Post on 24-Jan-2016
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5 Gobierno Efectivo de la Seguridad de la Información
• BMIS - Una clara estrategia organizacional para la preservación es igualmente importante y debe acompañar a la estrategia para el progreso.
• CMU - Ver una seguridad adecuada como un requerimiento no negociable para estar en el negocio.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.1 Metas y objetivos del negocio
• El gobierno corporativo es el conjunto de responsabilidades y prácticas ejercidas por el directorio y el equipo ejecutivo.
• Sus metas pueden incluir:– Entregar dirección estratégica– Asegurar el logro de los objetivos– Asegurar que los riesgos son gestionados apropiadamente– Verificar que los recursos de la compañía son utilizados
responsablemente
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.1 Metas y objetivos del negocio
• ¿Qué es Gobierno de seguridad de la información?− Es un subconjunto del Gobierno Corporativo− Entrega dirección estratégica a las actividades de
seguridad y asegura el logro de los objetivos− Asegura que el riesgo de seguridad de la
información se gestione apropiadamente− También ayuda a asegurar que los recursos de
información son utilizados responsablemente.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.1 Metas y objetivos del negocio
• En orden a asegurar la efectividad del Gobierno de seguridad de la información, la gerencia debe establecer y mantener un marco de trabajo− Este marco de trabajo deberá guiar el desarrollo
y gestión de un programa de seguridad de la información consistente que apoye los objetivos de negocios
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.1 Metas y objetivos del negocio
El marco de trabajo de gobierno generalmente consistirá en:— Una estrategia de seguridad completa vinculada con los
objetivos del negocio— Las políticas de Seguridad deben ocuparse de cada aspecto
estratégico, controles y regulaciones— Un conjunto completo de estándares para cada política — Una estructura organizacional libre de conflictos de
intereses con la suficiente autoridad y recursos— Métricas y procesos de monitoreo para garantizar el
cumplimiento y entregar retroalimentación
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.2 Alcance y estatutos del gobierno de la seguridad de
la información
• Seguridad de la Información se ocupa de todos los aspectos de la información.
• Seguridad de TI es concerniente a la seguridad de la información en los límites del dominio de la tecnología.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.2 Alcance y estatutos del gobierno de la seguridad de
la información
• La Corporate Government Task Force (Grupo de Trabajo de gobierno corporativo) de la National Security Partnership [Sociedad de seguridad nacional], un grupo de trabajo especial conformado por líderes corporativos y del gobierno, ha identificado un conjunto básico de principios para ayudar a dirigir la implementación de un gobierno efectivo de seguridad de la información:
— Los CEO deben asegurarse de que se lleve a cabo una evaluación anual de la seguridad de la información, deben revisar los resultados de la evaluación con el personal y presentar ante el consejo de dirección información sobre el desempeño.
— Las organizaciones deben llevar a cabo evaluaciones periódicas de riesgos con respecto a los activos de información como parte de un programa de gestión de riesgos.
— Las organizaciones deben implementar políticas y procedimientos basados en las evaluaciones de riesgos para proteger los activos de información.
— Las organizaciones deben establecer una estructura de gestión de la seguridad para asignar roles, deberes, facultades y responsabilidades individuales explícitas.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.2 Alcance y estatutos del gobierno de la seguridad de
la información• La Corporate Government Task Force (Grupo de Trabajo de gobierno corporativo) de la National
Security Partnership [Sociedad de seguridad nacional], un grupo de trabajo especial conformado por líderes corporativos y del gobierno, ha identificado un conjunto básico de principios para ayudar a dirigir la implementación de un gobierno efectivo de seguridad de la información:
— Las organizaciones deben desarrollar planes y tomar acciones para brindar una seguridad de la información apropiada para las redes, equipos, sistemas e información.
— Las organizaciones deben tratar la seguridad de la información como una parte integral del ciclo vital del sistema.
— Las organizaciones deben proporcionar concienciación, capacitación y formación en seguridad de la información al personal.
— Las organizaciones deben realizar pruebas y evaluaciones periódicas de la efectividad de las políticas y procedimientos de seguridad de la información.
— Las organizaciones deben desarrollar y ejecutar un plan para tomar acciones correctivas para resolver cualquier deficiencia en la seguridad de la información.
— Las organizaciones deben desarrollar e implementar procedimientos de respuestas a incidentes.— Las organizaciones deben establecer planes, procedimientos y pruebas para brindar continuidad a las
operaciones.— Las organizaciones deben aplicar las mejores prácticas en seguridad, tales como ISO 27001, para medir el
desempeño de la seguridad de la información.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.3 Roles y responsabilidades de la alta dirección
• Consejo de dirección/Alta dirección:— Gobierno de seguridad de la información
• Dirección ejecutiva:— Implementar un gobierno efectivo de seguridad y definir los objetivos
estratégicos de seguridad • Comité directivo:
— Asegurar que todas las partes interesadas impactadas por consideraciones de seguridad estén involucradas.
• CISO:— Las responsabilidades van desde el CISO (quien reporta al CEO) hasta
los administradores de sistemas que tiene una responsabilidad de medio tiempo por la gerencia de la seguridad
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.4 Roles y responsabilidades de la seguridad de la información
Gerente de seguridad de la información: • Desarrolla la estrategia de seguridad con la colaboración de
unidades clave del negocio y la aprobación de la estrategia por parte de la alta dirección.
• Educar a la gerencia
La seguridad de la información requiere: • Liderazgo y respaldo continuo por parte de la alta dirección• Integración con las gerencias de la unidad de negocio y
organizacional, así como de su cooperación• Establecimiento de los canales de reporte y comunicación
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.5 Gobierno, gestión de riesgos y cumplimiento
GRC – Enfoque adoptado por muchas organizaciones para combinar procesos de aseguramiento que incluyen:• Auditoría interna• Programas de cumplimiento (SOX)• Gestión de riesgos empresariales (ERM)• Gestión de incidentes
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.5 Gobierno, gestión de riesgos y cumplimiento
Gobierno: • Es responsabilidad de _______________• Su foco está en _____________________Gestión de riesgos: • Es un _____________________________• Desarrolla e implementa _____________Cumplimiento:• Es el _______ que _________________
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.5 Gobierno, gestión de riesgos y cumplimiento
Un programa de GRC de TI generalmente incluye:• Controles y librerías de políticas• Distribución de políticas y respuesta• Autoevaluación de controles de TI y medición• Repositorio de activos de TI• Recopilación automatizada de control de computadoras
general• Gestión de correcciones y excepciones• Reporte• Evaluación avanzada de riesgos de TI y tableros de
cumplimiento
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.6 Modelo de negocios para la seguridad de la información
• Modelo creado por el Institute for Critical Information Infrastructure Protection.
• Un enfoque orientado a negocios para gestionar la seguridad de la información.
• Se ve mejor como un sistema flexible, en 3-D, la estructura piramidal compuesta por cuatro elementos unidos por seis interacciones dinámicas.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.6 Modelo de negocios para la seguridad de la información
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.6 Modelo de negocios para la seguridad de la información
Diseño y Estrategia de la Organización
Una organización es una red e personas, activos y procesos interactuando entre sí con roles
definidos y trabajando para alcanzar una meta común. La estrategia de la empresa especifica
sus metas de negocio y los objetivos que e deben alcanzar, así como los valores y las misiones que
se deben perseguir. El diseño define la manera en que la organización implementa su estrategia. Los procesos, la cultura y la arquitectura son
importantes para determinar el diseño.
ARQUITECTURA
CULTURA
Diseño/Estrategia
ORGANIZACION
DAR SOPORTESURGIMIEN
TO
FACTORES HUMANOSTECNOLOGÍARECURSO
HUMANO
PROCESOSDE NEGOCIO
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.6 Modelo de negocios para la seguridad de la información
ARQUITECTURA
CULTURA
Diseño/Estrategia
ORGANIZACION
DAR SOPORTESURGIMIEN
TO
FACTORES HUMANOSTECNOLOGÍARECURSO
HUMANO
PROCESOSDE NEGOCIO
Personas: Los recursos humanos y los aspectos de seguridad que los rodean.
Define quién implementa cada parte de la estrategia.
Estrategias de reclutamiento • Acceso, verificaciones de antecedentes, entrevistas, roles y
responsabilidades
Aspectos relacionados con el empleo• Ubicación de la oficina, acceso a herramientas y datos,
capacitación y concientización, movimiento dentro de la empresa
Término de relaciones laborales• Razones de la desvinculación, momento de la salida, acceso a
los sistemas, acceso a otros empleados
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.6 Modelo de negocios para la seguridad de la información
ARQUITECTURA
CULTURA
Diseño/Estrategia
ORGANIZACION
DAR SOPORTESURGIMIEN
TO
FACTORES HUMANOSTECNOLOGÍARECURSO
HUMANO
PROCESOSDE NEGOCIOPr
oces
osIncluye mecanismos formales e informales para realizar las tareas. Identifican, miden, gestionan y controlan el riesgo, la disponibilidad, la integridad y la confidencialidad, además de asegurar la responsabilidad.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.5.6 Modelo de negocios para la seguridad de la información
ARQUITECTURA
CULTURA
Diseño/Estrategia
ORGANIZACION
DAR SOPORTESURGIMIEN
TO
FACTORES HUMANOSTECNOLOGÍARECURSO
HUMANO
PROCESOSDE NEGOCIO
Tecnología
• Conformada por todas las herramientas, aplicaciones y la infraestructura que incrementa la eficiencia de los procesos.
• Como elemento en evolución que experimenta cambios frecuentes, tiene sus propios riesgos dinámicos.
• Dada la típica dependencia de la tecnología que exhiben las organizaciones, la tecnología constituye una parte esencial de la infraestructura de la empresa y un factor crítico para alcanzar la estrategia.