Material Didactico Semana 7 PDF

Gestin de Procesos de Negocios (BPM)
Solucin para lograr Eficiencia Operativa y Reduccin de Costos
Alex Martnez
Lder BPM Regional (South Spanish America) - SWG
Julio Larrechart
BPM Practice Leader GBS/AS
1
Agenda
Gobierno de Seguridad de la Informacin
Organizacin del Proyecto
Alineando el negocio con la Seguridad de la Informacin
Gestin de Riesgos
Indicadores de gestin
Mejora Continua
Seguridad de la Informacin
Gobierno de Seguridad de la Informacin
Gobierno de Seguridad de
la Informacin
El Gobierno de Seguridad de la Informacin est compuesto por

un conjunto de responsabilidades y practicas llevadas a cabo
mediante la junta ejecutiva con el objetivo de proporcionar la
direccin estratgica, asegurando que los objetivos se logran,
cerciorndose de que los riesgos se gestionan de manera
adecuada y asegurando que los recursos de la empresa son
usados responsablemente
Fuente: IT Governance Institute
Gobierno de Seguridad de
la Informacin
El Gobierno de Seguridad de la Informacin es un subconjunto de Gobierno

de la Empresa que proporciona la direccin estratgica, asegura que los
objetivos se logran, gestiona los riesgos adecuadamente, asigna
responsabilidades a los recursos de la organizacin, y supervisa el xito o el
fracaso del programa de seguridad de la empresa.
Fuente - Information Security Governance
ISO 27014
La ISO-27014 indica seis principios de gobiernos de la seguridad de

informacin los cuales son:
1. Establecer responsabilidad con respecto a la seguridad de la informacin

en toda la organizacin
2. Adoptar una aproximacin basada en el riesgo.
3. Establecer la direccin de las decisiones de inversin en seguridad de la
informacin
4. Asegurar conformidad con los requerimientos internos y externos.
5. Fomentar un entorno positivo respecto de la seguridad.
6. Revisar el rendimiento en relacin a los resultados de negocio.
ISO 27014
1. Establecer responsabilidad con respecto a la seguridad de la

informacin en toda la organizacin.
La seguridad de la informacin se gestiona a un nivel de la organizacin que

permita la toma de decisiones?
Las actividades asociadas a la seguridad lgica y fsica se realizan de forma
coordinada?.
La responsabilidad y rendicin de cuentas con respecto a la seguridad se
establece a travs del ciclo completo de las actividades de la organizacin
incluidos terceros?.
ISO 27014
2. Adoptar una aproximacin basada en el riesgo.
Las decisiones se toman en funcin del riesgo?.

El nivel aceptable de seguridad se basa en el apetito al
riesgo de la organizacin?, se incluye en l la posible
prdida de ventaja competitiva, riesgos de cumplimiento
y responsabilidad, interrupciones operativas, prdida
financiera y dao a la reputacin?.
Se asignan los recursos apropiados para implementar
la gestin de riesgos en la organizacin?.
ISO 27014
3. Establecer la direccin de las decisiones de

inversin en seguridad de la informacin.
La estrategia de inversiones en seguridad de la

informacin se establece en funcin de los resultados de
negocio alcanzados?.
Las inversiones en seguridad se integran con los
procesos generales existentes para las inversiones y
gastos de la organizacin?.
ISO 27014
4. Asegurar conformidad con los requerimientos internos y externos.
Se garantiza que las polticas y prcticas son conformes con la regulacin

y legislacin existente, con los compromisos y contratos de la organizacin
y con otros requerimientos internos o externos?.
Se realizan auditoras de seguridad independientes?.
ISO 27014
5. Fomentar un entorno positivo respecto de la

seguridad.
A la hora de implementar la gobernanza de la seguridad,

se tiene en cuenta el comportamiento humano, incluyendo
la evolucin de las necesidades de las partes interesadas?
Se exige, promueve y apoya la coordinacin de las
actividades de las partes interesadas para alcanzar una
direccin coherente de la seguridad (educacin, formacin y
programas de concienciacin)?.
ISO 27014
6. Revisar el rendimiento en relacin a

los resultados de negocio.
La aproximacin tomada para proteger la

informacin es adecuada al propsito de
apoyar la organizacin proporcionando
niveles acordados de seguridad de la
informacin?.
Se mantiene la seguridad en los niveles
requeridos para alcanzar los
requerimientos actuales y futuros del
negocio?.
Se evala la seguridad en relacin a su
impacto en el negocio y no slo en base a
la eficacia y eficiencia de los controles?.
ISO 27014
Organizacin del Proyecto
Requisitos y expectativas de las partes interesadas
respecto a l SGSI
ENTRADA
Liderazgo
Planificacin
Operacin
Organizacin
Contexto de la
SALIDA
Mejora
Evaluacin
Requisitos y expectativas de las partes interesadas

gestionadas con el SGSI
Fases de la Metodologa
7 FASES
Contexto
organizacin
Liderazgo
Planificacin
Proyecto Implantacin del

del SGSI Soporte SGSI
Operacin
Evaluacin
Mejora
Contexto
Liderazgo Planificacin Soporte Operacin Evaluacin Mejora
organizacin
Contexto
organizacin
Contexto
organizacin
Contexto
organizacin
Contexto
organizacin
Contexto
organizacin
Contexto
organizacin
Alineando el negocio con la Seguridad de la Informacin
Comprensin de la Misin,
Objetivos, Valores y Estrategias
Misin
Los
objetivos
De
Valores Estrategias
La
Alineamiento Estratgico
Seguridad
de la
Objetivos Informacin
Polticas de Seguridad de
Polticas Corporativas
la Informacin
Anlisis del Ambiente
Externo
Fortalezas Debilidades
Existen varias metodologas para
entender cmo funciona una
organizacin
Lo importante es identificar las

caractersticas de los factores
Oportunidades Amenazas
ambientales internos y externos
que influyen en la gestin de la
continuidad del negocio: misin,
actividades principales,
organizacin interna, partes
interesadas, ttc.
Anlisis del Entorno Interno
Estratgico (Quin establece las orientaciones estratgicas?)

Gobierno (Quin coordina y gestiona las operaciones?)
Operacional ( Quin participa en las actividades de produccin y
apoyo?)
Comprender la estructura y los

principales actores de la
organizacin relacionados con
el mbito de aplicacin en los
planos:
Identificacin de los Principales
Procesos y Actividades
Activos de Oferta de Productos Procesos de

Informacin Claves y servicios Negocios
Cules son los Cules son los bienes y Cules so los

Activos de informacin Servicios producidos por Procesos claves que
Claves de la la organizacin? Permiten a la
Organizacin? Organizacin cumplir
Con su misin?
Anlisis del Ambiente
Externo
Plan del proyecto

Diagrama de GANNT
Documento Alcance del SGSI
Acta de Constitucin del proyecto
Documentos
Plan del proyecto

Diagrama de GANNT
Documento Alcance del SGSI
Acta de Constitucin del proyecto
Gestin de Riesgos
Qu cambia en la gestin
de riesgos?
No tenemos que usar la norma ISO 31000 para

la gestin de riesgos. La norma ISO 31000 slo
se menciona en la norma ISO 27001: 2013,
pero no es obligatorio.
No se tiene que eliminar los activos, amenazas

y vulnerabilidades de nuestra evaluacin de
riesgos. Se puede mantener la metodologa
antigua porque la norma ISO 27001: 2013 te
deja libertad para determinar los riesgos de la
forma que desee.
de riesgos?
No se debe dejar de lado el identificar a los
propietarios de activos. Aunque la norma ISO
27001: 2013 no requiere que usted identifique
los propietarios de activos como parte de la
evaluacin del riesgo, el control A.8.1.2 Control
lo requiere.
En la Poltica de seguridad de la informacin de

nivel superior no se necesita establecer
criterios con los que los riesgos sern
evaluados - este era el requisito de la norma
ISO 27001: 2005 4.2.1 b 4)); en la norma ISO
27001: 2013, usted todava tiene que definir
los criterios de evaluacin de riesgo, pero no
como parte de la poltica de nivel superior.
de riesgos?
Se puede identificar los riesgos en funcin de
sus procesos, en funcin de sus
departamentos, utilizando slo las amenazas y
vulnerabilidades no, o cualquier otra
metodologa
Es necesario identificar los propietarios del

riesgo.
ISO 27001: 2005 requiere que la

administracin apruebe riesgos residuales, as
como la implementacin y operacin del SGSI.
Por el contrario, en la norma ISO 27001: 2013
los propietarios de los riesgos deben aceptar
los riesgos residuales y aprobar el plan de
tratamiento de riesgos.
de riesgos?
Las opciones de tratamiento en la revisin
2013 no slo se limitan a la aplicacin de los
controles, la aceptacin de riesgos, evitando
los riesgos, y la transferencia de riesgos como
lo fueron en la revisin de 2005 - bsicamente,
usted es libre de considerar cualquier opcin
de tratamiento que crea apropiado.
de riesgos?
Indicadores de gestin
Indicadores del SGSI
ISO 27004
ISO 27004
Entrenamiento del SGSI

Personal entrenado en el SGSI
Entrenamiento en Seguridad de la Informacin
Concientizacin en el Cumplimiento de la Seguridad de
la Informacin
Polticas de contraseas
Calidad de las contraseas manual
Calidad de las contraseas automtica
Proceso de revisin del SGSI
Mejora continua de la gestin de incidentes de la
seguridad de la informacin del SGSI
ISO 27004
Efectividad Implementacin de acciones
correctivas
Compromiso de la alta direccin
Proteccin contra cdigo malicioso
Controles fsicos de entrada
Revisin de los archivos de registro de actividades
Gestin de la periodicidad del mantenimiento
Seguridad en acuerdos con terceras partes
Documento
Documento Indicadores del SGSI
Mejora Continua
Revisin de Documentos
Revisin de Controles

Material Didactico Semana 7 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Material Didactico Semana 7 PDF

Cargado por

Copyright:

Formatos disponibles

Gestin de Procesos de Negocios (BPM)

Solucin para lograr Eficiencia Operativa y Reduccin de Costos

Gobierno de Seguridad de la Informacin

Organizacin del Proyecto

Alineando el negocio con la Seguridad de la Informacin

El Gobierno de Seguridad de la Informacin est compuesto por

El Gobierno de Seguridad de la Informacin es un subconjunto de Gobierno

La ISO-27014 indica seis principios de gobiernos de la seguridad de

1. Establecer responsabilidad con respecto a la seguridad de la informacin

1. Establecer responsabilidad con respecto a la seguridad de la

La seguridad de la informacin se gestiona a un nivel de la organizacin que

2. Adoptar una aproximacin basada en el riesgo.

Las decisiones se toman en funcin del riesgo?.

3. Establecer la direccin de las decisiones de

La estrategia de inversiones en seguridad de la

4. Asegurar conformidad con los requerimientos internos y externos.

Se garantiza que las polticas y prcticas son conformes con la regulacin

5. Fomentar un entorno positivo respecto de la

A la hora de implementar la gobernanza de la seguridad,

6. Revisar el rendimiento en relacin a

La aproximacin tomada para proteger la

Requisitos y expectativas de las partes interesadas

Proyecto Implantacin del

Lo importante es identificar las

Estratgico (Quin establece las orientaciones estratgicas?)

Comprender la estructura y los

Activos de Oferta de Productos Procesos de

Cules son los Cules son los bienes y Cules so los

Plan del proyecto

Plan del proyecto

No tenemos que usar la norma ISO 31000 para

No se tiene que eliminar los activos, amenazas

En la Poltica de seguridad de la informacin de

Es necesario identificar los propietarios del

ISO 27001: 2005 requiere que la

Entrenamiento del SGSI

Documento Indicadores del SGSI

También podría gustarte