Gobierno de La Seguridad de La Información

7/25/2019 Gobierno de La Seguridad de La Informacin

1/54

GOBIERNO DE LASEGURIDAD

DE LA INFORMACIN


2/54

DEFINICION DE GOBIERNO DE SEGURIDADDEFINICION DE GOBIERNO DE SEGURIDAD DE LAINFORMACIONDE LA INFORMACION

Conjunto de responsabilidades y practicas, ejercidas por el consejo y ladireccin ejecutiva con la finalidad de brindar una direccin estratgica,

garantizar que se logren los objetivos, determinar que los riesgos seadministraran en forma apropiada y verificar que los recursos de laempresa se utilizan con responsabilidad

Informe sobre el gobierno de TI da edicin !IT"I#


3/54

INTRODUCCION AL GOBIERNO DE SEGURIDAD DE LAINFORMACION

Informacin$ datos con significado y propsito%

&s un componente indispensable para realizar negocios%

&s dif'cil encontrar una organizacin sin TI y que no dependa de la informacin que

procesa% (os sistemas de informacin dominan la sociedad y los negocios con dependencia

absoluta sobre estos y los datos que manejan%

(a informacin y los activos intangibles de una organizacin representan el )*+ de

su valor de mercado !eg-n el Instituto .roo/ins#%

(os da0os a la integridad de la informacin pueden ser devastadores para una

organizacin%


4/54


1urante los -ltimos 2 a0os los delitos y el vandalismo inform3tico 4a crecido

enormemente%

(a complejidad, importancia y criticidad de la seguridad de la informacin y sugobierno e5igen un tratamiento y un respaldo por parte de los niveles mas altos de unaorganizacin%

(a proteccin se 4a enfocado a las TI y no a la informacin en si misma, 4oyen d'a se busca un nivel de integracin, aseguramiento del proceso y seguridad

generala tarea de brindar una proteccin adecuada a los recursos de informacin el tematiene que elevarse a una actividad a nivel de consejo como sucede con otras funcionescriticas de gobierno% (a complejidad, importancia y criticidad de la seguridad de lainformacin y su gobierno e5igen un tratamiento y un respaldo por parte de los niveles

mas altos de una organizacin%(a proteccin se 4a enfocado a las TI y no a la informacin en si misma, 4oy en d'ase busca un nivel de integracin


5/54


(a seguridad de TI trata de la seguridad de la tecnolog'a y por lo general semaneja desde el nivel del director de informacin !CI6#% (a seguridad de lainformacin trata la totalidad de riesgos, beneficios y procesos que est3nrelacionados con la informaciny debe ser impulsada por la direccin ejecutiva yrespaldada por el consejo de administracin%

&l avance de la TI y la capacidad para acceder, manipular y utilizar lainformacin 4an aportado enormes oportunidades y beneficios a la econom'aglobal, esto tambin 4a tra'do riesgos sin precedentes y un desconcertantemosaico de leyes y regulaciones vigentes y pendientes%

e 4a generado una dependencia de la informacin y de los sistemas que lasoportan%

&l gobierno de la seguridad de la informacin es responsabilidad del consejo deadministracin y la direccin ejecutiva% 1ebe ser parte integral y transparente delgobierno de la empresa% Consiste en el liderazgo, las estructuras y los procesosorganizacionales que salvaguardan la informacin%


6/54

IMPORTANCIA DEL GOBIERNO DE SEGURIDAD DE LAINFORMACIN

Informacin es la esencia del conocimiento%

&l conocimiento se capta, transporta y almacena como informacin organizada%

&l conocimiento se esta volviendo r3pidamente en el -nico factor de la

productividad, dejando de lado al capital y a la mano de obra% !7eter 1ru/er#8uc4as organizaciones consideran a la informacin y el conocimiento activos tan

importantes sin los cuales seria imposible dirigir el negocio%

Como las TI promueven una mejora radical en el desempe0o del negocio, la

seguridad de la informacin eficaz, puede a0adir valor significativo a laorganizacin, al reducir perdidas derivadas de eventos relacionados con la

seguridad brindando confianza, seguridad%


7/54

RESULTADOS DEL GOBIERNO DE LA SEGURIDAD

7ara proporcionar confianza sobre una adecuada y efectiva seguridad de lainformacin a la alta direccin 4ay que tener en cuenta$


8/54

GOBIERNO EFICAZ DE LA SEGURIDAD DE INFORMACION

"obernar para la seguridad de una empresa significa ver una seguridad

adecuada como un requerimiento no negociable de estar en el negocio% i la

gerencia de una organizacin, incluso su consejo de administracin, directores

y todos los gerentes, no establece, ni fortalece la necesidad del negocio de

contar con una seguridad efectiva para la empresa, no ser3 posible estructurar,alcanzar ni mantener el estado deseable de seguridad de la organizacin%

7ara lograr una capacidad sustentable, las organizaciones deben 4acer que la

seguridad de la empresa sea responsabilidad de los lideres a un nivel de

gobierno, no de los roles de la organizacin que no tienen autoridad,responsabilidad ni recursos para actuar ni e5igir el cumplimiento

9ulia :llen !Carnegie 8ellon ;niversity#


9/54

METAS Y OBJETIVOS DEL NEGOCIO

&l gobierno corporativo es un conjunto de responsabilidades y practicas, ejercidas por el

consejo y direccin ejecutiva, con la finalidad de brindar una direccin estratgica,

garantizar que se logran los objetivos, determinar que los riesgos se administran en formaapropiada y verificar que los recursos de la empresa se utiliza con responsabilidad%

&l gobierno de la seguridad de la informacin, es un subconjunto del gobierno corporativo,

que proporciona una direccin estratgica a las actividades de la seguridad y garantiza que

se alcancen los objetivos% "arantiza tambin que los riesgos relacionados con la seguridad

de informacin se administren de forma apropiada y que los recursos de informacin de la

empresa se utilicen con responsabilidad%


10/54

MARCO DE GOBIERNO PARA ALCANZAR LA SEGURIDAD DE LAINFORMACIN

2% ;na estrategia integral de seguridad que est vinculada de manera intr'nseca

con los objetivos del negocio%

% 7ol'ticas de seguridad de gobierno que traten cada aspecto de la estrategia, los

controles y la regulacin%


11/54

R E L A C I O N E S D E L O S R E S U L T A D O S D E LG O B I E R N O D E S E G U R I D A D C O N L A SR E S P O N S A B I L I D A D E S G E R E N C I A L E S


12/54

R E L A C I O N E S D E L O S R E S U L T A D O S D E LG O B I E R N O D E S E G U R I D A D C O N L A SR E S P O N S A B I L I D A D E S G E R E N C I A L E S


13/54

CONCEPTO DE SEGURIDAD DE LA INFORMACION

&ntre los principales conceptos de seguridad que un gerente de seguridad

de la informacin debe conocer a profundidad son$

CONFIDENCIALIDAD% 7revencin de divulgacin accidentalINTEGRIDAD$ :seguramiento de que los datos no 4an sido modificadossin autorizacin%

DISPONIBILIDAD$ :ccesible y utilizable cuando se requiera

I876@T

:AT&

P!"o t&'(i#n "!)*i!"! conoc!" conc!+tos co'o,,-


14/54

CONCEPTOS DE SEGURIDAD DE LA INFORMACION

AUDITABILIDAD% 7ermitir la reconstruccin, revisin y an3lisis de la

secuencia de acontecimientosIDENTIFICACION%Berificacin de una persona o cosa, reconocimiento%

AUTENTICACION$ 7roporcionar una prueba de identidad, puede ser algo quese sabe, es o tiene%

AUTORIZACION$ (o que se permite cuando se 4a otorgado acceso%

NO REPUDIO$ Ao se puede negar un evento o una transaccin%

SEGURIDAD ESTRATIFICADA% 1efensa profunda que contemple elriesgo al da0o%

CONTROL DE ACCESO% "arantizar solo acceso autorizado a entidadesautenticadas%

METRICAS DE SEGURIDAD. MONITOREO% 8edicin de actividades deseguridad%


15/54


GOBIERNO% 7roporcionar control y direccin a las actividades%

ESTRATEGIA% (os pasos que se requieren para alcanzar un objetivo%

AR/UITECTURA$ &l dise0o de la estructura y las relaciones de estos elementos%

GERENCIA$ Bigilar las actividades para garantizar que se alcancen los objetivos

RIESGO$ (a e5plotacin de una vulnerabilidad por parte de una amenaza%

E0POSICIONES% reas que son vulnerables a impacto por parte de unaamenaza%

VULNERABILIDADES$ 1eficiencias que pueden ser e5plotadas por amenazas%

AMENAZAS% Cualquier accin o evento que puede ocasionar consecuenciasadversas%


16/54


RIESGO RESIDUAL$ &l riesgo que permanece despus de que se 4an

implementado contramedidas y controles%

IMPACTO% (os resultados y consecuencias de que se materialice un riesgo%

CRITICIDAD$ (a importancia que tiene un recurso para un negocio%

SENSIBILIDAD% &l nivel de impacto que tendr'a una divulgacin noautorizada%

ANALISIS DEL IMPACTO DEL NEGOCIO% &valuar los resultados y lasconsecuencias del riesgo al da0o%

ANALISIS DE DEPENDENCIA DEL NEGOCIO% &l grado al cual elnegocio depende de un recurso%

ANALISIS DIFERENCIAL$ (a diferencia entre la realidad y el objetivo%


17/54

CONCEPTO DE SEGURIDAD DE LA INFORMACION

CONTROLES$ Cualquier accin o proceso que se utiliza para mitigar elriesgo%

CONTRAMEDIDAS$ Cualquier accin o proceso que reduce lavulnerabilidad%

POLITICAS% 1eclaracin de alto nivel sobre el empe0o y la direccin dela gerencia%

NORMAS% &stablece los limites permisibles de acciones y procesos paracumplir con la pol'tica%

ATA/UES% Tipos y naturaleza de los riesgos de da0o a la seguridad%CLASIFICACION DE DATOS% &l proceso de determinar la sensibilidady criticidad de la informacin%


18/54

T!cnolo12&s ! s!1*"i& )*! s! !(!n conoc!"%Fi"!3&lls

A'inist"&ci4n ! c*!nt&s ! *s*&"io

D!t!cci4n 5 +"!6!nci4n ! int"*sos

Anti6i"*s

Inf"&!st"*ct*"& ! ll&6! +*(lic&

Acc!so "!'oto

Fi"'& i1it&l

Int!"c&'(io !l!ct"4nico ! &tos 7EDI8 5 T"&nsf!"!nci& !l!ct"4nic& ! fonos 7EFT8

C&+& ! soc9!t s!1*"& 7SSL8

Con!:i4n ;nic& < sin1l!=si1n=on 7SSO8

Bio'!t"2&

Enc"i+t&ci4n

C*'+li'i!nto ! +"i6&ci&

R!!s +"i6&&s 6i"t*&l!s 7VPNs8

T"&nsf!"!nci& !l!ct"4nic& s!1*"& 7SET8

Fo"!ns!

T!cnolo12& ! 'onito"!o


19/54


20/54


21/54

DESARROLLO DE UNA ESTRATEGIA DE SEGURIDAD

DIFICULTADES COMUNES

&5ceso de confianza, sobre la capacidad para 4acer c3lculos e5actos%6ptimismo, en los pronsticos%:nclaje !resultados futuros ancladas a e5periencias pasadas#(a tendencia del status quo, apego a enfoques familiares y conocidos auncuando estos sean ineficaces o inadecuados%Contabilidad mental inclinacin a categorizar y tratar el dinero demanera mental, diferente dependiendo de donde viene, donde se mantieney como se gasta%&l instinto gregario, caracter'stica 4umana que busca conformar y buscarla validacin mediante acciones de otras personas%Dalso consenso$

E Tendencia a la confirmacinE @ecuerdos selectivosE &valuacin subjetivaE 7ensamiento de grupo


22/54

OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LAINFORMACION

&s necesario definir de manera especifica los objetivos de la seguridad de lainformacin% upone el conocimiento de dos factores$

(os activos de informacin se conocen con alg-n grado de precisin% &5ista un entendimiento asumido de lo que significa 7roteger% &s dif'cil

establecer que activos necesitan proteccin y contra que?%%

;tilizar un enfoque basado en niveles para determinar que tan critico es unactivo de informacin !cero significa que no tiene valor, cinco significa que tieneuna valor critico# ?? se vera en el an3lisis de riesgos?%%

Tambin las organizaciones debe utilizar clasificaciones de sensibilidad como$confidencial, de uso interno y publico%


23/54

OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LAINFORMACION

Ao ser3 posible desarrollar una estrategia rentable de seguridad de lainformacin que sea congruente con los requerimientos de negocio siantes no se$

1eterminan los objetivos de la seguridad de la informacin% (ocalizan e identifican los recursos de informacin% Bal-an los activos y recursos de informacin% Clasifican los activos de informacin con base a su criticidad ysensibilidad


24/54

DEFINICIN DE OBJETIVOS

;na estrategia de informacin es la base para un plan de accin, que

permita alcanzar los objetivos de seguridad%

&s preciso definir los objetivos en trminos de un &stado deseado deseguridad%

i no se cuenta con una estrategia, es imposible desarrollar un plan de

accin%

8uc4os objetivos se establecen en trminos de mitigacin oadministracin de riesgos%

&s probable que una revisin de los planes de negocio estratgicos de la

organizacin revele oportunidades para que las actividades de seguridadde informacin apoyen mas o permitan una nueva posibilidad de negocioparticular%


25/54

,-- Un !>!'+lo

(a implementacin de una infraestructura de llave publica !7FI#puede permitir la realizacin de transacciones de alto valor entresocios comerciales o clientes confiables% ;tilizar B7As puede darlea la fuerza de ventas una conectividad remota segura que le

permita un mejor desempe0o &n otras palabras la seguridad de lainformacin puede facilitar que se lleven a cabo actividades denegocio que de otro modo serian demasiado riesgosas o comosucede con muc4a frecuencia, se realizan con la esperanza de quenada falle?%


26/54

EL ESTADO DESEADO

e utiliza para denotar una visin general de todas las condiciones

relevantes en un momento particular, incluye personas, procesos ytecnolog'a%

1efinir un estado deseado de seguridad en trminos cuantitativos esimposible, por lo que debe definirse en trminos cualitativos de atributos,caracter'sticas y resultados%

&5isten diversos enfoques disponibles que permiten proporcionar unmarco a fin de alcanzar un estado deseado de seguridad bien definido, losde mas aceptacin son$ C6.IT, C88, C;:1@6 1& 8:A16, I6GI&C2HHGI6 H**2


27/54

COBIT

6bjetivos de control para la Informacin y tecnolog'as relacionadas!C6.IT# se enfoca a los controles de TI desde la perspectiva del gobiernode TI, gerencia y control%

&s un marco poderoso y bien desarrollado que puede servir a losobjetivos de seguridad de la informacin%

(os controles se definen como las pol'ticas, procedimientos, practicas yestructuras organizacionales que est3n dise0ados para brindar unaconfianza razonable de que se alcanzaran los objetivos del negocio y que seevitaran o detectaran los incidentes no deseados%

(os objetivos de control se definen como una declaracin del resultadodeseado o propsito que se va a lograr mediante la implementacin deprocedimientos de control en un proceso en particular%


28/54

COBIT

1efina al gobierno corporativo como un conjunto de responsabilidades ypr3cticas que ejerce el consejo de administracin y la direccin ejecutivacon el propsito de brindar una direccin estratgica, garantizar que sealcancen los objetivos, determinar que los riesgos se administran en formaapropiada y verificar que los recursos de la empresa se utilizan en formaresponsable%

C6.IT, establece


29/54

CMM

&l estado de seguridad tambin puede definirse como alcanzar un nivel

especifico en el 8odelo de capacidad de madurez !C88#%


30/54

CUADRO DE MANDO INTEGRAL

&s un sistema de gerencia !no solo un sistema de medicin# que permite a

las organizaciones aclarar su visin y estrategia y llevarlas a cabo%

6frece retroalimentacin tanto sobre los procesos internos de negocio y losresultados e5ternos para continuar mejorando el desempe0o estratgico y losresultados%

Cuando se utiliza en su totalidad, el cuadro de mando integral, transformalos planes estratgicos de un ejercicio acadmico en el centro neur3lgico deuna empresa%


31/54

ISO @IEC ISO@IEC

(as 3reas que se definen en este est3ndar pueden brindar un marco -tilpara alcanzar un buen entendimiento de la seguridad organizacional% 1e

igual forma, se deben crear normas y pol'ticas que permitan monitoreardirectamente cada uno de los elementos de la norma%

7rincipales divisiones de I6GI&C H**2$**>

7ol'tica de seguridad

6rganizacin de la seguridad de la informacin:dministracin de activoseguridad de los recursos 4umanoseguridad f'sica y ambiental8anejo de comunicaciones y operacionesControl de acceso:dquisicin, desarrollo y mantenimiento de la seguridad de

informacin8anejo de incidentes relacionados con la seguridad de informacin8anejo de la continuidad del negocioCumplimiento


32/54

DETERMINACION DEL ESTADO ACTUAL DE LA SEGURIDAD

&s preciso determinar el estado actual de la seguridad de informacinutilizando las mismas metodolog'as o la combinacin de las que se aplicaronpara definir los objetivos de la estrategia o el estado deseado%

&sto proporcionara una comparacin equitativa entre el estado deseado y loactual para as', realizar un an3lisis diferencial, que determinara lo que senecesita para alcanzar los objetivos%

RIESGO ACTUAL% se determina mediante una evaluacin integral deriesgos, incluye un an3lisis de amenazas y vulnerabilidades%

EVALUACION@ANALISIS DEL IMPACTO DEL NEGOCIO% Tambinse debe incluir un .I: e54austivo para ayudar a terminar de conformar la

imagen del estado actual%

La estrategia debe resolver la diferencia entre niveles aceptables deimpacto y el nivel actual del posible impacto.


33/54

ESTRATEGIA DE SEGURIDAD DE INFORMACION

:4ora ya es posible desarrollar una estrategia significativa, que permita ir

del estado actual al deseado%;n conjunto de objetivos de seguridad de informacin junto con procesos,mtodos, 4erramientas y tcnicas disponibles proporcionan los medios paraelaborar la estrategia de seguridad%

Ao solo 4ay que pensar en controles, aun cuando son importantes, no sonel -nico elemento con el que cuenta la estrategia%

(a meta de la seguridad es el aseguramiento del proceso del negocioindependientemente del que se trate%

:lgunos argumentan que la meta principal es proteger los activos deinformacin, sin embargo, es solo un activo en la medida que apoya elpropsito principal del negocio, generando ganancias !o servicios rentables#mediante procesos de valor agregado%


34/54

ELEMENTOS DE UNA ESTRATEGIA

/*! !(! incl*i" *n& !st"&t!1i& ! s!1*"i&

;na vez definido el punto de partida y el punto de destino, a4ora 4ayque considerar$E Jue recursos est3n disponibles yE Cuales son las limitaciones que deben considerarse al desarrollarse unadirectriz%

(a directriz para alcanzar un estado deseado seguro y definido incluye$

E "enteE 7rocesosE Tecnolog'asE &ntre otros recursos?%

&s prudente, entonces desarrollar una arquitectura de seguridad%


35/54

7ol'ticasAormas7rocedimientos(ineamientos:rquitectura!s#

Controles K f'sicos, tcnicos y deprocedimientos

CapacitacinConcientizacin y formacin:uditorias&5igencia de cumplimiento:n3lisis de amenazas

:n3lisis de vulnerabilidad&valuacin de riesgosContramedidas

1efensas estratificadasTecnolog'aseguridad del personal&structura organizacional@oles y responsabilidades

Labilidades&valuacin del impacto del negocio:n3lisis de dependencia de recursos7roveedores e5ternos de seguridad6tros proveedores de soporte y

aseguramiento organizacionalInstalaciones

eguridad ambiental

R!c*"sos 5 li'it&cion!s ! l& !st"&t!1i&

R!c*"sos


36/54

R!c*"sos 5 li'it&cion!s ! l& !st"&t!1i&

Li'it&cion!s%

(eyes$ requerimientos legales y regulatoriosD'sicas$ limitaciones en capacidad, espacio y ambienteMtica$ apropiadas, razonables y 4abitualesCultura$ tanto dentro como fuera de la organizacinCostos$ tiempo, dinero7ersonal$ resistencia al cambio y resentimiento contra nuevas

limitantes&structura organizacional@ecursos$ de capital, tecnolgicos y 4umanosCapacidades$ conocimiento, capacitacin, 4abilidades y

conocimientos especializados%Tiempo$ de oportunidad y cumplimiento forzosoTolerancia al riesgo$ amenazas, vulnerabilidades e impactos%


37/54

RECURSOS DE LA ESTRATEGIA

POLITICAS Y NORMAS7ol'ticas$ son declaraciones de alto nivel de la intencin, las e5pectativas

y la direccin de la gerencia%(a pol'tica se considera como la constitucin del gobierno de la seguridad

de la informacin%

Aormas$ son mtricas, limites permisibles o el proceso que se utiliza paradeterminar si los procedimientos cumplen con los requerimientos queestablecen las pol'ticas%

7rocedimientos$ deben ser claros e incluir todos los pasos necesarios paracumplir con las tareas especificas% 1eben incluir los pasos que serequieren cuando ocurren resultados inesperados%

(ineamientos$ contiene informacin que ayuda a ejecutar losprocedimientos% 7ueden incluir dependencias, sugerencias y ejemplos,notas aclaratorias de los procedimientos, antecedentes, 4erramientas,etc%


38/54


AR/UITECTURA7s8

(a arquitectura de la seguridad de la informacin es an3loga a laarquitectura de edificios% Comienza con un concepto, una serie de objetivosde dise0o que deben cumplirse !ej% (a funcin que tendr3? si ser3 un4ospital, escuela, etc%#%1espus se transforma en un modelo una apro5imacin en modelo,borrador de la visin creada a partir de materia prima % : esto sigue lapreparacin de programas detallados o 4erramientas que se utilizaran partransformar la visinGmodelo en un producto real y terminado% 7or -ltimo,esta el edificio en si mismo, la realizacin o resultado de las etapas previas%


39/54


CONTROLES e definen como pol'ticas, procedimientos, practicas y estructuras

organizacionales que est3n dise0adas para brindar confianzarazonable de que se alcanzaran los objetivos del negocio y que seevitaran, o bien detectaran y corregir3n los incidentes no deseados%

7ueden ser f'sicos tcnicos o de procedimientos y su eleccin puede,basarse en factores como la garant'a de su efectividad, que no seancostosos o restrictivos para las actividades del negocio%

Controles de TI Controles que no se relacionan con TI 1efensas estratificadas o defensa profunda$ Considerar el an3lisis de

la dependencia e5cesiva en un -nico control%


40/54


41/54

RECURSOS DE LA ESTRATEGIADEFENSA PROFUNDA POR ACCION


42/54


PERSONAL

7uesto que las e5posiciones al da0o mas costosas y perjudiciales son casisiempre el resultado de actividades iniciadas desde el interior, la primeral'nea de defensa es intentar garantizar la confianza y la integridad delpersonal%

&j% Cuando es pol'tica organizacional que el correo electrnico no seaprivado y que puede ser inspeccionado por la compa0'a y los empleadostienen pleno conocimiento de dic4a pol'tica%1ebe ser prudente desarrollar una pol'tica y normas de investigacin deantecedentes que deber3n ser revisadas por el departamento de personal ylegal%


43/54


ESTRUCTURA ORGANIZACIONAL

(as estructuras jer3rquicas de los gerentes de seguridad de lainformacin son sumamente variables%

(a composicin cultural de una organizacin es un factor determinantepara saber si la organizacin de la seguridad es mas efectiva si se utilizaun enfoque centralizado o descentralizado%

ROLES Y RESPONSABILIDADES

(os roles, responsabilidades y las capacidades que se requieren paracada puesto de trabajo deben estar definidos y documentados? !86D,@6D#


44/54


CAPACIDADES

Tener un inventario de capacidades ayuda a determinar los recursos queest3n disponibles par desarrollar la estrategia de seguridad%

CONCIENTIZACION Y FORMACION

Considerar la necesidad de desarrollar mtodos y procesos quepermitan que las pol'ticas, normas y procedimientos sean mas f3ciles deseguir, implementar y monitorear% @eforzar la importancia de laseguridad ante los usuarios a travs de un programa de concientizacin%

&sta demostrado que en casi todas las organizaciones la mayor parte del

personal no conoce las pol'ticas y normas de seguridad, ni siquieracuando estas e5isten%


45/54


AUDITORIAS (as auditorias internas yGo e5ternas son procesos principales que

permiten identificar deficiencias en la seguridad de la informacindesde la perspectiva de controles y cumplimiento%

(a ley arbane5N65ley, indica que es necesario 4acer pruebas a loscontroles cada a0o%

E0IGENCIA DE CUMPLIMIENTO (os procedimientos de seguridad deben estar aprobados y respaldados

por la alta direccin, sobretodo en lo que respecta a e5igir sucumplimiento%

&l enfoque mas efectivo para alcanzar el cumplimiento es un sistema de

auto informe y cumplimiento voluntario, con base en que la seguridades claramente un beneficio para todos%


46/54


ANALISIS DE AMENAZAS &s un componente del an3lisis de riesgo y el resultado es un

elemento crucial de la estrategia% (a estrategia debe tener en cuenta los tipos, naturaleza y magnitud

de las amenazas cuando se desarrollen contramedidas y controles, as'como los atributos de una arquitectura de seguridad

ANALISIS DE VULNERABILIDAD @ealizar una evaluacin e54austiva de las vulnerabilidades en los

procesos, tecnolog'as y equipos% 7or lo general, los procesos yequipos son los mas vulnerables, sin embargo con frecuencia son losmenos evaluados, por la complejidad que implica aplicarlesevaluaciones%


47/54


EVALUACION DE RIESGOS

:un cuando la evaluacin de amenazas y vulnerabilidades se considereimportante, es necesario evaluar el riesgo al que est3 e5puesta laorganizacin%, aun cuando estas no representen ning-n riesgo para laorganizacin%

&jemplo?% 22 de setiembre?%%

&5isten varias formas de tratar el riesgo$

Aceptar el riesgo Mitigar el riesgo Transferir el riesgo (ej. contrato de seguros) Cesar la actividad que da origen al riesgoota. !e puede transferir el riesgo".. #ero no la responsabilidad legal


48/54


EVALUACION DEL IMPACTO DEL NEGOCIO &s lo esencial del riesgo, los riesgos que no pueden resultar en un

impacto que no se pueda apreciar obviamente, no sonimportantes%

ANALSIS DE LA DEPENDENCIA DE LOS RECURSOS &s otra perspectiva en la criticidad de los recursos de

informacin% e utiliza para garantizar que la estrategia incluyelos recursos que son cruciales para las operaciones%

PROVEEDORES E0TERNOS DE SEGURIDAD (os proveedores pueden operar con diferentes criterios y puede

ser dif'cil controlarlos%


49/54

PLAN DE ACCION PARA IMPLEMENTAR LA ESTRATEGIA

ANALISIS DIFERENCIAL 7(&s! +&"& *n +l&n ! &cci4n8

7ara implementar una estrategia ser3n necesarios uno o mas planes deaccin%

;n an3lisis diferencial que e5iste entre el estado actual y el estadodeseado de cada mtrica definida identifica los requerimientos yprioridades para un plan de accin%

&s necesario realizar un an3lisis diferencial para los diversoscomponentes de la estrategia como niveles de madurez, cada objetivo decontrol y cada objetivo de riesgo e impacto%

7odr'a ser necesario repetir este ejercicio anualmente para definirmtricas de desempe0o y de metas%

;n enfoque t'pico del an3lisis diferencial es trabajar en sentido inversodesde el punto final 4asta el estado actual y determinar los pasosintermedios que se requieren para alcanzar los objetivos%


50/54


ELABORACION DE POLITICAS

;no de los aspectos mas importantes del plan de accin ser3 crear omodificar pol'ticas y normas%

(as pol'ticas son la constitucin del gobierno, las normas son la ley% (as pol'ticas deben capturar la intensin, e5pectativas y direccin de la

gerencia% i el objetivo es dar cumplimiento al I6 H**2, cada uno de los 22

dominios respectivos y principales divisiones tienes que ser el tema deuna pol'tica%

(as pol'ticas deben estar debidamente elaboradas y contar con laaprobacin del consejo y direccin ejecutiva, y su difusin en toda laorganizacin%


51/54


ELABORACION DE POLITICAS

&5iste un gran numero de atributos de pol'ticas recomendables quedeben tenerse en cuenta$

E (as pol'ticas de seguridad deben ser una articulacin de unaestrategia

de seguridad de informacin bien definida y captar la intencin, lase5pectativas y la direccin de la gerenciaE Cada pol'tica debe establecer solo un mandato general de seguridad%E (as pol'ticas deben ser claras y de f3cil compresin para todas laspartes interesadas%E (as pol'ticas rara vez deben tener una e5tensin que e5ceda unas

cuantas oraciones%E @ara vez 4abr3 una razn para tener mas de una veintena depol'ticas%


52/54


ELABORACION DE NORMAS (as normas establecen los limites permisibles para procedimientos y

practicas de tecnolog'a y sistemas y para personas e incidentes% (as normas son la 4erramienta predominante para la implementacin de

un gobierno efectivo de seguridad y deben ser propiedad del gerente de

seguridad de la informacin% 7roporciona la vara que mide el cumplimiento de la pol'tica y una base

solida para realizar auditorias% 1eben darse a conocer a aquellos que se regir3n o se ver3n afectados%


53/54


CAPACITACION Y CONCIENTIZACION

;n plan de accin debe considerar un programa continuo deconcientizacin y capacitacin sobre seguridad%

&n la mayor'a de organizaciones, la evidencia indica que la mayor partedel personal no conoce las pol'ticas ni las normas de seguridad, ni siquieracuando e5isten%

METRICAS DEL PLAN DE ACCION ;n enfoque com-nmente usado es el C88, utilizado ampliamente por

C6.IT, el C88 ofrece una base para llevar a cabo un an3lisis diferencialcontinuo para determinar los avances realizados para alcanzar las metas%


54/54

PREGUNTAS Y RESPUESTAS

Gobierno de La Seguridad de La Información

Documents

Transcript of Gobierno de La Seguridad de La Información