Alumno: Yoendy Castellanos

Ensayo 1.
1.- Investiga cuales son las principales funciones de un CEO, CIO y el
encargado de seguridad en informtica
Dentro de las principales funciones de CEO:

Servir como soporte fuerte de informacin a la siguiente junta directiva o

consejo de administracin.
Planeacin y polticas relacionadas al desempeo de la organizacin.

Administracin de los recursos financieros.

Manejo del talento humano y delegacin de funciones a nivel general
Implementacin de una cultura organizacional.
Saber y conocer el manejo del producto o servicio que tenga la empresa

El CEO no puede tener tantas dudas ya que requiere de un margen fuerte ante los
dems as que debe de manifestar confianza y seguridad.
El tema central de un CEO es: Cmo ofrecer adecuadamente, a qu ritmo crecer y
cmo administrar ese crecimiento; y si no hay crecimiento, como hacer para salir
rpidamente del fondo
Dentro de las principales funciones de CIO:

Gestionar los proyectos de TI; Un proyecto de TI, es aprobado para

generar beneficios a los accionistas. Este principio debe estar claro por
parte del gerente de proyecto para aplicarlo en la planeacin y ejecucin del
proyecto.

Administrar los recursos de TI: Los recurso deben ser administrado,

teniendo en cuenta la criticidad.

Gestionar los servicios de TI: La calidad de los servicios de TI, deben ser
administrados a travs de un marco de referencia ITIL O COBIT.

Gestionar la continuidad y la seguridad. La seguridad es inherente a la

continuidad. El xito de los directores de tecnologa CIO, depende de la
calidad de los servicios y la disponibilidad de los recursos de TI.

El autocontrol y la autoevaluacin.

Las mtricas permiten hacer un

autocontrol de los procesos de TI. El CIO, como director del rea de TI

debe gestionar estas dos actividades dentro de su rea.

Generar y mostrar beneficios de los recursos de TI a las partes interesadas.

Dentro de las principales funciones del encargado de la seguridad informtica,

estn:
Existen diversas funciones que debe desempear un rea de seguridad
informtica y stas se pueden agrupar de la siguiente manera:

Lder de rea Esta figura, a la cual se le suele conocer como CISO (Chief
Information Security Officer - Oficial de Seguridad informtica). Entre sus
responsabilidades se encuentran:

Administracin del presupuesto de seguridad informtica

Administracin del personal

Definicin de la estrategia de seguridad informtica (hacia dnde hay que ir

y qu hay que hacer) y objetivos

Administracin de proyectos

Deteccin de necesidades y vulnerabilidades de seguridad desde el punto

de vista del negocio y su solucin
El lder es quien define, de forma general, la forma de resolver y prevenir
problemas de seguridad con el mejor costo beneficio para la empresa.

Normatividad
Es el rea responsable de la documentacin de polticas, procedimientos y
estndares

de

seguridad

as

como

del

cumplimiento

con

estndares

internacionales y regulaciones que apliquen a la organizacin. Dado que debe

interactuar de forma directa con otras reas de seguridad y garantizar
cumplimiento, es conveniente que no quede al mismo nivel que el resto de las
reas pero todas reportan al CISO. Por esta razn se le suele ver como un rea
que asiste al CISO en las labores de cumplimiento.
Operaciones Es el rea a cargo de llevar a cabo las acciones congruentes con la
estrategia definida por el CISO lograr los objetivos del rea (en otras palabras, la
"gente que est en la trinchera"). Entre sus responsabilidades se encuentran:

Implementacin, configuracin y operacin de los controles de seguridad

informtica (Firewalls, IPS/IDS, antimalware, etc.)

Monitoreo de indicadores de controles de seguridad

Primer nivel de respuesta ante incidentes (tpicamente a travs de acciones

en los controles de seguridad que operan)

Soporte a usuarios

Alta, baja y modificacin de accesos a sistemas y aplicaciones

Gestin de parches de seguridad informtica (pruebas e instalacin)

Supervisin Es el rea responsable de verificar el correcto funcionamiento de las
medidas de seguridad as como del cumplimiento de las normas y leyes

correspondientes (en otras palabras, brazo derecho del rea de normatividad).

Entre

sus

responsabilidades

se

encuentran:

Evaluaciones de efectividad de controles

Evaluaciones de cumplimiento con normas de seguridad

Investigacin de incidentes de seguridad y cmputo forense (2 nivel de

respuesta ante incidentes)

Atencin de auditores y consultores de seguridad

Noten que las actividades de monitoreo las realiza el rea de operaciones y no el
rea de supervisin. Esto es porque el monitoreo se refiere a la vigilancia del
estado de la seguridad de la empresa a travs de los controles, pero las
actividades del rea de supervisin se limitan a la vigilancia de las actividades de
seguridad que realizan otras reas. La nica excepcin es la investigacin de
incidentes. Operaciones no investiga porque en algunos casos podran se juez y
parte. Por ejemplo, en el caso de una intrusin no es vlido que el mismo personal
que operaba los controles que protegan el servidor investiguen el suceso porque
no puede haber objetividad (aunque no sea el propsito de la investigacin, de
cierta manera los resultados de la misma podran calificar indirectamente la
efectividad del personal del rea de operaciones). La razn por la cual es
preferible que esta rea sea el punto de contacto con auditores y consultores es
porque sus labores son afines y es ms probable que tengan a la mano la
informacin

que

requieran

sepan

quin

la

tiene.

Desarrollo
Es el rea responsable del diseo, desarrollo y adecuacin de controles de
seguridad

informtica

responsabilidades

(tpicamente

controles
se

de

software).

Entre

sus

encuentran:

Diseo y programacin de controles de seguridad (control de acceso,

funciones criptogrficas, filtros, bitcoras de seguridad de aplicativos, etc.)

Preparacin de libreras con funciones de seguridad para su uso por parte

del rea de Desarrollo de Sistemas

Soporte de seguridad para el rea de Desarrollo de Sistemas

Consultora

de

desarrollos

seguros

(integracin

de

seguridad

en

aplicaciones desarrolladas por Sistemas).

Bsicamente se trata de un rea de desarrollo enfocada a cuestiones de
seguridad. La razn de requerir un rea dedicada para esto es que la integracin
de controles efectivos en software es una tarea muy compleja; el perfil de un
programador promedio no incluye experiencia ni conocimientos en seguridad (y
particularmente en criptografa). Esta es la razn por la cual slo las grandes
empresas cuentan con un rea de desarrollo de seguridad que est formada por
especialistas

en

vez

de

programadores

ordinarios.

Dnde debe estar la funcin de Seguridad Informtica? Este es otro

problema para el cual no hay una respuesta nica. Podemos empezar por listar las
reas o direcciones de las cuales no debe de depender el rea de Seguridad
Informtica:

Sistemas - Mucho de lo que vigila el rea de operaciones de seguridad son

precisamente los sistemas y las redes de telecomunicacin. El rea de sistemas
tiene como prioridad la operacin, y los controles tienden a impactar de cierta
forma el desempeo y flujo operativo (pero no por esto dejan de ser necesarios).
El hecho de que Seguridad Informtica dependa del rea o Direccin de Sistemas
genera conflictos de inters.

Auditora Interna - La funcin de auditora es verificar la efectividad y

existencia de controles en todas las reas de la organizacin (incluyendo
Seguridad). Auditora no opera, pero el rea de Operaciones de Seguridad s, por
lo que habra conflictos de inters (Auditora revisara en parte algo que ella misma
hace, lo que la convertira en juez y parte)

Unidades operativas del negocio - por la misma razn que para el rea
de Sistemas

Por supuesto hay algunas reas que no hace mucho sentido que incluyan la
funcin de Seguridad Informtica (Recursos Materiales y Recursos Humanos, por
ejemplo), pero hay reas donde s puede colocarse esta funcin, como por
ejemplo:

Cumplimiento - Cumplimiento no es Auditora. El rea de Cumplimiento

define establece las normas internas y supervisa su aplicacin de la misma
manera que las reas de Normatividad y Supervisin lo hacen dentro de la funcin
de Seguridad Informtica.

Jurdico - Esta rea atiende todos los asuntos legales de la empresa.

Como tal el tener al rea de Seguridad dentro de la misma constituye un excelente
apoyo para implementar controles que garanticen el cumplimiento de la ley.

Finanzas - Esta rea se asegura del buen uso del dinero de la empresa.
Contar con un rea de Seguridad Informtica le permite asegurar la
implementacin adecuada de controles para minimizar riesgos que tengan impacto
econmico (fraudes, fugas de informacin, etc.). Dada la dependencia de los
sistemas informticos para el manejo de las finanzas en la actualidad este
esquema es una buena opcin para algunas empresas.

Riesgos - El rea de Seguridad Informtica dependiendo del rea de

riesgos permite controlar y evaluar la mitigacin de aquellos riesgos que afectan a
los sistemas informticos y la informacin que se almacena, procesa, genera o
transmite a travs de los mismos. Dada la dependencia que tienen muchos
procesos productivos de los sistemas de informacin en la actualidad, sta es una
buena opcin tambin para muchas empresas.

Direccin General - Permite tener un estricto control de los recursos

informticos de la Empresa. Desafortunadamente este esquema es difcil por la
diferencia de lenguajes y niveles entre ambas reas as como las prioridades y el
poco tiempo que suele tener la Direccin General, pero algunas organizaciones
as lo tienen (por ejemplo, algunos Bancos).

2.- Identifica su ubicacin en la estructura organizacional

Tanto el CEO, CIO y el encargado de la seguridad de la informacin deben

ser incluidos en los planes de la organizacin para propender por el mejoramiento
en ella, as que para lograr los objetivos en esta materia se deben implementar
una serie de controles que buscan mitigar los riesgos en cuanto a seguridad de la
informacin se requieren de la mejor forma posible causando el menor impacto a
la organizacin. Dichos controles se pueden clasificar en 3 tipos: FISICOS.
LOGICOS, TECNICOS.
Los controles administrativos estn directamente relacionados con los
procedimientos

desarrollados

las

polticas

estndares

entrenamiento

procedimientos de monitoreo y control de cambios. Por otra parte los controles

tcnicos se definen mediante el control de acceso lgico, acceso de control,
contraseas, administracin de recursos, mtodos de identificacin o autorizacin,
seguridad de dispositivos y configuraciones de red. Por ltimo los controles fsicos
se encargan de controlar el acceso fsico a los activos y se relacionan
directamente con candados, monitores ambientales, guardias de seguridad fsica,
perros entrenados etc. A nivel de la informacin y las responsabilidades del
encargado de la seguridad de la informacin los controles ms importantes son los
administrativos y los tcnicos, teniendo en cuenta que existe una relacin
de dependencia para poder existir sin que los controles administrativos hayan sido
creados, luego estos ltimos deben tener una evaluacin rigurosa y primaria con
relacin a los otros debido a que forman el esquema de la seguridad de la
informacin y los tcnicos se encargan de la implementacin de dichas polticas
en el esquema.