderoso elementoestratgico
1 15 3 Controles
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
89/159
1.15.3 Controles
Los controles se definen como las polticas,procedimientos, prcticas, y estructurasorganizacionales que estn diseados parabrindar una confianza razonable de que
Se alcanzarn los objetivos de negocio Se evitarn, o bien, detectarn y corregirn losincidentes no deseados
Los controles pueden ser fsicos, tcnicos o de
procedimientos
1 15 3 Controles (continuacin)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
90/159
1.15.3 Controles (continuacin)
Los conceptos de gestin de riesgos efectivacomprende: Controles TI Controles No TI
Defensa en capas
1 15 4 Contramedidas
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
91/159
1.15.4 Contramedidas
Las contramedidas son las medidas de proteccinque reducen el nivel de vulnerabilidad a lasamenazas
Las contramedidas pueden ser consideradas
simplemente como controles especficos.
1 15 5 Tecnologas
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
92/159
1.15.5 Tecnologas
La tecnologa es una de las piedras angulares deuna estrategia de seguridad efectiva
El ISM debe familiarizarse con la forma en la que
estas tecnologas funcionarn como controlespara alcanzar el estado deseado de seguridad Para alcanzar defensas, la tecnologa debe ser
acompaada por polticas, normas y
procedimientos
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
93/159
1 15 7 Estructura Organizacional
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
94/159
1.15.7 Estructura Organizacional
De acuerdo a una encuesta, el 36 por ciento detodos los ISMs tiene una lnea de dependenciadirecta o indirectamente al CIO Podra no ser la estructura ideal y la alta direccin debe
evaluarla como parte de sus responsabilidades de gobierno Debe estar la seguridad centralizada y
estandarizada? La centralizacin/estandarizacin funciona mejor si la
estructura de la organizacin es similar
Un proceso de seguridad descentralizado permite a losadministradores de seguridad estar ms cerca de losusuarios y a comprender mejor sus problemas locales
1 15 8 Roles y Responsabilidades
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
95/159
1.15.8 Roles y Responsabilidades
La estrategia debe incluir un mecanismo quedefina todos los roles y responsabilidades deseguridad y que los incluya en las descripcionesde cargo de los empleados
Las mediciones relacionadas con la seguridad sepueden incluir en el desempeo laboral y losobjetivos anuales del empleado
El ISM debe coordinarse con Recursos Humanospara definir los roles y las responsabilidades deseguridad
1 15 9 Habilidades
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
96/159
1.15.9 Habilidades
Elegir una estrategia que utilice las habilidadescon las que ya se cuenta aparece como unaopcin ms rentable
Tener un inventario de las habilidades ocompetencias ayudara a determinar los recursosque estn disponibles para desarrollar unaestrategia de seguridad
Las pruebas de competencias pueden servir paradeterminar si se cuenta con las habilidadesrequeridas o si se pueden alcanzar mediantecapacitacin
1.15.10 Concienciacin y
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
97/159
Formacin
La capacitacin, la formacin y la concienciacin son elementosfundamentales para la estrategia en su conjunto porque
La seguridad con frecuencia es ms dbil al nivel del usuario final
La seguridad depende en gran medida del cumplimiento
individual Un programa recurrente de concienciacin sobre la seguridad dirigido
a usuarios finales refuerza la importancia de la seguridad de lainformacin y en la actualidad incluso se exige por ley
Los programas de concienciacin y capacitacin pueden lograr que sereconozca de un modo generalizado que la seguridad es importante Existen evidencias que indican que la mayora de los usuarios finales
no son conscientes de las polticas y estndares de seguridadexistentes
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
98/159
1 15 11 Auditoras
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
99/159
1.15.11 Auditoras
Las auditoras, tanto internas como externas, son uno de
los procesos principales que se utilizan para identificardeficiencias en la seguridad de la informacin
Las auditoras internas en la mayoras de lasorganizaciones grandes son ejecutadas por un
departamento de auditoria interna, generalmentereportando al Gerente de Riesgo (Chief Risk Officer,CRO) o a un comit de auditoria del directorio.
Las auditorias externas son generalmente iniciadas por el
departamento de finanzas. (Los resultados a menudo no se ofrecena seguridad de la informacin, pero el ISM debe ayudar a garantizar que seencuentren.)
1.15.12 Exigencia de
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
100/159
Cumplimiento
Es importante que el ISM desarrolleprocedimientos para manejar las violaciones decumplimiento
Es preferible un sistema de auto informe y
cumplimiento voluntario
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
101/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
102/159
1 15 15 Valoracin de Riesgos
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
103/159
1.15.15 Valoracin de Riesgos
An cuando las evaluaciones tanto deamenazas como de vulnerabilidades sontiles por s mismas, tambin es necesarioevaluar el riesgo al que est expuesta laorganizacin
1.15.16 Contratacin de
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
104/159
Seguros
Los tipos ms comunes de Seguros que pueden serconsiderados son: Primera Parte Tercera Parte Garanta de Fidelidad
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
105/159
1.15.18 Anlisis de la Dependencia
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
106/159
de Recursos
Tambin denominado Anlisis de Dependencia delNegocio Otra perspectiva sobre la criticidad de los recursos
de informacin Hasta cierto grado, puede utilizarse en lugar de un
anlisis de impacto (BIA) para garantizar que laestrategia incluye los recursos que son crticos
para las operaciones de negocio.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
107/159
1.15.20 Otros Proveedores deSoporte y Aseguramiento
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
108/159
Soporte y AseguramientoOrganizacionales
Legal Cumplimiento Auditora Adquisiciones Seguros Recuperacin de desastres Seguridad fsica Capacitacin Oficina de proyectos
Recursos humanos Administracin de cambios Aseguramiento de calidad
Las consideracionesestratgicas deben incluirenfoques para garantizarque estas funciones operanperfectamente a fin deevitar brechas que puedanocasionar que la seguridadse vea comprometida
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
109/159
1.16.1 Requerimientos Legales yR l t i
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
110/159
Regulatorios
El desarrollo de una estrategia requierecomprender y considerar Temas legales y regulatorios que afectan a la seguridad
de la informacin Legislacin acerca de Privacidad, propiedad intelectual
y Contratos Negocios por Internet Transmisiones globales Implicancia de flujos de datos transfronterizos Integridad del personal
Requerimientos sobre el contenido y la retencin deregistros de negocio
1.16.1 Requerimientos Legales yRegulatorios
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
111/159
egu ato os(continuacin)
El ISM debe establecer diferentes estrategias deseguridad para cada divisin regional El ISM debe
Estar al da de todos los requerimientos relevantes Asegurar el cumplimiento
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
112/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
113/159
1.16.3 tica
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
114/159
La percepcin de un comportamiento tico por losclientes de una organizacin y el pblico Una estrategia eficaz por lo tanto incluye tambin
consideraciones ticas
1.16.4 Cultura
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
115/159
Tiene que considerarse la cultura interna de laorganizacin cuando se desarrolle una estrategiade seguridad Fallar en la consideracin de la cultura interna produce
resistencia y esto podra dificultar una implementacinexitosa.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
116/159
1.16.6 Costos
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
117/159
El desarrollo y la implementacin de unaestrategia consumirn recursos, incluyendotiempo y dinero Debe ser rentable
La evasin de un riesgo en especfico o elcumplimiento con las regulaciones son por logeneral los principales impulsores, no el valordel proyecto El ROI no es un buen enfoque para justificar los
programas de seguridad El anlisis de costo-beneficio es el enfoque de mayor
aceptacin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
118/159
1.16.8 Recursos
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
119/159
El ISM debe considerar y vigilar: El presupuesto con el que se cuenta Los costos de tecnologas nuevas o adicionales Los requerimientos de recursos humanos en el diseo,
implementacin, operacin y eventual retiro de controlesy contramedidas
El costo total de propiedad (TCO) debe desarrollarsepara el ciclo de vida completo de las tecnologas,procesos y recursos humanos
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
120/159
1.16.10 Tiempo
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
121/159
p
El tiempo es una limitacin significativa en eldesarrollo de una estrategia algunos ejemplos:
Fechas lmite de cumplimiento Plazos para la implementacin de determinadas
estrategias
1.16.11 Tolerancia al Riesgo
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
122/159
La tolerancia al riesgo desempear una funcinimportante en el desarrollo de una estrategia deseguridad de la informacin
Dificultades para medir Desarrollar RTOs*para sistemas crticos El punto ptimo se alcanza cuando el costo de reducir los
RTOses igual al valor que se deriva de operar losrecursos
* - RTOs estn basados en BIAs o Anlisis de Dependencia delNegocio.
1.17 Plan de Accin para laEstrategia
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
123/159
Estrategia
Implementar la estrategia requiera de uno o msproyectos o iniciativas El anlisis de brecha entre el estado actual y el
estado deseado para cada mtrica definida
identifica los requerimientos y prioridades para losplanes generales u hojas de ruta para asegurar losobjetivos y cerrar las brechas.
1.17.1 Anlisis de Brechas Basepara un Plan de Accin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
124/159
para un Plan de Accin
Necesario para diversos componentes de laestrategia Niveles de madurez (CMM) Objetivo de control
Riesgo Objetivo de impacto
Podra ser necesario repetir este ejercicio cadaao o con mayor frecuencia a fin de proporcionar
mtricas de desempeo y de metas
1.17.1 Anlisis de Brechas Basepara un Plan de Accin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
125/159
p(continuacin)
El estado deseado incluye: La estrategia de seguridad cuente con la
aceptacin y respaldo de la alta direccin La estrategia de seguridad tenga un vnculo
intrnseco con los objetivos de negocio Las polticas de seguridad estn completas ysean congruentes con la estrategia Se mantengan de manera consistente normas
completas para todas las polticas aplicables
Se tengan procedimientos completos y precisospara todas las operaciones importantes
1.17.1 Anlisis de Brechas Basepara un Plan de Accin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
126/159
p(continuacin)
El estado deseado incluye (continuacin) Exista una clara asignacin de roles y responsabilidades Se cuente con una estructura organizacional que
otorgue una autoridad apropiada a la gerencia deseguridad de la informacin sin que existan conflictos deinters inherentes
Los activos de informacin han sido identificados yclasificados segn su criticidad y sensibilidad
Controles efectivos han sido diseados, implementadosy mantenidos.
Mtricas de seguridad y procesos de monitoreoefectivos se encuentran en operacin.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
127/159
1.17.1 Anlisis de Brechas Basepara un Plan de Accin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
128/159
p(continuacin)
El estado deseado incluye (continuacin) Capacitacin y entrenamiento en seguridad
apropiado para todos los usuarios. El desarrollo y ejecucin de actividades que
puedan influir positivamente en la orientacin de
la cultura de seguridad y el comportamiento delpersonal Aspectos regulatorios y legales son conocidos y
abordados
Abordar aspectos de seguridad con losproveedores de servicios externos La resolucin oportuna de los problemas de
incumplimiento y otras variaciones
1.17.2 Elaboracin de Polticas
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
129/159
Uno de los aspectos ms importantes del plande accin ser crear o modificar polticas ynormas
La creacin de polticas y normas es una
parte crtica del plan de accin Las polticas deben capturar la intencin, expectativas ydireccin de la gerencia
A medida que evoluciona una estrategia, es fundamentalque se desarrollen polticas de apoyo y en muchos casos
modificadas para articular la estrategia Las polticas de seguridad en general deben estarrelacionadas con la estrategia de seguridad
1.17.2 Elaboracin de Polticas(continuacin)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
130/159
(continuacin)
Algunos atributos de las buenas polticas: Deben ser una articulacin de una estrategia de seguridadde la informacin bien definida y captar la intencin, lasexpectativas y la direccin de la gerencia
Cada poltica debe establecer solo un mandato general de
seguridad Las polticas deben ser claras y de fcil comprensin paratodas las partes interesadas
Las polticas rara vez deben tener una extensin queexceda unas cuantas oraciones
Rara vez habr una razn para tener ms de dos docenas depolticas
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
131/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
132/159
1.17.5 Mtricas del Plan de Accin
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
133/159
El plan de accin para implementar la estrategiarequerir de mtodos para monitorear y medir elprogreso y el logro de las etapas importantes La alta direccin casi nunca muestra inters por las
mtricas tcnicas detalladas Se deben monitorear el progreso realizado y los
costos incurridos de manera continua Se deben llevar a cabo correcciones a mitad del
camino de manera oportuna
1.17.5 Mtricas del Plan de Accin(continuacin)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
134/159
(continuacin)
El plan de accin debe incluir el uso de: KPIs(indicadores crticos de desempeo)
Resultados de las pruebas aplicadas a la eficacia del control Planes de pruebas a la eficacia del control
KGIs(indicadores crticos de meta) Alcanzar mandatos de cumplimiento sobre pruebas de
controles de Sarbanes-Oxley Elaborar la declaracin requerida sobre la eficacia del control
CSFs(factores crticos de xito) Identificar y definir los controles Definir pruebas adecuadas para determinar su eficacia
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
135/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
136/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
137/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
138/159
1.18 Implementacin del Gobierno deSeguridad Ejemplo (continuacin)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
139/159
Seguridad Ejemplo (continuacin)Despus de desglosar los elementos individuales delCMM 4 se obtiene la siguiente lista:
1. La evaluacin del riesgo es un procedimiento estndar ylas excepciones al seguimiento del procedimientosdeberan ser informadas a la gestin de seguridad
2. La gestin de riesgos en la seguridad de la informacines una funcin gerencial definida bajo la responsabilidaddel nivel superior
3. La alta direccin y la gestin de seguridad deinformacin han determinado los niveles de riesgo que
tolerar la organizacin y tendr medidas establecidaspara las proporciones de riesgo/retorno.4. Las responsabilidades por seguridad de informacin
estn claramente asignadas, gestionadas y ejecutadas.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
140/159
1.18 Implementacin del Gobierno deSeguridad Ejemplo (continuacin)
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
141/159
Segu dad je p o (co t uac )
La lista contina:11.El anlisis de costo-beneficio, como apoyo a la
implementacin de las medidas de seguridad, se estutilizando cada vez con mayor frecuencia
12.Los procesos de seguridad de la informacin secoordinan con la funcin de seguridad de toda laorganizacin.
13.Los reportes de informacin relativa a la seguridad de lainformacin est vinculada con los objetivos de negocio
14.Se exige el cumplimiento de las responsabilidades y lasnormas para un servicio continuo15.Las prcticas de redundancia de sistemas, incluyendo el
uso de componentes de alta disponibilidad, se utilizan demanera consistente.
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
142/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
143/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
144/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
145/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
146/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
147/159
1.20 Objetivos del Programa deSeguridad de la Informacin
( ti i )
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
148/159
(continuacin) El objetivo del programa de seguridad de la
informacin es proteger tanto los intereses deaquellos que dependen de la informacin como losprocesos, sistemas y comunicaciones que lamanejan, almacenan y entregan de sufrir algndao que sea consecuencia de fallas en Disponibilidad Confidencialidad Integridad
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
149/159
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
150/159
Pregunta de Prctica
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
151/159
1-2.La razn MS importante para asegurarse deque existe una buena comunicacin conrespecto a la seguridad en toda laorganizacin es:
A. hacer la seguridad ms agradable a los empleadosrenuentesB. porque la gente representa el mayor riesgo para la
seguridadC. informar a las unidades de negocio sobre la estrategia de
seguridadD. dar cumplimiento a las regulaciones que requieren que
todos los empleados estn informados acerca de laseguridad
Pregunta de Prctica
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
152/159
1-3. El ambiente regulatorio para la mayora de lasorganizaciones establece que se debe realizaruna variedad de actividades relacionadas conla seguridad. Lo MS importante es que el ISM:
A. recurra al rea jurdica corporativa para informarse sobrecules son las regulaciones aplicables.
B. se mantenga actualizado sobre todas las regulacionesaplicables y solicitar al rea jurdica su interpretacin.
C. requiera la participacin de todos los departamentosafectados y tratar a las regulaciones como otro riesgo.
D. ignore muchas de las disposiciones que no son realmenteefectivas.
Pregunta de Prctica
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
153/159
1-4. La consideracin MS importante paradesarrollar polticas de seguridad es que:
A. se basen en un perfil de amenaza
B. sean completas y no omitan ningn detalleC. la gerencia las apruebeD. todos los empleados las lean y las entiendan
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
154/159
Pregunta de Prctica
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
155/159
1-6. La asignacin de roles y responsabilidadesser MS EFECTIVA si:
A. Hay soporte de la alta gerenciaB. Las asignaciones son consistentes con las
competenciasC. Los roles estn mapeados con las competencias
requeridasD. Las responsabilidades son tomadas
voluntariamente
Pregunta de Prctica
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
156/159
1-7. El PRINCIPAL beneficio que obtienen lasorganizaciones de un gobierno eficaz deseguridad de la informacin es:
A. garantizar un cumplimiento regulatorio apropiadoB. garantizar niveles de interrupcin aceptablesC. priorizar la asignacin de recursos correctivosD. maximizar el retorno de la inversin en seguridad
Pregunta de Prctica
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
157/159
1-8. Desde el punto de vista del ISM, los factoresMS importantes con respecto a la retencin dedatos son:
A. Requerimientos regulatorios y de negocioB. Integridad y destruccin de documentosC. Disponibilidad de medios y almacenamientoD. Confidencialidad y encriptacin de datos
Pregunta de Prctica
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
158/159
1-9. Cul de los siguientes roles est en la MEJORposicin para revisar y confirmar que una lista deacceso de usuarios es apropiada?
A. El dueo de los datosB. El ISMC. El administrador del dominioD. El gerente de negocio
-
7/29/2019 2011 CISM Review Course Ch1 - EPN (1)
159/159