Lecture 03 Gobierno de La Seguridad de La Informacion PDF

Universidad Nacional de Cajamarca
September 25, 2014
Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin
INTRODUCCION AL GOBIERNO DE
SEGURIDAD DE LA INFORMACION
UNIVERSIDAD NACIONAL DE CAJAMARCA
GOBIERNO DE LA SEGURIDAD DE
LA INFORMACION
EDWIN VALENCIA CASTILLO
GOBIERNO SEGURIDAD DE LA INFORMACION

1
Thursday, September 25, 2014
Seguridad de la Informacin
2010 Edwin Valencia Castillo.
OBJETIVOS DEL CAPITULO
Definicin
Introduccin al gobierno de la seguridad de informacin
Gobierno eficaz de la seguridad de informacin
Conceptos de seguridad de informacin
Gerente de seguridad de informacin
Alcance y estatutos del gobierno de seguridad de la informacin
Mtricas del gobierno de seguridad de la informacin
Estrategia de seguridad de la informacin
Desarrollo de una estrategia de seguridad de la informacin
Objetivos de la estrategia de seguridad de la informacin
Determinacin del estado actual de la seguridad
Recursos de la estrategia
Limitaciones a la estrategia
Plan de accin para implementar la estrategia
Conjunto de responsabilidades y practicas, ejercidas

por el consejo y la direccin ejecutiva con la finalidad de
brindar una direccin estratgica, garantizar que se
logren los objetivos, determinar que los riesgos se
administraran en forma apropiada y verificar que los
recursos de la empresa se utilizan con responsabilidad
Informe sobre el gobierno de TI 2da edicin (ITGI)
SEGURIDAD DE LA INFORMACION cont.
Durante los ltimos 12 aos los delitos y el vandalismo informtico

ha crecido enormemente
Alrededor del 80% de las infraestructuras criticas nacionales en el
mundo desarrollado esta bajo el control del sector privado, junto
con burocracias ineficientes que imposibilitan poder enfrentarse al
creciente numero de delitos informticos.
A fin de cumplir con la tarea de brindar una proteccin adecuada a
los recursos de informacin, el tema tiene que elevarse a una
actividad a nivel de consejo como sucede con otras funciones
criticas de gobierno. La complejidad, importancia y criticidad de la
seguridad de la informacin y su gobierno exigen un tratamiento y
un respaldo por parte de los niveles mas altos de una
organizacin.
La proteccin se ha enfocado a las TI y no a la informacin en si
misma, hoy en da se busca un nivel de integracin,
aseguramiento del proceso y seguridad general.
5
DEFINICION DE GOBIERNO DE SEGURIDAD

DE LA INFORMACION
Informacin: datos con significado y propsito

La informacin desempea una funcin importante
Es un componente indispensable para realizar negocios
Es difcil encontrar una organizacin sin TI y que no dependa de la
informacin que procesa.
Los sistemas de informacin dominan la sociedad y los negocios
con dependencia absoluta sobre estos y los datos que manejan.
La informacin y los activos intangibles de una organizacin
representan el 80% de su valor de mercado (Segn el Instituto
Brookins)
Los danos a la integridad de la informacin pueden ser
devastadores para una organizacin.
Las organizaciones trabajaran con 30 veces mas informacin de la
que trabajan ahora (Gartner)
SEGURIDAD DE LA INFORMACION cont.
La seguridad de TI trata de la seguridad de la tecnologa y por lo

general se maneja desde el nivel del director de informacin (CIO). La
seguridad de la informacin trata la totalidad de riesgos, beneficios y
procesos que estn relacionados con la informacin y debe ser
impulsada por la direccin ejecutiva y respaldada por el consejo de
administracin.
El avance de la TI y la capacidad para acceder, manipular y utilizar la
informacin han aportado enormes oportunidades y beneficios a la
economa global, esto tambin ha trado riesgos sin precedentes y un
desconcertante mosaico de leyes y regulaciones vigentes y pendientes.
Se ha generado una dependencia de la informacin y de los sistemas
que la soportan.
El gobierno de la seguridad de la informacin es responsabilidad
del consejo de administracin y la direccin ejecutiva. Debe ser
parte integral y transparente del gobierno de la empresa. Consiste
en el liderazgo, las estructuras y los procesos organizacionales
que salvaguardan la informacin.
6
September 25, 2014
Importancia del gobierno de seguridad de

la informacin
Informacin es la esencia del conocimiento

El conocimiento se capta, transporta y almacena como
informacin organizada.
El conocimiento se esta volviendo rpidamente en el nico
factor de la productividad, dejando de lado al capital y a la
mano de obra. (Peter Druker)
Muchas organizaciones consideran a la informacin y el
conocimiento activos tan importantes sin los cuales seria
imposible dirigir el negocio.
Como las TI promueven una mejora radical en el desempeo
del negocio, la seguridad de la informacin eficaz, puede
aadir valor significativo a la organizacin, al reducir perdidas
derivadas de eventos relacionados con la seguridad
brindando confianza, seguridad.
7
Metas y objetivos del negocio

El gobierno corporativo es un conjunto de responsabilidades
y practicas, ejercidas por el consejo y direccin ejecutiva, con
la finalidad de brindar una direccin estratgica, garantizar
que se logran los objetivos, determinar que los riesgos se
administran en forma apropiada y verificar que los recursos
de la empresa se utiliza con responsabilidad.
El gobierno de la seguridad de la informacin, es un
subconjunto del gobierno corporativo, que proporciona una
direccin estratgica a las actividades de la seguridad y
garantiza que se alcancen los objetivos. Garantiza tambin
que los riesgos relacionados con la seguridad de informacin
se administren de forma apropiada y que los recursos de
informacin de la empresa se utilicen con responsabilidad.
10
Resultados del gobierno de la seguridad

Para proporcionar confianza sobre una adecuada y efectiva seguridad de la
informacin a la alta direccin hay que tener en cuenta:
ALINEACION ESTRATEGICA
Alineando la seguridad de la informacin con la estrategia del negocio
para apoyar los objetivos organizacionales
INTEGRAR
ADMINISTRACION DE RIESGOS
Ejecutando medidas apropiadas para mitigar riesgos y reducir el
posible impacto que tendrn en los recursos de informacin a un nivel
aceptable
ENTREGA DE VALOR
Optimizando las inversiones en la seguridad en apoyo a los objetivos
del negocio
ADMINISTRACION DE RECURSOS
1.
Una estrategia integral de seguridad que este vinculada de manera

intrnseca con los objetivos del negocio
Polticas de seguridad de gobierno que traten cada aspecto de la
estrategia, los controles y la regulacin.
3. Una serie completa de normas para cada poltica que garantice que
los procedimientos y lineamientos cumplan con dicha poltica
4. Una estructura organizacional de seguridad efectiva libre de
conflictos de inters que tengan suficiente autoridad y recursos
adecuados
5. Mtricas y procesos de monitoreo institucionalizados que
garanticen el cumplimiento y proporciones retroalimentacin sobre
la efectividad.
. El gran objetivo es:
2.
DESARROLLAR UN PROGRAMA DE SEGURIDAD

DE LA INFORMACION!!!
MEDICION DEL DESEMPENO

Monitoreando y reportando los procesos de seguridad de informacin
objetivos
para
que de
selaalcancen
Thursday, September
25,garantizar
2014
Seguridad
Informacin los
11
GOBIERNO EFICAZ DE LA SEGURIDAD DE

INFORMACION
Gobernar para la seguridad de una empresa significa ver una

seguridad adecuada como un requerimiento no negociable de
estar en el negocio. Si la gerencia de una organizacin,
incluso su consejo de administracin, directores y todos los
gerentes, no establece, ni fortalece la necesidad del negocio
de contar con una seguridad efectiva para la empresa, no ser
posible estructurar, alcanzar ni mantener el estado deseable
de seguridad de la organizacin. Para lograr una capacidad
sustentable, las organizaciones deben hacer que la seguridad
de la empresa sea responsabilidad de los lideres a un nivel de
gobierno, no de los roles de la organizacin que no tienen
autoridad, responsabilidad ni recursos para actuar ni exigir el
cumplimiento
Julia Allen (Carnegie Mellon University)
Marco de gobierno para alcanzar la

seguridad de la informacin
Utilizando el conocimiento y la infraestructura de seguridad de

informacin con eficiencia y efectividad
Relaciones de los resultados del gobierno de

seguridad con las responsabilidades gerenciales
Nivel
gerencial
Consejo
de
administr
acin
Direccin
Ejecutiva
Alineacin
estratgica
Administracin de
riesgos
Entrega de
valor
Medicin del
desempeo
Administraci
n de recursos
Aseguramient
o del proceso
Requiere de
una alineacin
comprobable
Poltica de
administracin de
riesgos en todas las
actividades.
Requiere
reportar los
costos de las
actividades
relacionadas
con la
seguridad
Requiere
reportar la
efectividad de
la seguridad
Poltica de
administracin
del
conocimiento y
utilizacin de
recursos
Poltica para la
integracin del
proceso de
aseguramiento
Requiere
estudios de
business case
de las
iniciativas de
seguridad
Requiere
monitoreo y
mtricas para
las actividades
de seguridad
Verifica los
procesos para
captar
conocimiento y
mtricas de
eficiencia
Supervisa
todas las
funciones de
aseguramiento
y planes de
integracin.
Verifica el
cumplimiento
regulatorio
Instituye
procesos para
integrar a la
seguridad en
los objetivos
del negocio
Verifica que los roles

y responsabilidades
incluyan la
administracin de
todos los riesgos en
todas sus actividades.
Monitorea el
cumplimiento
regulatorio
12
September 25, 2014
Relaciones de los resultados del gobierno de

seguridad con las responsabilidades gerenciales
Nivel
gerencial
Alineacin
estratgica
Administracin de
riesgos
Entrega de
valor
Medicin del
desempeo
Administraci
n de
recursos
Aseguramiento
del proceso
Comit
directivo
Revisa la
estrategia de
seguridad e
integracin, y
verifica que esta
cuenta con el
apoyo de los
dueos del
negocio
Identifica los riesgos

emergentes, promueve
las practicas de
seguridad de la unidad
del negocio
Revisa la
suficiencia de
las iniciativas
de seguridad
para ayudar a
las funciones
del negocio
Revisa e
informa que
las iniciativas
de seguridad
cumplan con
los objetivos
del negocio
Revisa
procesos
para captar y
difundir el
conocimiento
Identifica
procesos de
negocio crticos
y proveedores
de
aseguramiento
Desarrolla la
estrategia de
seguridad; vigila el
programa y sus
iniciativas y
coordina con los
dueos del
proceso del
negocio para una
alineacin
constante
Thursday,
September 25, 2014
Verifica las
evaluaciones de riesgo
e impacto al negocio,
desarrolla estrategias
de mitigacin de
riesgos.
Director
de
seguridad
de
informaci
n (CISO)
13
CONCEPTO DE SEGURIDAD DE LA
INFORMACION cont.
GOBIERNO: Proporcionar control y direccin a las actividades.

ESTRATEGIA: Los pasos que se requieren para alcanzar un objetivo.
ARQUITECTURA: El diseo de la estructura y las relaciones de estos
elementos.
GERENCIA: Vigilar las actividades para garantizar que se alcancen los
objetivos
RIESGO: La explotacin de una vulnerabilidad por parte de una amenaza.
EXPOSICIONES: reas que son vulnerables a impacto por parte de una
amenaza.
VULNERABILIDADES: Deficiencias que pueden ser explotadas por
amenazas.
AMENAZAS: Cualquier accin o evento que puede ocasionar
consecuencias adversas.
Dirige la
integracin del
aseguramiento
Monitorea la
utilizacin y
efectividad de
los recursos de
seguridad
Exige el cumplimiento
regulatorio y de
polticas
Comunica con
Desarrolla
otros
tanto
proveedores de
mtodos
para captar y aseguramiento.
difundir el
conocimiento Garantiza que
se identifiquen y
asi como
Dirige y
monitorea las mtricas para resuelvan los
actividades de determinar la vacios y
efectividad y superposiciones
seguridad
eficienciaCastillo.
2010 EdwinlaValencia
Desarrolla e
implementa
enfoques de
monitoreo y
mtricas.
16
INFORMACION
Entre los principales conceptos de seguridad que un

gerente de seguridad de la informacin debe conocer a
profundidad son:
INFORMACION cont.
RIESGO RESIDUAL: El riesgo que permanece despus de que se han

implementado contramedidas y controles.
IMPACTO: Los resultados y consecuencias de que se materialice un
riesgo.
CONFIDENCIALIDAD: Prevencin de divulgacin accidental
CRITICIDAD: La importancia que tiene un recurso para un negocio
INTEGRIDAD: Aseguramiento de que los datos no han sido

modificados sin autorizacin.
SENSIBILIDAD: El nivel de impacto que tendra una divulgacin no

autorizada.
DISPONIBILIDAD: Accesible y utilizable cuando se requiera
ANALISIS DEL IMPACTO DEL NEGOCIO: Evaluar los resultados y las

consecuencias del riesgo al dao.
ANALISIS DE DEPENDENCIA DEL NEGOCIO: El grado al cual el
negocio depende de un recurso.
ANALISIS DIFERENCIAL: La diferencia entre la realidad y el objetivo.
Pero tambin requiere conocer conceptos como.

14
17
INFORMACION cont.
AUDITABILIDAD: Permitir la reconstruccin, revisin y anlisis de la

secuencia de acontecimientos
IDENTIFICACION: Verificacin de una persona o cosa, reconocimiento.
AUTENTICACION: Proporcionar una prueba de identidad, puede ser algo
que se sabe, es o tiene.
AUTORIZACION: Lo que se permite cuando se ha otorgado acceso
NO REPUDIO: No se puede negar un evento o una transaccin.
SEGURIDAD ESTRATIFICADA: Defensa profunda que contemple el
riesgo al dao.
CONTROL DE ACCESO: Garantizar solo acceso autorizado a entidades
autenticadas.
METRICAS DE SEGURIDAD, MONITOREO: Medicin de actividades de
seguridad.
15
INFORMACION cont.
CONTROLES: Cualquier accin o proceso que se utiliza para

mitigar el riesgo.
CONTRAMEDIDAS: Cualquier accin o proceso que reduce la
vulnerabilidad.
POLITICAS: Declaracin de alto nivel sobre el empeo y la
direccin de la gerencia.
NORMAS: Establece los limites permisibles de acciones y procesos
para cumplir con la poltica.
ATAQUES: Tipos y naturaleza de los riesgos de dao a la
seguridad.
CLASIFICACION DE DATOS: El proceso de determinar la
sensibilidad y criticidad de la informacin.
18
September 25, 2014
Tecnologas de seguridad que se deben

conocer
Firewalls
Administracin de cuentas de
usuario
Deteccin y prevencin de
intrusos
Antivirus
Infraestructura de llave publica
(PKI)
Capa de socket segura (SSL)
Conexin nica single-sign-on
(SSO)
Biometra
Encriptacin
Cumplimiento de privacidad
19
DESARROLLO DE UNA ESTRATEGIA DE

SEGURIDAD
DIFICULTADES COMUNES
Acceso remoto
Exceso de confianza, sobre la capacidad para hacer clculos exactos

Optimismo, en los pronosticos.
Anclaje (resultados futuros ancladas a experiencias pasadas)
La tendencia del status quo, apego a enfoques familiares y conocidos aun
cuando estos sean ineficaces o inadecuados.
Contabilidad mental, inclinacin a categorizar y tratar el dinero de manera
diferente dependiendo de donde viene, donde se mantiene y como se gasta.
El instinto gregario, caracterstica humana que busca conformar y buscar la
validacin mediante acciones de otras personas.
Falso consenso:
Firma digital
Intercambio electrnico de
datos (EDI) y Transferencia
electrnica de fondos (EFT)
Redes privadas virtuales
(VPNs)
Transferencia electrnica
segura (SET)
Forense
Tecnologa de monitoreo
22
DESARROLLO DE UNA ESTRATEGIA DE SEGURIDAD

ALINEADA A LOS OBJETIVOS DEL NEGOCIO
OBJETIVOS
DEL
NEGOCIO
ALTA DIRECCION
ESTRATEGIA DEL NEGOCIO
COMIT DIRECTIVO Y
DIRECCION EJECUTIVA
ADMINISTRACION DEL RIESGO

ESTRATEGIA DE SEGURIDAD DE LA INFORMACION
CISO / COMIT DIRECTIVO
IMPLEMENTAR
+ Contribuciones del
plan de accin
+ Recursos
disponibles y
limitaciones
OBJETIVOS DE SEGURIDAD
Es necesario definir de manera especifica los objetivos de la

seguridad de la informacin. Supone el conocimiento de dos
factores:
Los activos de informacin se conocen con algn grado de precisin.
Exista un entendimiento asumido de lo que significa Proteger. Es
difcil establece que activos necesitan proteccin y contra que..
Utilizar un enfoque basado en niveles para determinar que tan

critico es un activo de informacin (cero significa que no
tiene valor, cinco significa que tiene una valor critico) se
vera en el anlisis de riesgos..
Tambin las organizaciones debe utilizar clasificaciones de
sensibilidad como: confidencial, de uso interno y publico.
23
PERSPECTIVA ALTERNA DE UNA ARQUITECTURA DE

SEGURIDAD EMPRESARIAL SEGN SHERWOOD J.
Capa contextual
OBJETIVOS DE LA ESTRATEGIA DE
PROGRAMAS
DE
SEGURIDAD
PLAN DE ACCION DE SEGURIDAD

POLITICAS Y NORMAS
CONTRIBUCIONES DE LA
ESTRATEGIA:
+ Estado actual y estado
deseado de la seguridad.
+ Procesos y requerimientos
del negocio
+ Evaluacin de riesgos
+ Anlisis del impacto del
negocio
+ Requerimientos
regulatorios
20
ATRIBUTOS
DE
SEGURIDAD
Tendencia a la confirmacin
Recuerdos selectivos
Evaluacin subjetiva
Pensamiento de grupo
Procesos y modelos de negocios crticos
QUE?
Impulsores del
negocio
POR QUE?
Factores cruciales
de xito
CUANDO?
COMO?
QUIEN?
DONDE?
Tiempo
Funcin
Cliente
Ubicacin
ACTIVOS
RIESGOS
CRITICIDAD
DEPENDENCIA
RESPONSABILIDAD
OBJETIVOS DE LA ESTRATEGIA DE
No ser posible desarrollar una estrategia rentable de

seguridad de la informacin que sea congruente con los
requerimientos de negocio si antes no se:
Determinan los objetivos de la seguridad de la informacin.
Localizan e identifican los recursos de informacin.
LOGISTICA
Valan los activos y recursos de informacin.

Perfil de
atributos
Objetivos de
control
Capa conceptual
21
Modelo de
confianza
Modelo de
tiempo
p
Clasifican los activos de informacin con base a su criticidad y

sensibilidad
Modelo de
dominio
Estrategia de
seguridad
24
September 25, 2014
Definicin de objetivos
COBIT
Una estrategia de informacin es la base para un plan de

accin, que permita alcanzar los objetivos de seguridad.
Es preciso definir los objetivos en trminos de un Estado
deseado de seguridad.
Si no se cuenta con una estrategia, es imposible desarrollar
un plan de accin.
Muchos objetivos se establecen en trminos de mitigacin o
administracin de riesgos.
Es probable que una revisin de los planes de negocio
estratgicos de la organizacin revele oportunidades para
que las actividades de seguridad de informacin apoyen mas
o permitan una nueva posibilidad de negocio particular.
Objetivos de control para la Informacin y tecnologas

relacionadas (COBIT) se enfoca a los controles de TI desde la
perspectiva del gobierno de TI, gerencia y control.
Es un marco poderoso y bien desarrollado que puede servir a
los objetivos de seguridad de la informacin.
Los controles se definen como las polticas, procedimientos,
practicas y estructuras organizacionales que estn diseados
para brindar una confianza razonable de que se alcanzaran
los objetivos del negocio y que se evitaran o detectaran los
incidentes no deseados.
Los objetivos de control se definen como una declaracin del
resultado deseado o propsito que se va a lograr mediante la
implementacin de procedimientos de control en un proceso
en particular.
25
28
.. Un ejemplo
COBIT cont.
La implementacin de una infraestructura de llave

publica (PKI) puede permitir la realizacin de
transacciones de alto valor entre socios comerciales o
clientes confiables. Utilizar VPNs puede darle a la fuerza
de ventas una conectividad remota segura que le permita
un mejor desempeo. En otras palabras, la seguridad de
la informacin puede facilitar que se lleven a cabo
actividades de negocio que de otro modo serian
demasiado riesgosas o como sucede con mucha
frecuencia, se realizan con la esperanza de que nada
falle.
Defina al gobierno corporativo como un conjunto de

responsabilidades y practicas que ejerce el consejo de
administracin y la direccin ejecutiva con el propsito de
brindar una direccin estratgica, garantizar que se alcanzan
los objetivos, determinar que los riesgos se administran en
forma apropiada y verificar que los recursos de la empresa se
utilizan en forma responsable.
COBIT, establece 34 objetivos, donde los procesos se
agrupan en cuatro dominios:
Planear y organizar
Adquirir e implementar
Entregar y soportar
Monitorear y evaluar
26
29
El Estado deseado
CMM
Se utiliza para denotar una vision general de todas las

condiciones relevantes en un momento particular,
incluye personas, procesos y tecnologia.
El estado de seguridad tambien puede definirse como

alcanzar un nivel especifico en el Modelo de capacidad
de madurez (CMM).
Definir un estado deseado de seguridad en terminos

cuantitativos es imposible, por lo que debe definirse en
terminos cuanlitativos de atributos, caracteristicas y
resultados.
Existen diversos enfoques disponibles que permiten
proporcionar un marco a fin de alcanzar un estado
deseado de seguridad bien definido, los de mas
aceptacion son: COBIT, CMM, CUADRO DE MANDO,
ISO/IEC 17799/ISO 27001
27
30
September 25, 2014
Cuadro de mando integral

Es un sistema de gerencia (no solo un sistema de medicin) que permite a las
organizaciones aclarar su visin y estrategia y llevarlas a cabo. Ofrece
retroalimentacin tanto sobre los procesos internos de negocio y los resultados
externos para continuar mejorando el desempeo estratgico y los resultados.
Cuando se utiliza en su totalidad, el cuadro de mando integral, transforma los
planes estratgicos de un ejercicio acadmico en el centro neurlgico de una
empresa.
31
ESTRATEGIA DE SEGURIDAD DE
INFORMACION
Ahora ya es posible desarrollar una estrategia significativa, que

permita ir del estado actual al deseado.
Un conjunto de objetivos de seguridad de informacin junto con
procesos, mtodos, herramientas y tcnicas disponibles
proporcionan los medios para elaborar la estrategia de seguridad.
No solo hay que pensar en controles, aun cuando son importantes,
no son el nico elemento con el que cuenta la estrategia.
La meta de la seguridad es el aseguramiento del proceso del
negocio independientemente del que se trate.
Algunos argumentan que la meta principal es proteger los activos
de informacin, sin embargo, es solo un activo en la medida que
apoya el propsito principal del negocio, generando ganancias (o
servicios rentables) mediante procesos de valor agregado.
34
ISO /IEC 27001 ISO/IEC 27002

Las reas que se definen en este estndar pueden brindar un marco til
para alcanzar un buen entendimiento de la seguridad organizacional. De
igual forma, se deben crear normas y polticas que permitan monitorear
directamente cada uno de los elementos de la norma.
Principales divisiones de ISO/IEC 27001:2005
32
Elementos de una estrategia

Que debe incluir una estrategia de seguridad?
Una vez definido el punto de partida y el punto de destino, ahora hay
que considerar:
Que recursos estn disponibles y
Cuales son las limitaciones que deben considerarse al desarrollarse una
directriz.
La directriz para alcanzar un estado deseado seguro y definido

incluye:
Es preciso determinar el estado actual de la seguridad de

informacin utilizando las mismas metodologas o la combinacin
de las que se aplicaron para definir los objetivos de la estrategia o
el estado deseado.
Esto proporcionara una comparacin equitativa entre el estado
deseado y lo actual para as, realizar un anlisis diferencial, que
determinara lo que se necesita para alcanzar los objetivos.
RIESGO ACTUAL: se determina mediante una evaluacin integral
de riesgos, incluye un anlisis de amenazas y vulnerabilidades.
EVALUACION/ANALISIS DEL IMPACTO DEL NEGOCIO: Tambin
se debe incluir un BIA exhaustivo para ayudar a terminar de
conformar la imagen del estado actual.
La estrategia debe resolver la diferencia entre niveles aceptables
de impacto y el nivel actual del posible impacto.
33
Gente
Procesos
Tecnologas
Entre otros recursos.
Es prudente, entonces desarrollar una arquitectura de seguridad.

35
DETERMINACION DEL ESTADO ACTUAL DE

LA SEGURIDAD
Poltica de seguridad
Organizacin de la seguridad de la informacin
Administracin de activos
Seguridad de los recursos humanos
Seguridad fsica y ambiental
Manejo de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de la seguridad de informacin
Manejo de incidentes relacionados con la seguridad de informacin
Manejo de la continuidad del negocio
Cumplimiento
Recursos y limitaciones de la estrategia

Recursos
36
Polticas
Normas
Procedimientos
Lineamientos
Arquitectura(s)
Controles fsicos, tcnicos y de
procedimientos
Contramedidas
Defensas estratificadas
Tecnologas
Seguridad del personal
Estructura organizacional
Roles y responsabilidades
Habilidades
Capacitacin
Concientizacin y formacin
Auditorias
Exigencia de cumplimiento
Anlisis de amenazas
Anlisis de vulnerabilidad
Evaluacin de riesgos
Evaluacin del impacto del negocio
Anlisis de dependencia de
recursos
Proveedores externos de seguridad
Otros proveedores de soporte y
aseguramiento organizacional
Instalaciones
Seguridad ambiental
September 25, 2014
Recursos y limitaciones de la estrategia

cont.
Limitaciones
Leyes: requerimientos legales y regulatorios

Fsicas: limitaciones en capacidad, espacio y ambiente
tica: apropiadas, razonables y habituales
Cultura: tanto dentro como fuera de la organizacin
Costos: tiempo, dinero
Personal: resistencia al cambio y resentimiento contra nuevas limitantes
Estructura organizacional
Recursos: de capital, tecnolgicos y humanos
Capacidades: conocimiento, capacitacin, habilidades y conocimientos
especializados.
Tiempo: de oportunidad y cumplimiento forzoso
Tolerancia al riesgo: amenazas, vulnerabilidades e impactos.
37
RECURSOS DE LA ESTRATEGIA cont.

CONTROLES
Se definen como polticas, procedimientos, practicas y estructuras
organizacionales que estn diseadas para brindar confianza
razonable de que se alcanzaran los objetivos del negocio y que se
evitaran, o bien detectaran y corregirn los incidentes no deseados.
Pueden ser fsicos, tcnicos o de procedimientos y su eleccin puede
basarse en factores como la garanta de su efectividad, que no sean
costosos o restrictivos para las actividades del negocio.
Controles de TI
Controles que no se relacionan con TI
Defensas estratificadas o defensa profunda: Considerar el anlisis de la
dependencia excesiva en un nico control
40
RECURSOS DE LA ESTRATEGIA
POLITICAS Y NORMAS
CONTRAMEDIDAS
Polticas: son declaraciones de alto nivel de la intencin, las expectativas

y la direccin de la gerencia.
La poltica se considera como la constitucin del gobierno de la seguridad
de la informacin
Normas: son mtricas, limites permisibles o el proceso que se utiliza para
determinar si los procedimientos cumplen con los requerimientos que
establecen las polticas.
Procedimientos: deben ser claros e incluir todos los pasos necesarios
para cumplir con las tareas especificas. Deben incluir los pasos que se
requieren cuando ocurren resultados inesperados.
Lineamientos: contiene informacin que ayuda a ejecutar los
procedimientos. Pueden incluir dependencias, sugerencias y ejemplos,
notas aclaratorias de los procedimientos, antecedentes, herramientas, etc.
38
Son las medidas de proteccin que reducen el nivel de vulnerabilidad

a las amenazas.
En muchos casos llegan a ser mas efectivas y menos restrictivas que
los controles.
TECNOLOGIAS
Permiten contrarrestar las amenazas a las que estn expuestos los
recursos de informacin.
La tecnologa no compensara por las deficiencias gerenciales,
culturales u operativas, por lo que no hay que depender demasiado
de ellas.
Para alcanzar defensas efectivas es preciso conjugar la tecnologa
con una combinacin de polticas, normas y procedimientos.
41

ARQUITECTURA(s)
PREVENCION
CONTENCION
DETECCION/
NOTIFICACION
REACCION
RECOPILACION DE
EVIDENCIAS/MONITOREO
DE INCIDENTES
RECUPERACION/
RESTABLECIMIENTO
39

DEFENSA PROFUNDA POR ACCION
DEFENSA CONTRA
PELIGRO DEL SISTEMA
La arquitectura de la seguridad de la informacin es anloga a

la arquitectura de edificios. Comienza con un concepto, una
serie de objetivos de diseo que deben cumplirse (ej. La
funcin que tendr si ser un hospital, escuela, etc.).
Despus se transforma en un modelo, una aproximacin en
borrador de la visin creada a partir de materia prima . A esto
sigue la preparacin de programas detallados o herramientas
que se utilizaran par transformar la visin/modelo en un
producto real y terminado. Por ultimo, esta el edificio en si
mismo, la realizacin o resultado de las etapas previas.
42
POLITICAS, NORMAS, PROCEDIMIENTOS Y TECNOLOGIA

Autenticacin
Autorizacin
Encriptacin
Firewalls
Etiquetado/manejo/retencin de
datos
Concientizacin y capacitacin
Autorizacin
Privacidad de datos
Gerencia
Seguridad fsica
Prevencin de intrusos
Monitoreo de virus
Seguridad del personal
Monitoreo
Mediciones/ mtricas
Auditoria/registros en bitcoras
Respuesta a incidentes
Administracin / monitoreo
Auditoria/registros en bitcoras
Administracin/monitoreo
Deteccin de intrusos
Deteccin de virus
Respaldo/restablecimiento
Conexin de apoyos/sitios remotos
Planes de continuidad del negocio

/recuperacin de desastres
Firewalls/dominios de seguridad
Segmentacin de redes
Seguridad fsica
Mecanismos de seguridad adicional

Nuevos/mejores controles
No repudio
Informtica forense
September 25, 2014
PERSONAL
AUDITORIAS
Las auditorias internas y/o externas son procesos principales que
permiten identificar deficiencias en la seguridad de la informacin
desde la perspectiva de controles y cumplimiento.
Puesto que las exposiciones al dao mas costosas y

perjudiciales son casi siempre el resultado de actividades
iniciadas desde el interior, la primera lnea de defensa es
intentar garantizar la confianza y la integridad del personal.
Ej. Cuando es poltica organizacional que el correo electrnico
no sea privado y que puede ser inspeccionado por la compaa
y los empleados tienen pleno conocimiento de dicha poltica.
La ley Sarbanex-Oxley, indica que es necesario hacer pruebas a los

controles cada ao.
EXIGENCIA DE CUMPLIMIENTO
Los procedimientos de seguridad deben estar aprobados y
respaldados por la alta direccin, sobretodo en lo que respecta a
exigir su cumplimiento.
Debe ser prudente desarrollar una poltica y normas de

investigacin de antecedentes que debern ser revisadas por el
departamento de personal y legal.
43
El enfoque mas efectivo para alcanzar el cumplimiento es un sistema

de auto informe y cumplimiento voluntario, con base en que la
seguridad es claramente un beneficio para todos.
46
ESTRUCTURA ORGANIZACIONAL
ANALISIS DE AMENAZAS
Las estructuras jerrquicas de los gerentes de seguridad de la

informacin son sumamente variables.
Es un componente del anlisis de riesgo y el resultado es un

elemento crucial de la estrategia.
La composicin cultural de una organizacin es un factor

determinante para saber si la organizacin de la seguridad es
mas efectiva si se utiliza un enfoque centralizado o
descentralizado.
La estrategia debe tener en cuenta los tipos, naturaleza y magnitud de

las amenazas cuando se desarrollen contramedidas y controles, as
como los atributos de una arquitectura de seguridad.
ANALISIS DE VULNERABILIDAD
Realizar una evaluacin exhaustiva de las vulnerabilidades en los
procesos, tecnologas y equipos. Por lo general, los procesos y
equipos son los mas vulnerables, sin embargo con frecuencia son los
menos evaluados, por la complejidad que implica aplicarles
evaluaciones.
ROLES Y RESPONSABILIDADES
Los roles, responsabilidades y las capacidades que se
requieren para cada puesto de trabajo deben estar definidos y
documentados (MOF, ROF)
44
47
CAPACIDADES
EVALUACION DE RIESGOS
Aun cuando la evaluacin de amenazas y vulnerabilidades se
considere importante, es necesario evaluar el riesgo al que esta
expuesta la organizacin., aun cuando estas no representen
ningn riesgo para la organizacin.
Tener un inventario de capacidades ayuda a determinar los recursos

que estn disponibles par desarrollar la estrategia de seguridad.
CONCIENTIZACION Y FORMACION
Considerar la necesidad de desarrollar mtodos y procesos que
permitan que las polticas, normas y procedimientos sean mas fciles
de seguir, implementar y monitorear. Reforzar la importancia de la
seguridad ante los usuarios a travs de un programa de
concientizacin.
Ejemplo. 11 de setiembre..
Existen varias formas de tratar el riesgo:
Aceptar el riesgo
Mitigar el riesgo
Transferir el riesgo (ej. contrato de seguros)
Cesar la actividad que da origen al riesgo
Nota. Se puede transferir el riesgo,.. Pero no la responsabilidad legal
Esta demostrado que en casi todas las organizaciones la mayor parte

del personal no conoce las polticas y normas de seguridad, ni
siquiera cuando estas existen.
45
48
September 25, 2014

EVALUACION DEL IMPACTO DEL NEGOCIO
PLAN DE ACCION PARA IMPLEMENTAR LA

ESTRATEGIA cont.
ELABORACION DE POLITICAS cont.
Es lo esencial del riesgo, los riesgos que no pueden resultar en

un impacto que no se pueda apreciar obviamente, no son
importantes.
Existe un gran numero de atributos de polticas recomendables

que deben tenerse en cuenta:
Las polticas de seguridad deben ser una articulacin de una estrategia
de seguridad de informacin bien definida y captar la intencin, las
expectativas y la direccin de la gerencia.
Cada poltica debe establecer solo un mandato general de seguridad.
Las polticas deben ser claras y de fcil compresin para todas las
partes interesadas.
Las polticas rara vez deben tener una extensin que exceda unas
cuantas oraciones.
Rara vez habr una razn para tener mas de una veintena de polticas.
ANALSIS DE LA DEPENDENCIA DE LOS RECURSOS

Es otra perspectiva en la criticidad de los recursos de
informacin. Se utiliza para garantizar que la estrategia incluye
los recursos que son cruciales para las operaciones.
PROVEEDORES EXTERNOS DE SEGURIDAD

Los proveedores pueden operar con diferentes criterios y
puede ser difcil controlarlos.
49
52

ESTRATEGIA
ANALISIS DIFERENCIAL (base para un plan de accin)
Para implementar una estrategia sern necesarios uno o mas planes

de accin.
Un anlisis diferencial que existe entre el estado actual y el estado
deseado de cada mtrica definida identifica los requerimientos y
prioridades para un plan de accin.
Es necesario realizar un anlisis diferencial para los diversos
componentes de la estrategia como niveles de madurez, cada
objetivo de control y cada objetivo de riesgo e impacto.
Podra ser necesario repetir este ejercicio anualmente para definir
mtricas de desempeo y de metas.
Un enfoque tpico del anlisis diferencial es trabajar en sentido
inverso desde el punto final hasta el estado actual y determinar los
pasos intermedios que se requieren para alcanzar los objetivos.
50
ELABORACION DE POLITICAS
ELABORACION DE NORMAS
Las normas establecen los limites permisibles para

procedimientos y practicas de tecnologa y sistemas y para
personas e incidentes.
Las normas son la herramienta predominante para la
implementacin de un gobierno efectivo de seguridad y deben
ser propiedad del gerente de seguridad de la informacin.
Proporciona la vara que mide el cumplimiento de la poltica y
una base solida para realizar auditorias.
Deben darse a conocer a aquellos que se regirn o se vern
afectados.
53

ESTRATEGIA cont.
CAPACITACION Y CONCIENTIZACION
Uno de los aspectos mas importantes del plan de accin ser crear o
modificar polticas y normas.
Un plan de accin debe considerar un programa continuo de

concientizacin y capacitacin sobre seguridad.
Las polticas son la constitucin del gobierno, las normas son la ley.
En la mayora de organizaciones, la evidencia indica que la

mayor parte del personal no conoce las polticas ni las normas
de seguridad, ni siquiera cuando existen.
Las polticas deben capturar la intensin, expectativas y direccin de

la gerencia.
Si el objetivo es dar cumplimiento al ISO 27001, cada uno de los 11
dominios respectivos y principales divisiones tienes que ser el tema
de una poltica.
METRICAS DEL PLAN DE ACCION

Un enfoque comnmente usado es el CMM, utilizado
ampliamente por COBIT, el CMM ofrece una base para llevar a
cabo un anlisis diferencial continuo para determinar los
avances realizados para alcanzar las metas.
Las polticas deben estar debidamente elaboradas y contar con la

aprobacin del consejo y direccin ejecutiva, y su difusin en toda la
organizacin.
51

ESTRATEGIA cont.

ESTRATEGIA cont.
54
September 25, 2014
UNIVERSIDAD NACIONAL DE CAJAMARCA
PREGUNTAS Y RESPUESTAS
GOBIERNO SEGURIDAD DE LA INFORMACION

55
10

Lecture 03 Gobierno de La Seguridad de La Informacion PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Lecture 03 Gobierno de La Seguridad de La Informacion PDF

Cargado por

Copyright:

Formatos disponibles

Universidad Nacional de Cajamarca

September 25, 2014

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

UNIVERSIDAD NACIONAL DE CAJAMARCA

GOBIERNO SEGURIDAD DE LA INFORMACION

Thursday, September 25, 2014

2010 Edwin Valencia Castillo.

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

OBJETIVOS DEL CAPITULO

Thursday, September 25, 2014

2010 Edwin Valencia Castillo.

Conjunto de responsabilidades y practicas, ejercidas

Thursday, September 25, 2014

2010 Edwin Valencia Castillo.

2014 Edwin Valencia Castillo.

Thursday, September 25, 2014

2010 Edwin Valencia Castillo.

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

Durante los ltimos 12 aos los delitos y el vandalismo informtico

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

DEFINICION DE GOBIERNO DE SEGURIDAD

Informacin: datos con significado y propsito

Thursday, September 25, 2014

2010 Edwin Valencia Castillo.

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

La seguridad de TI trata de la seguridad de la tecnologa y por lo

Thursday, September 25, 2014

2010 Edwin Valencia Castillo.

Universidad Nacional de Cajamarca

September 25, 2014

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

Importancia del gobierno de seguridad de

Informacin es la esencia del conocimiento

Thursday, September 25, 2014

2010 Edwin Valencia Castillo.

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

Metas y objetivos del negocio

Thursday, September 25, 2014

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

Resultados del gobierno de la seguridad

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

Una estrategia integral de seguridad que este vinculada de manera

DESARROLLAR UN PROGRAMA DE SEGURIDAD

MEDICION DEL DESEMPENO

Thursday, September 25, 2014

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

GOBIERNO EFICAZ DE LA SEGURIDAD DE

Gobernar para la seguridad de una empresa significa ver una

Thursday, September 25, 2014

2010 Edwin Valencia Castillo.

2014 Edwin Valencia Castillo.

2010 Edwin Valencia Castillo.

Marco de gobierno para alcanzar la

Utilizando el conocimiento y la infraestructura de seguridad de

2010 Edwin Valencia Castillo.

Universidad Nacional de Cajamarca | Gobierno de la Seguridad de la Informacin

Relaciones de los resultados del gobierno de

Verifica que los roles

Thursday, September 25, 2014

2010 Edwin Valencia Castillo.

Universidad Nacional de Cajamarca

September 25, 2014