Está en la página 1de 306

-

-
Twst ín and va/ue from, íntarmation systems

-
-
- º
- 14 Edición

An ISACA· Cerlification

-
e. Ce� lnformation
Security Manager"
Anlf,M',lfcert1fk:ation

ISACA®
!SACA (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución
ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase. Establecida
en 1969, ISACA es una asociación global sin ánimo de lucro de 140 000 profesionales en 180 países. ISACA también ofrece
Cybersecurity Nexus™(CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio para gobernar la
tecnología de la empresa. ISACA adicionalmente promueve el avance y certificación de habilidades y conocimientos críticos para
el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified
Information Security Manager® (CISM®), Certified in the Governance ofEnterprise IT® (CGEIT®) y Certified in Risk and
Information Systems Control™ (CRISC™). La asociación tiene más de 200 capítulos en todo el mundo.

Cláusula de exención de responsabilidad


ISACA ha diseñado y creado el Manual de Preparación para el Examen CISJvfil 14 º edición principalmente como un recurso
educativo para ayudar a las personas a prepararse para tomar el examen de certificación CISM. Se produjo independientemente
del examen de CISM y del Grupo de Trabajo de Certificación de CISM, el cual no se responsabiliza por el contenido. Las
copias de exámenes pasados no son de conocimiento público ni se han puesto a la disposición de ISACA para la preparación
de esta publicación. ISACA no afirma ni garantiza de forma alguna que estas u otras publicaciones de ISACA les garanticen a
los candidatos la aprobación del examen de CISM.

Reserva de derechos

© 2015 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, modificar,
mostrar, almacenar en un sistema de recuperación o transmitir de ninguna manera a través de ningún medio (electrónico,
mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA.

ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Teléfono:+1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Página Internet: www.isaca.org

Participe en el Centro de Conocimiento de ISACA (ISACA Knowledge Center): www.isaca.org/knowledge-center


Siga a ISACA en Twitter: https://twitter.com/lSACANews
Conéctese con ISACA en Linkedln: ISACA (Official), http://linkd.in/lSACAOfficial
Indique que le gusta !SACA en Facebook: wwwfacebook.com/lSACAHQ

ISBN 978-1-60420-484-l
Manual de Preparación para el Examen CISM'i 14 º edición
Impreso en los Estado Unidos de América

CRISC es una marca comercial/marca de servicio de ISACA. La marca se ha utilizado o registrado en países en todo el mundo.

Esta publicación incorpora partes de la "Guía de Implementación del Gobierno de la Seguridad Empresarial (GES)" escrito por
Jody R. Westby y Julia H. Allen, CMU/SEI-2007-TN-020 © 2007 Camegie Mellon University, con autorización especial de su
Instituto de Ingeniería de Software.

TODO MATERIAL DE LA UNIVERSIDAD CARNEGIE MELLON Y/O SU INSTITUTO DE INGENIERÍA DE SOFTWARE QUE
CONTENGA EL PRESENTE ES SUMINISTRADO "TAL CUAL ES". LA UNIVERSIDAD CARNEGIE MELLON NO OFRECE
NINGUNA GARANTÍA DE NINGÚN TIPO, SEA EXPRESA O IMPLÍCITA, RESPECTO A CUALQUIER ASUNTO QUE
INCLUYA, PERO NO SE LIMITE A, LA GARANTÍA DE APTITUD PARA LA COMERCIABILIDAD, LA EXCLUSIVIDAD
O LOS RESULTADOS OBTENIDOS A PARTIR DEL USO DEL MATERIAL. LA UNIVERSIDAD CARNEGIE MELLON
NO OFRECE NINGUNA GARANTÍA DE NINGÚN TIPO CON RESPECTO A LA LIBERTAD PARA LA INFRACCIÓN DE
PATENTES, MARCA COMERCIAL O DERECHOS DE AUTOR.

Esta publicación no ha sido revisada ni avalada por la Universidad Camegie Mellon ni su Instituto de Ingeniería de Software.

¡¡ Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
- e. Certified lnformation
Securtty Manager·
AnlSACA"Certlflcatlon

MANUAL DE PREPARACIÓN PARA EL EXAMEN CISM 14 º EDICIÓN


!SACA se complace en ofrecer la 14º edición del Manual de Preparación para el Examen CISM·'. El propósito de este manual es
proporcionar al candidato CISM información técnica y referencias actualizadas para ayudarle a prepararse y estudiar para el examen
para Gerente Certificado de Seguridad de la Información.

El Manual de Preparación para el Examen CJSJvf'í' se actualiza cada año para mantenerse a la par de los cambios que ocurren
rápidamente en la gestión, el diseño, la supervisión y la valoración de la seguridad de la información. Tal como ha sucedido con
los manuales anteriores, la 14º edición es el resultado de la contribución de muchas autoridades calificadas que generosamente han
ofrecido su tiempo y experiencia profesional de manera voluntaria. Respetamos y reconocemos la contribución que han hecho y
esperamos que sus esfuerzos brinden un extenso valor educativo a los lectores de los manuales de preparación al examen CISM.

Sus comentarios y sugerencias al respecto de este manual son apreciados. Después de presentar el examen, tómese un tiempo para
completar este cuestionario por Internet (www.isaca.org/studyaidsevaluation). Sus comentarios serán invaluables para preparar la
15 º edición del Manual de Preparación para el Examen CISM'J.

Las preguntas de autoevaluación que contiene este manual están diseñadas para ilustrar el tipo de preguntas que por lo general
aparecen en el examen de certificación CISM y para ayudar a comprender mejor el contenido de este manual. El examen de CISM es
un examen que se basa en la práctica. La mera lectura del material de referencia que contiene este manual no preparará adecuadamente
a los candidatos para el examen. Las preguntas de autoevaluación se incluyen sólo para que sirvan de guía. Los resultados de
puntuación no garantizan el éxito en futuros exámenes individuales.

-
La certificación ha tenido un efecto positivo en muchas carreras. La certificación CISM está diseñada para asegurar a la dirección
ejecutiva que aquellos que la obtengan cuentan con el conocimiento y la capacidad requeridas para proporcionar una gerencia y
una asesoría efectivas sobre la seguridad de la información. Aunque el enfoque central de la certificación CISM es la gestión de
la seguridad de la información, todos aquellos profesionales de TI con experiencia en seguridad también encontrarán valiosa la
designación CISM. !SACA le desea éxito en el examen CISM.

Manual de Preparación para el Examen CISM 14º edición ¡¡¡


ISACA. Todos los derechos reservados.
e. Certified.l.nfo. nnatioo
Security Manager·
AnlSACA"Cert1ficat10n

RECONOCIMIENTOS
La 14º edición del Manual de Preparación para el Examen CJSJvf'l es el resultado del esfuerzo colectivo de muchos voluntarios.
Miembros de ISACA, profesionales de la gestión de seguridad de la información de todo el mundo, participaron ofreciendo
generosamente su talento y pericia Este equipo internacional mostró un espíritu y desprendimiento que se han convertido en la
marca distintiva de los contribuyentes de este valioso manual. Su participación y sus opiniones son verdaderamente apreciadas.

Todos los miembros de ISACA que participaron en la revisión del Manual de Preparación para el Examen CISM'" son merecedores de
nuestra más profunda gratitud.

En especial, queremos dar las gracias a W. Krag Brotby, CISM, CGEIT, consultor principal en seguridad del Capítulo de Sacramento,
EE.UU., quien trabajó como líder de proyecto y editor por el contenido técnico.

Revisores expertos
Bobbette R. Pagel, CISA, CISM, CRISC, CISSP, MTA, Capital Compliance Services, EE.UU.
Shawna Marie Flanders, CISA, CISM, CRISC, CSSGB, SSBB, Business - Technology Guidance Associates, LLC., EE.UU.
Robert T. Hanson, CISA, CISM, CRISC, Australia
Foster J. Henderson, CISM, CRISC, CISSP, NSA-IEM, Citizant Inc., EE.UU.
Kevin Henry, CISA, CISM, CRISC, CISSP, Mile2, Canadá
Balakrishnan Natarajan, CISA, CISM, P ivota) Software, EE.UU.
Edson Vittoriano P iuzzi, CISM, Chile
Ravikumar Ramachandran, CISA, CISM, CRISC, CGEIT, CAP, CEH, CFE, CHFI, CIA, CIMA-Adv.Dip.MA, CISSP-ISSAP, CRMA,
ECSA, FCMA, P MP, SSCP, Hewlett-Packard India Sales Pvt. Ltd., India
James C. Samans, CISA, CISM, CRISC, CIPT, CISSP-ISSEP, P MP, XENSHA LLC, EE.UU.
Darlene M. Tester, JD, CISM, CISSP, EE.UU.
Larry G. Wlosinski, CISA, CISM, CRISC, CAP, CBCP, CDP, CISSP, ITIL v3, ActioNet, Inc., EE.UU.

!SACA ha comenzado su planificación para la 15 º edición del Manual de Preparación para el Examen CJSM". La participación de
los voluntarios impulsa el éxito del manual. Si está interesado en ser miembro del grupo selecto de profesionales que participan en este
proyecto global, queremos saber de usted. Por favor envíenos un correo electrónico astudymaterials@isaca.org.

ISACA también desea agradecer a los siguientes profesionales por el trabajo voluntario en equipo, en la revisión a la calidad de la
traducción de este material:

Edson Marcelo Vittoriano P iuzzi, Sr., CISM, Chile


Jorge Arturo P erez Morales, Sr., CISM, Mexico
Jose Osvaldo Barboza Soto, CISA, CISM, CRISC, Costa Rica
Luis A. Capua, CISM, CRISC, Argentina
Manuel P alao, CISA, CISM, CGEIT, Spain
Manuel Vargas Roldan, CISM, CGEIT, Costa Rica
Sergio Molanphy, CISM, CRISC, Chile

iv Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
Securrty Manager·
AnlSACA"Certlflcatlon

Tabla de Contenido
Acerca de este Manual ................................................................................................................................................. 11
Generalidades ................................................................................................................................................................ ......................11
Organización de este Manual............................................................................................................................................................. 11
Formato de este Manual ..................................................................................................................................................................... 11
Evaluación de este Manual. ............................................................................................................................................................... 12
Acerca del Manual de Preguntas, Respuestas y Explicaciones de Preparación para el Examen CISM ................................... 12

Capítulo 1:
Gobierno de Seguridad de la Información .................................................................................................. 13
Sección Uno: Generalidades ................................................................................................................................................. 14
1.1 Introducción .............................................................................................................................................................................. 14
Definición .............................................................................................................................................................................................. 14
Objetivos ................................................................................................................................................................................................ 14
1.2 Tareas Y Conocimientos Relacionados ................................................................................................................................... 14
Tareas ..................................................................................................................................................................................................... 14
Conocimientos Relacionados ........................................................................................ ........................................................................ 15
Relación De Las Tareas Con Los Conocimientos Relacionados.......................................................................................................... 15
Guía De Referencia De Conocimientos Relacionados ......................................................................................................................... 16
Recursos sugeridos para estudios posteriores.......................................................................................................................................26
1.3 Preguntas de autoevaluación ................................................................................................................................................... 27
Preguntas ...............................................................................................................................................................................................27
Respuestas a las preguntas de autoevaluación.............................................................. ........................................................................28

Sección Dos: Contenido .......................................................................................................................................................... 31


1.4 Visión General del Gobierno de la Seguridad de la Información ........................................................................................ 31
1.4.1 Importancia del Gobierno de la Seguridad de la Información.................... ............................................................... ...... 31
1.4.2 Resultados del Gobierno de la Seguridad de la Información........................................................................................... 32
1.5 Gobierno Efectivo de la Seguridad de la Información .......................................................................................................... 32
1.5 . l Metas y Objetivos del Negocio ........................................................................................................................................ 33
1. 5 .2 Alcance y estatutos del gobierno de la seguridad de la información......................... ...................................................... 34
1.5.3 Roles y responsabilidades de gobierno y gestión............................................................................................................. 34
Consejo de dirección/Alta dirección ............................................................................................................................... 34
Dirección Ejecutiva ......................................................................................................................................................... 35
Comité Directivo ..................................................................................................................................... ........................ 36
Director de seguridad de la información............................................................................................ ............................. 36
1.5.4 Roles y Responsabilidades de Gestión de Riesgos .......................................................................................................... 37
Roles claves ..................................................................................................................................................................... 37
1.5.5 Roles y Responsabilidades de la Seguridad de la Información .............................................................. ........................ 38
Cómo obtener el compromiso de la alta dirección.......................................................................................................... 39
Establecimiento de los canales de informes y comunicación ......................................................................................... 40
1.5.6 Gobierno, Gestión de Riesgos y Cumplimiento0 ............................................................................................................ 41
1.5.7 Modelo de Negocios para la Seguridad de la Información.............................................................................................. 41
Interconexiones Dinámicas.............................................................................................................................................. 42
1.5 .8 Integración del Proceso de Aseguramiento (Convergencia) ............................................................................................ 43
Convergencia ................................................................................................................................................................... 43
1.6. Gobierno de relaciones con terceros ....................................................................................................................................... 44
1.7 Métricas del Gobierno de la Seguridad de la Información ................................................................................................... 45
1.7.1 Métricas de seguridad efectivas........................................................................................................................................ 45
1.7.2 Métricas de Implementación de Gobierno ....................................................................................................................... 48
1.7.4 Métricas de gestión de riesgos.......................................................................................................................................... 48
l.7. 5 Métricas de la entrega de valor ........................................................................................................................................ 49
1.7.6 Métricas de Gestión de Recursos ..................................................................................................................................... 49
Manual de Preparación para el Examen CISM 14º edición 1
ISACA. Todos los derechos reservados.
Tabla de Contenido e. Certilied lnformation
Security Manage(
AnlSACA"Certificalion

1. 7. 7 Medición del Desempeño ................................................................................................................................................. 49


1.7.8 Integración del Proceso de Aseguramiento (Convergencia) .................................................................. .......................... 49
1.8 Visión General de la Estrategia de Seguridad de la Información ................ ........................................................................ 50
1.8. l Una visión alternativa de la Estrategia............................................................................................................................. 50
1.9 Desarrollo de Una Estrategia de Seguridad de la Información......................................................................................... ... 51
1.9. 1 Dificultades Comunes................................................................... .................................................................................... 51
1.10 Objetivos de la Estrategia de Seguridad de la Información ................................................................................................. 53
1.10.1 La Meta....................................................................................................... .................................................................... 53
1.10.2 Definición de Objetivos.................................................................................................................................................. 54
Interrelaciones de Negocio.............................................................................................................................................. 5 5
1.10.3 El Estado Deseado............................................................................................................... ........................................... 55
COBIT ............................................................................................................................................................................. 56
Modelo de la Capacidad de Madurez..................................................................................... ......................................... 57
Cuadro de Mando (Balanced Scorecard)......................................................................................................................... 57
Enfoques Sobre la Arquitectura....................................................................................................................................... 58
Serie ISO/IEC 27000 ....................................................................................................................................................... 58
Otros Enfoques ............... ................................................................................................................................................. 58
1.10.4 Objetivos de Riesgo........................................................................................................................................................ 59
1.11 Determinación del Estado Actual de la Seguridad ....................................................................... ......................................... 60
1.11.1 Riesgo Actual.................................................................................................................................................................. 60
1.12 Desarrollo de la Estrategia de Seguridad de la Información................................................................................................ 60
1.12.1 Elementos de una Estrategia........................................................................................................................................... 60
Plan de Acción................................................................................................................................................................. 60
1.12.2 Recursos y Limitaciones de la Estrategia: Visión General ............................................................................................ 61
Recursos....................................... .................................................................................................................................... 6 1
Limitaciones ...................................................... .............................................................................................................. 6 2
1.13 Recursos d e la Estrategia .................................................................................................... ..................................................... 6 2
1. 13.1 Políticas y Estándares ..................................................................................................................................................... 6 2
Políticas............................................................................................................................................................................ 6 2
Estándares........................................................................................................................................................................ 6 2
Procedimientos ................................................................................................................................................................ 6 2
Directrices........ ................................................................................................................................................................ 6 3
1.13. 2 Arquitecturas d e Seguridad de la Información de la Empresa....................................................................................... 6 3
Marcos Alternativos d e Arquitectura Empresarial .......................................................................................................... 65
1.13.3 Controles.......................................................................................................................................................................................... 65
Controles de TI ................................................................................................................................................................ 65
Controles que no Están Relacionados con TI ............................. .................................................................................... 6 6
Contramedidas. ................................................................................................................................................................ 6 6
Defensas por Niveles....................................................................................................................................................... 6 6
1.13.4 Tecnologías ..................................................................................................................................................................... 6 6
1.13.5 Personal........................................................................................................................................................................... 6 6
1.13.6 Estructura organizacional ............................................................................................................................................... 6 7
Enfoques Centralizados y Descentralizados para Coordinar la Seguridad de la Información ....................................... 6 7
1.13.7 Funciones y responsabilidades d e los empleados .......................................................................................................... 68
1.13.8 Habilidades .............................. ....................................................................................................................................... 68
1.13. 9 Concienciación y formación.......................................................................... ................................................................. 68
1.13.l0 Auditorías...................................................................................................................................................................... 68
1.13. 11 Exigencia de cumplimiento .......................................................................................................................................... 69
1.13.12 Evaluación de amenazas............................................................................................................................................... 69
1.13.13 Evaluación de Vulnerabilidades ................................................................................................................................... 69
1.13 .14 Evaluación y Gestión de riesgos .................................................................................................................................. 69
1.13.15 Seguros ...... ................................................................................................................................................................... 70
1.13 .16 Análisis de impacto al negocio..................................................................................................................................... 70
1.13.17 Análisis de la dependencia de recursos ........................................................................................................................ 70
1.13 .18 Servicios Contratados................................................................................................................................................... 70

2 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
Security Manager"
AnlSACA"Certl!lcatlon
Tabla de Contenido

1.13.19 Otros proveedores de sop orte y aseguramiento organizacional.. ...................................................................... ........... 70


1.14 Restricciones de la Estrategia .................................................................................................................................................. 70
1.14. 1 Requerimientos L egales y Regulatorios......................................................................................................................... 70
Requerimientos Sobre el Contenido y la Retenc ió n de Regi stros de Negoci o................................ ............................... 71
Desc ubrimiento elec tró nic o (E-Disc overy) ..................................................................................................................... 71
1.14.2 Físicas ............................................................................................................................................................................. 71
1.1 4.3 É tica ................................................................................................................................................................................ 71
1.14.4 Cultura ............................................................................................................................................................................ 71
1.14.5 Estr uc tura Organizac ional ............................................................................................................................................ .. 71
1.1 4.6 Costos ............................................................................................................................................................................. 71
1. 1 4. 7 Personal........................................................................................................................................................................... 72
1.14.8 Rec ursos................................................................................ .......................................................................................... 72
1 .14.9 Capac idades .................................................................................................................................................................... 72
1 .14.I 0 Tiemp o .......................................................................................................................................................................... 72
1 . 14. 11 Ac ep tació n y Toleranc ia del Riesgo ............................................................................................................................. 72
1. 15 Plan de Acción para I mplementar la Estrategia ..................................................................................................................... 72
1 .15.1 Análisis de Brechas: Base Para un Plan de Acció n........................................................................................................ 72
1.15.2 Desarrollo de Políticas.................................................................................................................................................... 73
1.1 5.3 Desarrollo de estándares........................................................................................................................................... ...... 73
1.1 5.4 Capac itación y Conc ienc iació n ...................................................................................................................................... 74
1.15.5 Métricas del Plan de Acc ió n........................................................................................................................................... 74
Indicadores Clave de Metas ............................................................................................................................................ 74
Factores Crí tic os de Éxito ............................................................................................................................................... 74
Indicadores Clave de Desemp eño ....................... ............................................................................................................ 75
Considerac iones Generales de Métricas.......................................................................................................................... 75
1.16 I mplementación del G ob ierno de la Seguridad: Ejemplo ..................................................................................................... 75
1 . 1 6.1 Ejemp los Adic ionales de Polí ticas ................................................................................................................................. 77
1.17 Metas intermedias del Plan de Acción ............................................. ........................................................... ............................ 78
1.18 Objetivos del Programa de Seguridad de la Información .................................................................................................... 78
1.19 Caso de Estudio .................................................................................................................................................. ....................... 79

Capítulo 2:
Gestión de Riesgos de la
Información y Cum p limiento .................................................................................................................................... 8 1
Sección Uno: Generalidades ................................................................................................................................................. 8 2
2.1 Introducción ................................................................................................................................................................................. 8 2
Defi nic ió n ...................................... ................................................................................................................................. . ...................... 8 2
Obj etivos ................................... . .................................................................................................................. .......................................... 8 2
2.2 Tareas y conocimientos relacionados.......................................................................................................................................... 8 2
Tareas........................................ . ... . .. .. .............................................................................................................. . . . . .................................. 82
Conocimientos relac ionados................................................................................................................ .................................................. 82
Relac ió n de las tareas c on los c onocimientos relac ionados.................................................................................................................. 83
Guía de referencia de c onoc imientos relacionados. ................. . . .................................................................... ....................................... 84
Recursos sugeridos para estudios p oster iores.. ................................................................................... ........... ............... . . ...................... 93
2.3 Preguntas de autoevaluación............................................................................. ........ .................................................................. 93
Preguntas .................................. ........................................................................................... ...................................... ............................ 93
Respu estas a las pregu ntas de au toevaluac ió n........................................................................................ ............... ......... . ..................... 95

Sección Dos: Contenido .......................................................................................................................................................... 97


2.4 Visión General de la Gestión de Riesgos............... .. ................................................................................................................ 97
2.4.1 I mp ortanc ia de la Gestión de Riesgos.............................................................................................................................. 98
2.4.2 Resultados de la Gestión de Riesgos................................................................................................................................ 98
2.5 Estrategia de la Gestión de Riesgos.......................................................................................................... ............................... 99
2.5.1 Comunicació n de Riesgos, Concienc iac ión y Consulto ría Sobre Riesgo s ...................................................................... 99

Manual de Preparación para el Examen CISM 14 º edición 3


ISACA. Todos los derechos reservados.
Tabla de Contenido e.� lnformation
Security Manager"
An l SACA" Certll'lclltlon

2.6 Gestión Efectiva de Riesgos de la Información .................................................................................................................... 10 0


2. 6.1 Desarro llo de un Programa de Gesti ón de Ri esgos........................................................................................................ 10 0
E stablecer el co ntexto y el pro pósi to ............................................................................................................................. l 0 0
Defini r Alcance y Estatu to s................................................... ........................................................................................ 1 0 0
Defini r auto ridad, estructu ra e info rmes........................................................................................................................ 1 00
Asegurar identi ficaci ón, clasi fi caci ón y pro pi edad de acti vos..................... ..................................................... ............ 1 0 1
Determi nar objeti vos ..................................................................................................................................................... 1 O 1
Determinar las meto do lo gías......................................................................................................................................... 1O 1
Designar equipo de desarro llo de pro grama.................................................................................................................. 1O 1
2. 6.2 Ro les y Responsab ilidades ....... ....................... ............................................................................................................... 10 1
2.7 Conceptos De La Gestión De Riesgos De La Información .................................................................................................. 10 1
2.7.1 Co nceptos ....................................................................................................................................................................... 10 1
2.7.2 Tecno lo gías ........................................... ............................ .............................................................................................. 10 2
2.8 Implementación de la Gestión de Riesgos .... ........................................................................................................................ 102
2.8.1 Pro ceso de Gesti ón de Ri esgos....................................................................................................................................... l 02
2.8.2 Defini ci ón de un Marco General de Gesti ón de Riesgo s............................................................................................... 1 04
2.8.3 Definici ón del Amb iente Externo .................................................................................................................. ................. 105
2.8.4 Definici ón del Ambiente Interno .................................................................................................................................... 1 05
2.8.5 Desarro llo de un perfi l de riesgo ............................. ....................................................................................................... 105
2.8.6 Determinaci ón del co ntexto de la gestión de ri esgo s..................................................................................................... 107
2.8.7 Análi si s de Brech as......................................................................................................................................................... 1 07
2.8.8 Apoyo de Otras Organizacio nes ................................................................................................................................ ..... 108
2.9 Metodologías para la Evaluación y el Análisis de Riesgos .................................................................................................. 108
2.10 Evaluación de Riesgos ......................................................................................................................................................... .... 1 1 0
2.1 0.2 Paso s del pro ceso de ISO/IEC.................................................................................... ................................................... l I O
2. I 0.3 Riesgo Agregado y En Cascada.................................................................................................. ................................... 11 O
2.1 0.4 Otro s Enfoques de Evalu ación de Ri esgo s.................................................................................. .................................. 114
Análisi s de Factores del Riesgo de la l nformaci ón.................................................................... .................................... 114
Análisi s de Facto res de Riesgo ............................... ........................................................................................................ 1 1 4
Evaluación Pro babi lística de Riesgo .............................................................................................................................. 116
2.1 0. 5 I dentificaci ón del Ri esgo ............................................................................................................................................ .. . 1 1 6
2. 1 0.6 Amenazas....................................................................................................................................................................... 117
Amenaza Persistente Avanzada (APT) ........................................................................................................................... 1 1 7
2.1 0 .7 Vulnerabi lidades ............................................................................................................................................................ I 19
2. 1 0.8 Riesgo .............................................. .............................................................................................................................. I I 9
2. I 0.9 Anál isis de Ri esgo s Rel evantes .................................................................................................................................... 122
Análi si s Cuali tati vo ...................................................................... ................................................................................. I 24
Análisi s Semicuantitati vo .............................................................................................................................................. 124
E jemplo de un Análisi s Semi cuanti tati vo ...................................................................................................................... 125
Análisi s Cuant itativo ............................................................................................................. ..................... ................... 125
E xpectativas de Pérdidas Anu ales ................................................................................................................................. 125
Valo r en Ri esgo ......... ............................................................................................................. ........................................ 125
2. I O. I O Evaluaci ón del Ri esgo ................................................................................................................................................ 126
2. I 0.11 Opciones para el Tratamiento de Riesgo s .................................................................................................................. 127
Cesar la Acti vidad.......................................................................................................................................................... 127
Transferi r el Ri esgo ....................................................................................................................................................... 127
Mi tigar el Riesgo ........................................................................................................................................................... 127
To lerar/Aceptar el Riesgo .............................................................................................................................................. 1 27
Marco de Aceptación del Riesgo ................................................................................................................................... 128
2. lO. I 2 Ri esgo residual ........................................................................................................................................................... 128
2.1 0.1 3 Impacto ....................................................................................................................................................................... 128
2. I O. 1 4 Co ntro les........................................................... .......................................................................................................... 129
2. 1 0. 1 5 Requ erimi ento s Legales y Regulato rio s............................................................ ......................................................... 1 29
2. 1 0. 1 6 Co stos y Benefi cios ..................................... ............................................................................................................... 1 29
2. I 0.1 7 Evento s que afectan los N iveles Mínimo s de Seguri dad ........................................................................................... 1 30

4 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
Tabla de Contenido

2.11 Evaluación de los Activos de Información ............................................................................................................................ 1 31


2. 1 1 .1 Estrategias de Valuación de los Recursos de I nformación ........................................................................................... 1 31
2.1 1 .2 Metodologías de Valuación de los R ecursos de Info rmación ...................................................................................... 1 32
2.1 1 .3 Clasifi cación de los Activos de Info rmación................................................................................................................ 1 32
Métodos para Determina r la Criticidad de los Recursos y el Im pacto de los Eventos Adversos................................. 1 33
2. 1 1 .4 Valoración y Análisis de Im pactos................................................................................................................................ 1 34
2.12 Objetivo de tiempo de Recuperación............................................................................................................................................ 1 37
2.1 2.1 El RTO y su R elación con los Objetivos y Procesos de los Planes de Continuidad del Neg ocio y de Contingencia 1 38
2.1 2.2 Objetivos de punto de recu peració n ...................................................................................................... ....................... 1 38
2.1 2. 3 Objetivos de entrega del servicio ................................................................................................................................. 1 38
2. 1 2.4 Proveedores de Servicios Extern os .............................................................................................................................. 1 38
2.13 Integración con los Procesos de Ciclo de Vida ..................................................................................................................... 1 40
2.1 3. 1 Gestión de Riesgos para el Ciclo de Vida de Desarrollo de Sistemas de TI ............................................................... 1 42
2.1 3.2 Pri ncipios y Prácticas de la Gestió n de Riesgos Basada en el Ciclo de Vida ....................................... ....................... 1 4 2
2.14 Niveles Mínimos de Control de l a Seguridad ....................................................................................................................... 1 4 2
2.15 Monitoreo y Comunicación de Riesgos ................................................................................................................................. 1 44
2.1 5 . 1 Monitoreo de Riesgos................................................................................................................................................... 1 44
2.1 5 .2 Indicadores Clave de R iesgo (KR! s) ............................................................................................................................ 1 45
2. 1 5 .3 Reporte de Cam bios Signifi cativos en el R iesgo ......................................................................................................... 1 45
2.16 Capacitación y Concientización... ...................................................... .................................................................................... 1 45
2.17 Documentación........................................................................................................................................................................ 1 46

Capítulo 3:
Desarrollo y gestión de programa de seguridad de la información ................................. 1 47
Sección Uno: Generalidades ............................................................................................................................................... 1 4 8
3.1 Introducción ............................................................................................................................................................................ 1 48
Defi ni ci on ................................... ............................... . ......................................... ........................................ . ... . .. ............................. .... 1 48
Obj etivos .............................................................................................................................................................................................. 148
3.2 Tareas y Conocimientos Relacionados .................................................................................................................................. 1 4 8
Tar eas ................................................................................................................................................................................................... 1 48
Conoci mientos r elaci onados................................................................................................................................................................ 1 48
Relación de las Tar eas Con los Conoci mientos Rela ci onados............................................................................................................ 149
Guía de Referencia de Conoci mi entos Rela cionados ......................................................................................................................... 1 50
Recursos Sugeri dos Para Estudios Posteri ores................................................................................................................................... 160
3.3 Preguntas de autoevaluación ............................... .................................................................................................................. 1 60
Pregu ntas ............................................................................................................................................................................................. 161
Respuestas a las pr eguntas de autoevalua ción .................................................................................................................................... 162

Sección Dos: Contenido ........................................................................................................................................................ 1 65


3.4 Visión General de la Gestión del Programa de Seguridad de la Información ................................................. ................. 1 65
Tendencias de la gestió n de seguridad de la info rma ción............................................................................................. 1 65
Elem entos escenciales de u n Programa de Seguridad de la Informació n..................................................................... 1 66
3.4. 1 Importancia del Programa de Segurida d de la Info rmación .................................................................... ...................... 1 66
3.4.2 Resu ltados de la Gestión del Programa de Seguridad de la Informa ció n...................................................................... 1 67
Alineación estratégica..................... ............................................................................................................................... 1 67
Gestión de riesgos.......................................................................................................................................................... 1 67
Entrega de valor...................................................................................................................................... ....................... 1 68
Gestión de recursos............................................................................................... ......................................................... 1 68
Medició n del desem peñ o................. .............................................................................................................................. 1 68
Integración del proceso de aseguram iento .................................................................................................................... 1 68
3.5 Objetivos del Programa de Seguridad de la Información .................................................................................................. 1 68
3.5. 1 Defi nición de Objetivos.................................................................................................................................................. 1 69
3.6 Conceptos del Programa de Seguridad de la Información ................................................................................................. 1 69
3.6. 1 Conceptos ......................... .................................................................................................................................. ............ 1 69

- Manual de Preparación para el Examen CISM 14 º edición


ISACA. Todos los derechos reservados.
5
Tabla de Contenido e. e� lnformatioo
Security Manager·
AnlSACA"c«t1!1C1.lian

3.6.2 Re cursos Te cnol ógicos ........................................ ........................................................................................................... 170


3.7 Alcance y Estatutos del Gobierno de la Seguridad de la Información .............................................................................. 170
3.8 El Marco General de la Gestión de la Seguridad de la Información ................................ .............. ............ ....................... 1 72
3.8.1 COBIT 5 ......................................................................................................................................................................... 172
COBIT 5 para Seguridad de la I nfo rmación ................................................................................................................. 173
3.8.2 ISO/IEC 27001:2013 ..................................................................................... ................................................................. 173
3.9 Componentes del Marco de Seguridad de la Información .................................................................................................. 174
3.9.1 Componente s Operati vos................................................................................................................................................ 174
3.9.2 Componente s de Gestión ................................................................................................................................................ 175
3.9.3 Compone nte s Admi ni strativos... ....... .............................................................................................................................. 175
3.9.4 Compone nte s E ducativos e Info rmati vos....................................................................................................................... 176
3.10 Definición de Un Plan de Acción Para el Programa de Seguridad de la Información ......... ............................................ 176
3.10.1 Eleme ntos de Un Plan de Acci ón ................................................................................................................................. 177
3.10.2 De sarrollo de U n Plan de Acción Para el Programa de Seguri dad de Informaci ón .................................................... 177
3.10.3 Análi si s de Bre chas- Base Para U n Plan de Acci ón...................................................................................................... 177
3.11 Infraestructura y Arquitectura de la Seguridad de la Información ............................................ ..................... ................. 177
3.11. l Arqui te ctura de Seguri dad de la Información............................................................................................................... 1 77
Domi ni os de la arqui te ctura de empre sa ....................................................................................................................... 180
3.11.2 Obje ti vos de las Arqui tecturas de Seguridad de la Info rmaci ón .................................................................................. 180
Proporci onar un marco y un plan de acci ón.................................................................................................................. 18 1
Simpl i ci dad y clari dad a travé s de la e strati fi caci ón y la modulari zaci ón.................................................................... 181
E nfo que empre sarial más allá del domi ni o té cni co................................................................................... .................... 181
Arqui te ctura y objeti vos de control ................ ............................................................................................................... 181
3.12 Implementación de la Arquitectura ...................................................................................................................................... 182
3.13 Gestión del Programa de Seguridad y Actividades Administrativas ................................................................................. 184
Admini straci ón de l programa........................................................................................................................................ 184
3.13.1 Personal, Role s, Habi li dade s y Cultura......................................................... ............................................................... 185
Roles .............................................................................................................................................................................. 185
Habili dade s .................................................................................................................................... ................................ 185
Cul tura ...................................... . .............. .............. ................................ ............................. ....... .. ... .. .. ...................... ..... 186
3. 13.2 Concientización Sobre Se guridad, Capaci taci ón y Formaci ón .................................................................................... 186
3.13.3 Docume ntaci ón ............................................................................................................................................................. 187
Mante ni miento de docume ntos...................................................................................................................................... 188
3.13.4 Desarroll o de Programas y Ge sti ón de Proyectos ... ..................................................................................................... 188
3.13.5 Ge sti ón de Rie sgos .............................. ............................................................ ............................................................. 188
Responsabilidades de la ge stión de riesgos................................................................................................................... 189
3.13.6 Desarrollo de un Caso de Negoci os ........................................................................................................... .................. 189
E valuación de Casos de Negoci o ......................................................................................... ......................................... 189
Obje ti vos de Casos de Negoci o.................................................................... ................................................ ................. 189
3.13.7 Presupuesto de l Programa ............................................................................................................................................ 190
Eleme ntos de un Pre supue sto para el Programa de Seguridad de la Info rmaci ón ....................................................... 190
3.13.8 Reglas Generale s de U so/Políti ca de U so Aceptable .................................................. ................................................. 190
3.13.9 Prácti cas Para la Ge stión de Problemas Relaci onados Con la Seguri dad de la Info rmación...................................... 191
3.13.1O Ge sti ón de Proveedore s .. ............................................................................................................................................ 191
3.13.11 E valuaci ón de la Ge stión del Programa ..................................................................................................................... 19 1
Obje ti vos de l Programa ................................................................................................................................................. 19 1
Re queri mient os de Cumpli mie nt o..................................................................... ............................................................ 19 1
Gesti ón del Programa .................................................................................................................................................... 192
Ge sti ón de las operaci one s de Seguri dad ...................................................................................................................... 192
Gesti ón de la Seguri dad Té cni ca............................................................................................................... .................... 192
Ni vele s de Re cursos ...................................................................................................................................................... 193
3.13.12 Planear, Hace r, Comprobar, Actuar ............................................................................................................................ 193
3.13. 13 Re que rimient os Le gale s y Regulatorios............................................ ......................................................................... l 93
3.13.14 Factore s Físi cos y Ambientales .............. .................................................................................................................... 193
3.13.15 Éti ca ........ .............................................................. ................. ..................................................................................... 195

6 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformatioo
Security Manager"
AnlSACA"Certlflcatlon
Tabla de Contenido

3.13.1 6 Variac iones Cultural es R egional es ............................................................................................................................. 195


3 .13. 1 7 Logí stica ...................................... ............................................................................................................................... 195
3.14 Servicios y Actividades Operacionales del Programa de Seguridad....................................................... ........................... 196
3.1 4.1 Responsabilidades del Coordinador de S eguri dad de la I nfo rmaci ón ......................................................................... 196
S eguridad Fí sica/Corp orativa ........................................................................................................................................ 196
Auditoría de TI .............................................................................................................................................................. 196
Unidad de Tec nología de la I nformación ...................................................................................................................... 196
Gerentes de la Unidad de Negoc ios .............................................................................................................................. 196

-
Recursos Humanos ......................................................................................... ............................................................... 197
Departamento Jurí dic o................................................................................................................................................... 197
Empleados...................................................................................................................................................................... 1 97
Adquisic ión.................................................................................................................................................................... 197
Cumplimiento . ............................................................................................................................................................... 1 97
Privacidad ...................................................................................................................................................................... 198
Capaci tac ión .................................................................................................................................................................. 198
Aseguramien to de la calidad ......................................................................................................................................... 198
S eguro............................................................................................................................................................................ 198
Gesti ón de Terceros ....................................................................................................................................................... 198
Oficina de Gestión de Proy ec tos ................................................................................................................................... 198
3 . 1 4.2 Responsabili dades I nterorganizac ionales ..................................................................................................................... 198
3 .14.3 Respuesta a I ncidentes.............................................................. .................................................................................... 200
3.14.4 Revisiones y Auditorías de S eguridad.......................................................................................................................... 200
Auditorías ...................................................................................................................................................................... 20 1
Auditores........................................................................................................................................................................ 20 1
3 .14.5 Gestión de la Tec nol ogía de S eguridad ........................................................................................................................ 202
Habil idades Tecnológicas .............................................................................................................................................. 202
3.1 4.6 Debida Diligencia ......................................................................................................................................................... 203
Gestión y c ontrol del acceso a los recursos de información ..... .................................................................................... 203
Fuentes de I nfo rmaci ón sobre Vul nerabili dades ........................................................................................................... 203

-
3 .14.7 Monitoreo y Ex igenc ia del Cumplimiento ................................................................................................................... 203
Cumpl imiento de Polí ticas ............................................................................................................................................ 204
Cumpl imiento de Normas.............................................................................................................................................. 204
Resol ución de Probl emas relac ionados c on el I ncumplimiento.................................................................................... 204
Exigencia de cump limiento ........................................................................................................................................... 204
3.14.8 Eval uaci ón de R iesgos e I mpac to............................................... .................................................................................. 205
Eval uaciones de la v ul nerabilidad............................................................. .................................................................... 205
Evaluac ión de amenazas........................................................... ..................................................................................... 205
Evaluac ión de riesgo e impac to de negocios.................................................................................................. ............... 205
An ál isis de la depen dencia de rec ursos .................................... ..................................................................................... 206
3.14.9 Prov eedores de S ervic ios Ex ternos ............................................................. ................................................................. 206
Acceso de terc eros......................................................................................................................................................... 208
3 .14.1O Computación en la Nube ............................................................................................................................................ 208
Ventajas.......................................................................................................................................................................... 209
Consideraciones de S eguridad......................................................................................................... ...............................211
Evaluac ión de los proveedores de servic ios en la nube................................................................................................. 211
3. 1 4.11 I ntegración Con Procesos de TI.................................................................................................................................. 212
I ntegraci ón ............................................................................................................................................................. ........ 212
Procesos del Cicl o de Vida del Si stema........................................................................................................................ 212
Gesti ón de Cambi os....................................................................................................................................................... 21 2
Gestión de Confi gurac iones .......................................................................................................................................... 214
Gesti ón de Versiones ..................................................................................................................................................... 2 1 4
3 . 15 Controles y Contramedidas ................................................................................................................................................... 2 1 4
3.15.1 Categorías d e Control ................................................................................................................................................... 2 1 5
3.15.2 Consideraciones S obre el Diseño de Controles............................................................................................................ 215
Controles c omo Rec ursos de I mpl ementación de Estrategias....................................................................................... 216

Manual de Preparación para el Examen CISM 14º edición 7


ISACA. Todos los derechos reservados.
Tabla de Contenido e. c�.lnfo. nnatioo
Security Manager·
AnlSACA"Cl!rtif1catioo

3.1 5.3 Fortaleza de los Con troles ............................................................................................................................................ 217


3. 1 5.4 Mé todos de Con trol ............ ............ ................... ............ ............................................................................. . ................. 21 7
3.15.5 Rec omen dac iones de Con trol .......... ................ .......................................................................... ................................... 218
3.1 5.6 Con trame didas ..................................... ............... ........................................................... ...... ..................... .................... 21 8
3.15.7 Con troles Físic os y Ambien tales ........................................... ......................................... .............................................. 21 9
3.1 5.8 Categorías de Tecnologías de Con trol.......................................................................................................................... 21 9
Tecn ologías nativas de c on trol ....................................................................... ....... ......... ............................................... 219
Tec nologías de control c omple mentarias ........... .................................. ......................................................................... 219
Tecnologías de soporte de la gestión ........................................................... .................................................................. 220
3.1 5.9 Componente s de Con trol Técnic o y Arquitectura ........................................................................................................ 220
An álisis de los c ontroles...................................... ............................ ............................................................ .................. 220
3.1 5. 1 O Prue bas y Modificación de Controles .................................................................................................... .................... 221
3.1 5. 1 1 N ivele s Mín imos de Con trol....................................................................................................................................... 221
3.16 Métrica y Monitoreo del Programa de Seguridad ................ . ............................... ...................................................... ......... 222
3.16.1 Desarrollo de Mé tricas ........................ ............................................................. ............................................................ 222
Estratégic o .................................................................................................................................................................... . 223
Ge renc ia..................................................................................................................................................... .................... 223
Ope rativo ................................................................. ................................................... ................................................... 223
3.1 6.2 E nfoques de Monitore o ................... ......................... ............................. . ......................................................... ............. 224
Monitoreo de las actividades re lac ionadas c on la seguridad en la infraestructura y las aplicac iones de negocio ....... 224
Dete rminación de l éxito de las inversione s en seguridad de la info rmación ................................................................ 224
3.16.3 Me dic ión de l Dese mpeño de la Gerencia de Seguridad de la In formac ión ............................................. .................... 225
3.1 6.4 Me dic ión de l R iesgo y la Pé rdida Relacionados Con la Seguridad de la Información ............................................... 225
3.16.5 Me dic ión de l Apoyo de los Objetivos Organizacionales ............................................................................................ . 226
3.16.6 Me dic ión de l Cumplimiento................... ...................................................................................................................... 226
3.16.7 Me dic ión de la Produc tividad Ope rativa. ........ ............... ................................................................. ................. ............ 226
3.1 6.8 Me dic ión de la Rentabilidad de la Seguridad .. ........................................................................................... ................. 227
3.16.9 Me dic ión de la Conc iencia Organ izac ional.................................................................................................................. 227
3.16 .10 Me dición de la Eficac ia de laArquitec tura de Seguridad Técnica.......................................................................... . . 227
3.1 6.11 Me dición de la E ficac ia del Marc o y los Rec ursos de Gestión.......................... ................................................... ..... 228
3.16 . 1 2 Me dic ión de l Dese mpeñ o Operativo... ................................................. ...................................................................... 228
3.16.13 Monitoreo y Comun icac ión ............... . ................ ...................................................................... .................................. 228
3 .17 Retos Comunes del Programa de Seguridad de la Información ........................................................................................ 229
Apoy o de la Gerenc ia .......................................................................................................................................... .......... 230
Financ iamiento ....................... ... ............................................................................................. ....................................... 231

Capítulo 4:
Gestión de Incidentes de Seguridad de la Información .............................................................. 233
Sección Uno: Generalidades ............................................................................................................................................... 234
4.1 Introducción ...................................................................................................... ..... ................................................................. 234
De fin ición .................................................. ........................ ........................ .......................................................................................... 234
Obje tivos ............ .................................................................................................................................................................................. 234
4.2 Tareas y Conocimientos Relacionados ............................................................ ................................... ...... ................ ............. 234
Tareas ............................................................................................ .......................................................................................................234
C on oc im ientos Rel aci on ados ............................. .................................................................................................................................234
Relac ión De Las Tareas Con L os C on ocimient os R elacionados.................................... .................................................................... 235
Guía de Referencia de Conoci mientos Relac ionados ......................................................................................................................... 23 6
Rec ursos S ugeridos para Est udi os Posteriore s ............................................... .............. ...................................................................... 245
4.3 Preguntas de a utoevaluación .................................... ............................... .............................................................................. 245
Pregunt as ............................. ................................................................................................................................................................ 245
Respuestas a las preguntas de autoeval uac ión ................................................................................................................................ .... 247

8 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformalion
Securrty Manager"
An lSACA"Certllk:atlori
Tabla de Conteni do

Sección Dos : Contenido .................................................................................... ........................ .................................... ........ 249


4.4 Visión General De La Gestión De Incidentes . .................... ........................................................ . . ................ ............ ............ 249
4.5 Procedimientos De Respuesta A I ncidentes ...... ............ ............................ ............................................................................ 25 0
4.5.1 Importancia de l a gestión de incidentes ......................................................................................................................... 25 0
4.5.2 Resultados De L a Gestió n De Incidentes ....................................................................................................................... 25 0
4.5.3 Gestión De Incidentes............................................................................................................................... ...................... 25 0
,,.... 4.5.4 Concepto s ....................................................................................................................................................................... 251
4.5.5 Sistemas Para La Gestión De Incidentes.................................................. .......... ............................ .................. .............. 251
4.6 Organización de Gestiónde Incidentes..................... .............................................................................................. ............... 25 2
/"'. 4.6.1 Respo nsibil idades ................................................................................................... ........ ................................................ 25 2
4.6.2 Compromiso De L a Alta Dirección........................ ....................................................................................................... . 25 3
4.7 Recursos Para La Gestión De Incidentes............................................... .... ................................................... ........................ 253
4.7.1 Po líticas y Normas........................................................................................................ .................................................. 253

4.7.2 Co ncepto s de Tecnolo gía Para Respuesta A Incidentes ................................................................................................. 253
4.7.3 Personal ............................................................................................................... ............................................................ 254
,--
Organizació n de equipo s de respuesta a incidentes ......................................... ...................... ......... ................. ............. 254
4.7.4 Rol es y Responsabil idades ...................................................................................................... ....................................... 254
4.7.5 Habilidades ............. ........................... ............................................................................................................................. 25 5
4.7.6 Co nci enciación y Formación .......................................................................................................................................... 25 7
4.7.7 Auditorías........................................................................................................................................................................ 257
4.7.8 Pro veedo res Externos De Segu ridad ................................................................................................................... ........... 257
4.8 Objetivos De La Gestión De Incidentes ..... .... . . ....................................... . ....... ....... .............................................. . ................ 257
4.8.1 Defi nición De Objetivo s............................................................................................ ..................................................... 257
4.8.2 Estado deseado ........................................ ....................................................................................................................... 257
4.8.3 Al ineación estratégica........................ .................................... .................................... ..................................................... 257

-
,,-..
4.8.4 Gestión de riesgo s............................................................................. .............................................................................. 25 8
4.8.5 Integración del pro ceso de aseguramiento ..................................................................................................................... 25 8
4.8.6 Entrega de valo r.......................................................... .................................................................................................... 25 8
,,_
4.8.7 Gestión de recursos.......................................................... ........... ..................................................................... ............... 25 8
,- 4.9 Métricas E Indicadores De La Gestión De Incidentes ............................................................................................. ............ 258
4.9. l Medición Del Desempeño ...................................... ................................................................................ ........................ 259
4.10 Definición De Los Procedimientos De Gestión De Incidentes ............................................................................................ 25 9

-
,-.. 4.10.1 Plan De Acción Detall ado Para L a Gestión De Incidentes ............................................................. ............................. 25 9
4.11 Estado Actual De La Capacidad De Respuesta A Incidentes.................................... ............................................... ........... 26 0

- 4.11.1 Histo rial De Incidentes .......................................................................................................................................... ....... 261


4.11.2 Amenazas ....................................................................................................... ............................................................... 261
4. 11.3 Vul nerabili dades ................... .................... ........................................................................ ............................................ 26 1
4.12 Desarrollo De Un Plan De Respuesta A Incidentes .... .......................................................................................................... 262

-
,,_
El ementos de un plan de respuesta a inci dentes ........................................................................................................... 262

-
4.12.1 Análisis De Brech as-Bases Para Un Plan De Respuesta A Incidentes...................................................................... 263
4.12.2 Valoración DeL Impacto Al Nego cio .......................................................... ................................................................. 263
Beneficio s de ll evar a cabo un análi sis de impacto al nego cio ..................................................................................... 264
4.12.3 Pro ceso De E scalamiento Para Una Gestión Eficaz De Incidentes ............ ................................................................. 265
4.12.5 Equipo s De Gestión Y Respuesta A I ncidentes............................................................................................................ 265
4.12.6 Organizar, Capacitar Y Equipar Al Personal De Respuesta.......................... ............................................................... 266
4.12.7 Proceso De No tificación De Incidentes................................................................... ........................ ............................. 266
4.12.8 Retos En El Desarro llo De U n Pl an Para L a Gestión De I ncidentes........................................................................... 266
4.13 Procedimientos de Continuidad Del Negocio Y Recuperación Ante Desastres ......... ........................................................ 267
4.13. l Pl anes de Recuperación y Pro ceso s de Recuperación de Nego cio .............................................................................. 267

-
4. l 3.2 Operacio nes de Recuperación ................ ................. ..................................................................................................... 267
4.13.3 Estrategias de Recu peración................................................................................................ ......................................... 268
4.13.4 Tratamiento de Amenazas.................................................................. ................. .......................................................... 268
4.13.5 Sitio s de Recuperación ...................... ........................................................................................................................... 269
4.13.6 Fundamentos para L as Sel ecciones de Sitio s de Recuperación................................................................................... 270
4.13.7 Impl ementación de Estrategias............... ............................................................................................................ .......... 271

Manual de Preparación para el Examen CISM 14º edición 9


ISACA. Todos los derechos reservados.
Tabla de Contenido

4. 1 3.8 E lementos del plan de recu peració n....................................... ...................................................................................... 271


4.1 3.9 Integración De Lo s Objetivo s De R ecuperació n Y E l Análisis De Impac to Co n La Respuesta A Incidentes............ 271
Aceptac ió n y to lerancia del riesgo ................................................................................................................................ 271
Análisis de impacto al negocio ...................................................................................................................................... 271
Objetivo s de tiempo de recuperac ió n ............................................................................................................................ 272
Objetivo s de punto de recuperac ió n .............................................................................................................................. 272
Objetivo s de entrega del servicio .................................................................................................................................. 272
Interrupc ión máx ima tolerable ...................................................................................................................................... 272
4. 1 3. 1 0 Requ erimiento s de No tificac ió n ................................................................................................................................. 272
4. 1 3. 1 1 Suministro s ................................................................................................................................................................. 272
4. 1 3. 12 Redes de Co municaciones .......................................................................................................................................... 272
4. 1 3. 13 Méto do s Para Proporcio nar Co ntinuidad De Lo s Servic io s De Redes...................................................................... 273
4. 1 3. 1 4 Co nsiderac iones De Alta Disponibilidad ................................................................................................................... 273
4. 1 3. 15 Seguro ......................................................................................................................................................................... 274
4. 1 3. 16 Actualizació n De Planes De R ecu perac ión ................................................................................................................ 275
4.14 Pruebas De Respuesta A Incidentes Y De Planes De Continuidad De Negocio/Recuperación Ante Desastres.............. 275
4. 1 4 . 1 Pruebas Perió dicas De Lo s Planes De Respu esta Y Recu peración.............................................................................. 275
4. 14.2 Pruebas A La Infraestructura Y A Las Aplicacio nes De Negoc io Crí ticas .................................................................. 276
4. 1 4. 3 Tipo s De Pruebas.......................................................................................................................................................... 276
4. 1 4.4 Resultado s De Las Pruebas ...................................................................................................................................................... 277
4. 1 4.5 M ét ricas De Pruebas De R ecuperació n........................................................................................................................ 277
4.15 Ejecución De Los Planes De Respuesta Y Recuperación .................................................................................................... 278
4. 1 5. 1 Garant izar La E jecució n De Lo s Planes Segú n Lo Requ erido .................................................................................... 278
4.16 Actividades E Investigaciones Postincidente................... .......................... .......... ................................................................. 278
4. 1 6 . 1 Identificar Causas Y Acc io nes Correc tivas .................................................................................................................. 279
4. 1 6.2 Documentació n De E vento s ......................................................................................................................................... 279
4. 1 6. 3 E stablecimiento De Proc edimiento s............................................................................................................................. 279
4. 1 6.4 Requerimiento s De E videncia...................................................................................................................................... 279
4. 1 6.5 Aspec to s L egales De E videncia Forense...................................................................................................................... 280

1 nformación General ....................................................................................................................................................... 28 1


R equerimiento s para la Certificación ...................................................................................................................................... 28 1
Desc ripc ió n del Examen.......................................................................................................................................................... 28 1
registrac ió n para el Examen de Certifi cac ió n CISM............................................................................................................... 28 1
Ac reditació n del pro grama cism reno vada bajo ISO/IE C 1 7024:20 1 2................................................................................... 28 1
Preparac ió n para el examen..................................................................................................................................................... 282
Tipo s de pregu ntas de examen................................................................................................................................................. 28 2
Aplicació n del Examen................................................................................................. ........................................................... 28 2
Durante el Examen .................................................................................................................................................................. 28 2
Calcule su Tiempo ................................................................................................................................................................... 283
R eglas y Proc edimiento s ......................................................................................................................................................... 283
Califi cac ió n del Examen de Certificació n CISM y R ec epció n de Resultado s ....................................................................... 283

Glosario ...................................................................................................................................................................................... 235

Acron1mos
.. . ................................................................................................................................................................................ 297

¿ PREPARADO PARA EL EXAMEN CISM? .................................................................................................. 300

10 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
Acerca de este Manual
GENERALIDAD ES L a sección uno de cada capí tulo i ncluye:
• Una defi nición del dominio
• L os objectivos para el dominio como un área de práctica
El Manual de Preparación para el Examen CISM'' 14 º edición • Una lista de tareas y de las declaraciones de conocimientos
es una guía de referencia diseñ ada para ayudar a los candidatos relacionadas para el dominio
a prepararse para el exam en de certifi cación CISM. El manual • Un mapa de la relación qu e existe ent: e cada tarea y las . .
es una fuente de preparación para el examen, pero no debe declaraciones de conocimientos relaci onadas para el domm10
considerarse como la única fuente ni como una recopilación • Una guía de refe rencia para las declaraciones de conocimientos
global de toda la información y la ex�eriencia qu_e se_ relacionadas para el dominio, que incluye los conceptos y las
,
requieren para aprobar el examen. Nmguna pubh cac1 on explicaciones relevantes
individu al ofrece tal cobertura y detalle. • Referencias a contenido específi co en la sección dos para cada
declaración de conocimiento relacionada
A medida que los candidatos leen el manu al y encuentran • Ejemplos de preguntas y respuestas de au toevaluación con
temas que son nuevos para ellos o para algunos con respecto explicaciones
a los cuales sientan que tienen un conocimiento y experiencia • Recursos sugeridos para estudios posteriores del dominio
limitados deberán consultar refe rencias adicionales. E l examen
constará de preguntas que ponen a prueba el conocimiento L a sección dos de cada capí tulo incluye:
técnico y práctico de los candidatos, así como su cap� cid� d • Material y contenido de refe rencia que respaldan las
para aplicar dich os conocimientos (con base en expen encrn) en declaraciones de conocimientos relacionadas
determinadas situaciones. • L as definiciones de los términos que con may or frecuencia
aparecen en el examen
ORGANIZACIÓN DE ESTE MANUAL El material incluido corresponde al conocimiento y / o
El Manual de Preparación para el Examen CISM" 14 º edición
entendimiento d e importancia para el candidato a CI SM, al
prepararse para tomar el examen de certifi cació n de CISM.
es una guí a de referencia diseñada para ayudar a los candidatos a
prepararse para el examen de certifi cación CISM:
L a estructura del contenido incluye numeración para identifi car
en primer lugar, el capítulo en el que se localiza el tema y,
Dominio 1 Gobierno de seguridad de la información 24% después, los encabezados de los niveles subsiguientes de temas
Dominio 2 Gestión de riesgo de la inform ación y 33% que se tratan en el capítulo (es decir, 2.4. I L a i m�? rtan cia de_I�
gestió n de riesgos, es un subtema de la Introdu cc1 on a la gest1 on
cumplimiento de riesgos en el capítulo 2). El contenido importante dentro de un
Dominio 3 Desarrollo y gestión de programa de 25% subtema se h a resaltado en negri tas para su atención específi ca.
segu ridad de la información
El entendimiento del material es un baró metro del conocimiento,
Dominio 4 Gestión de Incidentes de Seguridad de la 18% fortalezas y debilidades de los candidatos y es una señ al de las áreas
Informació n sobre las cuales los candidatos necesitan buscar fuentes de consulta
adicionales a este man ual. Sin embargo, el material escrito no es

-
Nota: Cada capítulo define las tareas que se espera que los un sustituto de la experiencia. Las preguntas del examen CISM
candidatos a CISM sepan cómo realizar e incluy e una serie de probarán la aplicación práctica que tienen los candidatos
conocimientos relacionados que se requieren para llevar a cabo de este conocimiento. Las preguntas de autoevaluación que se
dichas tareas. Estas constituy en las prácticas actuales para el encuentran al fi nal de la secció n uno de cada capítulo ayudan a
gerente de seguridad de la información. La práctica laboral entender de qué manera se pueden presentar las preguntas en el
detallada del CISM se puede consultar en www.isaca.org/ examen de certifi cación CISM, por lo que no deben utilizarse
cismjobpractice. El examen se basa en estas tareas y estos en fo rma independiente como una fuente de conocimiento. L as

-
conocimientos relacionados. preguntas de autoevalu ación no deben considerarse una medición
de la capacidad de los candidatos para responder a las preguntas
E l manual se h a desarrollado y organizado para contribuir al correctamente en el examen CISM de cada área. Las preguntas
estudio de estas áreas. L os candidatos al exam en deben evaluar tienen por objetivo que los can didatos se familiaricen con la
sus fortalezas, con base en conocimiento y experiencia, en cada estructura de las preguntas, y pueden ser o no similares a aquellas
una de estas áreas. Cada capítulo consta de tres partes: texto, que aparecerán en el examen real. El materi al de consulta incluy e
preguntas prácticas y material de consulta. otras publicaciones que pueden utilizarse para obtener y entender
mejor información adicional detallada sobre los temas que se tratan
FORMATO DE ESTE MANUAL en el manual.

Al fi nal del manu al está disponible un glosario que contiene


Cada uno de los cu atro capí tulos del Manual de Preparación para términos que aplican al material incluido en los capí tulos.
el Examen CISM" 14 º edición está dividido en dos secciones para También se incluy en términos que se aplican a áreas relacionadas
concentrar el esfuerzo de estudio. L a primera sección contiene las que no se explicaron de forma específi ca. El glosario es una
definiciones y los objetivos, y las tareas y los conocimientos que extensión del texto que contiene el manual y puede, por tanto,
son objeto del examen. indicar otras áreas sobre las cuales los candidatos podrí an
necesitar buscar fuentes de consulta adicionales.

Manual de Preparación para el Examen CISM 14º edición 11


ISACA. Todos los derechos reservados.
e. Certilied lnformalion
Security Manager·
Anl�C1rtíf,caboo

Aun cuando cada esfuerzo tiene el objeti vo de tratar la may or Respuestas y Explicaciones de Preparación al Examen CISM" y
parte de la información que se espe ra que sepan los candi datos, el en las edici ones de 2014 y 2015 del Suplemento del Manual de
manual no abarca nec esariamente todas las preguntas del examen, Preguntas, Respuestas y Explicaciones de Preparación al Examen
por lo que los candi datos deberán basarse en su experi encia CIS!vF.
profesi onal para dar la mejor respuesta.
Otro material de apoy o di sponible es la Base de Datos de
A través de todo el manual, el término "asociación" hace Preguntas, Respuestas y Explicaciones de Preparación
referencia a !SACA, con oci da an teri ormente como laAsociación CISM® - Subscripción de 12 meses. La base de datos consta de
de Audi toría y Control de los Si stemas de Información, y el 950 preguntas, respu estas y explicaci ones i nclui das en el Manual
"insti tuto" o "ITGI®" se refiere al In sti tuto de Gobierno de TI®. de Preparación, Preguntas, Respuestas y Explicaciones para
Ademá s, tenga en cuenta que el manual es una traducción del el Examen CISM 8 ° edición. Con este produc to, los can di datos
ori ginal escri to en i nglés estándar american o. a CISM pueden i dentificar con rapi dez sus puntos fuertes y
débi les al c ontestar ejemplos de exámenes aleatori os de di versa
longi tud y clasificar los resultados por domini o. Los ejemplos de
Nota: El Manual de Preparacíón para el Examen exámenes tambi én pueden elegi rse por domini o, faci li tando un
CIS!vP 14° edición e s un documento vivo. A medida que estudi o concentrado, un domi ni o a la vez, y se ofrecen otros ti pos
avanza la tecnología, el manual se actualiza para reflejar de clasificación, tales como omitir preguntas que se respondieron
dichos avances. Las nuevas actualizaciones de este correc tamente c on anteri oridad.
documen to antes de la fecha del examen se pueden ver en
Las preguntas c onteni das en estos productos son representativas
www. isaca.orglstudyaidupdates.
de los ti pos de pregunta que pudieran aparecer en el examen e
incluyen explicaci ones de las respu estas tanto correctas c omo
Las sugerencias para mejorar el manual de preparación o sobre
inc orrectas. Las preguntas se clasifican por domi ni os de CISM
los materiales de refe rencia sugeri dos, deberán enviarse en línea a
y como u n ejemplo de exámen. E stos produc tos son i deales para
www.isaca.orglstudyaidsevaluation.
usarsejunto con el Manual de Preparación para el Examen
CISMID 14 º edición. E stos productos pueden uti lizarse como
EVALUACIÓN DE ESTE MANUAL fu entes de estudio a lo largo del proceso de preparació n o como
parte de u na revi sión fi nal para determinar cuándo los can di datos
ISACA continuamente monitorea los veloces y profun dos avances podrían necesi tar un estudio adici onal. Cabe hacer notar que
profesi onales, tecnoló gicos y ambientales que afectan a la profesión estas pregun tas y respuestas sugeri das se proporci onan a manera
de gerencia de seguri dad de la i nformación. En rec onocimi ento a de ejemplo; no preten den ser preguntas reales conteni das en el
estos rápi dos avances, el Manual de Preparación para el Examen examen, por lo que pueden diferir en con teni do de aqu ellas que en
CISM-1 se actualiza anualmente. reali dad se inc luyen en el examen.

A fin de ayudar a que ISACA se mantenga al día con estos Nota: Cuando utilice los materiales de preparación para
avances, por favor tómese unos mi nutos para evaluar Manual de presentar el examen CISM, es de notar que éstos abarcan
Preparación para el Examen ClSM® 1 4 º edición. E stas opini ones un amplio espectro de temas relacionados con la gestión
son vali osas para prestar u n servici o c ompleto a la prof e sió n y a
los futuros candi datos para el examen CISM. de seguridad de los sistemas de información. Una vez
más, los candidatos no deben dar por hecho que leer
Para completar la evaluación en el si tio w eb, vi si te estos manuales y responder las preguntas prácticas lo
www.isaca.orglstudyaidsevaluation. prepararán completamente para el examen. Dado que las
preguntas reales del examen suelen estar relacionadas con
Gracias por su apoyo y c olaboración.
experiencias prácticas, los candidatos deberán recurrir a sus
propias experiencias y otras fuentes de consulta y basarse en
ACERCA DEL MANUAL DE PREGUNTAS, las experiencias de colegas y otraspersonas que han obte nido
RESPUESTAS Y EXPLICACIONES DE la designación CISM.
PREPARACIÓN PARA EL EXAMEN CISM
Es probable que los candidatos deseen mejorar su estudio y
preparació n haciendo uso del Manual de Preguntas, Respuestas y
Explicaciones de Preparación para el Examen CISM@ 8 ° edición
o la Base de Datos de Preguntas, Respuestas y E xplicaci ones de
Preparación para el Examen CISM® - Subsc ri pción de 12 meses.

E l Manual de Preparación, Preguntas, Respuestas y Explicaciones


para el Examen CISM 8º edición consta de 950 preguntas de
estudi o de opción múlti ple, respu estas y explicaci ones clasificadas
según los domi ni os de prácticas de trabajo actuales del CISM. Las
preguntas de este manual aparecieron en el Manual de Preguntas,

12 Manual de Preparación para el Examen CISM 14 º edición


ISACA. Todos los derechos reservados.
Capítulo 1 :
Certified lnformation
Security Manager"
Gobierno de Segu rid a d
An ISACA" Certification de la I nformación

Sección Uno: Generalidades


1.1 Introducción ................................................................................. .................................................... ............ ................................ 14
Definición......................................................................... ........................................................... ................................... 14
O bjetivos ................................................................................................... ..................................................................... 14
1.2 Tareas y conocimientos relacionados ........................................................................................... ................ .............................. 14
Tareas ................................................................................................. ............................................................................ 14
Conocimientos relacionados ............................................................................................................................ .............. 15
Relación de las tareas con los conocimientos relacionados .......................................................................................... 1 5
Guía d e refe rencia d e conocimientos relacionados ....................................................................................................... 16
Recursos sugeridos para estudios posteriores.............................................................. .................................................. 26
1.3 Preguntas de autoevaluación ...................................................................................................................................................... 27
Preguntas........................................................................................................................................................................ 27
Respuestas a las preguntas de autoevaluación........ ....................................................................................................... 28

Sección Dos: Contenido


1.4 Visión General del Gob ierno de la Seguridad de la I nformación....................................................................................... 31
1.5 Gob ierno Efectivo de la Seguridad de la I nformación ........................................................................................................ 32
1.6. Gob ierno de relaciones con terceros .... ....... ............................. ............................ ...... ............................................................ 44
1.7 Métricas del Gob ierno de la Seguridad de la I nformación ............................................................... .................................. 45
1.8 Visión general de la estrategia de seguridad de la información ......................................................................................... 50
1.9 Desarrollo de U na Estrategia de Seguridad de la I nformación .......................................................................................... 51
1.10 Objetivos de la Estrategia de Seguridad de la I nformación......................................... ....................................................... 53
1.11 Determinación del estado actual de la seguridad ................................................... .............................................................. 60
1.12 Desarrollo de la estrategia de seguridad de la información ........................................................... ..................................... 60
1.13 Recursos de la estrategia....................................................................................................................... .................................. 6 2
1.14 Restricciones d e l a Estrategia...................................................................................................................... ........................... 7 0
1.15 Plan d e acción para implementar l a estrategia .................................................................................................................... 7 2
1.16 Implementación del gobierno d e l a seguridad: ejemplo .......................................................... ............................................ 7 5
1.17 Metas intermedias del plan d e acción.................................................................................................................. .................. 78
1.18 Objetivos del Programa de Seguridad de la I nformación ........................................................ ........................................... 78
1.19 Caso de Estudio ....................................................................................................... ......... ............ ............................................ 79

Manual de Preparación para el Examen CISM 14º edición 13


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades
e. Cerlilied lnformatioo
Security Manager"
AnlSACA"Certlflcatlon

E sta área d e práctica de trabajo representa el 24 por ciento d el


Sección Uno: Generalidades examen d e certifi cación CISM (48 preguntas aproximadamente).

1 .1 INTRODUCCIÓN 1 .2 TAREAS Y CONOCIMIENTOS


E ste capítulo rev isa el conjunto de conocimientos y tareas
RELACIONADOS
asociadas necesarias para d esarrollar una estructura de gobierno
Dominio } -Gobierno de seguridad de la información
de seguridad de la info rmación alineada con los objetivos de la
Establecer y mantener un marco de referencia del gobierno de
organización.
la seguridad de la info rmación y dar apoy o a los procesos para
asegurar q ue la estrategia de seguridad de la info rmación esté
DEFINICIÓN alineada con las metas y los objetiv os d e la organización, que los
COBIT 5 define el gobierno en términos de objetiv os como: riesgos de la i nfo rmación se administren de manera adecuada
y que los recursos del programa se administren d e fo rma
"El Gobierno asegura que se evalúan las necesidades, responsable.
condiciones y opciones de las partes interesadas para
determinar que se alcanzan las metas corporativas TAREAS
equilibradas y acordadas; estableciendo la dirección
Existen nueve (9 ) tareas dentro de esta área de práctica de trabaj o
a través de la priorización y la toma de decisiones; y
q ue un candidato a CISM tiene q ue saber cómo realizar:
midiendo el rendimiento y el cumplimiento respecto a la
T 1.1 Establecer y mantener una estrategia de seguridad de
dirección y metas acordadas. "
la info rmación alineada con las metas y objetiv os de
la organización para orientar el establecimiento y la
OBJETIVOS administración continua del programa de seguridad de la
El objetiv o de este dominio es garantizar que el gerente i nfo rmación.
de seguridad de la info rmación comprenda los amplios T l.2 Establecer y mantener un marco de referencia del gobierno
requerimientos para un gobierno efectiv o de seguridad de la de la seguridad de la info rmación para orientar las
info rmación, así como los elementos y las acciones q ue se activ idades que den apoyo a la estrategia de seguridad de
requieren para desarrollar una estrategia de seguridad de la la info rmación.
i nfo rmación y un plan de acción para implementarla. T I .3 I ntegrar el gobierno de la seguridad de la info rmación
dentro del gobierno corporativ o para asegurar q ue las
Una extensión de la defi nición de gobierno incluye "la estructura metas y objetiv os organizacionales sean respaldad os por el
a través de la cual se establecen los objetiv os de la empresa, programa de seguridad de la info rmación.
y se determinan los medios para alcanzar dich os objetiv os y T I .4 Establecer y mantener políticas d e seguridad de la
monitorear el desempeño", tal como describe la Organización i nfo rmación para comunicar las directrices a los gerentes y
para la Cooperación y el Desarrollo E conómico (OCDE) orientar el desarrollo de normas, procedimientos y pautas.
en su publicación de 2004 titulada "Principios de Gobierno T I .5 Desarrollar casos de negocio para apoyar la i nv ersión en
Corporativ o de la OCDE". La estructura y los medios incluyen seguridad de la información.
estrategia, políticas y sus respectiv os estándares, procedimientos Tl.6 Identi fi car las influencias internas y externas a la
y lineamientos; planes estratégicos y operativ os; concienciación organización (por ejemplo, la tecnología, el entorno
y capacitación; gestión de riesgos; controles; auditorías, y otras empresarial, la tolerancia al riesgo, la ubicación
activ idades de aseguramiento. geográfi ca, los req uisitos legales y reglamentarios) para
asegurarse de q ue estos factores son abordad os por la
El Manual de Preparación al Examen CJSM", 14 º edición, está estrategia de seguridad de la información.
escrito desde una perspectiva práctica q ue es necesaria para T I .7 Obtener el compromiso de la alta dirección y el apoy o de
implementar un gobierno efectiv o con un enfoque en la fu nción otras partes interesadas para maximizar la probabilidad de
del CISM. El gobierno de seguridad de la información está una implementación exitosa d e la estrategia de seguridad
ganand o cada vez más la atención de líderes organizacionales, y de la información.
puede corresponderle al gerente de seguridad d e la info rmación T 1.8 Definir y comunicar las funciones y responsabilidades d e
desempeñar una fu nción crítica en muchos aspectos para lograr seguridad d e la información e n toda la organización para
un buen gobierno de la seguridad de la i nformación. establecer claramente las responsabilidades y las lineas de
autori dad.
El gobierno no se presenta meramente desde una perspectiva TI .9 Establecer, supervisar, evaluar y reportar mediciones
teórica, si no desde el pun to de v ista de la im plementación. E n (por ejemplo, indicad ores clave de objetivos [KGi s],
consecuencia, los elementos de la gestión se incluyen en la indicadores clave de desempeño [KPi s] , indicad ores clave
sección de gobi erno cuando ayudan a comprender mejor los de riesgo [KRi s] ) para proporcionar una administraci ón
req uerimientos para la implementación. El Capítulo 3, Desarrollo con info rmación precisa en cuanto a la efe ctiv idad de la
y gestión del programa de seguridad de la información, trata en estrategia d e seguridad de la info rmación.
detalle las funciones de la gestión de seguridad de la información.

14 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
:�:�":::•ger" Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades

CONOCIMIENTOS RELACIONADOS KS1.1O Conocimiento de las infl uencias inte rnas y exte rnas a
El candidato a ClSM debe comprender bien cada una de las la organización (p or ejemp lo, la tecnología, el entorno
áreas del ineadas p or los c onocimientos relac ionad os. Estos emp resarial, la tolerancia al riesg o, la ub icación
c onoc imientos son la base del examen. geográfica, los req uisitos legales y reg lamentarios)
y cómo impactan a la estrategia de seg uridad de la
Existen 15 c onocimie ntos re lacionad os dentro del dominio de informac ión
gob ie rno de la seguridad de la información: KS1.11 Conoc imiento de los métod os para ob tener el
KS1.1 Conocimiento de los métodos para desarrol lar una compromiso de la al ta dirección y e l ap oy o de otros
estrategia de segu ridad de la informac ió n grupos de interés para la seg uridad de la informació n
KS1.2 Conocimiento de la relac ión entre la seguridad de la K S1.12 Conoc imiento de las func iones y resp onsab ilidades de la
informació n y l os objetivos, func iones, y prácticas de la administrac ión de seg uridad de la informac ión
e mpresa KS1. 13 Conocimiento de las estruc turas organizacionales y de
KS1.3 Conoc imiento de los métodos para imp le mentar un las líneas de autoridad
marc o de referenc ia del g obierno de la seg uridad de la KS1.14 Conocimie nto de l os métod os para establecer
informació n presentación de informes y canales de c omunicac ión
KS1.4 Conocimiento de l os c oncep tos fundamentales de nuevos, o utilizar los existentes en toda la organizac ión
g ob iern o y cómo se re lacionan c on la seg uridad de la KS1.15 Conocimiento de los métod os para seleccionar,
información implementar e interpretar mediciones (p or ejemplo,
KS1.5 Conoc imiento de l os métodos para integrar el g ob ierno indicad ores clave de objetivos [KG! s], ind icad ores
de la seg uridad de la información dentro del g obierno clave de desempeño [KPls] , indicad ores clave de riesg o
corp orativo [KRi s] )
KS1.6 Conocimiento de las normas, los marcos de referencia
y las mejores prác ticas reconoc idas inte rnacional mente RELACIÓN DE LAS TAREAS CON LOS
re lacionadas con el g obierno de la seg uridad de la CONOCIMIENTOS RELACIONADOS
información y el desarroll o de estrategias
Las tareas son l o que se espera que el candidato a CISM sepa
KS 1.7 Conocimiento de l os métodos para desarrollar políticas
cómo hacer. L os c onocimientos relacionad os de linean cada una
de seg uridad de la información
de las áreas en las que e l candidato a CISM debe tener una b uena
KS1.8 Conocimiento de l os métodos para desarrollar casos de
c ompre nsión para real izar las tareas. Las relac iones entre las
tareas y los conoc imientos relacionad os se muestran e n la Figura
neg ocio
KS1.9 Conoc imiento de la planificación estratégica
1.1 hasta donde es p osible hacerl o. Nótese que aun c uand o a
presupuestaria y de los métodos para la elab orac ión de me nud o se presenta más de una correspondencia, cada tarea, p or
informes
lo general, se relaciona con más de un c onoc imiento.

Figura 1 .1-Mapeo (Mapping) de Tareas y Conocimientos Relacionados


Enunciado de tarea Conocimientos relacionados
T1 .1 Establecer y mantener una estrategia de seguridad KS1 .1 Conocimiento de los métodos para desarrollar una estrategia de seguridad de la
de la información alineada con las metas y información
objetivos de la organización para orientar el KS1 .2 Conocimiento de la relación entre la seguridad de la información y los objetivos,
establecimiento y la administración continua del funciones, y prácticas de la empresa
programa de seguridad de la información.
T1 .2 Establecer y mantener un marco de referencia KS1 .2 Conocimiento de la relación entre la seguridad de la información y los objetivos,
del gobierno de la seguridad de la información funciones, y prácticas de la empresa
para orientar las actividades que den apoyo a la KS1 .3 Conocimiento de los métodos para implementar un marco de referencia del gobierno
estrategia de seguridad de la información. de la seguridad de la información
KS1 .4 Conocimiento de los conceptos fundamentales de gobierno y cómo se relacionan con
la seguridad de la información
KS1 .6 Conocimiento de las normas, los marcos de referencia y las mejores prácticas
reconocidas internacionalmente relacionadas con el gobierno de la seguridad de la
información y el desarrollo de estrategias
T1 .3 Integrar el gobierno de la seguridad de la KS1 .2 Conocimiento de la relación entre la seguridad de la información y los objetivos,
información dentro del gobierno corporativo funciones, y prácticas de la empresa
para asegurar que las metas y objetivos KS1 .4 Conocimiento de los conceptos fundamentales de gobierno y cómo se relacionan con
organizacionales sean respaldados por el programa la seguridad de la información
de seguridad de la información. KS1 .5 Conocimiento de los métodos para integrar el gobierno de la seguridad de la

- información dentro del gobierno corporativo


KS1 .6 Conocimiento de las normas, los marcos de referencia y las mejores prácticas
reconocidas internacionalmente relacionadas con el gobierno de la seguridad de la
información y el desarrollo de estrategias

Manual de Preparación para el Examen CISM 14º edición 15


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobierno de seguridad de la información Sección Uno: Generalidades
e. Certified lnfonnation
Securtty Manager·
AnlSACA"Certlfication

Figura 1 .1-Mapeo (Mapping) de Tareas y Conocimientos Relacionados (cont.)


Enunciado de tarea Conocimientos relacionados
T1 .4 Establecer y mantener políticas de seguridad de KS1 .2 Conocimiento de la relación entre la seguridad de la información y los objetivos,
la información para comunicar las directrices a funciones, y prácticas de la empresa
los gerentes y orientar el desarrollo de normas, KS1 .7 Conocimiento de los métodos para desarrollar políticas de seguridad de la información
procedimientos y pautas.
T1 .5 Desarrollar casos de negocio para apoyar la KS1 .8 Conocimiento de los métodos para desarrollar casos de negocio
inversión en seguridad de la información. KS1 .9 Conocimiento de la planificación estratégica presupuestaria y de los métodos para la
elaboración de informes
T1 .6 Identificar las influencias internas y externas a la KS1 .6 Conocimiento de las normas, los marcos de referencia y las mejores prácticas
organización (por ejemplo, la tecnología, el entorno reconocidas internacionalmente relacionadas con el gobierno de la seguridad de la
empresarial, la tolerancia al riesgo, la ubicación información y el desarrollo de estrategias
geográfica, los requisitos legales y reglamentarios) KS1 .1 O Conocimiento de las influencias internas y externas a la organización (por ejemplo, la
para asegurarse de que estos factores son tecnología, el entorno empresarial, la tolerancia al riesgo, la ubicación geográfica, los
abordados por la estrategia de seguridad de la requisitos legales y reglamentarios) y cómo impactan a la estrategia de seguridad de
información. la información
T1 . 7 Obtener el compromiso de la alta dirección y el KS1 .1 1 Conocimiento de los métodos para obtener el compromiso de la alta dirección y el
apoyo de otras partes interesadas para maximizar apoyo de otros grupos de interés para la seguridad de la información
la probabilidad de una implementación exitosa de
la estrategia de seguridad de la información.
T1 .8 Definir y comunicar las funciones y KS1 .12 Conocimiento de las funciones y responsabilidades de la administración de seguridad
responsabilidades de seguridad de la información de la información
en toda la organización para establecer claramente KS1 . 1 3 Conocimiento de las estructuras organizacionales y de las líneas de autoridad
las responsabilidades y las líneas de autoridad.
T1 .9 Establecer, supervisar, evaluar y reportar KS1 .14 Conocimiento de los métodos para establecer presentación de informes y canales de
mediciones (por ejemplo, indicadores clave de comunicación nuevos, o utilizar los existentes en toda la organización
objetivos [KGls], indicadores clave de desempeño KS1 .1 5 Conocimiento de los métodos para seleccionar, implementar e interpretar mediciones
[KPls], indicadores clave de riesgo [KRls]) para (por ejemplo, indicadores clave de objetivos [KGls], indicadores clave de desempeño
proporcionar una administración con información [KPls], indicadores clave de riesgo [KRls])
precisa en cuanto a la efectividad de la estrategia
de seguridad de la información.

GUÍA DE REFERENCIA DE CONOCIMIENTOS RELACIONADOS


La siguiente sección contiene los conocimientos relacionados, los conceptos subyacentes y la relevancia para el conocimiento del
gerente de la seguridad de la información. Los conocimientos relacionados constituyen lo que el gerente de la seguridad debe saber
para llevar a cabo las tareas. Se proporciona una explicación resumida de cada conocimiento relacionado, seguida de los conceptos
básicos que son los fundamentos del examen escrito. Cada concepto clave tiene referencias a la sección dos de este capítulo.

El conjunto de conocimientos del CISM se ha dividido en cuatro dominios, y cada uno de los cuatro capítulos cubre parte del material
que contienen estos dominios. Este capítulo revisa el conjunto de conocimiento desde el punto de vista de la estrategia y del gobierno.

16 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
¡
e. Certified lnlonnation
�:
:�,.
age
:�: r"
C • G b"
apítulo 1- o ,emo de segun"dad de ,a
, m,ormac,on
· ., -- Sección Uno: Generalidades

KS1.1 Conocimiento de los métodos para desarrollar una estrategia de seguridad de la información
Explicación 1
Conceptos clave 1 Referencia en el Manual
La estrategia es el plan de acción para lograr los objetivos definidos que La razón de ser 1 .4 Visión general del gobierno de la
generan los resultados deseados, utilizando los recursos disponibles del desarrollo de la seguridad de la información
con las limitaciones existentes. Una estrategia para lograr los resultados estrategia 1 .4.1 Importancia del gobierno de la
definidos para el programa de seguridad de la información es necesaria seguridad de la información
para desarrollar un programa de seguridad efectivo y maduro. La estrategia 1 .4.2 Resultados del gobierno de la
guiará los requerimientos de gobierno y el desarrollo de políticas y seguridad de la información
estándares. También guiará el desarrollo de objetivos de control y las 1 .5 Gobierno Efectivo de la Seguridad de
métricas necesarias para la gerencia efectiva. En última instancia, la la Información
estrategia proporciona la base para elaborar un plan de acción para su 1 .5.1 Metas y objetivos del negocio
propia implementación. Para que sea efectiva, la estrategia debe considerar 1 .5.3 Roles y responsabilidades de
una variedad de factores, incluyendo los recursos disponibles así como gobierno y gestión
las limitaciones. Los recursos incluyen, personas, procesos, tecnologías y 1 .1 0.2 Definición de objetivos
arquitecturas. Las restricciones que se deben considerar son tiempo, costos, Impulsores para las 1 .4.2 Resultados del gobierno de la
recursos, destrezas, requerimientos regulatorios y la cultura y estructura amenazas, exposiciones, seguridad de la información
organizacionales. riesgos e impactos de la 1 .5.5 Roles y responsabilidades de la
estrategia seguridad de la información
La base para el desarrollo 1 .1 2.1 Elementos de una estrategia
de la estrategia - relación 1 .1 8 Objetivos del Programa de Seguridad
con los objetivos de la Información
Relaciones entre los 1 .1 3 Recursos de la estrategia
elementos estratégicos 1 . 1 3.19 Otros proveedores de soporte y
aseguramiento organizacional
1 .14.1 1 Aceptación y tolerancia del riesgo
Recursos de la estrategia 1 . 1 2.1 Elementos de una estrategia
y restricciones 1 .1 4 Restricciones de la Estrategia
Cómo los objetivos de la 1 .8 Visión general de la estrategia de
organización establecen seguridad de la información
los requerimientos 1 .8.1 Una visión alternativa de la estrategia
para la estrategia de 1 .9 Desarrollo de Una Estrategia de
seguridad Seguridad de la Información
1 .1 0 Objetivos de la Estrategia de
Seguridad de la Información
1 .1 0.1 La meta
1 .1 2 Desarrollo de la estrategia de
seguridad de la información
1 . 1 8 Objetivos del Programa d e Seguridad
de la Información
Desarrollo de una 1 .1 2 Desarrollo de la estrategia de
estrategia y de una hoja seguridad de la información
de ruta de la seguridad 1 . 1 2.1 Elementos de una estrategia
de la información 1 .1 3 Recursos de la estrategia
1 .1 3.19 Otros proveedores de soporte y
aseguramiento organizacional
1 .14.1 1 Aceptación y tolerancia del riesgo
La estrategia como base 1 .16 Implementación del gobierno de la
para la política y la seguridad: Ejemplo
relación con los objetivos 1 .1 6.1 Ejemplos adicionales de políticas
de control 1 .1 8 Objetivos del Programa d e Seguridad
de la Información
Figura 1 .2 Relación de los componentes de
gobierno

Manual de Preparación para el Examen CISM 14 º edición 17


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades

KS1.2 Conocimiento de la relación entre la seguridad de la información y los objetivos, funciones, y prácticas de la empresa
Explicación 1 Conceptos clave 1 Referencia en el Manual
En una organización con un gobierno adecuado, las actividades de seguridad La relación de gobierno 1 .4 Visión general del gobierno de la
de la información apoyan las metas y objetivos de la organización al tiempo de seguridad de la seguridad de la información
que identifican y gestionan los riesgos a unos niveles aceptables. La relación información con el 1 .5 Gobierno Efectivo de la Seguridad de
de seguridad de la información para las funciones organizativas debe gobierno de la empresa la Información
entenderse para diseñar y aplicar las soluciones de mitigación de riesgos Definición de 1 .4.2 Resultados del gobierno de la
adecuados. El gerente de seguridad de la información debe entender la interrelaciones de seguridad de la información
naturaleza y el propósito de las diversas funciones de una organización con estrategia de seguridad
la finalidad de asegurarse de que se desarrollan las estructuras de gobierno para las funciones
apropiadas y efectivas. Todas las decisiones con respecto a la aplicación del organizativas
programa de seguridad deben ser el resultado de decisiones organizativas
bien fundadas. El rol del gerente de seguridad de la información es Beneficios Importancia del gobierno de la
1 .4.1
identificar y explicar a las partes interesadas los riesgos para la información organizacionales de seguridad de la información
de la organización, presentar alternativas para la mitigación y luego aplicar seguridad efectiva 1 .4.2 Resultados del gobierno de la
un enfoque respaldado por la organización. También es importante definir y seguridad de la información
transmitir las oportunidades disponibles para la organización como resultado Métodos para determinar 1 .1 0.4 Objetivos de riesgo
de una buena seguridad, tal como la capacidad de llevar con seguridad las el riesgo aceptable 2.1 0 Evaluación d e riesgos
transacciones organizativas y financieras en línea.
Determinando la 1 .7 Métricas de gobierno de la seguridad
efectividad del gobierno de la información
de la seguridad de la
información
Enfoques para 1 .1 0.2 Definición de objetivos
desarrollar las 2.1 0 Evaluación de riesgos
estrategias de mitigación
de riesgos
Cómo los objetivos de la 1 .8 Visión general de la estrategia de
organización establecen seguridad de la información
los requerimientos 1 .8.1 Una visión alternativa de la estrategia
para la estrategia de 1 .9 Desarrollo de Una Estrategia de
seguridad Seguridad de la Información
1 .1 0 Objetivos d e l a Estrategia de
Seguridad de la Información
1 .1 0.1 La meta
1 . 1 2 Desarrollo de la estrategia de
seguridad de la información
1 .1 8 Objetivos del Programa de Seguridad
de la Información
Cómo se relaciona la 1 .1 0.2 Definición de objetivos
estrategia de seguridad 1 .1 0.3 El estado deseado
con los objetivos de 1 .1 0.4 Objetivos de riesgo
control 1 .1 8 Objetivos del Programa de Seguridad
de la Información
Cómo los objetivos de la 1 .1 3 Recursos de la estrategia
organización se traducen
en políticas de seguridad

18 Manual de Preparación para e l Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnlormalion
Securlty Manager·
An lSACA"Certl!lcatlon
Capítulo 1 - Gobierno de seguridad de la información Sección Uno: Generalidades

KS1.3 Conocimiento de los métodos para implementar un marco de referencia del gobierno de la seguridad de la información
Explicación 1
Conceptos clave 1 Referencia en el Manual
Todas las organizaciones operan bajo un conjunto de metas y objetivos ya El propósito del gobierno 1 .4 Visión general del gobierno de la
sean explícitos o implícitos. Es esencial que el gerente de seguridad de la seguridad de la información
información se familiarice con estos y determine el mejor enfoque para el 1 .4.1 Importancia del gobierno de la
desarrollo de una estrategia que, cuando se aplique, alcance los objetivos seguridad de la información
que den como resultado los efectos deseados. Desarrollada como es debido, Desarrollo de una 1 .4.2 Resultados del gobierno de la
la estrategia proporciona la directriz para la implementación del programa estructura de gobierno seguridad de la información
de seguridad y del marco general de gobierno. 1 .1 6 Implementación del gobierno de la
seguridad: Ejemplo
El valor, la efectividad y sustentabi lidad de un programa de seguridad de
la información son funciones de cuán bien se gobierna y su contribución El criterio para el 1 .4.2 Resultados del gobierno de la
al logro de los objetivos de la organización. La falta de un marco general gobierno efectivo seguridad de la información
de gobierno efectivo típicamente resulta en la asignación ineficiente de 1 .5 Gobierno Efectivo de la Seguridad de
recursos y en un modo de operación táctico y reactivo que sobreprotege la Información
algunos de los activos mientras descuida a otros. El propósito de un 1 .5.1 Metas y objetivos del negocio
programa de seguridad de la información es apoyar y mejorar las La relación de gobierno, 1 .8 Visión general de la estrategia de
operaciones de una organización. Esto sólo se puede lograr con una buena estrategia y controles seguridad de la información
comprensión de la organización, su cultura y sus operaciones, así como de 1 .1 0.3 El estado deseado
sus metas y objetivos. Figura 1 .2 Relación de los componentes de
gobierno
La relación de gobierno 1 .4 Visión general del gobierno de la
de seguridad de la seguridad de la información
información con el
gobierno de la empresa
La relación de gobierno 1 .4 Visión general del gobierno de la
con objetivos de la seguridad de la información
organización 1 .5.7 Modelo de negocios para la seguridad
de la información
Cómo se implementa 1 .1 5 Plan de acción para implementar la
el gobierno estrategia
1 .1 6 Implementación del gobierno de la
seguridad: Ejemplo

Manual de Preparación para el Examen CISM 14 º edición 19


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades
e. Certified lnformatioo
Security Manager·
An lSM:A"Certlflclltloo

KS1.4 Conocimiento de los conceptos fundamenta/es de gobierno y cómo se relacionan con la seguridad de la información
Explicación 1 Conceptos clave 1 Referencia en el Manual
En una organización con un gobierno adecuado, las actividades de seguridad La relación de gobierno 1 .4 Visión general del gobierno de la
de la información apoyan las metas y objetivos de la organización al tiempo de seguridad de la seguridad de la información
que identifican y gestionan los riesgos a unos niveles aceptables. La relación información con el 1 .5 Gobierno Efectivo de la Seguridad de
de seguridad de la información para las funciones organizativas debe gobierno de la empresa la Información
entenderse para diseñar y aplicar las soluciones de mitigación de riesgos 1 .4.2 Resultados del gobierno de la
Definición de
adecuados. El gerente de seguridad de la información debe entender la
interrelaciones de seguridad de la información
naturaleza y el propósito de las diversas funciones de una organización con
estrategia de seguridad
la finalidad de asegurarse de que se desarrollan las estructuras de gobierno
para las funciones
apropiadas y efectivas. Todas las decisiones con respecto a la aplicación del
organizativas
programa de seguridad deben ser el resultado de decisiones organizativas
bien fundadas. El rol del gerente de seguridad de la información es Beneficios 1 .4.1 Importancia del gobierno de la
identificar y explicar a las partes interesadas los riesgos para la información organizacionales de seguridad de la información
de la organización, presentar alternativas para la mitigación y luego aplicar seguridad efectiva 1 .4.2 Resultados del gobierno de la
un enfoque respaldado por la organización. seguridad de la información
Métodos para determinar 1 .1 0.4 Objetivos de riesgo
el riesgo aceptable 2.1 0 Evaluación de riesgos
Determinando la 1 .7 Métricas del gobierno de la seguridad
efectividad del gobierno de la información
de la seguridad de la
información
Enfoques para 1 .1 0.2 Definición de objetivos
desarrollar las 2.1 0 Evaluación de riesgos
estrategias de mitigación
de riesgos
Cómo se relaciona la 1 .1 0.2 Definición de objetivos
estrategia de seguridad 1 .1 O. 3 El estado deseado
con los objetivos de 1 . 1 0.4 Objetivos de riesgo
control 1 .1 8 Objetivos del Programa de Seguridad
de la Información
La relación entre 1 .4 Visión general del gobierno de la
la seguridad de seguridad de la información
la información y 1 .4.1 Importancia del gobierno de la
los objetivos de la seguridad de la información
organización 1 .4.2 Resultados del gobierno de la
seguridad de la información
1 .5 Gobierno Efectivo de la Seguridad de
la Información
1 .5.1 Metas y objetivos del negocio
1 .5.3 Roles y responsabilidades de
gobierno y gestión
1 . 1 0.2 Evaluación de riesgos
Definición de los 1 .4.2 Resultados del gobierno de la
resultados de la seguridad de la información
seguridad de la 1 .5.5 Roles y responsabilidades de la
información que apoyan seguridad de la información
los objetivos de la
organización
Relacionar los 1 .1 8 Objetivos del programa de seguridad
objetivos del programa de la información
de seguridad de la
información con
los objetivos de la
organización

20 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e Certified I form tioo
• Securlty �ana�
An lSACA"Certlfieatl(wl
Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades

KS1.5 Conocimiento de los métodos para integrar el gobierno de la seguridad de la información dentro del gobierno corporativo
Explicación 1
Conceptos clave 1 Referencia en el Manual
El gobierno de seguridad de la información es un subconjunto de gobierno Evaluación de la 1 .4 Visión general del gobierno de la
de empresas. El gerente de seguridad de la información necesita asegurarse integración del gobierno seguridad de la información
de que el gobierno de seguridad de la información sea consistente con el de seguridad de la 1 .4.1 Importancia del gobierno de la
gobierno general de la empresa. La consistencia requiere que los procesos, información y el gobierno seguridad de la información
métodos, normas, prácticas y objetivos sean esencialmente los mismos de la empresa 1 .7.8 Integración del proceso de
dondequiera que se apliquen. Es esencial entender que la seguridad de aseguramiento
la información no puede ser una actividad independiente y que se debe Las posibles 1 .4 Visión general del gobierno de la
gobernar con las mismas normas como en el resto de la organización. Si consecuencias si no se seguridad de la información
existen razones fundadas por las que no es prudente, se debe modificar las integran las actividades 1 .4.1 Importancia del gobierno de la
estructuras de gobierno o se deben crear y aprobar las variantes aceptables de gobierno seguridad de la información
según sea necesario. 1 .5 Gobierno Efectivo de la Seguridad de
la Información
Las actividades que el 1 .4.2 Resultados del gobierno de la
gerente de seguridad seguridad de la información
de la información puede 1 .5.1 Metas y objetivos del negocio
emprender para mejorar
la integración

KS1.6 Conocimiento de las normas, los marcos de referencia y las mejores prácticas reconocidas internacionalmente relacionadas
con el gobierno de la seguridad de la información y el desarrollo de estrategias
Explicación 1
Conceptos clave 1 Referencia en el Manual
Hay algunas normas internacionales para la seguridad de la información El propósito de una 1 .1 3.1 Políticas y estándares
con la cual el gerente de seguridad de la información debe familiarizarse. norma
Estas normas proporcionan un conjunto de buenas prácticas consistentes Cuándo y cómo usar las 1 . 7 .3 Métricas de alineación estratégica
y comprobadas que pueden resultar muy útiles cuando se desarrolla o se normas 1 . 1 2.1 Elementos de una estrategia
trata de mejorar un programa de seguridad de la información. Las normas 1 .1 2.2 Recursos y limitaciones de la
ISO, COBIT y PCI generalmente son las normas más aceptadas en el mundo. estrategia: Visión general
El examen CISM no formulará preguntas relacionadas con las normas 1 .1 3.1 Políticas y estándares
regionales o con el contenido específico de las normas internacionales,
pero el gerente de seguridad de la información deberá familiarizarse de Atributos comunes de las 1 .1 0.3 El estado deseado
manera general con las normas y cómo se pueden aprovechar para apoyar normas internacionales
el desarrollo de estrategias y el gobierno del programa de seguridad de la La relación de gobierno 1 .1 0.3 El estado deseado
información. con los estándares ISO y 1 .1 3.4 Tecnologías
con COBIT 1 .16 Implementación del gobierno de la
seguridad: Ejemplo
Figura 1 .8 Normas y marcos generales
vigentes
La relación de gobierno 1 .4 Visión general del gobierno de la
de seguridad de la seguridad de la información
información con el
gobierno de la empresa
La relación de gobierno 1 .4 Visión general del gobierno de la
con objetivos de la seguridad de la información
organización 1 .5.7 Modelo de negocios para la seguridad
de la información
Cómo se implementa 1 .1 5 Plan de acción para implementar la
el gobierno estrategia
1 . 1 6 Implementación del gobierno de la
seguridad: Ejemplo

-
Manual de Preparación para el Examen CISM 14º edición 21
ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades e·=�:�:-, AnlSACA"CertlHcatJon

KS1. 7 Conocimiento de los métodos para desarrollar políticas de seguridad de la información


Explicación 1 Conceptos clave 1 Referencia en el Manual
El desarrollo de una estrategia de seguridad de la información, la cual Las bases para el 1 .5.5 Roles y responsabilidades de la
apoya los objetivos generales de la organización, conducirá al desarrollo desarrollo de políticas seguridad de la información
de las políticas de seguridad. Las políticas reflejarán, a su vez, la intención, 1 .1 0.3 El estado deseado
dirección y expectativas de la gerencia e impulsarán el desarrollo de los 1 . 1 3.1 Políticas y estándares
estándares y otros controles que en última instancia apoyan los objeflvos 1 .1 5.2 Desarrollo de políticas
de negocios. Política y estrategia 1 .1 6 Implementación del gobierno d e la
seguridad: Ejemplo
1 . 1 6.1 Ejemplos adicionales de políticas
1 . 1 7 Metas intermedias del plan de
acción
Políticas y desarrollo 1 .1 0.3 El estado deseado
de control 1 .1 1 Determinación del estado actual de
la seguridad
1 . 1 8 Objetivos del Programa de
Seguridad de la Información
Figura 1 .8 Normas y marcos generales
vigentes
La relación de políticas 1 .1 0.3 Enfoques de Arquitectura
y arquitectura 1 .1 2.1 Elementos de una estrategia
1 .1 3.2 Arquitecturas de seguridad de
la información de la empresa
Architecture(s)
Figura 1 .1 7 Matriz SABSA de arquitectura de
seguridad

KS1.8 Conocimiento de los métodos para desarrollar casos de negocio


Explicación 1 Conceptos clave 1 Referencia en el Manual
La razón de ser y justificación del programa de seguridad y las iniciativas El propósito de un caso 1 .5.5 Cómo obtener el compromiso de la
de seguridad deben apoyarse en un caso de negocio sólido para optimizar de negocio alta dirección
la efectividad de costos, la relevancia organizativa y la viabilidad en curso. 1 .7.5 Métricas de la entrega de valor
Para que el gerente de seguridad de la información sea eficiente, es esencial 1 .1 0.3 El estado deseado
que entienda los métodos para desarrollar un caso de negocio efectivo para 3.1 3.6 Desarrollo del Caso de Negocio
las iniciativas de seguridad con el fin de obtener el apoyo de la gerencia Lo que se incluye (o no) 1 .1 0.3 El estado deseado
necesario para el éxito. en un caso de negocio 3.1 3.6 Desarrollo del Caso de Negocio
Los aspectos financieros 1 .1 0.3 El estado deseado
de un caso de negocio 3.1 3.6 Desarrollo del Caso de Negocio
Los aspectos viables de 1 .1 0.3 El estado deseado
un caso de negocio 1 .1 6 Implementación del gobierno de la
seguridad: Ejemplo
1 .4.2 Resultados del gobierno de la
seguridad de la información
3.1 3.6 Desarrollo del Caso de Negocio
Receptores y 1 .1 0.3 El estado deseado
presentación de un caso 3.1 3.6 Desarrollo del Caso de Negocio
de negocio

22 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e• Cerlified lnformalion
Security Manager·
An lSACA"Certlllcalk.in
Capítulo 1 -Gobierno de seguridad de la información Sección Uno: Generalidades

KS1.9 Conocimiento de la planificación estratégica presupuestaria y de los métodos para la elaboración de informes
Explicación 1
Conceptos clave 1 Referencia en el Manual
Es importante que el gerente de seguridad de la información entienda y sea Conceptos generales de 1 .5.3 Roles y responsabilidades de
capaz de participar en las prácticas financieras organizativas estándar. Cada gestión y administración gobierno y gestión
vez más el desarrollo, la gestión y la aplicación de gobierno requiere de la 3.1 3 Gestión del programa de seguridad
comprensión de las prácticas de presupuesto e informes de la organización. y actividades administrativas
Dependiendo de la madurez de la organización y del estado de gobierno de Presupuesto 1 .1 4.6 Costos
seguridad, el análisis y la planificación requeridas pueden ser considerables 1 .1 4.1 0 Tiempo
para preparar y enviar un presupuesto. 3.1 3.7 Presupuesto del programa
Informe financiero 1 .5.5 Cómo obtener el compromiso de la
alta dirección
1 .1 4.6 Costos
3.1 3.7 Presupuesto del programa

KS1.10 Conocimiento de las influencias internas y externas a la organización (por ejemplo, la tecnología, el entorno empresarial, la
tolerancia al riesgo, la ubicación geográfica, los requisitos legales y reglamentarios) y cómo impactan a la estrategia de seguridad
de la información
Explicación 1
Conceptos clave 1 Referencia en el Manual
Una variedad de condiciones afectarán cómo una organización considera los Diferencias del sector de1 .1 4.4 Cultura
temas de seguridad y cómo reacciona ante ellos. El gerente de seguridad de negocios en los factores 3.13.1 Personal, roles, habilidades y cultura
la información debe entender lo que son esos factores y cómo tratarlos en Factores reguladores y 1 .1 4.1 Requerimientos legales y
el programa de seguridad. Los factores internos incluirán aspectos como la su impacto regulatorios
tolerancia de riesgos y los objetivos de la organización. Los factores externos
pueden incluir requerimientos normativos y legales, tendencias actuales de Factores de riesgos y 1 .5.6 Gobierno, gestión de riesgos y
ataques cibernéticos y factores como condiciones económicas. Comprender tolerancia de riesgos cumplimiento
la respuesta y reacción organizativa ante estos diversos factores, permite al 1 . 1 0.4 Objetivos de riesgo
gerente de seguridad de la información de manera más eficaz concentrar las 1 .1 1 .1 Riesgo actual
actividades en las áreas de mayor preocupación y formular las iniciativas de Aspectos culturales 1 .9.1 Dificultades comunes
seguridad de manera más relevantes para la organización. de las reacciones y 1 . 1 0.3 El estado deseado
respuestas organizativas 1 . 1 3.5 Personal
1 .1 3.6 Estructura organizacional

Manual de Preparación para el Examen CISM 14º edición 23


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades

KS1.11 Conocimiento de los métodos para obtener el compromiso de la alta dirección y el apoyo de otros grupos de interés para la
seguridad de la información
Explicación 1 Conceptos clave 1 Referencia en el Manual
El apoyo a la gestión y el compromiso son esenciales para obtener un Evaluar el apoyo 1 .5.5 Cómo obtener el compromiso de la
programa de seguridad efectivo. La comprensión de los enfoques para de la Alta Dirección alta dirección
lograr ese apoyo es una habilidad crucial para el gerente de seguridad a la seguridad de
de la información. Ganar el apoyo para la gestión de un programa de información
seguridad requiere la comprensión de las preocupaciones y del enfoque Los efectos del apoyo a 1 .5.5 Cómo obtener el compromiso de la
de la gestión, y la capacidad de presentar un caso convincente para la gestión inadecuada alta dirección
lassoluciones rentables en términos organizativos que reduzcan al mínimo 3.1 7 Retos Comunes del Programa de
las interrupciones operativas. Seguridad de la Información
Opciones para el gerente 1 .5.5 Cómo obtener el compromiso de la
de seguridad en la alta dirección
ausencia del apoyo del la 3.4 Visión general de la gestión del
alta dirección programa de seguridad de la
información
Logro del compromiso 1 .5.5 Cómo obtener el compromiso de la
de la gerencia para alta dirección
la seguridad de la 1 .7 Métricas del Gobierno de la
información Seguridad de la Información
1 .7.1 Métricas de seguridad efectivas
1 .7.2 Métricas de implementación de
gobierno
Los principios para el 1 .5.5 Cómo obtener el compromiso de la
apoyo de la gerencia alta dirección
de seguridad para un
programa de seguridad

KS1.12 Conocimiento de las funciones y responsabilidades de la administración de seguridad de la información


Explicación 1
Conceptos clave 1 Referencia en el Manual
Los roles y responsabilidades de los gerentes de seguridad de la Variaciones en roles y 1 .5.3 Roles y responsabilidades de
información pueden variar significativamente entre las organizaciones. Los responsabilidades de la gobierno y gestión
gerentes de seguridad de la información pueden tener un número de títulos, gestión de seguridad de 1 .5 3 CISO
incluyendo Oficial de seguridad de la información (CISO-Chief lnformation la información 1 .5.3 Director de seguridad de la
Security Officer), Oficial de seguridad de la información y Oficial de riesgos información
(CRO-Chief Risk Officer). El rol puede ser parte de las funciones del Oficial 1 .7.3 Métricas de alineación estratégica
de seguridad (CSO-Chief Security Officer) o una responsabilidad adicional Figura 1 .4 Relaciones de los resultados
del Oficial de información (CIO-Chief lnformation Officer) o el Oficial de del gobierno de seguridad con las
tecnología (CTO-ChiefTechnology Officer). La función de seguridad de responsabilidades gerenciales
la información puede caer en el Oficial de finanzas (CFO-Chief Financia! El impacto de la 1 .1 2.2 Recursos y limitaciones de la
Officer), el Oficial ejecutivo principal (CEO-Chief Executive Officer), el Oficial estructura organizativa en estrategia: Visión general
de operaciones (COO-Chief Operating Officer), el comité de auditoría de la la gestión de seguridad 1 .1 3.6 Estructura organizacional
junta de directores o algún director del departamento de operaciones. Las de la información 1 .1 6 Implementación del gobierno de la
responsabilidades serán típicamente similares, pero el ámbito, el alcance seguridad: Ejemplo
y la autoridad diferirán dramáticamente. Es importante que el gerente de
seguridad de la información comprenda cómo estas funciones operan en El impacto de otras 1 . 1 2.2 Recursos y limitaciones de la
varias organizaciones y cómo las diferentes estructuras organizativas las influencias en los roles y estrategia: Visión general
afectan. responsabilidades de la 1 .1 3.6 Estructura organizacional
gestión de seguridad de 1 .1 4.1 Requerimientos legales y regulatorios
la información 1 .1 4.6 Costos

24 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certilied lnformalion
Secur�y Manager"
An lSACA"Certlllcalkm
Capítulo 1 -Gobierno de seguridad de la información Sección Uno: Generalidades

KS1.13 Conocimiento de las estructuras organizacionales y de las líneas de autoridad


Explicación I Conceptos clave I Referencia en el Manual
La seguridad de la infamación existe en una organización Estructura organizativa y 1 .4 Visión general del gobierno de la seguridad
para apoyar sus objetivos, minimizar las interrupciones a las gobierno de la información
operaciones y gestionar los riesgos de forma rentable. Para apoyar 1 .5.2 Alcance y estatutos del gobierno de la
a la organización, es esencial que el gerente de seguridad de la seguridad de la información
información comprenda la estructura de la organización y la forma en Figura 1 .2 Relación de los componentes de gobierno
que son asignadas la responsabilidad y la rendición de cuentas. Figura 1 .4 Relaciones de los resultados del
gobierno de seguridad con las responsabilidades
gerenciales
Responsabilidades 1 .5 Gobierno Efectivo de la Seguridad de la
Información
Figura 1 .2 Relación de los componentes de gobierno
Figura 1 .4 Relaciones de los resultados del
gobierno de seguridad con las responsabilidades
gerenciales

KS1.14 Conocimiento de los métodos para establecer presentación de informes y canales de comunicación nuevos, o utilizar los
existentes en toda la organización
Explicación 1 Conceptos clave 1 Referencia en el Manual
La gestión efectiva de un programa de seguridad requiere que Tipos de información que el 1 .5.5 Cómo obtener el compromiso de la
la información efectiva fluya hacia y desde todas partes de la gerente de seguridad de la alta dirección
organización. La información de eventos, incidentes, amenazas y información debe comunicar 2.5.1 Comunicación de riesgos,
riesgos de todas partes de la organización, así como de fuentes concienciación y consultoría sobre
externas, es esencial para controlar la seguridad. Es igualmente riesgos
esencial que la información relevante para mantener la seguridad se 2.1 5 Monitoreo y comunicación d e riesgos
comunique a la gerencia y al personal de toda la organización, tanto
Entender a quién y cuándo 1 .5.5 Cómo obtener el compromiso de la
de manera periódica como por eventos.
el gerente de seguridad de alta dirección

-
la información debe informar Figura 1 .4 Relaciones de los resultados
sobre los diversos tipos de del gobierno de seguridad con las
información responsabilidades gerenciales
Información que el gerente de 1 .5.5 Cómo obtener el compromiso de la
seguridad de la información debe alta dirección
comunicar regularmente 2.1 5 Monitoreo y comunicación de riesgos
Tipos de eventos que el 1 .5.5 Cómo obtener el compromiso de la
gerente de seguridad de la alta dirección
información debe comunicar 1 .1 6.5 Métricas del plan de acción
inmediatamente
Información que el gerente de 1 .5.5 Cómo obtener el compromiso de la
seguridad de la información alta dirección
debe recibir, incluyendo de Figura 1 .7 Participantes en el desarrollo de la
quién y cuándo estrategia de seguridad de la información
Cómo se desarrollan los canales 1 .4.2 Resultados del gobierno de la
de comunicación seguridad de la información
1 .5.3 Roles y responsabilidades de
gobierno y gestión
1 .5.5 Cómo obtener el compromiso de la
alta dirección
Integración de otros procesos 1 .7.8 Integración del proceso de
de aseguramiento con aseguramiento
seguridad de la información
Uso de mediciones para mostrar 1 . 7 Métricas del Gobierno de la Seguridad
las tendencias y las áreas de de la Información
problemas en el programa de 1 .7.1 Métricas de seguridad efectivas
seguridad de la información 1 .7.2 Métricas de implementación de
gobierno

Manual de Preparación para el Examen CISM 14º edición 25


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades
e. Certified lnfonnatioo

::
::::
ager·

KS1.15 Conocimiento de los métodos para seleccionar, implementar e interpretar mediciones (por ejemplo, indicadores clave de
objetivos [KGls}, indicadores clave de desempeño [KPls}, indicadores clave de riesgo [KRls})
Explicación 1 Conceptos clave 1 Referencia en el Manual
"Métrica" es un término utilizado para denotar medidas basadas en una o más Métricas estratégicas y 1 .7 Métricas del Gobierno de la Seguridad
referencias e involucra por lo menos dos puntos - la medida y la referencia. de gestión de la Información
El significado más básico de seguridad es la protección contra cualquier daño o 1 .7.1 Métricas de seguridad efectivas
la ausencia de éste. En sentido literal, las métricas de seguridad suelen indicar 1 .7.2 Métricas de implementación de
el estado o grado de seguridad relativa a un punto de referencia. Las métricas gobierno
de seguridad de hoy en día casi nunca lo hacen a nivel operativo ni en la gestión KGls 1 .7.3 Métricas de alineación estratégica
global de un programa de seguridad de la información.Aunque normalmente 1 .7.4 Métricas de gestión de riesgos
hay numerosos indicadores disponibles de métricas técnicas, estos son de poco 1 .7.5 Métricas de la entrega de valor
valor desde el punto de vista de la gestión estratégica o del gobierno. La métrica 1 .7.6 Métricas de Gestión de Recursos
técnica no aporta nada sobre la alineación estratégica con objetivos de la 1 .7.7 Medición del desempeño
organización o sobre qué tanto se gestiona el riesgo; proporciona pocas medidas 1 .7.8 Integración del proceso de
de cumplimiento de políticas o de si los objetivos para niveles aceptables de aseguramiento
posible impacto se están alcanzando; y no ofrece ninguna información con 3.1 6 Métrica y monitoreo del programa de
respecto a si el programa de seguridad de la información está en la dirección seguridad
correcta y alcanzando los resultados esperados. Es importante entender que
el propósito fundamental de las métricas, las medidas y el monitoreo, es dar KPls 1 .7.1 Métricas de seguridad efectivas
apoyo a la toma de decisiones. Para que las métricas sean útiles, la información KRls 1 .7.2 Métricas de implementación de
que proporcionan debe ser relevante para los roles y las responsabilidades del gobierno
receptor de manera que se puedan llevar a cabo las decisiones informadas. 3.1 6 Métrica y monitoreo del programa de
Para los propósitos de gobierno, las métricas y el monitoreo, KGls, KPls y KRls seguridad
suelen ser las más útiles para los fines estratégicos y de gestión.

RECURSOS SUGERIDOS PARA ESTUDIOS


POSTERIORES
Allen, J uliaH.; Governingfor Enterprise Security, Camegie Mellon K iely, Laree; Terry Benzel; Systemic Se curity Management,
University, USA, 2005 Libertas Press, USA, 2006, www. classic.marshall. usc. edu/
assets/004/5347.pdf
Brotby, W. Krag y el 1T Governance Institute; Information
Security Governance: Guidancefor Boards ofDirectors and National l nstitute of Standards and Te ch nology (NIST); NJST
Executive Management, 2nd Edition, ISACA, USA, 2006 Special Publication 800-53, Revision 4: Security and Privacy
Controls for Federal Jnformation Systems and Organizations,
Brotby, W. Krag y el 1T Governance Institute; lnformation USA, 20 13
Security Governance: Guidancefor Information Security
Managers, ISACA, USA, 2008 Organization for E co nomic Co-o pe rat io n and Develo pment
(OECD), OECD Guidelinesfor the Security ofJnformation Systems
Brotby, W. K rag; Jnformation Security Governance: A Practica! and Networks: Towards a Culture ofSecurity, France, 2002
Development and Implementation Approach, Wiley & Sons, 2009
Pricewate rhouseCoo pers, Global State oflnformation Security
Informatio n Se curity Fo rum, The 2011 Standard of Good Practice Survey, www.pwc. com/gx/en/consulting-serviceslinformation­
far lnformation Security, United K ingdom, 2011 security-survey
Intematio nal Organizat ion for Standardizatio n (ISO); ISOIIEC Sherwood, John; Andrew Clark; David Lynas; Enterprise Security
27002:2013: Jnformation technology-Security techniques----Code of Architecture: A Business Driven Approach, CMP Books, USA, 2005
practice far information security controls, Switze rland, 2013
Tarantino, Antho ny; Manager s Guide to Compliance: Sarbanes-
ISACA, The Business Modelfor Information Security, USA, 2010 0:xley, COSO, ERM, COBJT, JFRS, BASEL JI, OMB s A-123, ASX
JO, OECD Principies, Turnbull Guidance, Best Practices, and
ISACA, COBIT 5, USA, 2012, www.isaca.org/cobit Case Studies, John Wiley & Sons Inc., USA, 2006
ISACA, COBIT 5: Procesos Catalizadores, U SA, 2012 , We stby, Jody R., J ulia H. Allen; Governingfor Enterprise Security
www.isaca.org/cobit (GES) Implementation Guide, Camegie Me llo n U nive rsity, USA,
2007
I SACA, COBIT 5for /nformation Security, USA, 2012,
www.isaca.org/cobit

ISACA, Unlocking Value: An Executive Primer on the Critica/


Role of IT Governance, USA, 2008

Nota: Las publicaciones que aparecen en negritas están disponibles en la Libreria de /SA CA.
26 Manual de Preparación para el Examen CISM 14º edición
ISACA. Todos los derechos reservados.
e• Certified lnformalioo
Securlty Manager"
An lSACA"Cert1fü:at"1n
Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades

1 .3 PREGUNTAS DE AUTOEVALUACIÓN 1-3 ¿ Cuál de los siguientes enfoques ayuda MEJOR a


que el gerente de seguridad de la información logre el
cumplimiento con los varios requerimientos regulatorios?
Las preguntas que se incluyen en el examen de certificación
CISM están desarrolladas con el propósito de medir y probar A. R ecurrir al área jurídica corporativa para informarse
el conocimiento práctico sobre la gestión de la seguridad de sobre cuáles son las regulaciones aplicables.
la información. Todas las preguntas son de opción mú ltiple B. Mantenerse actualizado sobre todas las regulaciones
y están diseñadas para que se obtenga una mejor respuesta. aplicables y solicitar al área jurí dica su interp retación.
Todas las preguntas del examen CISM tienen el formato de C. R equeri r la parti cipación de todos los departamentos
planteamiento de un problema (pregunta) y cuatro opciones afe ctados y tratar a las regulaciones como otro riesgo.
(opciones de respuesta). Se pide al candidato que elija la D. Ign orar muchas de las regulaciones que no tienen
respuesta correcta o la mejor respuesta entre las opciones. penalidades.
El problema se puede formular como una pregunta o como un
enunciado incompleto. En algunas ocasiones, se puede incluir 1-4 La consideración MÁS importante para desarrollar políticas
algún escenario o descri pción de un problema. Estas preguntas de seguridad es que:
normalmente incluy en la descripción de una situación y requieren
que el candidato responda dos o más preguntas basándose en A. se basen en un perfi l de amenaza.
la información suministrada. Muchas veces una pregunta del B. sean completas y no omitan ningú n detalle.
examen de certifi cación CISM requerirá que el candidato elija C. la gerencia las apruebe.
la respuesta más probable o la mejor. D. todos los empleados las lean y las entiendan.

En cada caso, el candidato debe leer la pregunta cuidadosamente,


eliminar las respuestas que sean claramente incorrectas y luego 1-5 El PRINCIPAL objetivo de seguri dad al elaborar buenos
hacer la mejor elección posible. Conocer el formato en que procedimientos es:
se presentan las preguntas y cómo estudiar para obtener el
conocimiento de lo que se va a probar será de gran ayuda para A. asegurarse de que fu ncionan según lo planeado.
responder las preguntas correctamente. B. que no sean ambiguos y que cumplan con los
estándares.
PREGUNTAS C. que estén redactados en un lenguaje sencillo y sean
ampliamente distribuidos.
D. que se pueda monitorear el cumplimiento.
1-1 Una estrategia de seguridad es importante para una
organización PRINCIPALMENTE porque proporciona:
1-6 ¿ Cuál de las siguientes opciones ayuda MÁS a asegurar que
A. una base para determinar la mejor arquitectura de
la asignación de funciones y responsabilidades sea efe ctiva?
seguridad lógica para la organización.
B. la intención y la dirección de la gerencia para las
A. La alta dirección respalda las asignaciones.
actividades relacionadas con la seguridad.
B. Las asignaciones son congruentes con las competencias
C. orientación a los usuarios sobre cómo operar de manera
existentes.
segura en el desempeño de sus fu nciones coti dianas.
C. Las asignaciones se relacionan con las destrezas
D. ay uda a los auditores de SI para verifi car el
requeri das.
cumplimiento.
D. Las asignaciones son dadas de manera voluntaria.

1-2 ¿ Cuál de las siguientes opciones es la razón MÁS


1-7 ¿ Cuál de los siguientes benefi cios es el MÁS i mportante
importante para proveer comunicación efe ctiva sobre la
para una organización con gobi erno efe ctivo de seguridad
seguridad de la info rmación?
de la información?
A. Hace que la seguridad de la informaci ón sea más
A. Mantener un cumplimiento regulatorio apropiado.
agradable para los empleados renuentes.
B. Garantizar que las interrupciones esté n dentro de niveles
B. Mitiga el eslabón más débil en el panorama de la
aceptables.
seguri dad de la información.
C. P riorizar la asignación de recu rsos correctivos.
C. I nforma a las unidades de negocio sobre la estrategia de
D. Maximizar el retorno sobre inversiones en seguridad.
seguridad de la información.
D. Ay uda que la organización cumpla con los
requerimientos regulatorios de seguridad de la
1-8 Desde el punto de vista del gerente de seguridad de la
información.
información, los factores MÁS importantes con respecto a
la retención de datos son:

A. requerimientos regulatorios y de negocio.


B. integridad y destr ucción de documentos.
C. disponibilidad de medios y almacenamiento.
D. confi dencialidad y encriptación de datos.

Manual de Preparación para el Examen CISM 14º edición 27


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobierno de seguridad de la información

1 -9 ¿Cuál de los siguientes roles está en la MEJOR posición empleados cumplan con las regulaciones, a menos que
para revisar y confirmar que una lista de acceso de usuarios sean informados sobre ellas. Sin embargo, no es la
es apropiada?: consideración más importante.

A. El dueño de los datos 1-3 A En general, el área jurídica corporativa se involucra


B. Gerente de seguridad de la información principalmente con los asuntos bursátiles y los
C. Administrador de dominio archivos relacionados exigidos por los reguladores,
D. El gerente de negocio y con los asuntos contractuales. Es poco probable
que el personal de juridico esté actualizado sobre los
1-1 O En la implementación del gobierno de la seguridad de la requisitos legales y las regulaciones de la seguridad
información, el gerente de seguridad de la información es
de la información.
responsable PRINCIPALMENTE de:

A. desarrollar la estrategia de seguridad. B Aun cuando puede ser útil mantenerse al día en Jo
B. revisar la estrategia de seguridad. que a regulaciones nuevas y vigentes se refiere, esto,
C. comunicar la estrategia de seguridad. en la práctica, es casi imposible, especialmente para
D. aprobar la estrategia de seguridad. compañías multinacionales.

e Los departamentos como recursos humanos,


RESPUESTAS A LAS PREGUNTAS DE finanzas y jurídico son los que casi siempre están
AUTOEVALUACIÓN sujetos a las nuevas regulaciones y, por lo tanto,
tienen que involucrarse en la determinación
1- 1 A Las políticas deben desarrollarse para respaldar la de cómo cumplir mejor con los requerimientos
estrategia de seguridad, y la arquitectura solo puede nuevos y los existentes y, por lo general,
desarrollarse después de que las políticas estén son quienes estarían más al tanto de dichas
finalizadas (es decir, la estrategia de seguridad no es regulaciones. Tratar a las regulaciones como otro
la base de la arquitectura, las políticas lo son). riesgo las coloca en la perspectiva apropiada y
se deben tener implementados los mecanismos
B Una estrategia de seguridad definirá la intención para gestionarlas. El hecho de que existan tantas
y la dirección de la gerencia para un programa de regulaciones hace improbable que todas ellas se
seguridad. Asimismo, debe de ser una declaración puedan tratar de manera específica y eficiente.
de cómo la seguridad está alineada con los En la actualidad, muchas de ellas no tienen
objetivos de negocio y los apoya, y establece la consecuencias significativas y, de hecho, pueden
base para un buen gobierno de la seguridad. tratarse dando cumplimiento a otras regulaciones.
La respuesta más relevante a los requerimientos
C Una estrategia de seguridad puede incluir requisitos regulatorios es determinar el posible impacto que
para que los usuarios operen de manera segura, pero tendría para la organización del mismo modo en
no trata de qué manera se logrará eso. que se determina para cualquier otro riesgo.

D Los auditores de SI no determinan el cumplimiento D Incluso si algunas regulaciones tienen pocas


basándose en la estrategia, sino basándose en elementos penalidades, o ninguna, ignorarlas sin considerar
como los estándares y los objetivos de control. otros impactos posibles (por ejemplo, daño a la
reputación), y si podrían ser relevantes para la
1-2 A Las comunicaciones eficaces pueden ayudar a organización, no es, en general, un enfoque prudente.
hacer que la seguridad de la información sea más
agradable, pero no es el aspecto más importante. J -4 A La base para desarrollar políticas de seguridad
aplicables es tratar las amenazas viables para
B En la gran mayoría de los casos, los fallos en la la organización, priorizando la posibilidad de
seguridad se atribuyen directamente al hecho ocurrencia y su posible impacto en el negocio. Las
de que los empleados no conocen o no siguen las políticas más estrictas deben aplicarse a las áreas
políticas o los procedimientos. La comunicación de mayor valor para el negocio. Esto garantiza que
es importante para garantizar que se tiene una se mantenga la proporcionalidad de la protección.
concientización continua de las políticas y los
procedimientos de seguridad entre el personal y los B Las políticas son declaraciones de la intención
socios de negocios. y dirección de la gerencia a un nivel alto y
proporcionan pocos detalles, o ninguno.
e Las comunicaciones eficaces permitirán que se
informe a las unidades de negocio sobre los diferentes e Mientras se desarrollan las políticas, no se Je solicita a
aspectos de la seguridad de la información, que incluye la gerencia que las firmen hasta que se hayan finalizado.
la estrategia, pero no es el aspecto más importante.
D Los empleados no leen ni entienden las políticas
D Las comunicaciones eficaces ayudarán a lograr mientras éstas se están desarrollando.
el cumplimiento porque es poco probable que los

28 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
- e - - �::.�:1::�ge( Capítulo 1 -Gobiemo de seguridad de la información Sección Uno: Generalidades

-
- 1 -5 A Aun c uando es importan te garantizar q ue los 1 -8 A Los requisitos regulatorios y de negocio son los
procedimientos funcionen segú n lo pla neado, el factores que impulsan la retención de datos.
h ech o de q ue no sea así no lo convert iría en un
,-
problema de seguridad. B La integridad es un factor c lave pa ra la seguridad
,.- de la informac ió n. Sin embargo, tanto los req uisitos
B Todas las respuestas son importantes, pero el regulatorios como los de negoc io son los factores q ue

- primer criterio debe ser garantizar que no exista


ambigüedad en los procedimientos y que, desde
una perspectiva de seguridad, cumplan con los e
impulsa n la retenc ió n de datos.

La disponibilidad es un factor clave pa ra la seguridad


estándares aplicables y, por ende, con la política. de la informac ión. Sin embargo, tanto los req uisitos
� regulatorios como los de negocio son los fac tores q ue
e Es importante, pero no tan c rític o, q ue los impulsan la retenció n de datos.
proc edimientos estén c laramente esc ritos y q ue sean
,...-- provistos a todo el personal según sea necesario. D La c onfi dencialidad es un factor clave para la
seguridad de la informac ió n. Sin embargo, tanto los
,.-. D El c umplimiento es importante, pero es esenc ial q ue requisitos regulatorios c omo los de negoc io son los
,--
c umpla con un procedimiento correc to. factores q ue impulsan la retenc ió n de datos.

r-s 1 -6 A El respaldo de laalta dirección siempre es importante, 1 -9 A El dueño de los datos es responsable de
,...__
pero no tan importante pa ra la efectividad de las reconfirmar de manera periódica las listas de
actividades q ue realizan los empleados. acceso a los sistemas de los cuales es dueño.

B El nivel de efectividad de los empleados B El gerente de seguridad de la informació n se encarga


estará determinado por el conocimiento y las de coordinar las revisiones a la lista de acceso de
capacidades que tengan; en otras palabras, por usuarios pero no tiene responsabilidad alguna por el
sus competencias. acceso a los datos.

- e Relac ionar los roles con las tareas q ue se req uieren


puede ser ú til, pero no gara ntiza que la gente pueda
e El administrador del dominio podría proporcionar
técnica mente el acceso; sin embargo, no lo aprueba.
lleva r a cabo dichas tareas.
D El gerente de negocio es inc orrecto porq ue éste
D Si bien es más probable q ue los empleados estén podría no ser el dueño de los datos.
entusiasmados por un trabajo al q ue se han ofrecido,
,-
no es un req uisito para ellos el ser efec tivos. 1-10 A El gerente de seguridad de la información es
responsable de desarrollar una estrategia de
1 -7 A Mantener el cumplimiento regulatorio apropiado es seguridad basada en los objetivos de negocio con la
,.-.
útil, pero es un resultado secundario. ayuda de los propietarios del proceso de negocio y
la alta dirección.
B Lo esencial de los esfuerzos relacionados con la
� seguridad es garantizar que el negocio pueda B Revisar la estrategia de seguridad de la informac ió n
continuar operando con un nivel aceptable es responsabilidad de un comité de dirección y / o la
,......
--
de interrupción que no limite demasiado las alta direcc ión.
actividades que generan ingresos.

- e Priorizar la asignac ió n de rec ursos correctivos es ú til,


pero es un resultado sec undario.
e El gerente de seguridad de la informac ión no
necesariamente es responsable de comunicar la
estrategia de seguridad.

D Maximiza r el retom o sobre inversiones en seguridad D La aprobació n fi nal de la estrategia de seguridad de


es ú til, pero es un resultado sec undario. la informació n debe da rla la alta direcc ión.

Manual de Preparación para el Examen CISM 14º edición 29


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobierno de seguridad de la información Sección Uno: Generalidades

30 Manual de Preparación para el Examen CISM 14 º edición


ISACA. Todos los derechos reservados.
e. Certilied lnformation
Security Manager·
AII ISACA"Certl11cation
Capítulo 1 - Gobierno de seguridad de la información Sección Dos: Contenido

Sección Dos: Contenido atención a la promesa de obtener ganancias indefinidamente


si se utilizan aún más recursos de información. Sin embargo,

- 1 .4 VISIÓN GENERAL DEL GOBIERNO


incluso a medida que esas organizaciones cosechan tales
ganancias, tanto la creciente dependencia de la información y
los sistemas que la soportan como, los constantes riesgos que se
DE LA SEGURIDAD DE LA INFORMACIÓN derivan de una gran variedad de amenazas, obligan a la gerencia
a tomar decisiones dificiles sobre cómo tratar la seguridad
Información s e puede definir como "datos dotados de de la información con efectividad. Además, un gran número
significado y propósito". Desempeña un papel fundamental de leyes y regulaciones nuevas y vigentes exigen cada vez más
en todos los aspectos de nuestras vidas. La información se ha el cumplimiento y mayores niveles de responsabilidad.
convertido en un componente indispensable de la conducción
del negocio para virtualmente todas las organizaciones. En un
creciente número de compañías, la información es el negocio.
1.4.1 IMPORTANCIA DEL GOBIERNO DE LA SEGURIDAD DE
LA INFORMACIÓN
Alrededor del 80 por ciento de las infraestructuras críticas Desde la perspectiva de una organización, el gobierno de la
nacionales en el mundo desarrollado está bajo el control del sector seguridad de la información es cada vez más crítico a medida que
privado. Junto con burocracias a menudo ineficientes, infinidad crece la dependencia de la información.
de jurisdicciones conflictivas e instituciones en decadencia que
son incapaces de adaptarse para lidiar con el creciente número de Hace más de una década, P eter Drucker señaló que "El
delitos "informáticos" en el mundo, la preponderancia de la tarea de conocimiento se está convirtiendo rápidamente en el único factor
proteger los recursos de información que son cruciales para nuestra de productividad, dejando de lado tanto el capital como la mano
supervivencia recae directamente en los niveles corporativos. de obra".

Para llevar a cabo la tarea de protección adecuada de los recursos Para la mayoría de las organizaciones, la información y el
de información, se debe elevar el problema a una actividad a conocimiento en el que ésta basa es uno de sus activos más
nivel del consejo de dirección como con las otras funciones importantes sin los cuales sería imposible dirigir el negocio.
críticas de gobierno. La complejidad, relevancia y criticidad de la Los sistemas y procesos que manejan esta información se han
seguridad de la información y su gobierno exigen que sea tratada vuelto penetrantes en todas las organizaciones de negocio y
y apoyada por los niveles más altos de la organización. gubernamentales del mundo entero. Esta creciente dependencia
de las organizaciones de su información y los sistemas que
El gobierno de seguridad de la información es el conjunto de la manejan, junto con los riesgos, beneficios y oportunidades
responsabilidades y prácticas, ejercidas por el consejo de dirección que representan dichos recursos, han hecho del gobierno de la
y la dirección ejecutiva, con la finalidad de brindar una dirección seguridad de la información un aspecto cada vez más crucial del
estratégica, asegurar que se logren los objetivos, determinar que gobierno en su conjunto. Además de tratar los requerimientos
el riesgo se gestione de manera apropiada y verificar que los legales y regulatorios, un gobierno efectivo de la seguridad de
recursos de la organización se utilicen con responsabilidad. En la información es, simplemente, un buen negocio. Las gerencias
última instancia, la alta dirección y el consejo de dirección son prudentes han llegado a entender que ofrece una serie de
responsables del gobierno de seguridad de la información y deben beneficios significativos, entre los que se encuentran:
proporcionar el liderazgo, las estructuras organizacionales y los • Tratar la creciente posibilidad de que la organización y su alta
procesos necesarios para asegurar que el gobierno de seguridad de dirección se enfrenten de manera habitual a la responsabilidad
la información sea una parte integral y transparente del gobierno de civil o legal como resultado de imprecisiones en la información o
la empresa. la ausencia del debido cuidado para protegerla o al cumplimiento
regulatorio inadecuado.
Cada vez más, quienes entienden que el alcance y la • Brindar confianza en el cumplimiento de las políticas.
profundidad de los riesgos de la información adoptan la • Aumentar la previsibilidad y reducir la incertidumbre en
posición de que, por ser un recurso crítico, la información debe las operaciones de negocio al reducir los riesgos a niveles
ser tratada con el mismo cuidado, precaución y prudencia que definibles y aceptables.
recibiría cualquier otro activo esencial para la supervivencia de • P roveer la estructura y el marco para optimizar las asignaciones
la organización y, tal vez, de la sociedad misma. de los limitados recursos de seguridad.
• P roveer un nivel de certeza de que las decisiones críticas
A menudo, la protección se enfoca a los sistemas de TI que no se basan en información defectuosa.
procesan y almacenan la vasta mayoría de la información en vez • Proporcionar un fundamento sólido para una gestión de riesgos
de la información per se. Sin embargo, este enfoque es demasiado eficiente y efectiva, una mejora de procesos, una respuesta
limitado para cumplir con el nivel de integración, aseguramiento rápida a incidentes y gestión de continuidad.
del proceso y seguridad general que se requiere. La seguridad • Brindar una mayor confianza en las interacciones con socios
de la información adopta una perspectiva más amplia, según la comerciales.
cual el contenido, la información y el conocimiento en el que se • Mejorar la confianza en las relaciones con los clientes.
basa tienen que contar con una protección adecuada, sin importar • Proteger la reputación de la organización.
cómo se maneja, procesa, transporta o almacena. • P ermitir nuevas y mejores formas de procesar las transacciones
La dirección ejecutiva se enfrenta cada vez más a la necesidad electrónicas.
de seguir siendo competitiva en la economía global y presta • Establecer la responsabilidad para proteger la información
durante actividades críticas de negocio, tales como fusiones
Manual de Preparación para el Examen CISM 14º edición 31
ISACA. Todos los derechos reservados.
Capítulo 1 -Gobierno de seguridad de la información

y adquisiciones, recuperació n del proc eso de negocio y • Gast os generales de seguridad de la info rmación que se
respuestas regulatorias. mant ienen a un nivel minimo y un programa de seguridad que
• Gestió n de recu rsos de seguridad de la información efectiva permita que la organizac ión logre sus objetivos
• Un esfuerz o debidamente priorizado y distribuido en áreas
E n resumen, dado que la nueva tecnología de info rmació n de may or impacto y beneficio para el negocio.
brinda la posibilidad de una mejora radical en el desempeñ o del • Soluciones institucionalizadas y de uso general basadas
negocio, una seguridad efectiva de la info rmación puede añadir en estándares.
un valor significativo a la organización al reduc ir las pérdidas • Soluc iones completas que abarquen a la organización,
derivadas de incidentes que est én relac ionados con la seguridad el proceso y la tecnología con base en un entendimiento
y brin dar la confianza de que tales inc identes y las violac iones del negocio completo de una organizació n.
a la seguridad no son catastróficos. Además, algunas pruebas • U na cult ura de mejora continua basada en el entendimiento
demuestran que una mejor percepció n en el mercado resulta de que la seguridad es un proceso, no un inc idente.
en un mayor valor por acc ió n. 4. Optimización de recursos--Utilizar el conoc imiento y la
infraestructura de seguridad de la info rmación con eficiencia y
efectividad para:
1 .4.2 RESULTADOS DEL GOBIERNO DE LA SEGURIDAD DE LA • Asegurar que los conocimientos sean captados y están
INFORMACIÓN disponibles.
El gobiern o de la seguridad de la info rmación incluye los elementos • Documentar los procesos y las prácticas de seguridad.
que se requieren pa ra brindar a la alta direcció n la certeza de que • Desarrollar arquitec tura(s) de seguridad para defi nir y utilizar
su dirección y empeñ o se refl ejan en la postura de seguridad de la los recu rsos de la infraestructura de manera eficiente.
organización al utilizar un enfo que est ructurado para implementar 5. Medición del desempeño--Monit orear y reportar proc esos
un programa de seguridad. Una vez que se cuenta con dichos de seguridad de la info rmación para garantizar que se alcancen
elementos, laalta dirección puede tener la confianza de que una los objet ivos, entre otros:
seguridad de la información adecuada y efectiva protegerá los • Un conjunt o de medidas defi nidas, ac ordadas y significativas
activos de información vitales pa ra la organización. debidamente alineadas con los objet ivos estrat égic os y que
proporcionan la información nec esaria para tomar decisiones
El objetivo del gobiern o de la seguridad de la info rmación es efectivas en los niveles estrat égicos, gerenciales y operativos.
desarrollar, implementar y gestionar un programa de seguridad • Un proceso de medición que ayude a ident ificar deficiencias y
que alcance los siguientes seis resultados básicos de un proporcionar retroalimentac ión sobre los avanc es h echos para
gobierno efectivo de seguridad: resolver los problemas.
1. Alineación estratégica-Alinear la seguridad de la • Aseguramiento independiente proporc ionado por evaluac iones
información c on la estrategia de negoc io para apoyar los y auditorías externas.
objetivos organizacionales, tales como: • Crit erios para separar las métricas más útiles de la variedad de
• Requerimientos de seguridad dirigidos por requerimientos del cosas que pueden ser medidas.
negocio ampliamente desar rollados para dar una orientació n 6. Integración-Integrar todos los factores de aseguramiento
sobre lo que debe hac erse y una medida sobre cuando se ha relevantes para garantizar que los procesos operan de acuerdo
alcanzado. con lo planeado de principio a fin:
• Ajuste de las soluciones de seguridad a los procesos de la • Determinar todas las fu nc iones organizacionales de
empresa que t oman en cuenta la c ultura, el estilo de gobiern o, aseguramiento.
latecnología y la estructura de la organización. • Desarrollar relaciones formales con otras fu nciones de
• Inversión en seguridad de la informac ión que sea congruente aseguramiento.
con la estrategia de la empresa, las operaciones de la empresa y • Coordinar todas las fu nc iones de aseguramiento para una
con un perfil bien defi nido de amenaza, vulnerabilidad y riesgo. seguridad más rentable.
2. Gestión de ries gos-Ejecutar medidas apropiadas para • Verificar que coincidan los roles y las responsabilidades entre
mitigar los riesgos y reducir el posible impacto que tendrían en las áreas de aseguramiento.
los recu rsos de info rmac ión a un nivel aceptable, tales como: • E mplear un enfo que de sistemas para planificació n,
• E ntendimiento colectivo del perfil de amenaza, vulnerabilidad implementación, métrica y gestión de seguridad de la
y riesgo de la organizació n. info rmación.
• Entendimiento de la exposic ión al riesgo y las posibles
consecuenc ias de la inestabilidad. 1 .5 GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA
• Conciencia de las prioridades de la gestión de riesgos con base
en las posibles consec uencias. INFORMACIÓN
• Sufic iente mitigació n de riesgos para obtener c onsecuencias
aceptables del riesgo residual. E l gobiern o de la seguridad de la información es responsabilidad
• Aceptación/transferencia del riesgo a partir de un entendimiento tanto del consejo de direcció n como de la direcc ió n ejecutiva.
de las posibles consecuencias del riesgo residual. Debe ser una parte integral y transparente del gobiern o de la
3. Entrega de valor--Optimizar las inversiones en la segu ridad empresa, y debe complementar o inclui r el marc o de gobierno
en apoyo a los objet ivos del negoc io, tales como: de TI. Aun cuando la direcció n ejecutiva es responsable de
• Un c onjunto estándar de prácticas de seguridad, es decir, c onsiderar y responder a estos temas, se espera cada vez c on
requerimient os minimos de seguridad posteriores a prácticas may or frecuencia que el consejo de direcc ió n incluya a la
adecuadas y suficientes que sean proporc ionales al ri esgo seguridad de la información como un elemento intrínsec o
y al impac to potencial. del gobierno, integrado a los procesos con los que cuentan
para gobernar otros recursos críticos de la organización.

32 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
- e.�:�:,�:age(
Certified lnlonnation
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

Tal como se establece en el Modelo de negocios de seguridad de Además de proteger los activos de información, es preciso contar
la Información (Business Model for Information Security, BMIS) con un gobierno efectivo de seguridad de la información para
(ver sección 1.5.6), "Ya no basta con comunicarle a todas las atender los requerimientos legales y regulatorios, lo cual se está
partes interesadas por qué existimos [la organización] y qué es lo volviendo obligatorio en la aplicación del debido cuidado. Desde
que constituye el éxito; debemos comunicar también cómo vamos cualquier perspectiva, debe considerarse sencillamente como
a proteger nuestra existencia". un buen negocio.

Esto indica que una estrategia organizacional clara de 1 .5.1 METAS Y OBJETIVOS DEL NEGOCIO
preservación tiene igual importancia que una estrategia para el El gobierno corporativo es el conjunto de responsabilidades y
progreso y deben ir de la mano. prácticas, ejercidas por el consejo de dirección y la dirección
ejecutiva, con la finalidad de brindar una dirección estratégica,
Julia Ali en de la universidad Carnegie Mellon University garantizar que se logran los objetivos, determinar que el riesgo se
(CMU) indica que: administre en forma apropiada y verificar que los recursos de la
Gobernar para la seguridad de una empresa
empresa se utilizan con responsabilidad.

significa ver una seguridad adecuada La dirección estratégica del negocio será definida por las metas
como un requerimiento no negociable para y los objetivos de negocio. La seguridad de la información debe
estar en el negocio. Si la gerencia de una apoyar las actividades de negocio para que sea de valor para la
organización, incluyendo los consejos de organización.
dirección, la alta dirección y todos los gerentes,
no establece y refuerza la necesidad del El gobierno de la seguridad de la información es un subconjunto
negocio de contar con seguridad efectiva para del gobierno corporativo que proporciona una dirección estratégica
la empresa, el estado de seguridad deseado a las actividades de la seguridad y garantiza que se alcancen los
de la organización no se articulará, logrará
objetivos. Garantiza que el riesgo a la seguridad de la información
ni sostendrá. Para lograr una capacidad
sea gestionado de manera apropiada y que los recursos de
sustentable, las organizaciones deben hacer que
información de la empresa se usen con responsabilidad.

la seguridad de la empresa sea responsabilidad Para lograr un gobierno efectivo de la seguridad de la información,
de los líderes a un nivel de gobierno, no de otros la gerencia debe establecer y mantener un marco para guiar el
roles de la organización que no tienen autoridad, desarrollo y la gestión de un programa completo de seguridad de
responsabilidad ni recursos para actuar o exigir la información que apoye los objetivos de negocio.
el cumplimiento.

Figura 1 .2-Relación de los componentes de gobierno

Gobierno de la empresa

Gestión de riesgos

Seguridad
TI de la información Arquitectura
de seguridad
Resultados Estándares
Arquitectura
Requerimientos Requerimientos contextual

Gobierno Gobierno

Objetivos de control

Arquitectura
Seguridad física operacional
Políticas
Controls
Estándares
Procedimientos Arquitectura lógica

Manual de Preparación para el Examen CISM 14 º edición 33


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido e· =�=� AnlSACA"Certlflcatloo

Por lo general, el ma rco de gobi erno constará de lo siguiente: La Corporate Government Task F orce (Grupo de Trabajo de
I . U na estrategia integral de seguri dad que est é vi nculada gobiern o corporativo) de laNational Security Partnersh ip [Soci edad
de manera i ntrínseca con los objeti vos de negocio. de seguridad nacional], un grupo de trabajo especial conformado
2. Políti cas de gobierno de seguridad vi gentes que traten por líderes corporati vos y del gobierno, ha i dentifi cado un conjunto
cada aspecto relacionado con la est rategia, los controles básico de principi os para ayudar a diri gir la im plementación de un
y la regulaci ón. gobierno efectivo de seguri dad de la i nfo rmación:
3. Un conjunto com pleto de estándares para cada política • Los CEO deben asegurarse de que se lleve a cabo una evaluaci ón
que garantice que los procedimi entos y directri ces cum plan anual de la seguri dad de la i nfo rmación, deben revisar los
con dicha política. resultados de la evaluación con el personal y presentar ante el
4 . Una estructura organizacional efecti va de seguri dad libre consejo de dirección informaci ón sobre el desem peño.
de confli ctos de i nterés que tenga autoridad sufi ci ente • Las organizaci ones deben llevar a cabo evaluaci ones peri ódicas
y recursos a decuados. de ri esgos con respecto a los activos de ín formación como parte
5. Métricas y procesos de m onit oreo instituci onalizados de un programa de gest ión de ri esgos.
que garanti cen el cum plimi ento, proporci onen retroalim entación • Las organizaciones deben im plem entar polí ti cas y
sobre la efectivi dad y suministren la ínformación básica procedimi entos basados en las evaluaci ones de riesgos para
apropiada para la toma de deci siones gerenciales. proteger los acti vos de i nfo rmaci ón.
• Las organizaci ones deben establecer una estructura de gesti ón
Este marco, a su vez, establece la base para desa rrollar un programa de la seguridad para asignar roles, deberes, facultades y
rentable de seguri dad de la i nfo rmación que apoy e las metas de responsabi li dades índi vi duales explícitas.
negocio de la organizaci ón El Capítulo 3 de este manual, Desarrollo • Las organizaci ones deben desarrollar planes y tomar acci ones
y gestión de un programa de seguri dad de la información, explica para bríndar una seguridad de la i nformación apropiada para las
cóm o im plementar y gesti onar un programa de seguridad. El redes, equi pos, si stemas e ínformaci ón.
objetivo del programa es un conjunto de acti vidades que proveen • Las organizaciones deben tratar la seguri dad de la ín formaci ón
garantía de que a los activos de información se les da un nivel de com o una parte í ntegra! del ci clo vital del sistema.
protecci ón acorde con su valor o con el ri esgo que su i nestabili dad • Las organizaci ones deben proporci onar concienciaci ón, capacitación
representaría para la organizaci ón. Las relaci ones entre el gobierno y fo rmación en seguridad de la i nformaci ón al personal.
de la em presa, gestión de riesgos, seguridad TI, seguridad de la • Las organizaci ones deben realizar pruebas y evaluaciones
i nformaci ón, controles, arqui tectura y los demás com ponentes de un peri ódicas de la efectivi dad de las polít icas y procedimi entos de
marco de gobierno se representan en la Figura 1.2. Mientras que el seguri dad de la info rmación.
vínculo entre TI y de seguri da d de la i nfo rmaci ón puede ocurrir en • Las organi zaci ones deben desar rollar y ejecutar un plan para
di versos niveles altos, la estrategia es el punto donde la seguridad de tomar acci ones correct ivas para resolver cualqui er defi ci encia en
la i nformaci ón debe i ntegra rse con TI para alcanzar sus objetivos. la seguri dad de la i nformaci ón.
• Las organizaciones deben desarrollar e im plem entar
1 .S.2 ALCANCE Y ESTATUTOS DEL GOBIERNO DE LA procedim ientos de respuestas a inci dentes.
• Las organi zaci ones deben establecer planes, procedimi entos y
SEGURIDAD DE LA INFORMACIÓN pruebas para bríndar conti nuidad a las operaci ones.
La seguri dad de la ín formación trata todos los aspectos de la • Las organizaci ones deben aplicar las m ejores prácticas en
i nformaci ón, ya sea oral, escrita, im presa, electrónica o relegada seguri dad, tales com o ISO/IEC 27002, para m edi r el desem peño
a cualqui er otro m edio sin im portar si ha si do creada, vi sta, de la seguri dad de la ín formaci ón.
transportada, almacenada o destruida. Esto cont rasta con la
seguridad de tecnologías de i nformaci ón, la cual trata con la
seguri dad de la informaci ón dentro de las fronteras del domini o
1 .S.3 ROLES Y RESPONSABILIDADES DE GOBIERNO Y
de la tecnología por lo general en una capaci dad de custodia. GESTIÓN
Parte del gobierno efi caz de la seguri dad de la ín formaci ón es
Un área de la i nformaci ón comúnm ente denom ínada tener los roles y las responsabi lidades claramente defi nidas.
" ci berseguri dad" es de creciente i nterés e im portancia para la Tambi én es importante que los gerentes de seguri dad de la
gerencia y el gobi erno de la seguri dad de la i nformaci ón. I ncluye i nformaci ón enti endan sus roles y responsabi li dades en cada área
la seguri dad de la TI y la info rmación y, si bien las defi nici ones de la organización.
varían consi derablem ente, una posi ci ón común sosti ene que
la ciberseguri dad es una subdi sci plína de la seguri dad de la Consejo de dirección/Alta dirección
ínformación. Las áreas específicas de pre ocupaci ón de la E l gobi erno de la se guri dad de la información es un aspecto
cibersegu ridad ín cluyen am enazas persi stentes avanzadas (APT), esencial de la gesti ón de riesgo efi caz y requiere de direcci ón
phi shín g en todas sus formas y alojar otras amenazas relacionadas est ratégi ca e im pulso. Requi ere de com promi so, recursos y asignar
a, y perm i ti das por, el ciberespacio. responsabili dades para la gesti ón de la seguridad de la información,
así como un m edi o para que el consejo de di recci ón determ ine que
En el contexto del gobi erno de la seguridad de la i nformaci ón, se ha cum plido su propósi to. El gobierno efecti vo de seguri dad de
es im portante que la est rategia de seguridad de la informaci ón la i nfo rmaci ón que resulta en una mi ti gaci ón adecuada del riesgo
establezca claramente el alcanc e y las responsabi li dades de organizaci onal puede ser logrado solo con la parti cipaci ón de laalta
seguridad de la i nformación, que lamisma sea respaldada totalm ente direcci ón en el desarrollo y respaldo de las polí ti cas apropiadas,
por laalta di recci ón y las diferentes uni dades organi zaci onales. el entendimi ento del riesgo que enfrenta la organizaci ón y el

34 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
��:�,,��:ager" Capítulo 1 -Gobierno de seguridad de la información Sección Dos: Contenido

desarrollo del monitoreo y las métricas apropiadas junto con la de que el gerente de seguridad mantenga un canal de
presentac ión de información y análisis de tendencias. comunicac ión c on este c omité.
L os miembros del consejo tienen que ser consc ientes de los Por último, los inversionistas institucionales y otros han entendido
activos de info rmación de la organización, de los riesgos de esos que los prospectos a largo plazo para una organización se ven
activos y de la c riticidad de las operaciones de negocio en curso. gravemente afectados por el estado general de gobiern o. Varias
Se le debe suministrar periódicamente al consejo de direcc ión los organizaciones que proveen o califican a las empresas ahora
resultados de alto nivel de las evaluac iones de riesgo exhaustivas proporcionan una califi cación de gobiern o o métrica basada en
y del análisis de impacto en el negoc io (BIA). U n resultado de varios factores. Cabe la probabilidad de que no proporcionar
estas actividades debe de incluir que los miembros del consejo un nivel adecuado de gobiern o y apoy o a las actividades que
validen/ ratifiquen los activos clave que quieren proteger y que protegen los activos princ ipales de la organización se vea
los niveles de protección y las prioridades sean adecuados a un refl ejado en dichas calificaciones. El peso y la relevanc ia
estándar de debido cuidado. de las califi caciones estarán motivados por el impacto y las
consecuencias que tendría en las organizaciones la pérdida de
La actitud de la gerencia debe conduc ir a un gobiern o efi caz informac ión sensible o significativa. L o esencial es que aquel
de la seguridad y al desarrollo de una cultura consciente de la consejo de direcc ión que no proporcione un nivel de dirección,
seguridad. No es razonable esperar que el personal de nivel más vigilancia o n o cumpla con los requerimientos de contar con
bajo acate las medidas de seguridad si éstas no son ejerc idas por métricas apropiadas estará sujeto a un grado de responsabilidad
la alta dirección. El endoso de los requerimientos intrínsecos legal e intervención regulatoria cada vez may ores. Esto se
de seguridad por par te de la dirección ejecutiva provee la base refl eja en un hallazgo c lave en la encuesta 2015 G lobal State
para asegurar que las expec tativas de seguridad se cumplan of Information Security de Pricewaterh ouseCooper: "La
en todos los niveles de la empresa. Las penalizaciones por ciberseguridad ahora es un riesgo de negocio persistente. No
incumplimiento deben ser definidas, c omunicadas y ejecutadas es más un problema que preocupa sólo a los profesionales de
desde el nivel del consejo de dirección hac ia bajo. seguridad y tecnología de la información; el impacto se ha
extendido a !a junta y el nivel C".
Más allá de estos requisitos, el consejo tiene la obligación
permanente de proporcionar un nivel de supervisión de las Dirección Ejecutiva
ac tividades de seguridad de la información. Considerando I mplementar un gobierno efectivo de seguridad de la info rmación
la responsabilidad legal y ética de los direc tores para ejercer y defi nir los objetivos estratégicos de la seguridad de una
el debido cuidado en la protec ción de los ac tivos c lave de la organización puede ser una tarea ardua y compleja. Como con
organización, que deben incluir su información confi denc ial cualquier otra iniciativa importan te, debe contar con liderazgo
y también la crítica, es necesario un nivel continuo de y el apoy o continuo de la direcc ión ejecutiva para tener éxito.
participación y supervisión de la seguridad de la informac ión. Es probable que la negligencia benigna, la indife renc ia o la
hostilidad absoluta no traigan resultados satisfa ctorios.
Más espec íficamente, existen varias raz ones por las cuales es
cada vez más importante que los directivos par ticipen en las Asimismo, el área de TI suele enfrentarse a presiones de

- actividades relacionadas c on la seguridad de la información


y las vigilen. U na preocupación c omún que tiene el consejo
de dirección es la responsabilidad legal. A fi n de protegerse
desempeño, en tanto que el área de seguridad tiene que lidiar
c on temas relacionados con el riesgo y la normativa. Estos
imperativos caen, con demasiada frecuencia, en los extremos
contra demandas interpuestas por sus accionistas, la may oría opuestos del espec tro. E l resultado puede ser que exista tensión
de las organizaciones cuentan con seguros espec ífi cos para entre TI y Seguridad, por lo que es importante que la gerencia
brindar un nivel de protección al consejo en el ejercicio de sus fo mente la cooperac ión, func ione como mediador en caso de
responsabilidades de gobierno. Sin embargo, un requerimiento dife rencias en puntos de vista y que sea c lara con respec to a las
típico para que el seguro brinde cober tura establece que los prioridades, de tal forma que sea posible mantener un equilibrio
direc tivos deben actuar de buena fe c uando apliquen el debido adec uado entre el desempeñ o, los costos y la seguridad.
cuidado en el c umplimiento de sus obligaciones. No tratar el
riesgo relacionado con la seguridad de la informac ión podría Para desarrollar una estrategia efectiva de seguridad de la
considerarse una omisión en el ejercicio del debido cuidado y información se requiere la integración y la cooperación de
podría anular la protección que ofrece el seguro. los dueños del proceso de negocio. U n resultado exitoso es la
alineación de las ac tividades de seguridad de la información
Además, existen regulaciones, como la L ey Sarbanes- con los objetivos de negocio. El grado al cual esto se logre
Oxley de EE. U U., que obligan a las empresas que cotizan determinará la rentabilidad del programa de seguridad de la
en el mercado de valores de Estados U nidos a mantener un información para alcanzar el objetivo deseado de brindar un
comité de auditoría con un nivel obligatorio de experiencia y nivel predec ible y defi nido de aseguramiento para los procesos
competenc ia demostrable. E ste comité suele estar conformado de negocio y un nivel aceptable del impacto que pueden tener los
por miembros del consejo de dirección de la compañ ía. U na incidentes adversos.
de las responsabilidades claves del comité es el monitoreo
permanente de los controles intern os de la organización que El equipo de la direcc ión ejecutiva de una organizac ión es
afec tan direc tamente la confiabilidad de los estados de cuenta responsable de garantizar que las funciones, los recursos y
fi nanc ieros. La may oría de los controles financieros son la infraestructura de sopor te organizac ionales necesarios se
técnic os y de proc edimiento, en los que la par te técnica es encuentren disponibles y que se utilic en de forma apropiada para
responsabilidad del gerente de seguridad. De allí la i mpor tanc ia satisfacer las directivas del consejo en relación con la seguridad
de la informac ión, el c umplimiento regulatorio y otras exigencias.
Manual de Preparación para el Examen CISM 14º edición 35
ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido e· =�: � AnlSA&A"Certl�t!on

Por lo gen eral, la dirección ej ecutiva espera que el gerente de • Accion es y avan ces específi cos relaci onados con el apoy o a las
seguri dad de la in fo rmación defina el programa de seguridad uni dades de negocio con respecto a las fun cion es del programa
de la información y su posterior gestión. A menu do tambi én se de seguridad de la info rmación, y vi ceversa
espera qu e el gerente de segu ridad de la información proporcione • Riesgos emergentes, prácticas de seguridad en las uni dades de
formación y orientación al equipo de la dirección ejecu tiva. negoci o y temas de cumpli mi ento
Contrari o a ser una persona que toma decisi on es, la fun ción de
un gerente de seguridad de la info rmación en esta situación suele El ge rente de seguridad de la información debe asegurarse de que los
limi tarse a presentar opci ones e info rmación clave para respaldar roles, responsabilidades, alcance y actividades del comi té directivo
las deci si ones; en otras palabras, ser un asesor. de seguridad de la información estén claramente definidos. Ello
debe incluir obj etivos y temas claros para evitar una productividad
Es fundam ental para el éxito del programa de seguri dad de la defici ente o distracciones de las prioridades del comité.
información, así como para la efi cacia de su gestión con tinua,
con tar con una participación ejecu ti va evi dente. E s por ello que Es importante que se distri buyan los materiales, que se fomen ten
el gerente de segu ridad de la info rmación deberá esforzarse las revisi on es y que se sostengan discusiones sobre soluciones
para crear con cien cia en el equi po geren cial ej ecutivo sobre esta antes de que se lleven a cabo reunion es completas del comité,
necesi dad. Y lo que es más i mportante aún, el gerente de seguri dad de tal fo rma que las reun ion es se puedan enfocar a resolver
de la info rmación debería coordinar su participación de dirección problemas y tomar decision es. E l uso de subcomités y / o
ej ecutiva en actividades especiales, como revi siones tri mestrales asignaci ones d e acción indi vi duales resulta apropiado para este
del riesgo de la in fo rmación y reunion es deci sivas sobre la tipo de estrategia gerencial.
adopción de nuevos si stemas de información. Es i mportan te
que el geren te de seguridad de la info rmación saque el may or Director de seguridad de la información
provech o del tiempo de los ej ecutivos. El gerente de seguri dad de Todas las organi zaciones ti enen un di rector de seguri dad de la
la info rmación debe asegurarse de que los directi vos tengan un información (CISO), indepen dientemente de que algui en posea
rol especifi co, que se les proporci one información específi ca y ofi cialmen te ese título. Puede ser el director de in formación
que tengan que tomar decision es específi cas cuando partici pen en (CIO), el director de seguridad (CSO), el di rector de finan zas
actividades de gestión de la seguridad de la in fo rmación. (CFO) o en algunos casos, el director ej ecutivo (CEO). El
alcan ce y la amplitud de la seguri dad de la info rmación es
La dirección ejecu ti va tambi én marca la pauta para la gestión de tal que la autori dad requ eri da para toma r decisiones y la
la segur idad de la in fo rmación dentro de la organi zación. E l n ivel responsabili dad para ejecu tar accion es recaerán inevi tablemen te
de partici pación visi ble y de in clusión de la gestión de riesgo en un responsable de mando in termedi o o di rector ejecu ti vo. La
de la información en las acti vi dades y las decisi on es claves de responsabilidad legal se extenderá, por defecto, hasta la estructura
negocio les in di ca a los demás gerentes el nivel de impor tan cia de coman do y, en última instan cia, resi di rá en la alta dirección
que se espera que ellos le con cedan a la gestión del riesgo en las y el con sej o de dirección. El n o recon ocer esto e i mplemen tar
actividades de sus organizaci ones. A menudo estos indicadores n o estru cturas de gobierno inapropiadas puede ocasi onar que la alta
ofi ciales ti enen un mayor impacto en la adopción d e una gestión dirección n o tenga conocimi ento de esta respon sabilidad y de la
de la seguridad de la in formación como una fun ción de negocio responsabili dad concomi tan te. Tambi én suele resultar en una falta
ampliamen te reconoci da dentro de la organ ización. L os au di tores de alineación efectiva de los objetivos organi zacionales con las
se refieren a este con cepto como " la acti tud de los niveles actividades de seguri dad.
j erárquicos más altos", y se refleja en la cultura de la organi zación.
La posi ción del CISO ha ido ganando popularidad a medida que
Comité Directivo más organizaciones designan una fun ción de CISO o de CSO. En
Hasta cierto grado, la seguri dad afecta todos los aspectos de 2006, sólo el 22 por ci ento de más de 7000 organizaci ones que
una organización y debe ser penetrante en toda la empresa para respon de a la en cuesta anual de seguridad de la info rmación de
que sea efi caz. A fin de garan tizar la participación de todas las Pricewaterh ouseCoopers info rmó tener un CISO o equivalente.
par tes interesadas que se vean afectadas por las consi deraci ones Para 2011, más del 80 por ciento de los encuestados info rmaron
de seguri dad, muchas organi zaci on es recurren a un comité ten er un CISO.
directivo consti tuido por los principales represen tantes de los
grupos afectados. Esta composi ción ayu da a lograr el consenso Han ocurr ido cambi os sign ificativos en las relaci ones de info rmes
sobre las pri oridades y los compromi sos. Tambi én sirve como en los ú lti mos años, como se muestra en la figura 1.3. Más
un canal efectivo de comuni caci ones y provee una base continua organ izaciones entienden que el en fo que para la seguri dad, un rol
para asegurar la alineación del programa de seguridad con los fundamentalmente regulatori o, es di ferente que el del CIO típi co
obj etivos de negoci o. También puede ser fundamental para que gen eralmente se centra en el desempeño. El resultado es que
alcanzar la modi fi cación del comportamiento hacía una cultura hay much os menos gerentes de seguri dad de la info rmación que
más conducente a una segu ri dad adecuada. info rmen al CIO y cada vez más que in forman directamente al
consej o de dirección o al CEO. Es probable que esta ten den cia
Algunos temas, agendas y decisi ones comunes en un comi té continúe ya que las vi olaciones a la seguri dad aumentan en
directivo de segur idad incluyen los si guientes: gravedad y frecuen cia y, al mismo ti empo, se vuelven men os
• E strategia de segur idad e in iciativas de in tegración, en aceptables y están suj etas a la creci ente supervi sión regulatoria.
particular, esfuerzos por integrar la seguri dad en las activi dades E s cada vez más frecuen te ver que las geren cias pruden tes
de las un idades de negoci o están ascendi en do el puesto de ofi cial de segu ri dad de la
info rmación a un puesto de mando intermedi o o ejecuti vo,
ya que las organizaci ones empiezan a darse cu enta de que

36 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnform�
Security Manager
AnlSACAº Certi11catloo
Capítulo 1 -Gobierno de seguridad de la información Sección Dos: Contenido

dependen de la información y de las crecientes amenazas a de la información es el CISO con rango de nivel ejecutivo,
las que están expuestas. Asegurar que el puesto exista, junto informando directamente a la alta dirección
con la responsabilidad, la autoridad y los recursos requeridos, • Consejos de dirección y alta dirección de gobierno-
demuestra la conciencia y el compromiso que tienen tanto la La alta dirección, según el estándar de debido cuidado y
gerencia como el consejo de dirección de un gobierno de la responsabilidad final para el logro de la misión, debe asegurar
seguridad de la información sólido. que los recursos necesarios se apliquen efectivamente para
desarrollar las capacidades necesarias para lograr la misión.
Figura 1 .3- Cambios en la línea de reporte de Gerentes de Seguridad Además, deben valorar e incorporar resultados de la actividad
de Información de evaluación de riesgo en el proceso de toma de decisiones.
Un programa efectivo de gestión de riesgos que valora y
% de mitiga el riesgo de misión relacionado con TI requiere el
cambio en
2007 2008 2009 2010 ves años
respaldo y la participación de la alta dirección.
• Director de riesgo-El director de riesgo (CRO),
Director de información (CI0) 38% 34% 32% 23% -39% generalmente, se encarga de la gestión de riesgo empresarial
(ERM) general, que puede incluir, en algunos casos, la
seguridad de la información. En general, este puesto incluye
Consejo de dirección 21% 24% 28% 32% +52% todos los riesgos no de información, tales como riesgo
Director general ejecutivo (CEO) 32% 34% 35% 36% +13% operativo, riesgo ambiental y riesgo crediticio.
• Director de información-El Director de información
Director general financiero (CF0) 11% 11% 1 3% 1 5% +36% (CIO) es responsable de la planificación, el presupuesto y el
Director general de operaciones 9% 10% 1 2% 1 5% +67% desempeño de la TI, que incluye a menudo sus componentes
(C00) de seguridad de la información consistentes con las políticas
Director de privacidad (CP0) 8% 8% 1 4% 1 7% +1 1 3% y los estándares dentro del ámbito del CISO o gerente de
seguridad de la información.
Fuente: PricewaterhouseCooper y eso Magazine, Global State of lnformation • Director de seguridad de la información-El Director
Security Survey 201 1, figura 13, utilizada con permiso
de seguridad de la información (CISO), generalmente,
desempeña la mayoría de las mismas funciones que un gerente
Las responsabilidades y las facultades de los gerentes de de seguridad de la información, pero mantiene el estado de
seguridad de la información varían mucho entre una organización director en una organización, por lo general, acompañado de
y otra, aun cuando se están incrementando en todo el mundo. más autoridad y, normalmente, informa al CEO, al director de
Esto puede deberse a que existe una mayor conciencia sobre operaciones (COO) o el consejo de dirección. Con frecuencia,
la importancia de este función motivada por el número cada el puesto incluye más elementos estratégicos y de gestión que
vez mayor de fallos aparatosos en la seguridad y las crecientes los típicos de un gerente de seguridad de la información.
pérdidas que resultan. Actualmente estas responsabilidades van • Gerente de seguridad de la información-Los gerentes

-
desde el CISO o el vicepresidente de seguridad, quien informa de seguridad de la información son responsables de los
al CEO, hasta los administradores de sistemas que tienen una programas de seguridad de su organización, que generalmente
responsabilidad de dedicación parcial por la gestión de la incluyen la gestión de riesgos de la información. Por lo
seguridad, quienes podrían informar al Gerente de TI o al CIO. tanto, desempeñan un rol principal en la introducción de una
metodología apropiada y estructurada para identificar, evaluar
1.5.4 ROLES Y RESPONSABILIDADES DE GESTIÓN DE RIESGOS y minimizar el riesgo a los recursos de la información, que
Gestionar los riesgos de manera efectiva a un costo aceptable es incluyen los sistemas de TI que respaldan las misiones de
la base para los objetivos y los impulsores para el gobierno de la sus organizaciones. En general, los gerentes de seguridad de
seguridad de la información y el programa para implementarlo, la información también actúan como consultores principales
desarrollarlo y gestionarlo. Si bien la gestión de riesgos es, en respaldo a la alta dirección para garantizar que estas
en última instancia, responsabilidad de la alta dirección y actividades se realicen permanentemente.
el consejo de dirección, todos en una organización tienen • Propietarios de sistemas e información-Los propietarios
un rol que desempeñar al gestionar los riesgos. Además, es de sistemas e información son responsables de garantizar
importante que todas las actividades de gestión de riesgos estén que existan los controles apropiados para abordar la
integradas y operando bajo un conjunto consistente de reglas y confidencialidad, integridad y disponibilidad de los sistemas
objetivos claros. Esto ayudará a evitar brechas en la protección, de TI y datos que poseen. Generalmente, los propietarios
proporcionar un nivel más consistente de protección, reducir de sistemas e información son responsables de los cambios
esfuerzos redundantes innecesarios e impedir que las diferentes a sus sistemas de TI y son responsables de garantizar el
partes de la organización operen con propósitos cruzados. cumplimiento y la aplicación de las políticas. De esta manera,
generalmente tienen que aprobar o rechazar los cambios a
Roles claves sus sistemas de TI y están involucrados en las políticas y los
La publicación especial 800-30 Revisión 1 del Instituto Nacional estándares que los rigen (por ejemplo, mejora de sistema,
de Estándares y Tecnología (NlST) de EE.UU., Guía para cambios principales a software y hardware, y requerimientos
realizar evaluaciones de riesgos, describe los roles claves de cumplimiento). Por lo tanto, los propietarios de sistemas e
del personal que debe respaldar y participar en el proceso de información deben entender su rol en el proceso de gestión de
riesgos, los objetivos de la gestión de riesgos y los requisitos
gestión de riesgos. Si bien los detalles específicos en diferentes
para brindar respaldo para este proceso.
organizaciones y en diferentes países pueden variar, esta visión
• Gerentes de negocios y operativos- Los gerentes
de alto nivel deberá llegar a la mayoría de las organizaciones. Es responsables de las operaciones de negocios y el proceso
necesario indicar que en muchas organizaciones (tales como las de compras de TI deben asumir un rol activo en el proceso
instituciones financieras), cada vez más, el gerente de seguridad de gestión de riesgos. Estos gerentes son los individuos

Manual de Preparación para el Examen CISM 14º edición 37


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido
e. Certified lnformatioo
securtty Manager·
AnlSACA"Certlflcallon

con la autoridad y r esponsabilidad de tomar decisiones se hará una presentación a la alta dirección que descr iba
de c ompensac ión básicas para el l ogro de una misión. Su los diversos aspec tos de la estrategia de seguridad a fi n de
participación en el proc eso de gest ión de riesgos permite el sustentar y explicar la documentac ión q ue presentó el gerente
logr o de la seguridad apropiada para los sistemas de TI, q ue, de seguridad de la informac ión. Por desgracia, es c ierto que en
de ser gestionados apr opiadamen te, proveen la efectividad de muchas organizac iones el verdader o valor de los sistemas de
una misión con un gasto aceptable de rec ursos. informac ión no es evidente sino hasta que fracasan.
• Profesionales de seguridad de TI-L os pr ofesionales
de seguridad de TI (por ejemplo, administradores de En algunas organizac iones, puede haber un nivel inadec uado de
red, sistema, aplicac iones y bases de datos; espec ialistas compromiso de la gerencia y esto puede r estringir la efectividad
en computación; analistas de seguridad; c onsultor es de de los gerentes de seguridad de la información. En tales
seguri dad) son responsables de la implementación apropiada c ircunstanc ias sería de utilidad hacer un esfuerzo por brindar
de los requer imient os de seguridad en sus sistemas de TI. A formac ión a la alta dirección sobr e áreas de cumplimient o
medida que oc urren los cambios en el ambiente de sistemas regulatorio y la dependenc ia de la organizac ión en sus ac tivos de
de TI existente (por ejemplo, expansión en c on ec tividad información. Asimismo, podría resultar de utilidad doc umentar
de red, cambios a la infraestr uct ura existente y políticas el riesgo y el posible impacto que enfrenta la organización,
organizac ional es, estándares o proc edimient os, introducc ión asegurándose de mantener a la alta direcc ión informada sobre la
de nuevas tecnologías), los profesionales de seguridad de TI posibilidad de r iesgo y las c onsecuenc ias r esultantes, y que ésta
deben respaldar o util izar el proc eso de gestión de r iesgos para las enc uentre aceptables.
ident ificar y valorar nuevos r iesgos potenc iales y garantizar la
implementac ión de nuevos controles de seguridad necesarios La alta direcc ión estará en una mejor posición de apoyar las
para defender sus sistemas de TI. inic iativas de seguridad si tiene conoc imiento de cuán c rític os
• Capacitación en concienciación sobre la seguridad son los sist emas de TI para la operac ión continua de la empresa
(profesionales en el tema/seguridad}-EI personal de la así como otros aspectos de la seguridad de la información.
organizac ión son los usuarios de los sistemas de TI. El uso Además, suele haber una confusión significat iva acerca de
de los sistemas y datos de TI de ac uerdo con las pol íticas, cuáles regulac ion es apl ican a la organizac ión. Será de ay uda
directrices y reglas del comportamiento de una organizac ión es proporc ionar las generalidades acerca de las r egulac iones
importante para r educir los r iesgos y proteger los recursos de TI pertin entes, requerimientos de cumplimiento y posibles
de la organizac ión. Para gestionar el riesgo a niveles aceptabl es, sanc iones si la organización está en inc umplimiento.
es esencial capacitar a los usuarios y custodios de los sistemas,
los datos y las aplicac iones para conc ienti zarlof s obre la Para responder las posibles preguntas de la direcc ión sobre
seguridad y los procesos y los requisitos para operaciones qué acc iones constituirían un nivel adecuado de respal do, se
seguras. Por esa razón, los encargados de la capac itaci ón en
sugieren las siguientes rec omendac iones:
seguridad de TI o los profesionales en el tema/seguridad deben
• Una clara aprobac ión y apoy o de polít icas y estrategias de
entender los objetivos y procesos de gestión de riesgos de la
organizac ión para poder desarrollar el material apropiado para seguridad formales
la capac itac ión e inc orporar los requisitos de gest ión de r iesgos • El monitoreo y la medic ión del desempeñ o de la organizac ión
en los programas de capac itac ión para los usuarios finales. en la implementac ión de las políticas de seguridad
• El apoy o de las inic iativas de conc ienc iación y capac itac ión
sobr e la seguridad para todos los empleados de la organizac ión.
1 .5.S ROLES Y RESPONSABILIDADES DE LA SEGURIDAD DE • L os recursos adec uados y sufic iente autoridad para
LA INFORMACIÓN implemen tar y manten er las ac tividades de seguridad
Debido a que la seguri dad de informac ión se ex tiende por • Tratar a la seguridad de la informac ión como un tema crí tico
todas las divisiones y departamentos de una empr esa, en c ierta del n egoc io y crear un ambiente de seguridad positivo.
medida, la implementación de un gobierno de seguridad efectivo • Demostrar a terc eros q ue la organización da un tratamiento
y la definic ión de los objetivos estraté gicos de seguridad de profesional a la seguridad de la informac ión.
una organización suelen ser una tarea c ompleja. Para que sea • Brindar un contr ol de alto nivel.
exi toso requiere de liderazgo y respaldo c ontinuo por parte de la • Revisar periódicamente la efectividad de la seguridad de la
alta dirección. Sin el apoy o de la alta dirección y una estructura informac ión
efectiva de gobierno de la seguridad de la informac ión, que • Dar ejemplo c umpliendo c on las polít icas y prác ticas de
esté integrada al gobierno y los objetivos defi nidos generales seguridad de la organización
de la empresa, es difíc il para el gerente de seguridad de la • Abordar los pr oblemas de seguridad de la información en las
informac ión saber hacia qué metas debe orientar el programa reuniones de dir ecc ión ejecutiva/c onsejo
para determinar los proc esos de gobierno óptimos o para
desarrollar métr icas significativas de programa. En much os casos, un apoyo gerencial insuficiente con respec to a
la seguridad de la información no es un problema de apatía, sino
Después de que un gerente de seguridad de la informac ión una falta de entendimiento. La seguridad de la informaci ón rara vez
ha desarrollado una estrategia de seguridad apropiada c on forma parte de la formac ión o los conocimientos especializados de
la colaboración de propietarios de los datos y del negocio, la gerencia general. Así pues, los directores ejecutivos podrían no
se requiere la aprobación de la estrategia por parte de la alta percatarse del todo de lo que se espera de ellos, de la estr uctura de
dir ección para garantizar los recursos y el nivel de respaldo un programa de gestión de la seguridad de la informac ión o cómo
requer idos. En vir tud de que est o es típicamente un tema se debe integrar y operar dicho programa. Suele ser produc tivo
c omplicado, el gerente de seguridad de la informac ión coordinartalleres para ay udar a los al tos directivos a adquir ir un
n ec esitará primero informar a los altos dir ectivos sobre mejor entendimiento de estos problemas y estab lecer expectativas
los aspect os de alto nivel de seguridad de la información y en cuanto al apoyo y los recursos requeridos.
presentar una estrategia integral para su r evisión. Por lo general
38 Manual de Preparación para el Examen CISM 14 º edición
ISACA. Todos los derechos reservados.
e. Certified lnformation
Security Manager"
An lSACA"CertlllcaUon
Capítulo 1 - Gobierno de seguridad de la información Sección Dos: Contenido

En otros casos, el apoyo a los programas de seguridad de la ante las políticas, los estándares y la estrategia de la gerencia de
información podría limitarse por razones financieras o de seguridad de la información.
otro tipo. El gerente de seguridad de la información tiene que
reconocer estas limitaciones, priorizando y maximizando los La presentación forilial a la alta dirección se utiliza como un
efectos de recursos disponibles, mientras trabaja junto con la medio para comunicar y sensibilizar sobre los aspectos clave
gerencia para desarrollar recursos adicionales. del programa de seguridad en general. El gerente de seguridad
de la información puede facilitar la aceptación al aplicar
Cómo obtener el compromiso de la alta dirección aspectos comunes de un caso de negocio durante el proceso
Una presentación formal es la técnica de más amplio uso a la de aceptación (véase Desarrollo de un caso de negocio en la
que pueden recurrir los gerentes de seguridad de la información sección 3. 13.6). A continuación se mencionan algunos de ellos:
para asegurar el compromiso y el patrocinio de la alta dirección A continuación se mencionan algunos de ellos:
Figura 1 .4 - Relaciones de los resultados del gobierno de seguridad con las responsabilidades gerenciales
Alineación Medición del Gestión de Aseguramiento
Nivel de gestión estratégica Gestión de riesgos Entrega de valor desempeño recursos del proceso
Consejo de dirección Requiere de • Establece Requiere informar Requiere reportar Supervisa política Supervisa política
una alineación tolerancia y riesgo los beneficios la eficacia de la de gestión del para la integración
comprobable de aceptable. y los costos de seguridad. conocimiento del proceso de
objetivos del negocio • Supervisa la las actividades y utilización de aseguramiento.
y de seguridad. política de gestión relacionadas con la recursos.
de riesgos. seguridad.
• Verifica el
cumplimiento
regulatorio
adecuado.
Dirección ejecutiva Instituye procesos • Verifica que Requiere desarrollo Requiere monitoreo Garantiza la Supervisa todas
para integrar a los roles y de casos de y métricas para ejecución los las funciones de
la seguridad en responsabilidades negocio para las actividades de procesos para aseguramiento
los objetivos de incluyan la iniciativas de seguridad. captar conocimiento y planes de
negocio. gestión de riesgos seguridad. y métricas de integración.
en todas sus eficiencia.
actividades.
• Supervisar el
cumplimiento
de las normas
reguladoras.
Comité directivo • Revisa y brinda Identifica el Revisa y asesora Revisa e informa Revisa los procesos • Identifica
datos para la riesgo emergente, sobre la rentabilidad que las iniciativas de para captar procesos de
estrategia de promueve las de las actividades seguridad cumplan conocimiento, negocio críticos y
seguridad y prácticas de la de seguridad con los objetivos de diseminación y proveedores de
requerimientos seguridad de la necesarias para negocio. utilización de los aseguramiento.
para apoyo unidad de negocio. ayudar a las recursos. • Dirige los
efectivo del funciones de esfuerzos de la
negocio. negocio. integración del
aseguramiento.
Director de Desarrolla la • Garantiza que se Monitorea y Desarrolla, • Desarrolla • Promueve la
seguridad de estrategia de realicen las optimiza la implementa métodos para integración de las
información (CISO) seguridad en evaluaciones de utilización, eficacia e informa el la obtención y actividades de
alineación con riesgo e impacto y efectividad de monitoreo y las transmisión de aseguramiento.
los objetivos del al negocio. los recursos de métricas necesarias conocimientos. • Establece
negocio, supervisa • Desarrolla seguridad. para respaldar las • Monitorea y mide vínculos con otros
el programa de estrategias de decisiones en los la utilización proveedores de
seguridad y se mitigación de niveles estratégicos, de recursos y aseguramiento.
coordina con los riesgos. gerenciales y rentabilidad. • Asegura que
dueños del proceso • Hace cumplir las operativos. las brechas y
de negocio para regulaciones y las superposiciones
una alineación políticas. son identificadas
constante y tratadas.
Ejecutivos de Evaluar y reportar el Evaluar e Evalua e informa Evaluar e informa Evalua e informa la Evalua e informa
auditoría grado de alineación informar sobre la profundidad eficacia y utilización la integración y

-
la rentabilidad
los riesgos del programa de y efectividad de de los recursos. efectividad de
corporativos seguridad las métricas y los procesos de
prácticas de gestión del monitoreo del aseguramiento.
y resultados. programa.
Fuente: ISACA, lnformation Security Governance: Guidance far lnformation Security Managers, 2008. Todos los derechos reservados. Usado con autorización.

Manual de Preparación para el Examen CISM 14º edición 39


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobierno de seguridad de la información Sección Dos: Contenido

• Ali near los objetivos de seguri dad c on los obj et ivos de negoci o • La comparación de los resultados generales del BIA (antes y
para que la alta dirección c omprenda y apli que las políticas y después de la implementación)
los proc edimientos de seguridad. • Estadísticas de amenazas detectadas y evitadas c omo un medio
• Ident ificar las posibles c onsecuencias de no alcanzar para demostrar valor
determinados obj etivos relacionados c on la seguridad y el • Identificación de los enlaces de seguri dad más débiles de la
c umplimiento regulatori o. organización y las posibles consecuencias de la inestabilidad
• Identificar temas del presupuesto de tal fo rma que la alta • Análisis de datos de medición de rendimiento respaldados c on
dirección pueda c uantificar los costos del programa de seguridad. evaluaciones independientes externas o informes de auditoría, de
• Utilizar modelos de ri esgos / benefic ios de proyect os ser posible
c omúnmente ac eptados, tales c omo c ost o total de propiedad • Tratar la alineación c ontinua para obj etivos de negocio crit ic os,
(TCO) o retom o sobre la inversión (ROi) para c uantificar los procesos de operación o ambientes c orporativos
benefic ios y los c ostos del programa de seguridad. • R equerir la aprobación de planes renovados, así como de
• Defi ni r las medidas de auditoría y monitoreo que se inc luirán asuntos relaci onados con presupuesto
en el programa de seguridad.
Además de las presentaciones formales, los canales de
Asimismo, debe señalarse que, aun cuando la alta dirección comunicación de rutinatambién son cruciales para el éxito del
apoye el programa de seguridad, también es fu ndamental programa de seguridad de la i nformación. Existen cuatro audiencias
que todos los empleados entiendan y acaten las polít icas, los que requieren diferentes tipos de comunicación, estas se enumeran
estándares y los procedimient os de seguridad. Si n la aceptación a c ontinuación jun to c on acciones sugeridas que el gerente de
de los empleados, es poc o probable que el programa de seguridad de la info rmaci ón debe encargarse para ser efectivo:
seguridad de la informaci ón tenga éxito y alcance sus obj etivos. • La alta gerencia
Un aspec to importante de lograr esta aceptac ión es q ue la - Asistir a reuniones de estrategia de negocio para tener mejor
direcc ión cumpla c laramente c on las políticas de seguridad de c onocimiento y c omprensi ón de las estrategias y los obj eti vos
la organización. P or ejemplo, si se implementa un sistema de de negocio ac tualizados
c ontrol de acc eso físic o en la organizac ión, la alta dirección - R euniones bilaterales periódicas c on la alta direcc ión para
debe c umplir las mismas reglas y restricciones de acc eso q ue entender los obj et ivos de negoc io desde su perspec tiva
se exigen para otr os empleados. Si las políticas exigen la • Los dueños del proceso de negocio
exhi bición de distintivos en todo moment o, los gerentes deben - Incorporarse a reuniones de revisión para descubrir los desafí os
dar el ejemplo y c umplir c on este requisito. y requerimientos de las operaciones diarias y sus depe ndencias
- Inic iar reuniones bilaterales mensuales c on di ferentes dueños
Establecimiento de los canales de informes y comunicación del proceso de negoc io para obtener respaldo c ontinuo en la
Después de obtener el c ompromiso de la alta direcc ión, se deben implementación del gobierno de la seguridad de la informac ión
establecer canales de informes y c omunicac ión efectivos y y tratar temas individuales relac ionados c on la seguridad
c onfiables en toda la organizac ión para garantizar la efec tividad • Otros grupos de dirección
y efic iencia de todo el programa de seguridad de la i nformaci ón. - L os gerentes de línea, los supervisores y losj efes de
La presentaci ón de infor mes c onfiable y c onsistente desde varias departamento encargados de diferentes fu nciones relacionadas
partes de la organizac ión es una herramienta de monitoreo c on la seguridad y la gestión de riesgos, entre ellas el asegurar
esenc ial necesaria para hac er el seguimient o del programa una adecuada concienc iación sobre los requerimientos de
de seguridad y t emas c omo el cumplimient o y los riesgos seguri dad y el c umplimiento de las políticas, deben ser
emergentes. Est o también puede servir, junto c on otras fu entes informados de sus responsabilidades.
de información c omo las métricas, c omo parte de un sistema de • Los empleados
advertencia temprana para problemas de segur idad posibles o -Programas de capacitación y formac ión oportunos
emergentes. L os canales de c omunicac ión son necesari os para - P rograma interno y c entralizado de capacitación para los
la diseminaci ón del material relacionado c on la seguri dad, c omo nuevos empleados
los cambios en las políticas, los estándares o proc edimient os o - Material de formación organizacional sobre estrategias y
las vulnerabili dades o amenazas nuevas o emergentes. Algunos políticas ac tualizadas
canales pueden ser formales y ser un requisito de las políticas, - P ersonal c on capacidad para acceder a notificaciones por
los contratos o las regulaci ones. Otros pueden ser informales intranet o por c orreo electrónico para tener c onocimiento de
y servir, principalmente, para estar al día c on respecto a la rec ordat orios peri ódicos o adaptaciones ad h oc.
seguri dad de la organizac ión. - R espaldar a la alta dirección y los dueños del proceso de
negocio asignando un c oordinador de gobierno de la seguridad
Es impor tante entregar inform es formales periódic os al c on sejo de la información en cada unidad fu ncional para obtener
de dirección/dirección ej ecuti va para dar a c onocer a la alta oportunamente retroalimentaci ón prec isa de las prácticas diarias
dirección el estado del gobierno y el programa de seguridad
de la informaci ón. P eriódicamente, se puede realizar una La relac ión que existe entre los resultados de un gobierno eficaz
presentac ión personal bien organizada para la alta dirección, y de seguridad y las responsabilidades de la gerencia se muestra en
puede inc lui r propietarios de procesos de negocio c omo usuarios la Figura 1.4. No pretende ser exhaustiva sino indicar meramente
c lave del sistema. La presentación debe estar bi en relac ionada algunos niveles gerenciales y las tareas pri nc ipales q ue son
c on presentaciones anteriores utilizadas para obtener respaldo y responsabilidad de la gerenc ia.
c ompromiso c on el programa de seguridad y puede inc luir:
• El estado de la implementación del sistema basándose en la
est rategia aprobada

40 Manual de Preparación para el Examen CISM 14 ° edición


ISACA. Todos los derechos reservados.
Capítulo 1 - Gobiemo de seguridad de la información Sección Dos: Contenido

1 .S.6 GOBIERNO, GESTIÓN DE RIESGOS V CUMPLIMIENTO Gartner subdivide el mercad o de GRC de TI en las siguientes
capacidades clave (aunq ue la siguiente lista se relaciona con GRC
Gobierno, gestión de riesgos y c um plimiento (GRC) es un
d e TI , una lista similar de capac idades fu ncionaría para otras á reas
ejemplo del c rec iente rec onocimiento de la necesidad de
de GRC):
convergencia, o integración del proceso de aseguramiento como
• Biblioteca de políticas y controles
se ex plica en la sección 1.5.8.
• Distribuc ión y respuesta de polí ticas
• A utoevaluac ión y med ición de controles (CSA) de TI
GRC es un término q ue refl eja un enfoque q ue las organizaciones
• Repositorio de ac tivos de TI
pueden ad optar a fi n de integrar estas tres áreas. Aunque con
• Recopilación automatizada de control de computadoras general
frec uencia se hace refe renc ia al GRC como una actividad
(GCC)
de negoc io individual, éste incluy e múltiples actividades
• Gestión de correcciones y excepciones
superpuestas y relacionadas dentro de una organización las c uales
pueden incluir auditoría interna, programas de cumplim'iento tales • Reporte
como la � ey de Sarbanes-Oxley, gestión de riesgos empresariales • Evaluación avanzada de riesgos de TI y tableros
(ERM), n esgo operativo, gestión de incidentes y otras. de c umplimiento

Gobierno, c omo se ex plic ó anteriormente, es responsabilidad de 1 .S.7 MODELO DE NEGOCIOS PARA LA SEGURIDAD DE LA

-
la alta d irección ejec utiva y se concentra en crear los mecanismos INFORMACIÓN
q ue � na organizac ión utiliza para garantizar q ue el personal siga
_ El � odelo de negocio de seguridad de la info rmac ión (BMIS ,
poh tlcas y procesos establecidos. Busmess Model fo r Info rmation S ec urity) se originó en el
l nstitute fo r Critical l nfo rmation I nfrastructure Protection en la
Gestión de riesgos es el proc eso que sigue una organizac ión
Marshall School of Business de la U niversity of S outhem
para manejar el riesgo a niveles aceptables dentro de tolerancias
Califo rnia de EUA. !SACA se ha encargad o d el desarrollo del
acep� bles, identificar riesgos potenciales y sus impactos
Modelo de gestión sistémica de la seguridad. El BMIS usa
asocia? os, y priorizar su mitigación en base a los objetivos de
un enfo que orientado al negocio para gestionar la seguridad
negoc10 de la organizac ión. La gestión de riesgos desarrolla e
de la informac ión, basándose en los c onceptos fundamentales
implementa controles internos para gestionar y mitigar riesgos en
d es� rr� llad os por el instituto. El modelo utiliza el pensamiento
toda la organizac ión. _
s1 stem1co con el propósito de aclarar relac iones complejas

-
dentro de la empresa y, por ende, gestionar la seguridad más
Cumplimiento es el proceso q ue registra y m onitorea las
efec tivamente. L os elementos y las interc onexiones dinám icas
polític� s, los procedimientos y los c ontroles nec esarios para
que confo rman la base del modelo establecen los límites de un
garantizar q ue las políticas y los estándares se adh ieran a él.
programa de seguridad de la información y confi gu ran cómo
el programa fu nc iona y reacciona al cambio interno y ex terno. El
Es important� rec onocer que la integrac ión efectiva de proc esos
BMIS proporciona el c ontex to para marcos tales como COBIT.
de �RC reqm� re que el gobierno esté implementado para poder
gesti onar los nesgos efectivam ente y exigir c umplimiento.
La esencia de la teoría de sistemas es que un sistema debe

-
ser visto h olísticamente-no simplemente c omo la suma
S egún Michael Rasm ussen, un analista de GRC industrial el
de sus partes- para poder entenderlo c on exac titud. Un
desafío al definir GRC es que, individualmente, cada térn:ino tiene
enfo que h olístic o exam ina el sistema c omo una unidad de
"muchos significados diferentes dentro de las organizaciones.
fu nc ionamiento com pleto. Otra tesis de la teoría de sistemas
�x iste gobierno corporativo, gobiern o de TI, riesgo fi nanc iero, es q ue una parte del sistema permite entender las dem ás
n esgo e� tratégic o, riesgo operativo, riesgo de TI , c umplimiento
partes de ese sistema. "Pensamiento sistémic o" es un término
corpor� t1�0, cum plim iento de Sarbanes-Oxley (SOX),
ampliam ente rec onoc ido que se refiere al exam en de c ómo
c umplimiento de empleo/trabajo, c umplimiento de privacidad, etc.".
interac túan los sistemas, c óm o fu ncionan los sistemas com plejos
Y por qué " el tod o es más qu e la suma de sus partes".
I nicialmente, GRC se desarrolló en respuesta a la Ley Sarbanes­
Oxl�� de EI?A, pero ha evoluc ionado c omo un enfo que para
La teoría de sistemas se desc ribe m ás exac tam ente como
gest10n de n esgos em presariales.
una red compleja de eventos, relaciones, reacc iones,
consec uenc ias, tecnologías, proc esos y personas q ue interac túan
S i bien un programa de GRC se puede usar en cualquier área de
de maneras q ue suelen ser inad vertidas e inesperadas. El estud io
una organización, suele enfocarse en las áreas fi nanciera d e TI
d e las c onduc tas y los resultad os de las interacc iones pued en
y legal. El GRC fi nanciero se usa para garantizar el corr;c to
ay udar al gerente a entender mejor el sistema organizativo
funcio�m:n iento de procesos fi nancieros y el c umplimiento de
Y c ómo func iona. Mientras que la gestión de cualq uier disc iplina

- requen m1 entos regulatorios. De mod o similar, el GRC de TI


busca garantizar el correcto func ionamiento y el cumplim iento de
polí ticas de procesos de TI. El GRC legal puede concentrarse en
dentro de la em presa se puede m ejorar al abordarla desde una
p� rspec tiva de pensamiento sistémico, su implementac ión
ci ertamente ay udará en la gestión d e riesgos.
el c umplimiento regulatorio general.
El éxito q ue el enfo que sistém ico ha lograd o en otros campos
Existe c ierto desac uerd o sobre cóm o se definen estos aspectos de
es un� buena señal de las ventajas q ue puede aportar a la
GRC, pero Gart ner ha afi rmad o q ue el mercado amplio de GRC
segundad. Las casi siempre significativas fallas de las em presas
incluy e las siguientes áreas:
para tratar adec uadamente asuntos de seguridad en añ os recientes
• GRC de finanzas y auditoría se deben, en gran medida, a su incapac idad para defi nir seguridad
• Gestión de GRC de TI
Y presentarla de un mod o que sea c omprensible y relevante para
• Gestión de riesgos em presariales
todas las partes interesadas. El uso de un enfoq ue sistémico para

Manual de Preparación para el Examen CISM 14º edición 41


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido e·=��;..li!"
AnlSACA"Certlflc;itlon

la gesti ón de seguridad de la información ayudará a los gerentes • E strategias de rec lutamiento (acceso, verificaci ones
de este campo a tratar ambientes complejos y dinámic os, y de antecedentes, entrevistas, roles y responsabilidades)
generará un efecto b eneficioso sobre la colaboraci ón dentro • Aspec tos relac ionad os c on el empleo (ub icac ión
de la empresa, adaptación al cambi o operati vo, navegación de de la oficina, acceso a h erramientas y datos, capaci tación
i nc ertidumb re estratégica y tolerancia del impacto causado por y c onci enciac ión, movimi ento dentro de la empresa)
factores externos. E l modelo se presenta en la Figura 1.5. • T érmino de relaci ones laborales (raz ones de la
desvi nculac ión, momento de la salida, roles y
Como se i lustra en la Figura 1.5, el modelo se ve mej or c omo responsabilidades, acc eso a los sistemas, acceso
una estruc tura tridimensi onal fl exib le en forma de pirámide, a otros emplead os)
c ompuesta de cuatro elementos unidos por seis interc onexiones E xternamente, los cli entes, los proveedores, los med ios
di námicas. Todos los aspec tos del modelo interac túan entre sí. y las partes i nteresadas, entre otros, pueden tener una fu erte
Si una de las partes del modelo es modificada, no es c onsiderada i nfl uencia sobre la empresa y se deben considerar dentro de la
o no es gesti onada adecuadamente, es posi ble que el equilibrio postura de seguridad.
del modelo esté en riesgo. Las interc onexiones dinámicas ac túan 3. Procesos-Incluye mecani smos formales e i nformales
como elementos d e tensi ón, ejerciendo una fu erza de empuje/ (grandes y pequeños, si mples y c omplej os) para reali zar
tracción en respuesta a cambios en la empresa, lo que permi te las tareas y proporciona un vínculo vital con todas
que el mod elo se adapte segú n las necesidades. las i nterc onexiones d inámicas. L os procesos identifican, miden,
gestionan y controlan el riesgo, la di spo nibilidad, la integridad
y la c onfidencialidad, además de as egurar la responsabilidad.
Figura 1 .5-Modelo de negocios para la seguridad
de la información
Son resultado de la estrategia e implementan la parte
operacional del elemento organ izaci ón.

Para que sean b eneficiosos para la empresa, los procesos deben:


• Satisfacer los requerimi entos del negocio y estar alineados
con la política
• Considerar si tuaciones emergentes y adaptarse
a requerimientos cambiantes
• E star d ocumentados y ser comunicados de forma adecuada
a los recursos human os apropiados
• S er revi sados peri ódicamente, una vez establecidos,
para asegurar su eficiencia y eficacia
4. Tecnologfa-----Conformada por todas las herrami en tas, aplicaciones
y la i nfraestructura que incrementan la eficiencia de los procesos.
C omo elemento en evolución que experimenta cambi os frecuentes,
ti ene sus propios riesgos dinámicos. Dada la típica dependencia
de la tecnología que exh iben las organizaci ones, la tecnología
constituye una parte ese ncial de la i nfraestructura de la empresa y
un factor crí tico para alcanzar su misión.

La tecnología es a menudo vi sta por el equi po de dirección de la


L os c uatro elementos del modelo son: empresa como una forma de resolver las amenazas de seguridad
1. Diseño y estrategia de la organización-Una organizaci ón y los riesgos. Aunque los c ontroles técnicos son ú tiles en la
es una red de personas, ac ti vos y procesos i nterac tuando entre mitigaci ón de algunos ti pos de ri esgos, la tecnología no debe ser
sí con roles defi nid os y trabajand o para alcanzar una meta vista como una solución para la seguridad de la i nformaci ón.
comú n. La estrategia de la empresa especifica sus metas d e L os usuarios y la cultura de la organización tienen una gran
negoci o y los objetivos que se d eb en alcanzar, así como los i nfluencia sobre la tecnología. Algunas personas aún desc onfían
valores y las misiones que se deben persegui r. Es la fó rmula de la tecnología; algunas no han aprendido a usarla; y otras
de la empresa para el éxito y estab lece su d irección b ásica. La sienten que no les permi te avanzar a la velocidad que desean.
estrategia se debe adaptar a los fac tores i nternos y extern os. Independ ientemente de la raz ón, los gerentes de seguridad de
L os rec ursos c onsti tuy en el princi pal material para d iseñar la la i nformación deb en ser conscientes de que, así como con los
estrategia y pueden ser d e d iferentes ti pos (personas, equi pos, controles administrati vos y fisic os, muchas personas intentarán
conoc imientos técnicos). burlar los controles téc nic os.
El d iseño defi ne la manera en que la organizac ión implementa Interconexiones Dinámicas
su estrategia. L os procesos, la c ultura y la arquitec tura son Las interc onexiones d inám icas enlazan los elementos y ejercen
i mportantes para determinar el d iseño. una fu erza multidireccional que empuja y atrae a medida que
2. Personas- L os recursos humanos y los aspec tos de seguridad cambian las situaci ones. Las acciones y los compo rtami entos que
que los rodean. Defi ne quién implementa (si guiendo el d iseño) tienen lugar en las interc onexi ones dinámicas pueden romper el
cada parte de la estrategia. R epresenta un c olec tivo h umano y equilibrio del modelo o hac er que éste recupere la estabilidad. Las
debe tener e n cuenta valores, comportamientos y tend encias. sei s interc onexi ones dinámicas son:
1. G ob ierno (governance}--Da direcc ión a la empresa y
Internamente, es fu ndamental que el gerente de seguridad exige liderazgo estratégico. E l gobiern o establece los límites
de la info rmac ión trabaje c on los d epartam entos de recursos dentro de los cuales opera una empresa, se i mplementa dentro
humanos y l egal para resolver asuntos tales como: de los procesos para monitorear el rendimiento, descri be

42 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformalion
Security Manager" Capítulo 1 - Gobiemo de seguridad de la información Sección Dos: Contenido

-
An lSACA"C{!rtlncatlon

las ac tividades y vel a por el c umplimiento de l os control es de experienc ia y/o l as experienc ias c ul turales. Dado que los
y regul aciones, al tiempo que pr oporciona adaptabilidad fac tores h umanos son c rí tic os para mantener el bal ance dentro
a condic iones emergentes. del model o, es importante que todos l os rec ursos h umanos de l a
El gobierno se enc arga de asegurar que se de te rminen empresa rec iban c apac itación sobre l as h abil idades pertinentes.
y definan l os objetivos, de garantizar que los r iesgos se 6. Arq uitectura-Una enc apsulac ión c ompleta y fo rmal
gestione n adec uadamente y de verificar que los rec ursos de la de l as personas, l os procesos, l as pol ític as y l a tec nol ogí a
empresa se utilic en con responsabilidad. que c onforman l as prác tic as de segur idad de una empresa.
2. Cultura-Un patr ón de c onduc tas, c onvicc iones, supuestos, U na arquitec tura robusta de info rmac ión del negocio es
ac titudes y maner as de h ac er las c osas. Es emergente esenc ial par a entender l a necesidad de seguridad y diseñ ar
y aprendida, y c rea un sentido de c omodidad. l a arquitec tura de segur idad.

L a c ul tura evol uc iona c omo un tipo de h istoria c ompartida Dentro de la inte rc onexión dinámica arquitec tura es donde l a
a medida que un grupo avanza a través de un conjunto empresa puede asegur ar l a defensa e n profu ndidad. El diseñ o
de experienc ias comunes. Esas exper ienc ias simil ares desc ribe c ómo se posic ionan los c ontroles de seguridad

-- causan ciertas respuestas, que se convierten e n un conjunto


de c omportamientos esperados y c ompartidos. Estos
y cómo se rel ac ionan c on la arquitec tura general de l a
em presa. Una ar quitec tur a de seguridad empresarial facil ita
comportamientos se transfo rman en regl as no esc ritas, que las c apac idades de seguridad en tre l as lí neas de ne goc ios
a su vez se convierten en estándares que son c ompartidos de una maner a c onsistente y c on una adec uada rel ac ión
por todas l as personas que tienen esa h istoria c omú n. Es costo- efec tividad, al tiempo que permite a l as empresas ser
importante entender l a c ul tura de la empresa porque ésta proac tivas c on sus decisiones de inversión en seguridad.
de termina en gran medida c uál información se considera,
cómo se interpreta esa info rmac ión y qué se h ará c on el la. 1 .5.8 I NTEGRACIÓN DEL PROCESO DE ASEGURAMIENTO
La c ul tur a puede existir en much os nivel es, tal es c om o (CONVERGENCIA)
el nacional (l egisl ac ión/regul aciones, polí tic a y tradic iones), La tendenc ia a segmentar la seguridad en fu nc iones separadas pero
el organizac ional ( polí tic as, estilo jerárquic o y expec tativas) relac ionadas h a creado la necesidad de integrar la diversidad de
y el soc ial ( famil ia, etiqueta). Se c rea con fac tores externos procesos de aseguramiento que se encuentran en una organización
e internos, y rec ibe influe ncia de, e infl uy e en, l os patrones típic a. Estas ac tividades suelen fragmentarse y segmentarse en silos
organizac ional es. que tienen diferentes estructuras jerárquic as. Tienden a utilizar
3. Hab ilitación y soporte-Interc onexión dinám ic a que c onec ta diferente terminologí a y por lo general refl ejan entendimientos
el elemento tec nol ogí a al el emento proceso. Una manera de distintos de sus procesos y resul tados que, en oc asiones, tienen poc o
ay udar a asegurar que l as personas c umpl an c on las medidas, en común. Estos sil os de aseguramiento pueden incl uir l a gestión de
polí tic as y procedim ientos técnic os de seguridad es h ac er que riesgos, la administración de cambios, l a auditoría interna y externa,
los procesos sean prác tic os y fác iles de usar. L a transpar encia las oficinas enc argadas de la privacidad, l as ofic inas de seguros, l as
puede ay udar a generar ac eptac ión c on respec to a l os c ontrol es áreas de recursos humanos (RR.HH.), juridico, entre otros. Eval uar
de seguridad al asegurar a los usuarios que la seguridad no l os proc esos de negocio de princ ipio a fi n (j unto con sus control es),
l imitará su capacidad para tr abajar efic ientemente. independientemente del proceso espec ífico de aseguramiento del
que se trate, puede mitigar la tendenc ia de que existan brechas en l a
M uchas de l as acc iones que afec tan tanto a l a tecnologí a segur idad en l as diversas áreas de aseguramiento. GRC, disc utido
como a l os procesos ocurren en la interc onexión dinámic a anteriormente en l a sección 1.5.5, es un rec iente esfuerzo por tratar
de h abil itac ión y soporte. L as polí tic as, los estándares y l as los problemas de integración entre l as principales func iones de
direc trices deben estar diseñados para soportar l as necesidades gobiern o, la gestión de riesgos y el cumplimiento.
del negocio al reducir o eliminar los conflic tos de interés, deben
mantenerse flexibles para apoy ar l os c ambiantes objetivos del GRC, discutido anteriormente en l a sección 1.5. 6, es un reciente
negocio y deben ser aceptables y fácil es de seguir. esfuerzo por tratar l os problemas de integrac ión entre l as princ ipales
4. Surgimiento-Connota afl oram iento, desar roll o, c rec im iento func iones de gobierno, l a gestión de riesgos y el cumpl imiento.
y evol ución, y se refiere a l os patrones que surgen en l a
vida de l a empresa que parec en no tener una c ausa obvia El BM IS c ubierto e n l a sección 1.5.7 es un esfu erzo ac tual de
y c uy os resultados parec en im posibl es de predec ir y c ontrol ar. !SACA por desarroll ar un enfo que integrado total de la seguridad
L a interc onexión dinámic a surgimiento ( entre personas y de la información util izando un enfo que de sistemas.
procesos) es un espacio para introducir posibl e sol uc iones,
c omo por ejemplo bucl es de retroal imentac ión; al ineaci ón ISO/IEC 27001: 2013, c ubierto en l a sección 3.8.2, especifica l os
c on el me joramiento de l os procesos; y consideración de re querim ientos para establecer, impl em entar, operar, moni torear,
l os probl emas eme rgentes en el cicl o de vida del diseñ o revisar, mantener y mejorar un Sistema de gestión de l a seguridad
del sistem a, el c ontr ol de c ambios y l a gestión de riesgos. de l a info rmac ión (ISMS) documentado dentro del contexto de l os
5. Factores h umanos- Representan la interacción y la brecha riesgos gene rales del negoc io.
entre l a tecnol ogí a y l a gente y, como tal, es primordial para un
programa de seguridad de l a info rmac ión. Si las personas no Convergencia
entienden cómo util izar l a tec nología, no aceptan l a tecnol ogía Durante décadas, se h a h echo patente que la división arbitraria de
o no siguen l as pol ític as pertinentes, pueden surgir graves l as actividades relacionadas con l a seguridad en seguridad fisica,
p robl emas de seguridad. L as amenazas internas, como l a seguridad info rmátic a, gestión de riesgos, privaci dad, cumplimi ento,
fuga de datos, el robo de datos y el uso indebido de l os datos seguridad de l a informac ión, y otras discipl inas, no ha favorecido
pueden ocur rir dentro de esta interconexión di námic a. L os l a obtenc ión de resul tados óptimos. L as consecuenc ias cada vez
fac tores h umanos pueden presentarse debido a l a edad, el nivel más desastrosas de l os esfuerzos no i ntegrados rel acionados con

Manual de Preparación para el Examen CISM 14º edición 43


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido
e. Ce� lnformation
Security Manager·
AnlS.U:,.-Certlflcatlon

la seguridad han ocasionado que los profesionales y la gerenci a y de apoyo, y desarrollar una visión del riesgo en toda la
reconsideren cada vez más esta separación. Se está volviendo más empresa en lugar de una perspectiva basada en activos
común ver que los CISO son ascendidos a CSO o que las funciones
sean combinadas para integrar mejor los principales elementos de En otras palabras, un enfo qu e más h olí stico e integral que vay a
la seguridad. Para muchas org anizaciones la seguridad fisica se ha más allá de los activos y considere factores como la cultura, la
vuelto casi una rutina y se integra con may or facilidad a la seguridad estructura y procesos organizacion ales, tales como el enfo que
de la información que viceversa. L a formación de laAlli ance for de si stemas discu ti do en la sección 1 .5.6, Modelo de Negocio de
Enterprise Security Risk Management (AESRM) [Alianza para Seguridad de la Información. Nuestro análisis de los h allazgos
la Gestión de Riesgos de Seguridad en las Empresas) entreASIS de la en cuesta muestra sin duda que la convergen cia es una
Intem ational, ISACAy laAsociación de Seguridad de Sistemas de ten den cia de negocio que tiene un gran dinamismo. Cumplir
Inform ación (ISSA) es una muestra de la tendencia en esta dirección. con la convergen cia n o se trata ún icamente de in tegraci ón
organizacion al, sin o de integrar las disciplinas de segu ridad con
Puesto que no es posible proporci on ar seguridad de la la misi ón delnegocio a fin de generar valor para los accionistas
información de manera efe ctiva sin un a serie de consideraciones media nte operaciones uniformes y predecibles, al mismo tiempo
fi sicas, la evolución es natural. Es razon able esperar que la que se optim iza la asign ación de recursos de seguridad.
integraci ón de much as actividades relacion adas con la seguridad
esté cen trada en la seguridad de la info rmación durante la década A medida que surgen nuevas tecn ologías y que las amenaza s
venidera. Como resultado, la integración de la segu ridad fi si ca y se vuelven cada vez más complejas e impredecibles, los altos
de otras funciones de aseguramien to será, cada vez más, uno de ejecutivos de seguridad reconocen la necesidad de fusionar las áreas
los aspectos relevan tes para la gesti ón. de seguridad en toda la empresa. Un incidente que ocurrió hace
poco en el Sumitomo Mitsui Bank en L ondres, Inglaterra, en el cu al
Un fragmento del estudio Secu ri ty Convergence: Current Corporate intrusos (h ackers) intentaron robar f220 millones del ban co, enfatiza
Practices a nd Future Trends [Convergencia de seguri dad: Prácticas este principio. Aun cuan do el banco tenía implementadas sólidas
corp orativas actuales y futuras tendenci as] , que estuvo a cargo medi das de seguri dad de tecnologí as de información (TI), hubo
de laAESRM, proporciona un entendimiento profundo de la un fallo en la seguridad físi ca. Intrusos que se hi cieron pasar por
convergencia o integr ación del aseguramiento. El estudio in cluyó a empleados de limpieza instalaron dispositivos en los teclados de las
compañí as globales con sede en EVA, las cuales tienen ganancias computadoras (es decir, registradores de claves) que les permitieron
desde mil millones h asta más de 100 mil millones de dólares. obtener información valiosa de acceso. Esta situación resalta y
refuerza la necesidad de agrupar, de hech o, hacer que converjan,
Los hallazgos derivados de las encuestas y entrevistas todos los componentes de la seguridad de una organización a
apuntan a un gran número de impulsores tanto internos través de un enfoque integrado y deliberado. Para que sea efectivo,
como externos, o "imperativos ", que están obligando a que este enfoqu e de convergenci a debe llegar a la gente, procesos y
la convergencia emerja, y son los siguientes: tecnología, y permitir que las empresas eviten, detecten, respondan a
• Rápida expansión del ecosistema de la empresa cualquier tipo de incidente de seguri dad y se recuperen de él.
• Migración del valor de activosfísicos a activos intangibles Además de los costos que enfrentan las compañí as para
y basados en la información contrarr estar los efectos inmedi atos que tiene un in ciden te, los
• Nuevas tecnologías de protección que eliminan fronteras in cidentes relacion ados con la seguridad pueden ocasion ar daños
fancionales más costosos a largo plaz o, tales como daños a la reputación y
• Nuevos regímenes de cumplimiento y regulatorios la marca. Más allá del im pacto en su valor de mercado, en caso
• Presión constante para reducir costos de que el problema amen ace el bienestar público, los órganos
reguladores podrí an intervenir, promulgando requerimientos más
Estos imperativosfandamentalmente alteran el panorama estrictos que rijan las fu turas prácticas de negocio.
de la seguridad alforzar un cambio en lafanción que
desempeñan los profesionales de la seguridad a lo largo de la
cadena de valor del negocio. Por ejemplo, a medida que las 1 .6. GOBIERNO DE RELACIONES CON TERCEROS
discusionesformales sobre riesgos se vuelven más integradas,
multifimcionales y dominantes, aumenta en gran medida la Un aspecto importan te del gobierno de la seguridad de la
expectativa de que los profesionales de la seguridad tantofísica información son las reglas y los procesos empleados cuan do se
como de la información generen soluciones conjuntas en vez de trata de relaciones con terceras partes. É stas pueden in cluir:
puntos de vista independientes. El estudio identificó un cambio • Proveedores de serv icio
del estado actual en el cual los profesionales de la seguridad se • Operaciones tercerizadas (outsourced)
enfocan en su área, a un nuevo estado en el cual las actividades • Socios comerciales
están integradas para mejorar el valor del negocio. • Organ izaciones fusion adas o adquiridas

Este nuevo "negocio de seguridad" requiere que los L a capacidad para gestion ar con efi cacia la seguridad en estas
profesionales de la seguridad vuelvan a examinar las palancas relaciones supone frecuentemente un importan te reto para el
operativas clave que tienen a su disposición. Aun cuando estas gerente de seguridad de la info rmación. Esto es especialmente
palancas operativas (por ejemplo, roles y responsabilidades, cierto cuando se trata de organiz aciones fu sion adas. L os retos
gestión de riesgos, liderazgo) no son nuevas, la oportunidad pueden in cluir di feren ci as culturales que suelen surgir an te los
de utilizarlas enformas innovadoras podría ser prueba de pla nteami entos de seguridad y comportamientos que no son
ello. Por ejemplo, los sondeos y las encuestas probaron ser aceptables para el geren te de segu ridad de la organización.
una clara evidencia de que, como líderes en el negocio, los Pueden en contrarse incompatibilidades tecnológicas entre
profesionales de la seguridad necesitan ir de un modelo de las organ izaciones, procesos distin tos que n o se integran bien
personas de "comando y control " a un modelo participativo o n iveles in adecuados para el n ivel mínimo de seguridad.

44 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformalion
Security Manager"
AnlSACAº Certlflcatlon
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

Otras áreas de preocupación pueden impl icar la capacidad • ¿Cómo deter min amos el grado de riesgo?
de respuesta a inciden tes, de l a contin uidad del negocio y de • ¿ Con qué exactitud se puede predecir el riesgo?
recuperación en caso de desastres. • ¿Está el programa de seguridad alcanz ando sus obj etivos?
• ¿Q ué impacto tien e l a fal ta de seguridad sobre
P ara asegurar q ue la organización está adecuadamente protegida, l a productividad?
el geren te de seguridad de l a infor mación debe eval uar l os • ¿Q ué impacto ten drí a un a viol ación crí tica de la seguridad?
impactos de cualq uier tipo de fal los de seguridad raz on abl emente • ¿Q ué impacto ten drán l as sol ucion es de seguridad sobre
posibl es por parte de terceras personas q ue pueden llegar a estar l a productividad?
implicadas con la organ iz ación. Es importante compren der
detalladamente estos fallos poten cial es y tener un plan para En úl tima in stan cia, l a única forma de in tentar proporcion ar
l levar a cabo en tal es casos para q ue los impactos poten cial es respuestas sign ifi cativas a estas preguntas es mediante
puedan reducirse a un margen aceptable para la geren cia. el desarrol l o de m edidas rel evantes m étricas q ue traten
l os req uerimien tos de la gerencia para tom ar decisiones
Las responsabilidades del geren te de seguridad de l a información apropiadas acerca de la seguridad de la organ iz ación.
para h acer frente al riesgo poten cial y a l os posibl es im pactos en
P or l o gen eral, l as auditorías completas y l as evaluaciones
l as relaciones con terceras partes deben ser claras y suelen estar
de riesgo exh austivas son l as únicas actividades q ue ll evan
documen tadas. Tam bién deben el aborarse polí ticas y n ormas,
a cabo l as organiz aciones q ue brin dan esta perspectiva tan
así como procedimien tos q ue establez can l a impl icación de l a
amplia. Aun cuan do desde el pun to de vista de gestión de
seguridad de l a infor mación, antes de comenz ar c ualq uier tipo
l a seguridad son importan tes y necesarias, estas actividades
de relaciones con terceras partes para poder determinar el riesgo

-
proporcionan sól o un a h istoria o un a fotografía, n o lo q ue
y para q ue la gerencia pueda decidir si son aceptabl es o si deben
idealm en te se req uiere para guiar en l a geren cia cotidian a
mitigarse. Finalm en te, es necesario disponer de un model o
de la seguridad n i proporcion an l a in formación n ecesaria para
de contrato formal iz ado entre l a organización de seguridad
tomar decision es prudentes.
de l a información y l os grupos que establ ecen y gestion an l as
rel acion es con terceras partes para la org an iz ación.
1 .7.1 MÉTRICAS DE SEGURIDAD EFECTIVAS
1 .7 MÉTRICAS DEL GOBIERNO DE LA SEGURIDAD Gen eral men te es difí cil o imposible manej ar un a actividad q ue
n o se puede medir. El propósito fun damental de l as métricas, l as
DE LA INFORMACIÓN mediciones y el mon itoreo es respal dar decision es. P ara q ue las
m étricas sean ú til es, la información q ue proporcion an debe ser
"Métrica" es un términ o utiliz ado para den otar medidas basadas rel evan te para los rol es y l as responsabil idades del receptor de
en una o más referen cias e invol ucra por l o men os dos pun tos -
manera q ue se puedan l levar a cabo l as decisiones infor madas.
l a medida y l a referen cia. El signifi cado más básico de seguridad
Cualquier cosa q ue resul te en un cam bio puede ser medido.
es l a protección contra cualq uier dañ o o l a ausen cia de éste. En
L a cl ave para las m étricas efectivas es util iz ar un conj unto de
sen tido literal , las métricas de seguridad suel en in dicar el estado
criterios para determin ar cuál es de l a can tidad casi infinita de
o grado de seguridad rel ativa a un pun to de referen cia. L as
candidatos de métricas son l os más apropiados. L os criterios
métricas de seguridad de h oy en dí a simpl emen te n o l o h acen. deben incluir (Brotby, Krag; Jrifo rmation Security Management
P odría resul tar ú til aclarar l a diferen cia en tre l a gestión de la
Metrics, Auerbach, USA, 2009):
infraestructura de seguridad de TI técnica a n ivel operacion al
y la gestión general de un programa de seguridad de l a Significa tiva- L a métrica debe ser com prensible para l os
información. L a métrica técnica es eviden temen te ú til para l a destin atarios.
gestión operativa puramen te táctica de l os sistemas de seguridad Precisa- Es esen cial un grado raz onabl e de precisión.
técn ica - es decir, sistemas de detección de intrusos (ISO), Rentable-L as medicion es n o pueden ser demasiado costosas
servidores proxy, fi rew alls, etc. Estas métricas pueden in dicar de adq uirir o man tener.

-
q ue la infr aestructur a se m anej a de forma adecuada y q ue l as Repetibie---L a medida debe ser capaz de ser adq uirida de
vuln erabil idades técnicas se iden tifi can y reciben el tr atamiento man era confi able a l o largo del tiempo.
correspondiente. Sin embargo, estas m étricas son de poco valor Predecible---L as m edicion es deben ser in dicativas de
desde un pun to de vista de gestión o gobierno estratégico. L a resul tados.
métrica técnica no aporta n ada sobre la alineación estratégica con Procesable-El destin atario debe tener en cl aro q ué accion es se
obj etivos de l a organ iz ación o sobre q ué tan to se gestion an los deben tomar.
riesgos; proporcion a pocas medidas de cumplimiento de pol íticas Genuina-Debe pon erse en cl aro q ué se está midien do
o de si l os obj etivos para n ivel es aceptabl es de posible impacto real men te, por ej ., mediciones q ue n o son al eatorias o están
se están al canz ando; y no ofrece n ingun a información con suj etas a man ipul ación.
respecto a si el programa de seguridad de l a información está en
l a dirección correcta y alcanzando los resultados esperados. En tre l as métricas de seguridad tradicion ales se en cuen tran el
tiempo de in actividad ocasion ado por virus o troy an os, número
Desde un a perspectiva de gestión, mien tras h a h abido mej oras de pen etraciones a sistemas, impactos y pérdidas, tiempos de
en métrica técnica, ésta n o es capaz de proporcion ar respuestas a recuperación , nú mero de vuln erabilidades omitidas por l os
preguntas como: escan eas de redes y porcentaj e de servidores con parches.
• ¿Cuán segura es l a organ ización? Aun cuan do estas medidas puedan ser in dicios de aspectos
• ¿ Cuánta seguridad es sufi cien te? de se guridad y tal vez se an ú tiles para las operacione s de TI ,
• ¿ Cómo sabemos cuán do h emos al canzado un nivel adecuado n ingun a proporcion a información real sobre cuán segura es l a
de seguridad? organ ización y probabl emen te n o cumpl irá con l a may oría de
• ¿Cuáles son las sol ucione s de seguridad más efectivas? los criterios men cion ados.

Manual de Preparación para el Examen CISM 14º edición 45


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido
e. Certified lnformatioo
Security Manager"
An lSACA"Certlflcatlon

E xiste un creciente entendi mi ento de que la falta de mét ri cas la pérdi da anual posible basándose en la frecuencia y magnitu d
úti les es u n área de la seguri dad de la i nfo rmaci ón que ha probables de la i nestabi li dad de seguri dad. E st os números
ob staculi zado a la dirección efe cti va. E sto ha llevado a una común mente especulati vos se pueden uti lizar como base para
vari edad de enfo ques para ab ordar este prob lema que se ha asi gnar o justi fi car recursos para acti vidades de seguri dad.
desarrollado en los últimos añ os. E nt re l os principales esfu erzos
están los sigui entes: Algunas organi zaci ones i ntentarán determi nar los i mpactos
• ISO/IEC 27004:2009 Tecnología de la información­ máxi mos que podrían tener eventos adversos como una medida
Técnicas de seguridad-Gestión de seguridad de la de la segu ri dad. Medi r la seguri dad por las consecuencias
información-Medición- Este estándar es parte de la e impactos es como medir cuán alto es un árb ol con base
creci ente fami lia de estándares de seguri dad ISO/IEC en qué tan fu erte es el soni do que emi te cuando cae. E n otras
27XIT, que incluye ISO/IEC 27001 : Gestión de seguridad
palab ras, tendrían que ocurrir event os adversos para det erminar
de la información e JSOIIEC 27002:2013 Tecnología de la
información-Técnicas de seguridad-Código de práctica si la seguridad est á fu nci onando. La ausencia de i ncidentes
para los controles de seguridad de la información. ISO/IEC adversos no proporciona informaci ón sobre el estado de
27004 " provee ori entación en el desarrollo y uso de medi das la seguri dad. Di cha fa lta podría signifi car que las defensas
y medi ción con el fin de evaluar la efe ctivi dad de un sistema fu nci onan, o que nadie ha lanzado un ataque, o bien, que hay
de seguri dad de la i nfo rmaci ón i mplementado y cont roles o alguna vulnerab ili dad que no se ha identi fi cado. Por supuesto,
grupos de control según está especificado en ISO/IEC 27001." los ataques si mulados con pruebas de penet raci ón dan alguna
E ste estándar no ha teni do am plia aceptaci ón y experimenta medi da de la efe cti vi dad de las defe nsas sólo cont ra aquellos
varias defici encias. Como resultado, en la actuali dad se está ataques específi cos que se han lanzado. S i n embargo, a menos
volviendo a escribi r para que ab orde varios de los prob lemas de que se haya lanzado un porcentaje de ataques que sea
planteados por la comuni dad de seguri dad de la i nfo rmación. si gnifi cativo en térmi nos estadísticos de todos los ataques
• COBIT 5-COBIT 5 ofrece varias mét ri cas de muest ra de posib les, no se podría predecir el estado de la seguri dad
TI para cada una de las 17 metas empresariales sugeri das para o la capaci dad de la organi zación para resisti r un ataque.
aproxi madamente un total de 150 basándose en el enfo que de
cuadro de mando (balanced scorecard). COBIT 5: Procesos Podría ser qu e todo aquello que se puede afi rmar con certeza
catalizadores expresa: "Estas métri cas son muest ras y cada sobre la seguri dad es que:
empresa debe revi sar con cui dado la lista, deci dir sob re las 1 . Algunas organi zaci ones son ob jeto de ataques con may or
métricas relevantes y alcanzables de su propio entorno y frecuencia y / o regi stran may ores pérdidas que otras.
diseñar su propi o sistema de cuadro de mando (scorecard 2. Existe una fu erte correlación ent re una bu ena gestión
system)." Sin embargo, actualmente carece de orientaci ón y prácti cas de seguri dad y un número relati vamente menor
sobre el desarrollo y la i mplementaci ón real en términos de
de i ncidentes y pérdi das.
lo que podrían ser mét ri cas relevantes y alcanzables o del
desarrollo del scorecard.
• El Centro para la Seguridad de Internet (CIS)-En 201O, Una buena gestión y un b uen gobi erno están i nextri cab lemente
el CIS emiti ó un documento titulado Las métricas de seguridad conectados. Medi r con preci sión la efi cacia de un gob ierno y
del CJS que ofrece un enfoque i ntegral para desarrollar e gerencia de seguri dad de la info rmación puede ser aun más
impl ementar las métricas de seguridad de la información. S e basa difí cil que medir la seguri dad. E n la may oría de los casos, las
en el consenso de 150 profesi onales de la industria con respecto métri cas se basarán en los atrib utos, los costos y los posteri ores
a las mét ri cas rel evantes y el enfo que para la i mpl ementación e resultados del programa de seguridad. La Figura 1.6 presenta
incluye 28 defi ni ci ones de métricas con una cantidad posible de los componentes de un programa de gobi erno de la seguridad
métricas para siete fu nci ones de negocio i mpo rtantes. de la info rmación y demuestra que se requi ere el rumbo real
• Publicación especial 800-55 Revisión 1 de NIST: Guía del gobi erno y la capaci dad para medir y presentar i nfo rmes
de medición del desempeño para la seguridad de la sob re el desempeñ o.
información- Este documento está ali neado con los cont rol es
de seguridad provi stos en NIST SP 800-53 para ayudar con la
evaluación de la i mplementaci ón del programa de seguri dad de Figura 1 .6--Gomponentes de las mediciones de seguridad
la i nfo rmaci ón. Ofrece un enfo que i ntegral para la selección,
el desarrollo y la i mplementación de un enfo que de métri cas
cuy o objetivo pri ncipal es respaldar la Ley Federal para la
Gestión de la S eguri dad de la I nfo rmaci ón (FISMA), que es un
documento de políti cas de alto ni vel para las agencias fe derales
de los EE.UU. y tiene valor para el ambiente comercial.

El riesgo operacional y su contraparte, la seguri dad, no se mi den


directamente en términos absol utos; por el contrari o, el i ndi cador
de medi ci ón normalmente está relaci onado con aspectos como
las probabilidades, las exposi ciones, los atributos, los efe ctos y
las consecuencias. Varios de los enfo ques que pueden ser ú tiles
i ncluy en el valor en ri esgo (VAR), el retomo sob re la i nversi ón
en seguri dad (ROSI) y la expectativa de pérdi das anuales (ALE).
VAR se uti liza para calcular la pérdi da máxi ma probable en un
período defi ni do (día, semana, año) con un ni vel de confianza
típico de 95% o de 99%. ROSI se utiliza para cal cular el retom o
sobre la inversi ón basándose en l a reducción en pérdidas que
resul ta de un cont rol de seguri dad. ALE proporci ona el cálcul o de

46 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
Security Manager· Capítulo 1 - Gobierno de seguridad de la información Sección Dos: Contenido

-
AnlSACAº Certlflcatloo

Un conc epto sensato indica que una de las carac terísticas por parte de la dinámica organizacional o las
de un programa de seguri dad bi en gobernado es que satisface limitaciones en el presupuesto.
las expec tativ as y alc anza los objetiv os definidos de maner a
efici ente, efec tiv a y c onsistente. Si n embargo, esto resulta de El segundo componente de un programa efectivo
poc a ay uda para la may oría de las organi zac iones, y a que, a de medición de seguridad de la información
menudo, no está claro cuáles son las expec tativ as o los objetiv os es la existencia de políticas y procedimientos
de seguridad de la información que estén
de seguridad espec ífic os.

De ac uerdo c on un info rme reciente emi ti do por Yale, titulado respaldados por la autoridad necesaria para
Good Governance and the Misleading Myths ofBad exigir su cumplimiento. las políticas de seguridad
Metrics (El buen gobierno y los falsos mi tos de las malas de la información delinean la estructura de
métric as) (Sonnenfeld, J effrey, Dec ano Adjunto para programas gestión de la seguridad de la información,
ejec utiv os en Yale, Ac ademia de Dir ecc ión E jec utiva, 2004, asigna claramente las responsabilidades de la
seguridad de la información y proporciona la
Vol. 18, No. 1), los esfuerz os c omerci ales que emprenden las
organizac iones, tales c omo Insti tutional Sh areh older Services
(ISS) y Gov ernance Metrics l ntern ati onal (GMI) para medir base necesaria para medir de manera confiable el
un buen gobierno no h an superado un análisi s minuc ioso. El progreso y el cumplimiento. los procedimientos
informe detalla algunos estudios que demuestran que much os documentan la posición de la dirección sobre la
implementación de un control de seguridad de la
-
c onceptos de gobi erno en apar ienc ia válidos, aunque no todos,
no están sustentados en h ech os. Sin embargo, lo opuesto información y el rigor con el que se aplica. las
- también es c ier to, y a que much os c onc eptos de gobierno están
realmente sustentados en h ech os.
medidas no se obtienen de manera sencilla si no
se implementan procedimientos que suministren
Dado que el gobierno, en general, y el gobi erno de la seguri dad, datos para ser utilizados para la medición.
en par tic ular, son difíc iles de medi r mediante un conjunto de El tercer componente es desarrollar y establecer
métricas objetiv as, existe una tendenc ia a utiliz ar métricas que métricas de desempeño cuantificables que estén
están di sponibles, a pesar de su probada per tinenc ia. Un ejemplo diseñadas para capturar y proporcionar datos
tí pico que se obser va en la may orí a de las organizaci ones es
operacionales significativos. Para proporcionar
el uso de los análi sis de v ulnerabili dad c omo una indic aci ón
de la seguridad global. Casi indisc uti blemente, si fuer a datos significativos del desempeño, las métricas
posible eli mi nar todas, o c asi todas, las v ulnerabili dades de seguridad de la información cuantificables
(lo cual es imposible), se podrí a ev itar la may oría de los deben basarse en las metas y los objetivos del
riesgos. L a falacia radic a en la suposic ión de que es posible desempeño de la seguridad de la información, y
determi nar algo sobr e el riesgo, amenaz a o i mpac to, midiendo deben ser fáciles de obtener y factibles de medir.
las vulnerabili dades técnic as. A simismo, deben ser repetibles, proporcionar
Aunque no existe una esc ala universal objetiv a para la segur idad las tendencias de desempeño correspondientes al
o el gobi erno de la seguridad, es posible diseñar métricas eficaces paso del tiempo, y ser útiles para monitorear el
que permitan guiar el desarrollo y la gestión de programas en desempeño y dirigir recursos.
aquellas organiz aci ones que h ay an desarrollado objetiv os de

- seguridad de la i nfo rmac ión claros. En esencia, las métricas


pueden reduci rse a cualquier medi da de los resultados del
programa de seguri dad de la informaci ón que av ance h ac ia los
Por último, el programa de medición de
seguridad de la información debe hacer hincapié
en un análisis periódico y consistente de los datos
objetivos definidos. También se debe entender que se requieren de las métricas. los resultados de este análisis
se utilizan para aplicar las lecciones aprendidas,
diferentes métricas par a proporc ionar informac ión en los niveles
estratégico, tác tic o y operaci onal. L as métricas estratégicas
estarán ori entadas a resultados y objetivos de alto nivel para el mejorar la eficacia de los controles de seguridad
programa de seguridad de la info rmaci ón. existentes y planificar la implementación de
futuros controles de seguridad para cumplir
De ac uerdo c on la public ac ión espec ial 800-55 del NIST: con los nuevos requerimientos de seguridad
de la información a medida que surgen. la
la base de un firme apoyo de la gerencia de nivel recolección de datos precisos de usuarios y
superior es fundamental, no sólo para el éxito del
partes interesadas debe ser una prioridad en
programa de se guridad de la información, sino
caso de que los datos recopilados vayan a ser
también para la implementación del programa.
importantes y útiles para mejorar el programa de
Este respaldo establece un enfoque sobre la
seguridad de la información en su conjunto.
seguridad de la información dentro de los niveles
más altos de la organización. Si no se tiene una El éxito de la implementación de un programa
base sólida (es decir, un respaldo proactivo de seguridad de la información debe de
del personal que se encuentra en puestos que determinarse por el grado al cual se generan
controlan los recursos de la información), resultados significativos. Un programa integral
la efectividad del programa de medición de de medición de seguridad de la información
seguridad puede fallar cuando existan presiones

Manual de Preparación para el Examen CISM 14º edición 47


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido
e. Certified lnformatioo
Security Manager·
AnlSACll"CerttflcatlDn

debe proporcionar una justificación sustancial • E n que medida el programa de seguri dad facilita de manera
para las decisiones que repercuten directamente c omprobable ac tivi dades de negoci o específicas.
en la postura de seguridad de la ieformación • Acti vi dades del negoci o que no han si do ejecutadas o están
de una organización. Estas decisiones incluyen retrasadas debido a una i nadecuada capaci dad para gesti onar
solicitudes de presupuesto y p ersonal, así como
el ri esgo.
• Una organizació n de seguridad que da respuesta a los
la asignación de los recursos disponibles. requeri mi entos de negoci o defi ni dos y basados en encuestas a
Un programa de medición de seguridad de la los dueños del negoci o.
ieformación debe ayudar en la preparación • Objetivos organi zaci onales y de seguri dad que están defi ni dos
de los ieformes requeridos en relación con el y son claramente entendi dos por parte de todos los i nvoluc rados
desempeño de la seguridad de la ieformación. en la seguridad y las acti vi dades de asegurami ento relaci onadas
medi dos por pruebas de capaci tació n.
• Porc entaje de ac ti vidades del programa de seguridad
1 .7.2 MÉTRICAS DE IMPLEMENTACIÓN DE GOBIERNO c orrelaci onados c on los objeti vos organizaci onales y vali dados
I mplementar una estrategia y un marc o de gobi ern o por di recció n ejecutiva.
de la seguri dad de la i nfo rmació n puede requeri r de un esfuerzo • Un c omi té di rec ti vo de seguridad c onformado por ejecuti vos
si gnificati vo. Es i mportante que se cuente c on alguna forma clave que c uenta c on estatutos para garantizar la conti nua
de métrica durante la i mplementació n de un programa ali neació n de las acti vi dades relaci onadas c on la seguri dad
de gobi ern o. El desempeño del programa de seguri dad y la estrategia de negoci o.
en su c onjunto será demasiado detallado para brin dar
informació n oport una sobre la implementació n y se deberá
uti liza r otro enfoque. L os i ndicadores c lave de metas (KGi s)
1 .7.4 MÉTRICAS DE GESTIÓN DE RIESGOS
y los i ndicadores c lave de desempeño (KPi s) pueden servi r La gestión de ri esgos es el objetivo princi pal de todas las
para proporci onar i nformación sobre el logro de las metas del activi dades relaci onadas c on la seguri dad de la i nformación
proceso o servici o y pueden determi nar si se están alcanzando y, en reali dad, de todos los esfuerzos realizados c on respecto
los objetivos y logros i mportantes de la organi zació n. Debi do al asegurami ento organizaci onal. Aun cuando la efectivi dad en la
a que la i mplementación de vari os aspec tos del gobi erno gestió n de riesgos n o está sujeta a una medición direc ta, exi sten
a menudo i mplicarán proy ectos o i niciativas, los métodos i ndicadores que guardan una estrecha relació n c on un enfoque
de medición de proyectos estándar pueden cumpli r con los exitoso. Un programa exi toso de gestión de ri esgos puede
requi si tos de las métricas, por ej., alcanzar hi tos u objetivos defi nirse c omo aquel que cumple c on las expectativas y alcanza
espec ífic os, c onformi dad c on el presupuesto y el c ronograma. objeti vos defini dos de manera efecti va, efec tiva y consistente.

Una vez más, es preciso que estén defi ni das las ex pec tati vas
1 .7.3 MÉTRICAS DE ALINEACIÓN ESTRATÉGICA y objeti vos de la gestión de ri esgos; de lo c ontrari o, n o se
La ali neació n estratégica de la seguri dad de la i nformación en tendría una base para determinar si el programa está teni endo
apoy o a los objetivos organizaci onales es una meta altamente éxi to, está avanzando en la di recció n c orrecta o si la asi gnación
deseable que a menudo es dificil de alcanzar. Debe quedar de recursos es apropiada.
claro que la rentabilidad de un programa de seguri dad está
vi nc ulada i nevitablemente a qué tan bi en apoya los objeti vos I ndicadores apropiados de Gestió n de Riesgos pueden i nc lui r:
de la organi zació n y a qué c osto. Si no se c uenta c on objeti vos • Un apeti to y una tolerancia al ri esgo organi zaci onal defi ni do
organi zaci onales que si rvan de punto de referencia, c ualquier en térmi nos relevantes para la organi zació n.
otra medi da, i ncluso las llamadas mejores prácticas, puede ser • La i ntegri dad de una estrategia y programa de seguri dad para
i nnecesaria, inadecuada o mal diri gi da. Desde el punto de vista alcanzar ni veles aceptables de ri esgo.
del negocio, es probable que prác ticas adecuadas y sufici entes • El número de objetivos de miti gación defi ni dos para ri esgos
que sean proporci onales a los requerimientos resulten más si gni ficati vos i dentificados.
rentables que las mejores prác ticas. De i gual fo rma es probable • Proc esos para admini strar o reducir i mpactos adversos.
que una gerencia c onsci ente de los c ostos las reci ba mejor. • E l porc entaje de sistemas c ubi ertos por un proc eso de gestió n
riesgos si stemátic o y c ontinuo.
E l mejor i ndicador i ntegral de que las ac tividades relaci onadas • Ten dencias de evaluaci ones perió dicas de ri esgo que i ndi quen
c on la seguri dad están alineados c on los objetivos de negoci o (u el progreso hacia la meta defi nida.
organi zaci onales) es el desarrollo de una estrategia de seguri dad • Tendencias en los i mpactos.
que defi na los objetivos de seguri dad en térmi nos del negoci o • Resultados de pruebas de los planes de conti nui dad de
y garanti za que los objetivos se enc uentran articulados de negoci os/recuperació n ante desastres.
manera di rec ta desde la planificació n hasta la implementació n • La i ntegri dad de la valorizació n de activos y la asignación de
de políticas, estándares, proc edimi entos, procesos y tec nología. propi edad.
La prueba de fu ego es la evaluació n en orden i nverso de que es • E l porc entaje de análisi s de i mpacto en el negoci o (BIA) de
posi ble rastrear un c ontrol espec ífic o hasta un requeri mi ento todos los si stemas sensi bles o c rí tic os.
de negoci o en particular. Cualqui er c ontrol c uy o rastro no se • E l alcance de un proc eso de clasificación de ac tivos, c ompleto
pueda establecer de vuelta hasta el requeri mi ento de negoci o y fu nci onal.
específic o resulta sospechoso y debe analizarse para establecer • La proporción de inci dentes de seguri dad de ri esgo c onoc ido
su relevancia y posible elimi nac ió n. c omparado c on ri esgos no i den ti ficados.
L os i ndicadores de la ali neació n pueden i nclui r los si gui entes: La meta c lave de seguri dad de la i nfo rmación es reduci r el
i mpacto adverso para la organi zación a un ni vel aceptable.

48 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e·=.:='" Ca-lo 1 - G"""""o de seguridad de la información Sección Dos: Contenido

P or lo tanto, una métrica clave es el impacto adverso de los Entre los indicadores que denotan una gestión de recursos
incidentes de seguridad de la información experimentados por eficiente se encuentran los siguientes:
la organización y si su alcance excedió o no el criterio para • Redescubriendo los problemas de ocurrencias poco frecuentes.
riesgo aceptable. Un programa efectivo de seguridad de la • Recopilación y difusión del conocimiento efectiva.
información mostrará una tendencia a la reducción del impacto. • La medida en que los procesos relativos a seguridad están
Las mediciones cuantitivas pueden incluir análisis de tendencia estándarizados.
de impactos en el tiempo. • Roles y responsabilidades claramente definidos para las
funciones de seguridad de la información.
1 .7.5 MÉTRICAS DE LA ENTREGA DE VALOR • Funciones de seguridad de la información incorporadas a cada
plan de proyecto.
La entrega de valor ocurre cuando las inversiones en seguridad • P orcentaje de activos de información y sus respectivas
se optimizan para respaldar los objetivos de la organización. amenazas correctamente dirigidos por actividades de seguridad.
La entrega de valor es una función de alineación de la estrategia • La debida ubicación organizacional, nivel de autoridad
de los objetivos de seguridad; en otras palabras, cuando un caso
y número de personal para el área de seguridad
de negocio se puede realizar de modo convincente para todas
de la información.
las actividades de seguridad. Se tiene niveles óptimos de inversión
cuando se alcanzan las metas estratégicas para la seguridad • Niveles de utilización de recursos.
y se logra una postura de riesgo aceptable al menor costo posible. • P roductividad del personal.
• Costo por asiento de los servicios de seguridad.
,·-- Los indicadores clave (KGis, KPls) pueden incluir los siguientes:
• Las actividades de seguridad que estén diseñadas para alcanzar 1 .7.7 MEDICIÓN DEL DESEMPEÑO
objetivos estratégicos definidos. La medición, monitoreo y presentación de información sobre
• El costo de la seguridad es proporcional al valor de los activos. los procesos de seguridad de la información es un requerimiento
• Los recursos de seguridad que sean distribuidos con base para garantizar que se alcancen los objetivos de la organización.
en el grado de riesgo valorado y el posible impacto. Se deben desarrollar métodos para monitorear los incidentes
• Los costos de protección sean consolidados como una función relacionados con la seguridad en toda la organización y es
de ingresos o valuación de activos. fundamental diseñar métricas que proporcionen una indicación del
• Los controles que estén bien diseñados con base en objetivos desempeño de la maquinaria de seguridad y, desde una perspectiva
de control definidos y se utilizan en su totalidad. de gerencia, la información necesaria para tomar decisiones y así
• El número de controles para alcanzar niveles aceptables guiar las actividades de seguridad de la organización.
de riesgo e impacto es adecuado y apropiado.
• La rentabilidad de los controles que se determina a partir de Los indicadores para una medición efectiva del desempeño
pruebas periódicas. podrían incluir los siguientes:
• Las políticas establecidas que requieren que todos los • Descubriendo una vez más los problemas de ocurrencias poco
controles se reevalúen con regularidad para determinar su frecuentes
costo, cumplimiento y efectividad. • La recopilación y difusión del conocimiento es eficiente.
• La utilización de controles; los controles que rara vez se usan • El grado en el cual los procesos relacionados con la seguridad
difícilmente serán rentables. están estandarizados
• El número de controles para alcanzar niveles aceptables • Los roles y las responsabilidades están claramente definidos
de riesgo e impacto; se puede esperar que un número menor para las áreas de seguridad de la información.
de controles efectivos sea más rentable que un número mayor • Las funciones de seguridad de la información incorporadas a
de controles menos eficaces. cada plan de proyecto.
• La efectividad de los controles que se haya determinado • El porcentaje de activos de la información y amenazas
a partir de las pruebas; es poco probable que los controles relacionadas que están tratadas por actividades de seguridad
marginales sean rentables. • La debida ubicación organizacional, nivel de autoridad

-
y número de personal para el área de seguridad de la
1 .7.6 MÉTRICAS DE GESTIÓN DE RECURSOS información.
La gestión de recursos de seguridad de la información • El alcance del monitoreo sobre los controles clave.
es el término que se emplea para describir los procesos • El porcentaje de las métricas que alcanzan criterios definidos
de planificación, asignación y control de los recursos (metamétrica).
de seguridad de la información, entre otros, personal, procesos
y tecnologías, para mejorar la eficiencia y la efectividad 1 .7.8 I NTEGRACIÓN DEL PROCESO DE ASEGURAMI ENTO
de las soluciones de negocio. (CONVERGENCIA)
Tal como sucede con otros activos y recursos de la organización,
Las organizaciones deben considerar un enfoque para el gobierno
deben administrarse de manera apropiada. El conocimiento debe
de la seguridad de la información que incluya un esfuerzo
recopilarse, difundirse y estar disponible cuando se requiera.
para integrar funciones de aseguramiento. Esto servirá para
Brindar múltiples soluciones a un mismo problema resulta, sin
aumentar la efectividad y la eficiencia de la seguridad mediante
duda, ineficiente y es indicio de una falta de gestión de recursos.
la reducción de la duplicación de esfuerzos y las brechas en la
Los controles y los procesos deben estandarizarse cuando sea
protección. Esto ayudará a garantizar que los procesos operen
posible a fin de reducir los costos administrativos y de capacitación.
según lo esperado de principio a fin, minimizando los riesgos
De igual forma, tanto los problemas como las soluciones deben
ocultos. Los KGis pueden incluir los siguientes:
estar bien documentados, referenciados y disponibles.

Manual de Preparación para el Examen CISM 14º edición 49


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobierno de seguridad de la información Sección Dos: Contenido e·= �:;';,fi?"
AnlSACA"Certlflgtlon

• N o existen fallas en la protecc ión de los ac tivos de informac ión. La estrategia corporativa es el patrón
• S e eliminan superposic iones innec esarias en la seguridad. de decisiones en una compañía que determina
• Las ac tividades de aseguramiento están perfectamente integradas. y revela sus objetivos, propósitos, o metas,
• L os roles y las responsabilidades están bien defi nidos.
g enera las principales políticas y planes
para alcanzar dichas metas y define el rango
• L os encargados de proporc ionar el aseguram iento entienden
la relación c on otras áreas de aseguramiento.
• Todas las fu nc iones de aseguramiento están identificadas de negocio que debe p erseguir la compañía,
e inc luidas en la estrateg ia. el tipo de organización económica y humana
que es o pretende ser y la naturaleza de
Con respec to a la gestión del riesgo inherente a un neg oc io, la contribución tanto económica como no
Booz Ali en Hamilton (en su publicación Convergence económica que pretende hacer a sus accionistas,
ofEnterprise Security Organizations [Convergencia empleados, clientes y comunidades.
de organizaciones de seguridad empresarial]), indica que:
Agregar seguridad en los lugares apropiados a la declaración
En el pasado, la gestión del riesgo inherente anterior brinda una definición aplicable de una estrategia de
en un negocio era unafanción que estaba seguridad.
integrada dentro de los roles individuales
del "Conjunto C". El e,ifoque tradicional La Figura 1.7 m uestra a los participantes en el desarrollo de
era tratar cada riesgo por separado y asignar una estrateg ia de seg uridad y sus relac iones, y los alinea c on
la responsabilidad a una persona o grupo los objetivos de neg oc io. La fl echa que indica "Estrategia de
reducido. Gestionar un único tipo de riesgo
N egoc io" brinda una directriz para alcanzar los "Objetivos de
N egoc io". Además, la estrategia de neg ocio debe hac er una de
se volvió un trabajo definido, y llevarlo a las principales c ontribuciones a los planes de la "G estión de
cabo significaba e,ifocarse exclusivamente riesg os" y la"Estrategia de seguridad de la información" . Este
en esa área particular. El problema con fl ujo sirve para promover la alineación de la seguridad de la
este e,ifoque independiente es que no sólo informac ión c on los objetivos de negoc io. El equilibrio de las
ignora la interdependencia de muchos riesgos c ontribuc iones radica en determinar el estado deseado de la
de negocio sino también suboptimiza el seguridad en comparación con el estado ac tual o existente. L os
financiamiento del riesgo total de una empre sa.
proc esos del neg ocio se deben c onsiderar al igual que el riesg o
organizac ional c lave, inc luy endo los requisitos regulatorios y el
análisis de impac to correspondiente para determinar niveles de
Romper con e se e,ifoque independiente y tratar protección y prioridades.
la suboptimización de las inversiones requiere de
una nuevaforma de p ensar acerca del problema. El objetivo de la estrategia de seguridad es el estado deseado
definido por atributos de negocio y seguridad. La estrategia
Esta nueva manera de pensar demostrada por BMIS, discutida establ ece la base para un plan de acción que incluya uno o más
en la secc ión 1.5.5, reúne a los diversos elem entos y las partes programas de seguridad que, conforme se vayan im plementando,
interesadas que par tic ipan en el problema para que trabajen alcanc en los objetivos de seg uridad. Cada plan de acción debe
en estrecha coordinac ión. Uno de los princ ipales objetivos formularse según los recursos disponibles y las limitaciones
de esta ac tividad es entender cóm o las organizaciones lí deres ex istentes, incluy endo la c onsideración de los requisitos legales y
combinan elementos diversos y hacen que se orienten hacia regulatorios pertinentes.
un objetivo común.
Tanto la estrategia como los planes de acci ón deben contener
disposiciones para m onitoreo y métricas defi nidas para determinar
1 .8 VISIÓN GENERAL DE LA ESTRATEGIA DE el nivel de éxito. Esto proporciona al CISO y al c om ité direc tivo
SEGURIDAD DE LA I NFORMACIÓN informac ión de retroalimentac ión que permiten correcc iones a
m edio camino y asegurar que las iniciativas de seguridad sean las
Existen varias defi nic iones de estrategia. Mientras que todas adecuadas para alcanzar los objetivos definidos.
por lo general apuntan hacia la misma dirección, varían
enormem ente en alcance, énfa sis y detalle. La estrateg ia deriva 1 .8.1 UNA VISIÓN ALTERNATIVA DE LA ESTRATEGIA
de la definic ión militar que es simplemente " el plan para Un informe de 2004 de McK insey plantea la adverte nc ia de que a
lograr un objetivo" . Como es típic o, el conc epto básic o se ha m enudo "el enfoque de la estrategia implica la suposic ión errónea
expandido y desarrollado de manera m ás c ompleja, aunque esto de que un cam ino predec ible al futuro puede ser pavim entado a
no siem pre sirve para mejorar el entendimiento del concepto. partir de la experiencia del pasado." Posteriormente indica que
los resultados estratégic os no pueden predeterminarse dado el
En The Concept ofC orporate Strategy (El Concepto de estrategia ambiente turbulento de neg ocios que se vive h oy en día.
corporativa), 2= Edición , K enneth Andrews describe el concepto
de estrategia corporativa, el c ual también se aplica al desarrollo y En consecuenc ia, McK in sey propone definir la estrateg ia com o
al propósi to de la estrategia de seguridad de la información: "una cartera coherente y evolutiva d e iniciativas para manejar
el valor de los accionistas y el desem peño a larg o plaz o. Este
cambio en la manera de pensar requiere que la gerencia desarrolle
una perspec tiva de " tú eres lo que haces" en oposición a una de

50 Manual de Preparación para el Examen CISM 14 ° edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
Security Manage(
M ISACA'Ccrtlllca!Kln
Capítulo 1 - Gobierno de seguridad de la información Sección Dos: Contenido

Figura 1 .7-Participantes en el desarrollo de una estrategia de seguridad de la información

Alta Dirección Estrategia de Negocios

Comité de Dirección/
Dirección Ejecutiva

CISO/Comlté de Dirección

Insumos para la Insumos del


estrategia: plan de acción,
• ESlados actual Recursos
y deseado de la disponiblru¡ y Objetivos de seguridad
seguridad Limitaciones
• Procesos y
requerimientos Monitorización/ étrica
del negocio
• Valoración
de riesgos
• Análisis de Impacto
al negocio
• Requermientos
regulatorios

" tú eres lo que dic es". En otras palabras, las compañías se definen 1 .9 DESARROLLO DE UNA ESTRATEGIA DE
por las i niciativas que priorizan y manejan, y no tan só lo por sus
declarac iones de misión y visión." SEGURIDAD DE LA INFORMACIÓN
El proc eso de desarrollo de una estrategi a de seguri dad de
El i nfo rme continú a diciendo que " la estrategi a enfocada de esta la i nfo rmac ió n eficaz requiere profu ndos c onoc imi entos y
manera es, por su propi a naturaleza, más adaptable, y menos la c onsi deración de ci ertos elementos c omo se i ndica en las
dependiente de las grandes apuestas. U na cartera de inici ati vas figuras 1.8 y 1.9. Adici onalmente, también es i mpor tante que
administrada cui dadosamente se equi libra en las distintas el gerente de seguri dad de la información sea consci ente de los
actividades para adaptar los negocios centr ales para enfrentar los fallos c omunes de los planes estratégic os c on la fi nali dad de
retos fu turos, dar forma a la cartera conti nuamente para responder poder evi tar dific ultades y conseguir los resultados esperados.
a un ambiente en constante c ambio, y constr uir la siguiente
Figura 1 .8-Estándares y Marcos generales vigentes
generació n de negoci os. Al c rear una cartera de i niciativas
alrededor de un tema unific ador, reforzado por marcas, propuestas
de valor a los c lientes y c apaci dades operativas só lidas, una SOX, HIPAA, GLBA, FISMA, Otros
c ompañí a puede establecer c on éxi to el escenario para impulsar el
valor de los accionistas."

Cualquiera que sea la defi nición o enfo que que resulte


apropi ado para una organi zación en par tic ular, los pasos
de implementac ió n siguen siendo en esencia los mismos.
El modelo McKi nsey " de adaptació n" puede ser más
apropiado para las organi zaci ones que ex perimentan much os
c ambios. El modelo más tradic ional puede alc anzar la misma
adaptabili dad al i nc rementar la revisión de los KPi s y revi sar
las suposici ones de la estrategia con may or frec uenc ia.

El criterio que posiblemente sea más i mportante para obtener


buenos resultados de una estrategi a ex itosa es un li derazgo y
compromiso sólidos y constantes por parte de la alta dirección
D
D C'llntrolés'
para alcanzar un gobi ern o efecti vo de seguridad de la info rmación.

Otra perspecti va sobre la estrategia se presenta desde el punto


de vista de la arq ui tec tura que ofrec e la Arqui tec tura Aplic ada 1.9.1 DIFICULTADES COMUNES
de la Seguri dad de Negoci o de Sherwood (SABSA) tal c omo
Exi sten vari as razones por las que los p rogramas de seguri dad
se muestra en la Figura 1.9.
no c umplen las ex pectativas. Puede ser una estrategi a
i nadec uada o la falta de ella. También puede provenir de otros
fac tores, como los de la figura 1.10.

Manual de Preparación para el Examen CISM 14º edición 51


ISACA, Todos los derechos reservados,
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido e·=�:;'�
ArllSAC,l;"Certlflc;,tlon

Figura 1.9-Arquitectura de Seguridad SABSA


Capa contextual
Procesos y modelos de negocío críticos

Estrategia
Capa conceptual de seguridad
Fuente: Copyright SABSA lnstitute, www.sabsa.org. Reproducido con autorización.

Más de 9000 encue stados para la encuesta de PwC identificaron u na toma de decisión viciada. Conoce r dichas causas pue de
financiamiento y liderazgo insuficientes como los obstáculos permitir compe nsar para redu cir los e fe ctos adve rsos. Entre las
principales para me jorar la seguridad. L os problemas de liderazgo pr incipale s raz ones están las siguie nte s:
identificados se re fle jarán ine vi tablemente en un gobiern o • Exceso de confianza-La inve stigación muestra u na
1r, satisfactori o que, a su vez, resultará e n una mala estrategia o te nde ncia de la ge nte a tener un exceso de confianza e n su
ninguna estrategia. En términos de estrategia, sería un eufemismo capacidad pa ra hace r cálcu los exactos. La may oría de la gente
de cir que la historia está llena de eje mplos de malas estrate gias se mue stra renuente a calcu lar u na amplia varie dad de posible s
o estrategias inade cuadas. Es sorprendente que despué s de resultados y pre fiere e star pre cisamente e n un error que
casi cuatro dé cadas de l desarrollo de la te oría de estrategia de vagame nte e n lo correcto. La may oría tam bié n tie nde a confiar
negocio, dicha falta de estrategia siga siendo u na constante. demasiado e n sus propias capacidade s. Para las estrategias
Mientras algu nos planes estratégicos pueden fracasar por organizacionales que se basan e n e valuaciones de capacidade s
motivos obvios tale s como la codicia, una planifi cación principales, esto puede resu ltar e n par ticular problemático.
deficie nte, u na e je cu ción fallida, e ve ntos impre vistos y falta de • Optimismo--La ge nte tie nde a se r optimista e n sus
condu cta corporativa, otras causas de fracasos estratégicos no pronósticos. U na combinación de confianza y optimismo
e stán de l todo comprendidas. A lgu nos e xperimentos y e studios excesivos pue de te ner un impacto desas troso e n las e strategias
han demostrado una variedad de causas que están detrás de que se basan e n los cálculos de lo que podría sucede r. Por lo
Figura 1 .1 O-Obstáculos para mejorar la seguridad

Gastos de capital insuficientes 24%


Falta de visión procesable o entendimiento de cómo 24%
las necesidades del negocio futuras afectan la seguridad de la información
Liderazgo: CEO, presidente, junta directiva, o equivalente 23%
Falta de una estrategia de seguridad de la información efectiva 22%
Gastos operativos insuficientes 1 9%
Ausencia o falta de experiencia técnica interna 1 9%
Sistemas de TI y de información demasiado complejos o pobremente integrados 1 8%

Liderazgo: CISO, eso, o equivalente 1 8%

Liderazgo: CIO o equivalente 1 6%

Nota: Los totales no suman 1 00%. Se les permitió a los entrevistados indicar múltiples factores.

Fuente: PricewaterhouseCoopers y CSO Magazine, Global State of lnformation Security 2014, USA, figura 1 3, utilizada con permiso

52 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnfonnation
�:.�, �:age(
.
Capítulo 1 -Gobierno de seguridad de la información Sección Dos: Contenido

general dich as proy ecciones son precisas a un grado no realista la evidencia contradictoria y, casi invariablemente, se rech aza.
y demasiado optimistas. A menudo a l os crí ticos se les ataca con motivos h ostiles o se
• Anclaje-La investigació n demuestra q ue una vez que pone en tela de j uicio su competencia.
se presenta un número a una persona, un cálculo posterior • Pensamiento de grupo-La presió n para llegar a un acuerdo
de un suj eto q ue no guarda ninguna relación q ue implique en culturas orientadas a fo rmar equipos.
números estará " anclado" al primer número. A un cuando
podría resultar ú til para efe ctos de mercadotecnia, Esta muestra representa solo algunas de las tendencias más
el anclaj e puede tener consecuencias graves en el comunes de las más de 140 que se h an identificado.
desarrollo de estrategias cuando resultados fu turos se anclan
a experiencias pasadas. Se h an realizado numerosos estudios sobre el tema del
• La tendencia del status quo-La may orí a de las personas alej amiento de selecciones racionales durante las décadas
muestra una fuerte tendencia a apegarse a enfoques familiares pasadas q ue sería digno de revisió n para reducir el riesgo de
,- .. y conocidos incluso cuando se h ay a comprobado q ue son tomar decisiones erróneas.
inadecuados o inefi caces. L a investigación también indica
q ue la preocupación por las pérdidas es por lo general may or
q ue l a emoción de una posible ganancia. El " efe cto de l egado"
1 .1 0 OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD
es una tendencia similar en la cual l a gente prefiere conservar DE LA INFORMACIÓN
l o q ue es suy o o lo q ue conocen, y el simple h ech o de poseer
algo lo h ace más valioso para el dueñ o. Se deben defi nir los obj etivos de desarrollar una estrategia
• Contabilidad mental-Se defin e como " la inclinación de seguridad de la info rmación y se deben desarr oll ar métricas
a categorizar y tratar al dinero de manera dife rente para determinar si se están alcanzando tales obj etivos. P or
dependiendo de dó nde viene, dó nde se mantiene y có mo lo general, los seis resultados definidos del gobierno de la
se gasta." L a contabilidad mental es común incluso en salas seguridad de la info rmación proporcionan una orientación
de j untas de corporaciones conservadoras y racionales. de al to nivel; sin embargo. Tal como se mencionó anteriormente,
Algunos ej emplos in cluy en: l os seis resultados se enlistan a continuación:
- Estar menos interesado en los gastos derivados de los cargos • A lineació n estratégica
por reestructuración que del estado de resultados. • Gestión de riesgos empresariales
- Imponer lí mites de costos a un negocio b ásico mientras • Entrega de valor
se gasta libremente en un negocio nuevo. • Optimizació n de recursos
- Crear nuevas categorí as de gastos como " inversiones • Medición del desempeñ o
de los in gresos" o " inversiones estratégicas" • Integración del aseguramiento del proceso
• El instinto gregario-Es una caracterí stica h uman a
fundamen tal conformar y buscar l a validació n de otros. Esto Será necesario q ue l a estrategia considere lo que cada una de
puede observarse por la " manía" en la seguridad (así como las áreas sel eccionadas signifi ca para la organ izació n; cómo se
todos los demás aspectos de la actividad humana) cuando, por podrían lograr y q ué constituirá el éxito.
ej emplo, de pronto alguien se involucra en el manej o de claves
o la detección de intrusos. En ocasiones, explicado en términ os
1 .1 0.1 LA META
de " una idea cuy a h ora h a llegado" , se describ e con may or
precisión como el i nstinto gregario detrás de los lí deres del L a primera, y a menudo sorprendentemente difi cil, pregun ta
pensamiento. L as implicaciones q ue tiene para el desarrollo q ue debe responder una organización q ue busca desarrollar
de la estrategia deben quedar claras. Queda demostrado de una estrategia de seguridad de la info rmació n es-¿ cuál
manera acertada cuando se dice q ue " para l os altos directivos es la meta?
lo único peor q ue cometer un enorme error estratégico
es ser la única persona en l a industria q ue lo comete." A un cuando ésta parece ser una pregunta trivial, la may orí a
• Falso consenso-Existe una tendencia bien documentada de las organizaciones no define de manera especí fica los
en la gente de sobreestimar el grado al cual los demás obj etivos de la seguri dad de la info rmació n. Esto puede
comparten sus puntos de vista, creencias y experiencias. A l deberse a que parece obvio que la meta de la seguridad
momento d e desarrollar estrategias, e l fa lso consenso puede de la información es proteger los activos de info rmación
causar que se ignoren o minimicen amen azas o debilidades de la organizació n. Sin embargo, dich a respuesta supone
import antes de los planes y q ue persistan con estrategias el conocimien to de dos factores: el primero es que los activos
destinadas al fr acaso. de in fo rmación se conocen con algún grado de precisión, lo cual
no es el caso de la may orí a de las organizaciones, y el segundo
A demás, se descubrió, mediante investigaciones, un número de es que existe un entendimiento asumido de lo que signifi ca
causas más comunes tales como l as del estudio de C. F. Camerer " proteger". Cada persona entiende el con cepto en general.
y G. L oewenstein, que in cluy e: L o que resulta much o más difi cil es estab lecer q ué activos
• T endencia a la confirmación-Buscar opiniones o hech os necesitan cuánta protección y contra q ué.
que respalden nuestras propias creencias.
• Recuerdos selectivos-Recordar solo hech os o experiencias En parte, estos problemas existen porque las organizaciones
q ue refuerzan las suposiciones actuales. en general ti enen poco conocimiento de la info rmación que
• T endencia a la asimilación-Aceptar solo h echos que exi ste den tro de la empresa. P or lo regular no se cuent a
soporten una posició n o perspecti va actual de un individuo. con un proceso para eliminar informació n o datos inú tiles,
• Evaluación subjetiva- Fácil aceptación de evidencia q ue desactualizados o potencialmente peligrosos o bi en, para tal
sustenta nuestras h ipó tesis al mismo tiempo q ue se cuestiona efe cto, aplicaciones no utilizadas. Es sumamente raro encon trar

Manual de Preparación para el Examen CISM 14º edición 53


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

un c atálogo o índice de informac ión/procesos c ompleto Cu alqu ie ra que se a el método que se u tilice, el ni vel de
que defi na lo que es importante y lo que no lo es, o incluso se nsi bili dad tambi én debe defi ni rse al mismo tiempo a fin de
qui én es el dueño de dich o proceso. En c onsecuenci a, todo establecer el ni vel de clasific ac ión que se requiere para c ontrolar
se protege bajo la premisa de que el almacenamiento es menos el acceso a la i nfo rmaci ón y limi tar su divulgación. Por lo
c ostoso que la clasific ac ión de datos, la cesión de propie dad gene ral, la may orí a de las organi zaci ones utili zará tres o cuatro
y la i de nti ficaci ón de usuarios. En el c aso de las grandes clasific aci ones de sensibi li dad, tales c omo c onfi denc ial, de uso
organi zac i ones, esto pue de equivale r a teraby tes de datos intern o, y pú blic a.
i nú tiles y li te ralme nte miles de aplicaci ones desactualizadas
y no utili zadas que se h an acumulado du rante déc adas. Para la may orí a de las organi zaci ones, la c lasific ac ión de acti vos
represe nta una tare a de e normes proporci ones pe ro que debe
L a si tu aci ón dificulta elaborar un plan raci onal de protección llevarse a c ab o para la informac ión c on la que se cuente si se
de datos, y a que posibleme nte no tenga mucho senti do gastar dese a que el gobiern o de la segu ridad se a e ficiente y relevante.
recursos en prote ge r datos o i nformación inú tiles o peligrosos, Asi mismo, es u na tare a cuy os c ostos c rece rán de mane ra
o bien aplicaciones que y a no se utilizan. En este c ontexto, los expone ncial con el paso del tiempo a menos de que se atienda.
datos peligrosos se refie ren a aquella i nformaci ón que podría Al mismo tiempo, deben desarrollarse polí tic as, estándares y
u tilizarse para perjudic ar a la organizac ión, por e jemplo, pruebas procesos para e xi gir que la clasific aci ón avance y evi tar que el
perjudiciales obte ni das en liti gi os que pudieran h aberse destruido proble ma empe ore.
c onforme a una política de retención legal y apropi ada.
En resumen, no será posible desarrollar una estrategi a
Suponie ndo que la i nfo rmación rele vante existe nte se e ncuentra rentable de segu ri dad de la info rmac ión que esté aline ada
loc alizada e identific ada, e ntonces se le de be clasificar con los requerimientos del ne goci o si antes no se:
o c at alogar c on base en su c riticidad y se nsi bili dad. Un volumen • dete rmi nan los ob je tivos de seguri dad de la información;
e norme de datos e información de una organi zaci ón tí pic a • loc alizan e i de ntifican los recursos y los acti vos de i nformaci ón;
no será ni c rí tic o ni c onfi denci al, y se ría un despe rdic io gastar • valú an los ac ti vos y recu rsos de informaci ón;
una c anti dad i mportante de recu rsos para prote ge rlos. Para • clasific an los ac tivos de i nformaci ón c on b ase e n su c ritic idad
much as organi zaci ones, ésta puede se r una tare a si gni ficati va y sensi bilidad.
y se muestran renuentes a asi gnar los recursos necesarios. • Implementa un proceso para garantizar que todos los ac ti vos
Si n emb argo, se trata de un paso cruci al en el desarrollo tengan u n propie tario de fini do
de una estrategia prác tica y ú til de se guridad de la i nformaci ón y
de un programa rentable de segu ridad. 1 .10.2 DEFINICIÓN DE OBJETIVOS
Si una estrategi a de seguri dad de la i nformac ión es la base
Así c omo se asi gnan valores a los recu rsos físi c os de u na
para un plan de acción que permita alc anzar los ob je ti vos de
organizaci ón, se de be n asi gnar valores a la informaci ón
se gu ridad, sin du da será necesario definir dich os objeti vos. Es
para priori zar los esfue rzos de protección li mi tados por
prec iso defi ni r los obje tivos a largo plazo en térmi nos de un
e l presupuesto y de te rminar los ni ve les de protecci ón que
"estado deseado" de seguri dad por vari as razones. Si no se tiene
se requiere n. En la mayoría de los c asos es di fícil re alizar
una pe rspectiva bie n estruc turada de los resultados que se dese a
valuac iones exac tas de la información. En algunos c asos,
obtener de un programa de segu ri dad, se rá i mposible desarrollar
pue de se r el c osto de gene rarla o ree mplazarla. En otros, la
una estrategi a si gnificati va.
info rmación en forma de c onoci miento o sec re tos comerc iales
es difícil o imposible de ree mplazar y podrí a ser li te ralmente Es un hecho axi omático que, si uno no sabe a dónde va, no pue de
i nvaluable. Sin du da alguna es sensato brindar una fuerte encontrar el cami no para llegar y no sabrá cu ándo h a llegado.
protecc ión a la informaci ón i nvalu able.
Si no se cuenta con una estrategia, se rá imposible desarrollar
U n e nfoque que se h a u tili zado es c re ar unos cu antos ni veles un plan de acción signific ati vo y la organi zaci ón proce de rá
aproxi mados de valor, por e je mplo, de cero a ci nc o, donde cero a implementar soluci ones de pu ntos táctic os ad hoc y no h abrá
si gnific a que no tiene valor y c inco si gnific a que es crí tic o. nada que proporci one una integrac ión total. L os sistemas
L a i nformación de valor ce ro, incluyendo aplic ac iones, podría no integrados que resultarí an de ello serían c ada vez más
asi gnarse cu ando no se pue da de te rminar quién es su dueñ o di fic iles de mane jar, y su protección será m ás c ostosa y di fícil,
y no se h a proporci onado e vi de nc ia de que se h a utilizado o incluso i mposi ble.
du rante un tiempo. L a información de valor cero puede e ntonces
archivarse du rante u n pe ri odo espec ífic o, para lo cu al se e nví an Desafortunadamente, muchas organi zaci ones no asignan los
noti fic aci one s a los dueños de ne goci o y e n c aso de que no recu rsos adecu ados para tratar este ti po de si tu aci ones sino h asta
se pre se nte alguna ob jeci ón, é sta se destruye. Por e nde, la q ue ocur re un i nci dente gr ave. La ex perienc ia ha dem ostr ado que
protección de aquella i nformac ión c onsiderada de ni vel ci nc o estos i nc identes te rmi nan siendo much o más c ostosos que si se
(c rí tic a) se rá pri oritari a. hubieran resuelto al pri nci pi o de m ane ra correcta. Un e jemplo
tí pic o es el reciente incumpli mie nto de un im port ante mi nori sta
Otro e nfoque que podría se r de mayor utili dad y much o más que resultó en el robo de 11 O millones de re gistros de tarje tas de
fácil de re alizar es u na evalu ación de la depe ndenc ia del ne gocio c rédi tos de los clientes cuya resoluci ón se estima que al fi nal le
que se u tiliz a c om o un i ndic ador de valor. Dich a e valuaci ón c ostó a la organización más de dos mil millones de dólares de
c omienza me diante la defi nici ón de los procesos c rí tic os acue rdo c on un i nforme del Ponemon Institute. L as nume rosas
de ne goc io, para despu és de te rminar la info rmac ión que se fallas en el gobiern o, gestión y prác ticas de segu ridad
u ti lizará y generará. É sta proporci onará una me dida del ni vel de descubiertas posteri ormente podrían h aber si do resueltas por un
c ritic idad de los recursos de i nfo rmaci ón que pue de utili zarse fr acción de las pé rdi das espe radas.
para orientar las ac ti vi dades de protecc ión.

54 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
Securlty Manager·
Al'IISACA"Certlllcation
Capítulo 1 -Gobierno de seguridad de la información Sección Dos: Contenido

Much os objetivos se establecen en términos de abordar el considerar todos los flu jos de info rmació n qu e son c ruc iales
riesgo. L os objetivos de la estrategia de seguridad de la para garantizar la c ontinu idad de la operac ió n. Para lograrlo,
informac ión también deben establec erse en términos de metas es nec esario tener u n buen entendimiento del negocio y
específicas para apoyar mejor las actividades de negocio. de los flu jos de informac ió n c rí tic os de los que depende.
Algunos mitigantes de riesgo casi siempre serán aplicables a la El análisis en el ejemplo anterior podría inc luir toda la
organizac ió n, por ejemplo, protecció n antivirus o contra otro informació n fragmentada que se maneja y procesa sobre esta
programa dañino (malware). Dicha protecc ió n, por lo general, no operació n de manu fa ctura. I nvestigar la h istoria del proceso
se considera un facilitador específico de negocio, sino un apoy o revelaría fallos anteriores que indican defic iencias en el
a la salud general de la organizac ió n al reducir cualquier impac to sistema. La may oría de los fa llos se deberán a errores humanos
adverso que pu diera dificu ltar las ac tividades de la organizació n. y sería posible reduc irlas ya sea mediante mejores controles
o adicionales, o proc esos au tomatizados más c onfiables.
Es probable que una revisió n de los planes de negoc io estratégicos
de la organizac ió n revele oportunidades para que las actividades Entre los errores comu nes se inc luy en los de ingreso de
de segu ridad de la informac ión apoyen más o permitan u na nueva datos, que podrían mejorarse mediante verificació n de rango
posibilidad de negoc io en particu lar al reduc ir el riesgo y las u otros procesos técnic os. Pu eden ser necesarios cambios de
interrupciones operativas. Otras fuentes de informació n para guiar proc edimientos o u n proceso de validac ió n de ingreso de datos.
los esfuerzos de segu ridad pueden incluir actividades de gestió n
de cambios, informes de auditoría y discusiones del comité El desarrollo y análisis de vinculaciones del negocio pueden develar
directivo, entre otros. Como ejemplo, la implementació n de una asu ntos de seguridad de la informació n en el nivel operacional
infraestruc tu ra de llave pú blica (PKI) puede permitir la realizac ió n que pueden mejorar visiblemente la percepció n del valor de la
de transacc iones de alto valor entre soc ios comerciales o clientes seguridad de la informac ión realizando procesos del negocios más
confiables. Utilizar redes virtuales privadas (VPN) puede darle a só lidos, al disminuir erro res y mejorar la productividad.
la fuerza de ventas u na conec tividad remota segura que le permita
u na fuerte protección para info rmac ió n sensible. En otras palabras, El mejoramiento de los vínculos del negocio puede ser uno de
los resultados positivos de un grupo directivo para la seguridad
la segu ridad de la info rmació n puede facilitar que se lleven a
de la informació n si se incluyen representantes de alto nivel
cabo ac tividades de negoc io que de otro modo serían demasiado
de las unidades de negocios y departamentos principales. Las
arriesgadas o, como sucede con mucha frecuencia, se realizan con
vincu lac iones también se pueden establecer mediante reuniones
la esperanza de que nada falle.
regulares con dueños de negocio para sostener discusiones sobre
Según una edic ió n rec iente de The Global State ofJnformation asuntos relacionados con la seguridad. Esto también puede
Security de Pric ewaterh ouseCoopers: dar origen a la oportunidad de formar a dueños del proceso de
negocio sobre posibles ventajas que la segu ridad puede ofrecer a
Desarrollar y mantener una estrategia su operación.
de seguridad de la información esfandamental
para el éxito del programa. Esta estrategia sirve
1.10.3 EL ESTADO DESEADO
como directriz para establecer el programa El término " estado deseado" se u tiliza para denotar un panorama
y adaptarlo afaturos retos. Al seguir completo de todas las condiciones relevantes en un punto
una metodología congruente para desarrollar
particular en el futuro. Para completar el panorama, debe inclu ir
principios, polí ticas y marcos de refe renc ia; procesos; estructuras
la estrategia, es más probable que se obtengan organizacionales; cultu ra, ética y comportamiento; informac ió n;
resultados de alta calidad durante el proceso y se servic ios, infraestru ctura y aplicaciones; y personas, habilidades
concluya el proyecto de manera oportuna. y competenc ias.
Interrelaciones de Negocio Defi nir u n "estado de seguridad" en términos puramente
Otras interrelaciones de negocio pueden comenzar desde la cuantitativos es imposible. En consecuencia, un " estado deseado
perspectiva de los objetivos especí fi cos de u na lí nea de negocio de segu ridad" tiene que defi nirse hasta cierto pu nto en términos
particu lar. La revisió n y análisis de todos los elementos de una cualitativos de atribu tos, características y resu ltados. De acuerdo
determinada línea de produc to pueden ilustrar este enfoqu e. con COBIT, puede inc lui r objetivos de alto nivel, entre otros:
"Proteger tanto los intereses de aquellos que dependen de la
Considere u na organizac ió n qu e produce cereal de caja. info rmación como los procesos, sistemas y comunicaciones que la
La materia prima llega a la planta por au tomotor justo a tiempo. manejan, almacenan y entregan de sufrir algú n daño que resulte en
Los granos se vacían en tolvas que alimentan a las diversas fallos en la disponibilidad, confi dencialidad e integridad de dicha
maqu inarias de procesamiento. El cereal terminado se empaca informació n." Resulta evidente que au n cuando la aseveració n
y se transporta al almac én. anterior es ú til para declarar la intenció n y el alcance, no ofrece la
claridad sufic iente para definir los procesos u objetivos.
Este proceso relativamente sencillo se basa en much os flu jos
de informació n que están su jetos a fallos en la disponibilidad, L os elementos cualitativos, tales c omo los resu ltados deseados,
confidenc ialidad o integridad. Cualquier avería o interru pció n deben defi nirse c on la may or prec isió n posible para brindar
significativa en el lado de la cadena de abastec imiento, por orientación en cuanto al desarrollo de la estrategia. P or ejemplo,
ejemplo, pedidos, segu imiento o pagos es probable que ocasione si el cumplimiento regulatorio específic o es u n resu ltado
u na interru pc ió n en la produ cc ión. P rácticamente todas las deseado, se vuelve evidente un número signifi cativo de
actividades de la planta están asociadas al procesamiento de requ erimientos t écnic os y de procesos.
datos y los flujos de info rmación. Casi todo el procesamiento
de materiales en la planta está ligado a los flujos de informació n. En caso de que las características incluyan un método pací fico
Para que la segur idad de la info rmac ió n sea efe ctiva tiene qu e para exigir el cum plimiento que sea congruente con lacultura de la

Manual de Preparación para el Examen CISM 14º edición 55


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información

o rganización, entonces el desarrollo de laestrategia presentará límites • Principio 2: Cobertura de toda la empresa-COBIT 5
en los tipos de métodos que se van a considerar paratal efe cto. inte gra el go bie rno de TI de la e mpresa den tro del go bierno de
la e mpresa:
Una serie de enfoques ú tiles se en cuentran d ispon ibles para - Cubre todas las funciones y pro cesos dentro de la e mpresa;
propo rcionar un marco general que ayude a alcanzar un "estado COBIT 5 no sólo se focaliza en la "función TI" sino que
deseado" de seguridad bien definido. Estos, y quizás o tro s, trata a la información y las tecno lo gías relacionadas como
aspecto s se deben evaluar para dete rminar cuál se integra, ajusta activo s que de ben se r tratado s como cualqu ie r otro activo po r
y fun ciona mejor para la o rganización. Puede ser ú til co mbinar cualquier pe rsona en lae mpresa.
diferente s estándare s y marcos generales para pro po rcionar una - Con sidera que todos lo s facilitado re s del go bierno y gestión
visión multidimensional del e stado de seado. Véase la figura 1.8. de TI cubrirán toda la empresa, de inicio a fin, es de cir,
Varios de los en fo ques más aceptado s se describen a con tinuación. incluyendo a todo y todos, internos y externos, que son
relevantes para el go bie rno y la ge stión de la info rmación de la
COBIT e mpresa y las TI relacionadas.
COBIT 5 propo rciona un marco de re fe rencia exhaustivo para el • Principio 3: Aplicación de un marco de referencia único
go bierno y la dirección de la TI de la empresa y trata ampliamente e integrado-Hay mucho s estándares y buenas prácticas
la seguridad de TI, el gobierno, el rie sgo y la seguridad de la relacionados con TI, cada uno de los cuale s suministra
in formación en gene ral. Debido a que muchos aspe ctos de la orientación con re specto a un subcon junto de actividades
seguridad de la in formación invo lucran la TI y actividade s de se gu ridad de la in formación y de TI. En un alto n ivel,
relacionadas, puede servir co mo marco de refe rencia para COBIT 5 se aliena con o tros e stándares y marcos de re fe ren cia
de term inar el estado deseado para la seguridad de la información relevan tes, co mo la serie ISO/IEC 27000.
efe ctiva. Un nue vo componente de esta versión e s la publicación • Principio 4: Habilitación de un enfoque holístico-Una
del COBIT 5 para Seguridad de la Información, que se basa en gestión y un go bie rno efi cien te y efi caz de TI de la empre sa
el marco de refe rencia de COBIT 5, se cen tra en la segu ridad de requie re un enfoque holístico, que tenga en cuenta varios
la información y pro po rciona una o rientación detallada y práctica co mponentes que in teractúan entre sí. COBIT 5 estable ce un
para los pro fesionales del área y otras partes interesadas. conjunto de facilitadores que se definen de mane ra gene ral
co mo cualquie r cosa que pueda ayudar a lograr lo s o bje tivos
Lo s principios ado ptado s po r COBIT 5 en la figura 1.11 son de la e mpresa. El marco de refe rencia COBIT 5 define siete
e spe cialmente útile s y aplicable s al go bierno de la segu ridad de catego rías de facilitado re s:
la información. - Principios, po líticas y marcos de re fe rencia
- Pro ce sos
Figura 1.11 -Principios de COBIT 5 - Estru cturas o rganizacionales
- Cultura, ética y comportamien to
- Información
- Servicios, infraestructura y aplicaciones
- Personas, habilidades y co mpeten cias
• Principio 5: Separación de gobierno y gestión- El marco de


refe rencia COBIT 5 hace una d istinción clara entre go bierno y
gestión.

••
• ••
- El Gobierno asegura que se evalúan las necesidades,
condiciones y opciones de las partes interesadas para
determinar que se alcanzan las metas corporativas
equilibradas y acordadas; estableciendo la dirección
a través de la priorización y la toma de decisiones; y
midiendo el rendimiento y el cumplimiento respecto a la
dirección y metas acordadas.

En la mayo ría de las e mpresas, el go bierno gene ral e s


respon sabilidad del con se jo de d irección bajo el lideraz go del
presidente. A lgunas responsabilidade s específi cas de go bie rno
pueden se r dele gadas a e stru cturas o rgan izacionales e spe ciale s
a un nivel apro piado, particularmen te en e mpresas más
grande s y co mplejas.
Fuente: ISACA, COBIT 5, EE.UU., 201 2, figura 2.
- La gestión planifica, construye, ejecuta y controla actividades
COBIT 5 se basa en 5 principio s clave s que se muestran en la alineadas con la dirección establecida por el cuerpo de
figura 1.11 para el go bierno y la gestión de TI de la empre sa y gobierno para alcanzar las metas empresariales.
activos de la in formación : En la mayoría de las em presas, la gestión es la responsabilidad de la
• Principio 1 : Satisfacción de las necesidades de las partes dire cción ejecutiva bajo el lide razgo del CEO.
interesadas- Las e mpresas existen para crear valor para
sus grupos de in terés, man ten iendo un e qu ilibrio en tre la Estos cin co principios inco rporados en COBIT 5 están diseñados
realización de benefi cios, la o pt imización del riesgo y e l uso para pe rmitir que la empresa construya un marco de go bierno
de los re cu rso s. y ge stión efe ctivos que o ptimiza la in versión en, y el uso de, la
info rmación y te cnolo gía para el benefi cio de las partes in teresadas.

56 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Cerlifilld lnformation
Securijy Manager·
An lSACA'Certlflcatlon
Capítulo 1 - Gobierno de seguridad de la información Sección Dos: Contenido

Modelo de evaluación de procesos de COBIT 5 Modelo de la Capacidad de Madurez


COBIT 5 ha reemplazado el modelo de la capacidad de madurez El estado deseado de seguridad también puede definirse como
(CMM) por el modelo de evaluación de procesos (PAM), alcanzar un nivel específico en el Modelo de la Capacidad
proporcionando mayor granularidad para evaluar el estado actual y de Madurez (CMM), tal como se muestra en la Figura 1.13.
definir un futuro estado deseado para la seguridad de la información. Consiste en calificar cada área definida de seguridad sobre
una escala de O a 5 con base en la madurez de los procesos.
El PAM definido en el Modelo de Evaluación de Procesos de
COB!T (PAM) : Utilizar COBIT 5 cumple con los requerimientos
Los niveles de madurez se describen como:
O: Inexistente- No hay reconocimiento de la organización
de ISO/IEC 15504-2 para un PAM y puede utilizarse como la base de necesidad de seguridad
para llevar a cabo una evaluación de la capacidad de cada proceso 1 : Ad hoc (provisional)-EI riesgo se considera de modo
COBIT 5, resultando en un nivel O a 5 de "madurez" similar a los ad hoc-no hay procesos formales
niveles del CMM. 2: Repetible pero intuitivo--entendimiento emergente del riesgo
y la necesidad de la seguridad.
La dimensión del proceso utiliza COBIT 5 como el modelo de 3: P roceso definido política- de gestión de riesgos/conciencia
referencia de procesos. COBIT 5 proporciona definiciones de los sobre la seguridad en toda la empresa.
procesos en un ciclo de vida (el modelo de referencia de procesos), 4: Administrado pero cuantificable
junto con una arquitectura que describe las relaciones entre 5: Optimizado-procesos implementados, monitoreados
los procesos. y administrados en toda la organización.
El modelo de referencia de procesos de COBIT 5 está constituido Cuadro de Mando (Balanced Scorecard)
por 37 procesos que describen un ciclo de vida para el gobierno y la
Según el Balanced Scorecard Institute:
gestión de TI de la empresa, como se muestra en la figura 1.12.
El Cuadro de mando (balanced scor ecard)
Figura 1.1 2-Visión general del modelo de evaluación de procesos
es un sistema de gestión (no sólo un sistema
Modelo de evaluación de procesos
de medición) que permite a las organizaciones
e
Nivel 5 Optimización del proceso (2 atributos)
aclarar su visión y estrategia y llevarlas
�- Nivel 4 Proceso predecible (2 atributos) a cabo. Ofrece retroalim entación tanto sobre
los procesos internos de negocio y los resultados
:,
e: Proceso establecido (2 atributos)
externos para continuar mejorando
Nivel 3 Según 1S0/IEC 15504-2
:,
g-
el desempeño estratégico y los resultados.
Nivel 2 Proceso gestionado (2 atnbutos)
i:l
Cuando se utiliza en su totalidad, el Cuadro
Nivel l Proceso realizado (1 atributo)
Nivel o Proceso incompleto
de mando (balanced scor ecard) transforma los
planes estratégicos de un ejercicio académico en
EDM
Evaluar, dirigir Dimensión del proceso el centro neurálgico de una empr esa.
y monitorear
APO
Alinear, planear y organizar
BAI
El cuadro de mando integral (balanced scorecard), como se
Construir, adquilir e implementar muestra en la figura 1 .14, utiliza cuatro perspectivas, desarrolla
DSS
Entrega, servicio y soporte
métricas, recopila datos y los analiza con relación a cada una de
Procesos de COBIT 5 las siguientes perspectivas:
�:torear, evaluar y valorar
• Aprendizaje y crecimiento
• P roceso de negocio
Fuente: ISACA, Modelo de evaluación de procesos (PAM) de COB/T: Uso de COBIT 5,
EE.UU., 2013, figura 2
• Cliente
• Finanzas

Figura 1 .1 3-Modelo de la Capacidad de Madurez

Inicial/ Repetible Proceso Gestionado


No existente Ad Hoc pero intuitivo definido y medible Optimizado

2 4 5
1 1 1 1

LEYENDAS PARA LOS SÍMBOLOS UTILIZADOS LEYENDA PARA LAS CATEGORIAS UTILIZADAS
Estado actual de la empresa O-Los procesos de gestión no se aplican en absoluto.
1-Los procesos son ad hoc y están desorganizados.
• Promedio de la Industria 2-Los procesos siguen un patrón regular.
Objetivo de la empresa 3-Los procesos se documentan y comunican.
4-Los procesos se monilDrean y se miden.
5-Se siguen y se automatizan las buenas prácticas.

Fuente: ISACA, lnformation Security Governance: Guidance tor lntormation Security Managers, 2008. Todos los derechos reservados. Usado con autorización.

Manual de Preparación para el Examen CISM 14º edición 57


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

Figura 1 .14-Guadro de Mando (Balanced Scorecard) la norma. Es el estándar en que una organización puede elegir
para ser certificada y evaluada (que es cada vez más el caso a
nivel mundial), mientras que ISO/IEC 27002:20 13 es el Código
Finanzas
"Para alcanzar de P ráctica para la gestión de seguridad de la información que
nuestra visión,
6cómo debemos respalda la implementación para cumplir con el estándar.
aparecer ante
nuestros
dientes?"
Las 14 divisiones principales de ISO/IEC 2700 1 : 20 1 3 son:
Cliente Procesos internos • A.5: P olíticas de seguridad de la información
Visión de negocio
"Para satisfacerla •
§? gJ •
• • A.6: Organización de seguridad de la información
�� i�:/� 1 �1
"Para tener éxito §? .llE
en las finanzas,
<,Cómo debemos
y 1 • A.7: Seguridad de los recursos humanos (controles que son
aparecer ante Estrategia procesos de
�� ;
aplicados antes, durante o después de la implementación)
nuestros negocios debemos
accionistas?" distinguimosr
• A.8: Gestión de activos


prendizaje y • A.9: Control de acceso.

:?�-UH
Crecimiento
• A. 10: Criptografia
nuestra capacrlad
• A. 1 1 : Seguridad física y ambiental
y rarrfu?"
• A. 12: Seguridad de las operaciones
• A. 1 3 : Seguridad de las comunicaciones
Fuente: Reimpreso con permiso del Balanced Scorecard lnstitute y Pavel • A. 14: Adquisición, desarrollo y mantenimiento del sistema
Arveson. • A. 15: Relaciones con proveedores
• A. 16: Gestión de incidentes relacionados con la seguridad de
Enfoques Sobre la Arquitectura la información
La Arquitectura de Seguridad de la Información en la Empresa • A. 1 7 : Aspectos de seguridad de la información de la gestión
(EISA) es un subconjunto de la arquitectura de la empresa. Una de la continuidad del negocio
infraestructura se puede describir como una estructura fundacional, • A. 1 8 : Cumplimiento (con requerimientos internos, como las
o conjunto de estructuras, que se puede utilizar para desarrollar una políticas, con requerimientos externos, como las leyes)
gran variedad de arquitecturas, incluida la arquitectura del proceso
de negocio, que algunas veces se menciona como arquitectura Los controles nuevos y actualizados reflejan los cambios en la
contextual, así como las arquitecturas conceptuales, lógicas, físicas, tecnología que afectan a muchas organizaciones, por ejemplo, la nube.
funcionales y operacionales más tradicionales.
Mientras que el Anexo A de la ISO/IEC 2700 1:20 13 se refiere
Existen numerosas tecnologías que han evolucionado, incluidos a los 1 14 "controles", en realidad, son sólo secciones en la ISO/
los modelos de procesos, marcos y enfoques ad hoc (Provisional) IEC 27002:20 1 3, muchas de las cuales proponen múltiples
que favorecen algunas consultorías. Esta evolución ocurrió al controles de seguridad. ISO/IEC 27002:20 13 sugiere literalmente
ser evidente que una perspectiva de arquitectura limitada a la TI cientos de medidas de buenas prácticas de control de seguridad
era inadecuada para abordar el diseño del negocio y el desarrollo de la información que las organizaciones deben considerar para
de los requerimientos de seguridad. En la actualidad, numerosos cumplir con los objetivos de control establecidos.
enfoques de arquitectura proporcionan los enlaces y el diseño Al igual que ISO/IEC 2700 1 :20 13, ISO/IEC 27002:20 1 3 no
del aspecto comercial de la protección de la información. Los exige controles específicos pero deja que los usuarios seleccionen
enfoques de arquitectura con procesos de negocio que pudieran e implementen los controles que más se adapten a ellos,
ser apropiados para definir el "estado deseado" de seguridad utilizando un proceso de evaluación de riesgos para identificar
incluyen (pero no se limitan necesariamente a) modelos de los controles más apropiados para sus requerimientos específicos.
marcos tales como: COBIT 5, Marco de Arquitectura de Open También son libres para seleccionar los controles que no están
Group (TOGAF), el Marco de Arquitectura Empresarial Zachman enumerados en el estándar, siempre y cuando sus objetivos de
y el Marco de Arquitectura Empresarial Extendida (EA2F). Estos control sean cumplidos. El estándar ISO/IEC es tratado como una
modelos pueden servir para definir la mayoría o la totalidad lista de verificación de controles genéricos, un "menú" del que
del "estado deseado" de la seguridad, siempre que se utilicen las organizaciones seleccionan su propio conjunto.
Otros Enfoques
apropiadamente para reflejar e implementar la estrategia de
seguridad de la organización. Consulte la sección 1. 13.2.
Existen otros enfoques y métodos que pueden ser útiles, tales
La arquitectura debe describir un método para diseñar un objetivo como otros estándares ISO sobre la calidad (ISO 900 1 :2000),
o estado deseado de la empresa en términos de un conjunto de el método Six Sigma para la calidad y la gerencia del negocio,
componentes básicos y para mostrar cómo estos componentes se las publicaciones de NIST y ISF y la Ley Federal de los EUA
integran. La arquitectura objetivo se conoce como la arquitectura para la Gestión de la Seguridad de la Información (FISMA).
de referencia y sirve para establecer los objetivos más lejanos en Algunas de éstos se enfocan más en procesos gerenciales y
el tiempo para el diseño técnico, de sistemas y procesos. manejo de calidad que en objetivos de seguridad estratégicos.
Sin embargo, un argumento válido podría ser que, si el objetivo
Serie ISO/IEC 27000 de una estrategia de seguridad era implementar totalmente
A fin de garantizar que todos los elementos relevantes de seguridad componentes relevantes de ISO/IEC 2700 1:20 1 3 y 27002:20 1 3 ,
estén cubiertos en una estrategia de seguridad organizacional, e s probable que s e cumpla con la mayoría d e o , con todos,
las 14 áreas que se identifican en la norma ISO/IEC 27001 :20 13 los requerimientos de seguridad. Es probable que ése sea un
pueden brindar un marco útil para alcanzar un buen entendimiento. enfoque innecesariamente costoso, y los estándares sugieran que
Se deben crear estándares y políticas organizacionales que se deben adaptar con cuidado a los requerimientos específicos
permitan monitorear directamente cada uno de los elementos de de la organización que los está adoptando. Sin duda surgirán

58 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
- e. Certified lnformatioo
Security Manager·
An lSACA' Certlllcatian
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

o tras metodo logías en el fu turo q ue sean más eficaces que se mitiga un riesgo es casi un h ech o q ue se inc remente al menos
las q ue se menc ionaron con anterioridad. Aq uellas que se uno de los demás riesgos en consecuenc ia.
mencio naron no p retenden ser exhaustivas sino so n tan só lo
alguno s de lo s enfoques de mayo r acep tació n para llegar a El riesgo siemp re co nlleva un co sto, ya sea q ue se co ntro le o no.
objetivos de seguridad de la info rmac ió n bien definidos. El costo del riesgo se puede exp resar co mo una Exp ec tativa de
p érdidas anuales (ALE), por ejemplo, la cantidad de p érdidas
Puede ser de utilidad emp lear una co mbinació n de méto do s po tenc iales multip licada po r la p ro babilidad de oc urrenc ia
para desc ribir el " estado deseado" a fin de co ntribuir a la mo strando el nivel óp timo de control. La figura 1 .15 ilustra el
co municac ió n co n o tro s y como una fo rma de contraverificar equilibrio entre el co sto de lo s co ntro les comparado con el co sto
lo s objeti vo s para garanti zar que se han incluido to do s lo s de p érdidas, que muestra el nivel óptimo de co ntro l.
elemento s p ertinentes. Po r ejemp lo, una co mbinac ió n de
o bjetivo s de co ntro l COBIT, CMM, c uadro de mando integral La acep tació n del riesgo se puede c uantificar utilizando el
(balanc ed sco recard) y un ap rop iado mo delo arq uitec tó nico enfoq ue de continuidad del negocio de desarro llar o bjeti vos de
sería una co mbinac ió n altamente efec tiva. Aun c uando parec iera tiempo de recup eració n (RTOs). Utilizar un enfoque resumido
una exageració n, cada enfoque presenta un p unto de vista para determinar RTOs p udiera p ropo rc io nar info rmac ió n
diferente q ue en conjunto p ro bablemente garantic e que no se ha adecuada para el desarro llo de estrategias. Esto p uede ser una
omitido ningú n asp ec to impo rtante. Puesto q ue es imp ro bable determinación info rmal po r parte de los dueño s del p roc eso
que una estrategia erró nea dé como resultado un p ro grama de negocio so bre la cantidad de tiempo que lo s sistemas
efec tivo de seguridad, éste sería un enfoq ue p rudente. c rí ticos pueden permanec er inoperantes sin que esto tenga
co nsecuenc ias graves para el negoc io. Ello , a su vez, sentará
1 .10.4 OBJETIVOS DE RIESGO la base para ap ro ximar los costo s de lo grar la rec uperac ió n.
Si se co nsidera muy alta, la iteració n del p roceso llegará a un
Una de las p rinc ipales aportac io nes para definir el estado mo mento de rec uperac ió n ac ep table a un co sto acep table. Esto

- deseado será el enfoque que tenga la o rganizac ió n ante el


riesgo y su ap etito de riesgo, es dec ir, lo que la gerenc ia
co nsidera riesgo acep table. É ste es o tro paso c ruc ial, ya que un
se p uede co nsiderar como el riesgo aceptable.
El riesgo acep table también puede ser ap roximado al examinar
riesgo ac ep table defi nido determinará lo s o bjetivo s de control la cantidad de seguro s co ntra interrupc ión de negocio s que
u o tras medidas de mitigac ión del riesgo utilizadas. A su vez, co nlleva la o rganizac ión, la cantidad de deducibles y su costo;
lo s o bjetivo s de co ntro l serán dec isivos para determinar el tipo, es decir, p rimas anuales. Po r ejemp lo, si la o rganizac ió n tiene
la naturaleza y el alcanc e de lo s controles y co ntramedidas un seguro de $ 1 milló n con un deduc ible de $ 1 O 000 a un co sto
que utilizará la o rganizac ió n para admi nistrar el riesgo. anual de $50 000, el argumento po dría ser q ue es razo nable
La Figura 1.15 muestra la relac ió n que existe entre el riesgo, gastar hasta $50 000 en ac tividades de co ntro l para reduc ir un
las medidas de co ntrol y el co sto de los co ntroles. riesgo de $1 millón a un nivel de riesgo ac ep table de $1O 000,
es dec ir, el riesgo residual.
Figura 1 .1 5 Optimización de los costos de los riesgos Desarrollar lo s objetivos de estrategia co rrectos po r lo general
req uiere de un enfoque iterativo basado en un análisis de costos
Costo para alcanzar el estado deseado y lo s niveles de riesgo aceptables.
Total de
costos de Es p ro bable q ue reducir el nivel de riesgo acep table sea más
Óptimo riesgos
relacionados co stoso. No o bstante, el enfoque para alcanzar el estado deseado
afectará también los co stos de manera significativa.

Por ejemplo, el riesgo p uede existir a causa de determinadas


p rácticas que no son nec esarias o ú tiles para la o rganizació n, o
q ue so n, de hecho, perjudic iales para su operación. Esto p uede
incluir p rác ticas que po drían co nsiderarse discri minatorias o
Costo contrarias a la ley, y p resenta el riesgo de una demanda. Prác ticas
de controles
que, c uando se evalúan, pueden haberse derivado de ac titudes o
méto do s obsoletos que p ueden cambiarse de un mo do eficiente a
un bajo costo, lo cual resultará en la eliminació n o mitigac ión del
Nivel de control riesgo. En otros casos, p uede ser posible volver a c rear algunos
p rocesos o p ropo rcionar mejo res arquitec turas para reduc ir el
riesgo inherente. En o tras palabras, el enfoq ue para tratar el riesgo
Si no se tiene una determinac ió n razo nablemente c lara específico tiene un impacto significativo en los co sto s.
del riesgo ac ep table, resulta difícil establecer si la seguridad Es p rec iso q ue el gerente de seguridad de la informació n sepa
de la info rmac ió n está alcanzando sus o bjetivo s y si se ha q ue lo s controles técnico s (po r ejemp lo, cortafuego s (firewalls),
utilizado el nivel ap rop iado de recurso s. sistemas de detecc ión de intrusos (IDS), etc.) son tan só lo
una dimensión q ue debe considerarse. Lo s controles físicos,
Se debe tener en mente q ue el riesgo es un tema co mplejo de p rocesos y p rocedimientos pueden ser más efectivo s y
y a menudo difíc il de determinar con p rec isió n. menos costosos. En la mayoría de las o rgani zac iones, el ri esgo
de p roceso representa el peligro más grande y los co ntro les
La gestión del riesgo operativo es siemp re un intercambio; si técnico s probablemente no compensan adecuadamente la gestión
existe un ri esgo que esté relac io nado co n to mar una determinada defic iente o los p rocesos defectuo so s.
acc ió n, existe también el riesgo de no llevarla a cabo. Además, Una vez que se hayan definido c laramente lo s objetivos, se
el riesgo individual interac túa de maneras muy co mplejas y si tendrán varias maneras de desarrollar soluc io nes que variarán

Manual de Preparación para el Examen CISM 14º edición 59


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido
e. Certified lnform8Ü!"'
Security Manager
AnlSACA"Cerfülcatlon

mucho en costo y complejidad. Independientemente del proceso


que se utilice, el objetivo es definir, en términos significativos y
1 .12 DESARROLLO DE LA ESTRATEGIA DE
concretos, el estado de seguridad general esperado en el futuro. SEGURIDAD DE LA INFORMACIÓN
Con la información tratada en la sección anterior, se puede
1 .11 DETERMINACIÓN DEL ESTADO ACTUAL DE desarrollar una estrategia de seguridad significativa- una
LA SEGURIDAD estrategia para ir del estado actual al estado deseado. Saber
dónde nos encontramos y hacia dónde nos dirigímos proporciona
Es preciso determinar el estado actual de la seguridad de un punto de partida esencial para el desarrollo de la estrategia;
la información utilizando las mismas metodologías o la facilita el marco para crear un plan de acción. El plan de acción
combinación de éstas que se aplicó para definir los objetivos de corresponde esencialmente a los pasos que se deben dar para
la estrategia o el estado deseado. En otras palabras, cualquiera implementar la estrategia.
que sea la combinación de metodologías, tales como COBIT,
CMM o el Cuadro de mando (balanced scorecard), que se utilice Un conjunto de objetivos de seguridad de la información junto
para definir el estado deseado, deberá emplearse también para con procesos, métodos, herramientas y técnicas disponibles
determinar el estado actual. Esto proporcionará una comparación proporcionan los medios para elaborar una estrategia de seguridad.
equitativa entre los dos, lo que establecerá una base para realizar Una buena estrategia de seguridad debe tratar y mitigar el riesgo
un análisis de brechas, que determinará lo que se necesita para y al mismo tiempo cumplir con los requerimientos legales,
alcanzar los objetivos. contractuales y regulatorios del negocio, así como brindar un
apoyo comprobable a los objetivos de la organización y maximizar
Utilizar la misma metodología con regularidad también el valor para aquellos que tengan algún interés en la organización.
proporcionará las métricas sobre el avance en el cumplímiento de La estrategia de seguridad también necesita considerar de qué
los objetivos, así como un nivel mínimo de seguridad. manera la organización va a incluir prácticas sanas de seguridad
en cada uno de los procesos y áreas de negocio.
1 .1 1 .1 RIESGO ACTUAL A menudo, aquellos responsables de desarrollar una estrategia
El estado de riesgo actual se debe determinar mediante una de seguridad piensan en términos de controles como los medios
evaluación integral de riesgos. Así como deben establecerse para implementar la seguridad. Los controles, aun cuando
los objetivos de riesgo como parte del estado deseado, así debe son importantes, no son el único elemento con el que cuenta
determinarse el estado actual del riesgo para establecer la base un estratega. En algunos casos, por ejemplo, llevar a cabo la
para realizar un análisis de brechas del riesgo que existen y hasta reingeniería de un proceso puede reducir o eliminar un riesgo
qué grado debe incluirse el riesgo en la estrategia. Una evaluación sin que sean necesarios los controles. O bien, es posible mitigar
completa de riesgos incluye análisis de amenazas y vulnerabilidades el posible impacto si se modifica la arquitectura en vez de los
que de manera individual proporcionen información útil para controles. Se debe de considerar que, en ocasiones, mitigar el
desarrollar una estrategia P uesto que el riesgo puede tratarse de riesgo puede reducir las oportunidades de negocio a un extremo
distintas formas, por ejemplo, modificando la conducta riesgosa, contraproducente.
desarrollando contramedidas para las amenazas, reduciendo las En última instancia, la meta de la seguridad es el aseguramiento
vulnerabilidades o desarrollando controles, esta información dará del proceso de negocio, independientemente del negocio del
el fundamento para determinar la estrategia más rentable para tratar que se trate. Esto, a su vez, sirve para proteger el valor y la
el riesgo y elaborar presupuestos de corrección. Las evaluaciones creación del valor. Aun cuando el negocio de una dependencia
periódicas adicionales servirán para proporcionar las mediciones gubernamental no resulte de manera directa en ganancias,
necesarias para determinar el progreso. Existen numerosos enfoques continúa estando en el negocio de brindar servicios rentables a
para evaluar el riesgo. Algunos de los métodos más comúnmente sus ciudadanos y tiene que seguir protegiendo los activos que
utilizado incluyen COBIT 5 (publicación COBIT 5 para riesgos), se le han dado en custodia. Cualquiera que sea el negocio del
NIST SP 800-30, ISO/IEC 27005, y OCTAVE (Operationally que se trate, su meta operativa primaria es maximizar el éxito
Critica! Threat, Asset, and Vulnerability Evaluation). de los procesos de negocio y minimizar los impedimentos para
ejecutar esos procesos.
Evaluación/Análisis de Impacto al Negocio
La evaluación del estado actual también debe incluir un 1 .12.1 ELEMENTOS DE UNA ESTRATEGIA
evaluación de impacto al negocio (BIA) exhaustivo para ayudar a ¿Qué debe incluir una estrategia de seguridad? Ya se han
terminar de conformar la imagen del estado actual. Debido a que definido el punto de partida y el destino. Lo siguiente que hay
el objetivo final de la seguridad es aumentar el valor de las partes que considerar es qué recursos están disponibles y cuáles son las
interesadas brindando el aseguramiento del proceso de negocio limitaciones que deben considerarse cuando se desarrolle una
y minimizando el ímpacto que puedan ocasionar los incidentes directriz. Los recursos son los mecanismos que se utilizarán para
adversos, un análisis de impacto arrojará parte de la información alcanzar varias partes de la estrategia que presentan limitaciones.
que se requiere para desarrollar una estrategia efectiva. La
estrategia debe resolver la diferencia entre niveles aceptables de Plan de Acción
impacto y el nivel actual de posibles impactos.
El plan de acción típico para alcanzar un estado deseado seguro
y definido incluye personas, procesos, tecnologías, entre otros
recursos. Sirve para delinear las rutas y los pasos necesarios
para "navegar" hacia los objetivos de la estrategia.
Es probable que la interacción y la relación entre los diferentes
elementos de una estrategia sean complejos. En consecuencia,

60 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
Security Manager" Capítulo 1 - Gobierno de seguridad de la información Sección Dos: Contenido

-
AntSACA"Certlflcation

será prudente consi derar las etapas i ni ciales para desarrollar una • Los principios, las políticas y los marcos de referencia
arqui tectura de seguri dad tales como las di scuti das en la sección son el vehículo para traduci r el comportami ento deseado en
1.14.2. Las arqui tecturas pueden ofrecer un enfo que estructurado ori entación prácti ca para la gestión diaria.
para defi ni r los i mpulsores de negoci o, las relaci ones de recursos • Los procesos descri ben un conjunto organi zado de prácti cas y
y los fl ujos de procesos. Una arqui tectura tambi én puede ay udar acti vi dades para lograr ci ertos objeti vos y produci r un con junto
a asegurar que los elementos contextuales y conceptuales, como de resultados respaldando ellogro de las metas generales.
los i mpulsores de negoci o y las consecuencias, se i ncluyan en la • Las estructuras organizacionales son las enti dades claves de
etapa de desarrollo de la estrategia. toma de deci si ones en una empresa.
• La cultura, la ética y el comportamiento de i ndi vi duos y de
Alcanzar el estado deseado será una meta a largo plazo de la empresa son, muy a menudo, subesti mados como un fa ctor
una seri e de proy ectos e i ni ciati vas. Tal como sucede con la de éxi to en las acti vi dades de gestión y gobi ern o.
may oría de los proy ectos grandes y complejos, será necesari o
• La información es generali zada en cualqui er organi zació n
desglosarlos en vari os proy ectos a corto plazo que puedan
e i ncluye toda la i nformación produci da y utili zada porla
lograrse en un ti empo razonable, dadaslas i nevi tables
li mi taci ones de recursos y a los ci clos presupuestari os. Toda la empresa. Se requi ere la i nformación para mantener a la
di rectri z puede y debe trazarse, teni endo en consi deración que organi zación en funci onami ento y bi en gobernada, pero a
no exi ste un estado fi jo para la seguri dad de la i nformación y ni vel operati vo, la información es muy a menudo el producto
al paso del ti empo será necesari o modi fi car algunos objeti vos. clave de la mi sma empresa.
Algunos objeti vos, tales como alcanzar un determi nado ni vel • Los servicios, la infraestructura y las aplicaciones i ncluyen
de madurez, reali zar la rei ngeni ería de procesos de alto ri esgo o la i nfraestructura, la tecnología y las apli caci ones que bri ndan
lograr objeti vos de control especí fi cos, tal vez no requi eran de a la empresa servici os y procesami entos de tecnología de
ninguna modi fi cación. la i nformación.
• Las personas, h ab ilidades y competencias están vi nculadas
Los proyectos a menor plazo que ali neados conlos obje ti vos a a las personas y son requeri das parala fi nali zación exi tosa
largo plazo pueden ayudar a propo rci onar controles y oportuni dades de todas las acti vi dades y para tomar deci si ones correctas y
para hacer correcci ones ala mi tad del cami no. Tambi én bri ndarán apli car medi das correcti vas.
métri cas para vali dar la estrategia en su conjunto.
Los facili tadores pueden funci onar como recursos y como
Por ejemplo, un objeti vo alargo plazo definido enla estrategia li mi taci ones, y deben ser consi derados desde ambas perspecti vas.
puede serla clasi ficación de datos con base enla confi denciali dad
y cri ti ci dad. Dadala magni tud del esfuerzo que se necesi ta en una
gran organi zación, es probable que se requieran vari os años para Figura 1 .1 6-Habilitadores de la empresa de COBIT 5
su realización. La estrategia puede i nclui r el requeri mi ento para
determinar que el objeti vo que deberá completarse cada año fiscal
será el 25 por ciento de los datos utilizando vari os enfoques tácti cos.
U n segundo componen te de la estrategia podría ser elaborar políti cas
y estándares que excluyanlas prácti cas que danlugar al problema,
pa ra que no se agrave mientras se ejecuta el proceso de corrección.
Más adelante se presenta un ejemplo de un plan de acción a corto
plazo para cumpli r con este objeti vo enla secció n 1.19.

El desarrollo de una estrategia para alcanzar objeti vos a larg o


plazo y la directri z para llegar hasta ellos, junto con metas
i ntermedias a menor plazo, establecerá la base para elaborar
políti cas y estándares sóli dos en apoy o a este esfuerzo.

1 .12.2 RECURSOS Y LIMITACIONES DE LA ESTRATEGIA:


VISIÓN GENERAL Fuente: ISACA, COBIT 5, EE.UU., 201 2, figura 1 2
Las si guien tes subsecci ones descri benlos recursos tí pi cos de
implementación de una estrategia de se guri dad de la i nformación y Recursos
algunas de lasli mi taci one s que se deben consi derar. Los recursos con los que cuentala organi zación deberán
ser cuantificados y consi derados cuando se desarrolle una estrategia
COBIT 5 defi ne a los facili tadores como factores que, de manera de seguridad. En la medi da en que sea posible, la estrategia debería
i ndi vi dual y colecti va, i nfl uy en si algo funci onará--en este caso, utili zarlos recursos disponi bles a fin de aprovechar al máximo el
el gobiern o y la gestión de seguri dad de la i nformació n y de TI uso de los acti vos y las capaci dades existentes.
de la empresa. Los facili tadores son i mpulsados por la cascada
de metas; es deci r, las me tas de más alto ni vel defi nen lo que los Estos recursos pueden consi derarse los mecani smos que están
diferentes facili tadores deben alcanzar. disponi bles, en una combi nación ópti ma, para alcanzar el
estado deseado de seguri dad al paso del ti empo. Por lo general,
El marco de referencia COBI T 5 descri be si ete categorías de los si gui entes:
facili tadores (figura 1.16): • Polí ti cas
• Estándares

Manual de Preparación para el Examen CISM 14 º edición 61


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

• Procedimientos 1 .13.1 POLÍTICAS Y ESTÁNDARES


• Directrices E xiste una amplia gama de interpretaciones para las políticas,
• Arqu itectura(s) estándares, procedimientos y directrices. Las definiciones
• Controles físicos, técnicos y de procedimientos utili zadas en este documento coinciden con los principales
• Contramedidas órganos normativos y deben adoptarse para evi tar problemas
• Defe nsas en capas de comunicación. Tanto las políticas como los estándares se
• Tecnologías consideran h erramientas de gobierno y gestión, respectivamente,
• Segu ridad del personal mientras que los procedimientos y dir ectr ices son del ámbito de
• E stru ctura organizacional las operaciones. Para mayor claridad, los cuatro se defi nen en
• Roles y responsabilidades las siguientes secciones.
• Habilidades
• Capacitación
• Concienciación y formación
Políticas
Las polí ticas son las declaraciones de alto nivel de la intención
• Auditorías
las expectativas y la dirección de la gerencia. Las políticas de
• E xigencia de cumplimiento
alto nivel bien desarrolladas en una organización madura pueden
• E valuación de amenazas
permanecer bastante estáticas por períodos extendidos.
• Análisis de vulnerabilidades
• E valuación de riesgos
Un ej emplo de una declaración de política efectiva de alto
• Análisis de impacto al negocio
• Análisis de la dependencia de recu rsos nivel sobre el contr ol de acceso puede ser: L os recursos de
información deberán controlarse de un modo que restrinjan
• Proveedores de servicios externos
• Otros proveedores de soporte y aseguramiento organizacional efectivamente el acceso no au torizado.
Las polí ticas pueden considerarse como la " constitución" del
• I nstalaciones
• Segu ridad en el entorno gobierno de la segu ridad y deben estar claramente alineadas con
los obj etivos estratégicos de la seguridad de la organización.
Limitaciones
También existen varias limitaciones que deberán considerarse
cuand� se desarrolle una estrategia de seguridad y el plan Estándares
de acci ón posterior. A continuación se enlistan las limitaciones Las normas en este contexto son las mediciones, los límites
más comunes: permisibles o los procesos u sados para determinar si los
• Legal- leyes y requ erimientos normativos procedimientos, procesos o sistemas cumplen con los
• J:ísicas-limitaciones en la capacidad, espacio y ambiente requerimient os de la política. Las métricas en el sentido de que
• E tica- apropiadas, razonables y habituales un procedimiento cumple o no con el estándar. Se establecen
• Cultura- tanto dentro como fuera de la organización fr onteras en términos de limites aceptables en procesos,
• Costos- tiempo, dinero personas y tecnologías.
• Personal- resistencia al cambio y resentimiento contra
Un estándar para contraseñas (passw ords) u tilizada para efectos de
nuevas limitaciones control de acceso sería: Las contraseñas (passwords) para dominios
• Estructura organizacional- có mo se toman las decisiones
de seguri dad media y baja deberán contener un mínimo de ocho
y quién lo hace, protección territorial caracteres que constarán de una combinación de letras minúsculas
• Recursos---d e capi tal, tecnológicos y humanos
y mayúsculas, al menos un número y un signo de puntuación.
• Capacidades----c onocimiento, capacitación, habi lidades
y conocimientos especializados La norma para el control de acceso de empleados en las
• Tiempo- ventana de oportunidad y cumplimiento forzoso instalaciones puede inclu ir requerimientos de composición de
• Apetito de riesgo-amenazas, vulnerabilidades e impactos contraseñas (passw ords), longitud mí nima y máxima de éstas,
frecuencia de cambios de contraseñas (passwords) y reglas para
Algunas de las limitaciones, tales como la ética y la cultura, volver a u tilizarlas. Por lo general, u na norma debe establecer
pueden tratarse para el desarrollo del estado deseado. Otras parámetros sufi cientes para determinar sin ambigüedad que
surgirán como consecuencia de desarrollar el plan de acción un procedimiento o práctica cumple con los requ erimientos
y la directriz. de la política en cuestión. L os estándares se deben redactar
cuidadosamente, de manera que especifi quen sólo los límites
1 .1 3 RECURSOS D E LA ESTRATEGIA nece�a� ios para garantizar la segu ridad y, al mismo tiempo,
max1 m1 zar las opciones de procedimiento.
E xiste un gran número de recu rsos que están disponibles para
desarrollar una estrategia de seguridad de la información; sin L os estándares deben cambiar a medida que cambian los
embargo, variarán dependiendo de cada organización. E l gerente requ erimientos y las tecnologías. E n general, existen múltiples
de seguridad de la información debe estar al tanto de los recur sos estándares para cada polí tica, dep endiendo del domi nio de
que están disponibles y ser consciente de que podrían existi r seguridad o del nivel de clasifi cación. Por ejemplo, el estándar
otras razones tanto culturales como de otro tipo por las cuales de de contraseña (password) sería más restrictivo cuando se
determi�adas opciones quedarán descartadas, por ej emplo, la acceda a dominios de alta seguridad.
renu encia mostrada por la gerencia a cambiar o modifi car las
Procedimientos
poli ti�as. E sta sección abarca algunos de los conceptos más
esenciales de la seguridad de la información y constit uy e unos � os procedimientos son responsabilidad de operaciones,
m cluyendo operaciones de seguridad, pero se incluyen en este
conocim ientos esenciales para los candidatos a CISM.
manual para brindar may or claridad. L os procedimientos deben

62 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
Security Manager"
An lSAC-'."Certlllcation
Capítulo 1 - Gobierno de seguridad de la información Sección Dos: Contenido

ser claros e incluir todos los pasos necesarios para cumplir con Dado el creciente número de personal de seguridad en la
tareas específicas. Deben definir resultados y exposiciones mayoría de las organizaciones, el incremento en el riesgo
esperados, así como las condiciones requeridas para su cibernético y las pérdidas cada vez mayores en conjunto con
ejecución. Los procedimientos también deben incluir los pasos un aumento en las presiones regulatorias y una administración
que se requieren cuando ocurren resultados inesperados. de seguridad más problemática, resulta sorprendente que la
arquitectura de seguridad haya tenido en general un impacto
Los procedimientos deben ser claros, sin ambigüedades, y los menor en los esfuerzos de seguridad de una empresa.
términos deben ser exactos. Por ejemplo, las palabras "debe"
y "deberá" se usan para cualquier tarea que sea obligatoria. La En el mismo informe, el grupo META advirtió que:
palabra "debería" se utiliza para referirse a una acción preferida
que no es obligatoria. Los términos "pudiera" o "puede" En efecto, si no se tiene una (arquitectura de
sólo se deben utilizar para denotar una acción puramente seguridad), está demostrado que las empresas
discrecional. Las tareas discrecionales sólo deberían aparecer caerán en un erifoque irregular, reactivo y táctico
de construir un ambiente seguro, desperdiciando,
en los procedimientos, cuando sea necesario, ya que diluyen el
desafortunadamente, recursos e introduciendo más
mensaje del procedimiento.
Los procedimientos para contrasefias (passwords) incluyen vulnerabilidades a medida que corrigen otras.
los pasos detallados que se requieren para configurar cuentas
de contrasefias (passwords) y los pasos para cambiar o reiniciar El hecho de que las organizaciones no adopten un concepto de
las contrasefias (passwords). arquitectura de seguridad parece tener varias causas identificables.
Una de ellas es que dichos proyectos son costosos y de ejecución
Directrices lenta, y se tiene un escaso o nulo entendimiento o apreciación
Las directrices para ejecutar procedimientos también son en casi todos los niveles de la organización de la necesidad o los
responsabilidad de operaciones. Deben de contener información posibles beneficios.
que ayude a ejecutar los procedimientos. P ueden incluir
aclaración de políticas y estándares, dependencias, sugerencias y Puede ser también que no existan muchos arquitectos
ejemplos, notas aclaratorias de los procedimientos, antecedentes competentes que cuenten con una experiencia suficientemente
que pueden ser de utilidad, herramientas que pueden vasta para tratar la amplia gama de aspectos que son necesarios
para garantizar que se obtendrá un grado razonable de éxito. El
utilizarse, etc. Las directrices pueden ser útiles en muchas
efecto de esta falta de "arquitectura" al paso del tiempo ha sido
otras circunstancias pero se han incluido en este manual en el
tener una integración de seguridad menos funcional y una mayor
contexto del gobierno de la seguridad de la información. vulnerabilidad en la empresa al mismo tiempo que la seguridad
técnica ha mostrado una mejora significativa. Esta falta de
1 .1 3.2 ARQUITECTURAS DE SEGURIDAD DE LA
-
integración contribuye a aumentar la dificultad de gestionar los
IN FORMACIÓN DE LA EMPRESA esfuerzos de seguridad de la empresa de modo efectivo.
Si bien no está implementada todavía en muchas organizaciones,
una arquitectura de seguridad de la información en la Actualmente existen diversos marcos y procesos de arquitectura y
empresa (EISA) puede ser una herramientas poderosa de algunos de los más predominantes se referencian a continuación.
desarrollo, implementación e integración para el desarrollo y la La arquitectura de seguridad de la información también se trata
implementación de una estrategia. Sin embargo, para que sea más ampliamente en el capítulo 3, sección 1 1 .
efectiva es esencial que sea una parte integral de la arquitectura de
Algunos de estos enfoques son similares y han evolucionado a
la empresa (EA) para que ayude a garantizar que se implementan
partir del desarrollo de la arquitectura empresarial. Por ejemplo,
e integran los controles correctos en la infraestructura, los proceso el enfoque del marco Zachman de desarrollar una matriz de quién,
y las tecnologías de las organizaciones. El requerimiento para
qué, por qué, dónde, cuándo y cómo también es utilizado por
la arquitectura ha sido reconocido y promovido por décadas,
SABSA y EA2F. Ver la Figura 1 . 17.
evidencia de ello es el siguiente informe del Grupo META de
2002 titulado Plan for a Security Architecture Guidelines and
Relationships (Plan para los lineamientos y las relaciones de una
El enfoque para una EA que incluya seguridad que ha ganado
terreno durante la última década es El Marco de Arquitectura de
arquitectura de seguridad), que ofrece una explicación útil de la Open Group (TOGAF) que aborda las siguientes cuatro áreas
arquitectura de seguridad en la siguiente analogía. interrelacionadas de especialización llamadas dominios de la
En muchos sentidos, la arquitectura de la seguridad
arquitectura:
de la información es análoga a la arquitectura de los • Arquitectura del negocio, que define la estrategia de negocio, el
edificios. Comienza como un concepto, un conjunto gobierno, la organización y los procesos de negocio clave de la
r-.. de objetivos de diseño que deben cumplirse (p. ej. la organización
función que tendrá, si será un hospital, una escuela, • Arquitectura de las aplicaciones, que proporciona un plan para
etc.). Después se transforma en un modelo, una que se implementen los sistemas individuales de aplicación, las
aproximación en borrador de la visión creada a interacciones entre los sistemas de aplicación y sus relaciones
partir de la materia prima (léase: servicios). A esto con los procesos de negocio fundamentales de la organización,
sigue la preparación de programas detallados o
con los marcos para que se expongan los servicios como
herramientas que se utilizarán para transformar la
funciones de negocio para la integración
• Arquitectura de los datos, que describe la estructura de los
visión/modelo en un producto real y terminado. Por activos de datos físicos y lógicos de una organización y los
último, está el edificio en sí mismo, la realización o recursos de gestión de datos asociados
resultado de las etapas previas.
Manual de Preparación para el Examen CISM 14º edición 63
ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

• Arquitectura técnica, o arquitectura de la tecnología, que - Todos los aspectos que conducen a un gobierno y gestión
describe el hardware, software e infraestructura de red de seguridad de la información efectivos, como estructuras,
necesaria para respaldar la implementación de las aplicaciones políticas y cultura organizacionales
fundamentales críticas para la misión - La relación y el enlace de seguridad de la información con los
objetivos de la empresa
Los objetivos de los diversos enfoques son esencialmente iguales. • Una necesidad cada vez mayor para la empresa de:
El marco detalla la organización, los roles, las entidades y las - Mantener el riesgo de la información en un nivel aceptable
relaciones que existen o deberían existir para llevar a cabo un y proteger la información contra divulgación no autorizada,
conjunto de procesos de negocio. El marco debe proveer una modificaciones inadvertidas o no autorizadas, y posibles
taxonomía rigurosa que identifique claramente los procesos que intrusiones.
realiza un negocio e información detallada sobre cómo se ejecutan - Garantizar que los servicios y sistemas estén continuamente
y aseguran esos procesos. El producto final es un conjunto disponibles para las partes interesadas externas e internas, para
de elementos que describen, en diferentes grados de detalle, alcanzar a la satisfacción de los usuarios con los servicios y
exactamente qué y cómo opera un negocio y cuáles controles de compromisos de TI.
seguridad se requieren. COBIT 5 proporciona extensos recursos - Cumplir con el número creciente de regulaciones y leyes
y herramientas para lograr estos objetivos y ha visto una amplia relevantes, así como también con los requerimientos
implementación a nivel global. contractuales y políticas internas sobre protección y seguridad
de sistemas e información, y proporcionar transparencia en el
El versión actual de COBIT 5 ha cambiado la perspectiva del nivel de cumplimiento.
enfoque orientado a TI en COBIT 4 a un marco arquitectónico - Lograr todo lo anterior manteniendo a su vez el costo de
holístico. COBIT 5 fue lanzado en abril de 20 12. COBIT 5 servicios de TI y protección de tecnología.
consolida e integra a COBIT 4. 1 , Val 1T 2.0 y los marcos de
TI de riesgo, y se basa en el marco de aseguramiento de T I La elección de los enfoques puede ser limitada por un estándar
(IT Assurance Framework (ITAF)) de ISACA y el Modelo de organizacional existente, pero si no existe uno, la elección se
negocio de seguridad de la ieformación (BMIS). Se alinea con debe hacer basándose en la forma, el ajuste y la función. En otras
marcos y estándares, tales como la Biblioteca de infraestructura palabras, un enfoque particular puede ser más consistente con las
de tecnología de la información (ITIL ), la Organización prácticas organizacionales existentes o puede ser más adecuado
internacional para la estandarización (ISO), el Cuerpo de para una situación en particular. Los diferentes enfoques también
conocimientos de gestión de proyectos (PMBOK), PRINCE2 y el pueden implicar esfuerzos y recursos considerablemente mayores.
Marco de arquitectura de Open Group (TOGAF). Algunos están más orientados o limitados a arquitecturas
Los impulsores principales para el desarrollo de COBIT 5 para la técnicas y no serán adecuados para efectos de gobierno
seguridad de la información incluyen: (governance).
• La necesidad de describir la seguridad de la información en un
contexto empresarial, que incluye: Aunque una arquitectura de seguridad específica pueda ofrecer
- Las responsabilidades funcionales de TI y de negocios ventajas considerables, es esencial que esté guiada y totalmente
completas de la seguridad de la información integrada con la arquitectura global de la empresa. El desarrollo
de la arquitectura empresarial actual, como el caso de TOGAF

Figura 1 .1 7-Matriz SABSA de arquitectura de seguridad

Activos Motivación Proceso Gente Ubicación Tiempo


(Qué} (Por qué) (Cómo) (Quién} (Dónde) {Cuándo)
Modelo Modelo Organización Dependencias
El
Contextual negocio
de riesgo del proceso y relaciones Geografía
del negocio
del tiempo
de negocio de negocio de negocio de negocio
EstrategiasModelo de la Duraciones
Perfil Modelo
Objetivos de seguridad yentidad de y fechas límite
Conceptual de atributos
de control
del dominio
seguridad y marce de seguridad!
estratificación relacionadas
de negocio
de la arquitectura de confianza con la segurida
Esquema de Definiciones
Modelo de Políticas Servicios la entidad y asociaciones Ciclo de
Lógico información de seguridad de seguridad y perfiles del dominio procesamiento
de negocio de privilegios de seguridad de la seguridad

Modelo de Reglas, prácticas Usuarios, Infraestructura Ejecución de


Mecanismos aplicaciones y
Fisico datos y procedimientos
de seguridad la interfaz
de redes y la estructura
de negocio de seguridad plataforma de control
del usuario

Identidades, Procesos, Sincronización

Componente
Estructuras Productos y
Normas herramientas funciones, nodos, y secuencia
de datos acciones direcciones de pasos
detallados de seguridad de seguridad
y ACLs y protocolos de seguridad

Gerencia Aplicación
Aseguramiento Administración Seguridad Calendario de
y soporte y Gerencia
Operativo de la continuidad de riesgo del servicio y Soporte
de sitios, redes las operaciones
operativa operativo y plataformas de seguridad
de seguridad a Usuarios

Fuente: 1 995 a 2008, Copyright SABSA lnstitute, www.sabsa.org. Reproducido con autorización.

64 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnform�
Securlty Manager
AnlSACA"Certlficatlon
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

(figura 1.18), tratará la seguridad como un compo nente esencial • Marco de IBM de Zach man (marco de lo s año s 1980)
del diseño global y, en la mayo ría de los casos, será el enfoque • Marco de A rqui tectura Empresarial SAP, una ex tensión del
prefe rido para asegurar una integración efi caz. TOGAF, para respaldar mejo r lo s pro gramas co merciales ya
dispo nibles y la A rq uitectura Orientada a Servicios
Marcos Alternativos de Arquitectura Empresarial • Mé to do para un Ambiente de Conocimiento Integrado (MIKE2.0),
Además de lo s enfoques mencio nado s, o tros enfoques que incluye un marco de arq uitectura empresarial deno minado
relacionado s co n la arquitectura de seguridad y de empresa Arquitectura Estratégica para la Empresa Federada (SAFE)
incluy en lo s siguientes (la elección de un enfoq ue de arq uitectura
La Figura 1.18 ilustra el pro ceso de la arq uitectura TOGAF y su
se deb e basar en facto res como la forma, el ajuste, la funció n, y
relació n co n las o peraciones del nego cio.
quiz ás, enfoques obligato rios en ciertas organizaciones):
• Marco de A rq uitectura Integrada de Capgemini
• Marco de A rquitectura del Ministerio de Defe nsa del Reino 1 .13.3 CONTROLES
Unido (MODAF) Lo s co ntroles so n lo s co mponentes principales q ue se deb en
• Marco de A rquitectura Empresarial NIH tener en cuenta cuando se desarrolla una estrategia de
• A rqui tectura de Seguridad Abierta seguridad de la informació n. Pueden ser fí sicos, técn icos o
• Marco de Mo delado Orientado a Servicios (SOMF) de pro cedimiento s y su elecció n deb e basarse en diverso s
• El Marco de A rquitectura de Open Gro up (TOGAF) factores, entre o tros, que se garantice su efecti vidad, q ue no
• French Délégatio n Générale po ur I' A rmement A telier de sean demasiado costosos o restrictivo s para las actividades de
Gestio n de l' A rchiTEcture des sy stemes d' information et de nego cio o cuál será la forma ó ptima de contro l.
co mmunicatio n (AGATE)
• Marco de A rq uitectura del Departamento de Defensa de lo s En el capí tulo 2, secció n 2.11, en co ntrarán las descripciones
Estado s Uni dos (DoDAF) sobre lo s controles, su utilizació n así co mos u aplicación y
• Prestació n Intero perable (de servicios gub ernamentales puesta en práctica.

- euro peos a público ) A dministracio nes, Empresas y Ciudadano s


(IDA BC)
• A rq uitectura Empresarial Federal de la Ofi cina de Gestión y
Controles de TI
COBIT se enfo ca en lo s co ntroles de TI que pueden consti tuir
la mayoría de aq uellos q ue se req uieren en muchas o rganizaciones.
Presupuesto de los Estado s Unidos (FEA )
Posiblemente, COBIT sea uno de los enfoq ues más desarrollados
• A rquitectura Basada en Mo delos (MOA) del Ob ject

- Management Gro up
• Metodo lo gía y Marco de Nego cios y TI OBASHI (OBASHI )
• Marco Co mpleto de SABSA para la A rquitectura de Seguridad
e integrales para determinar los objeti vos de control para TI y su
posterior implementación y gestió n.
COBIT define lo s objetivos de contro l co mo " una declaració n
del resultado o pro pó sito deseado q ue se alcanzará mediante la
Empresarial y la Gestión de Servicios
implementación de pro cedimientos de co ntrol en una determinada
actividad de TI."
Figura 1 .1 8-Marco de la arquitectura de empresa TOGAF
Las necesidades del negocio condicionan los aspectos
no arquitectónicos de la operación del negocio

Establece objotivos, KPl$.


l!lformasobreel1amaiío,la piares y presupuesloo
pa¡¡¡ lo$ roles de la arqui1l!Owra

la Capacidad del negocio i!IJj)otsa


la necesidad de MaáoretJ!e ra
capacidad de la arr¡utteciura

las OIICBSidades J!el negocio


se incorperan al método para
íóenliliear IOOproblemes
que se deben resolver

El mé!odO pro¡¡omiona
nuevas $0Í0Giones de negOOiOs

ADM y marco del


contenido de TOGAF

El Continuo de la empre,;,, Los cambios operacionales


y el Reposttorto informan actualizan el Continuo yel
al oegooiO sobre el estado aciu<ll Reposilmiode la empresa

Lo que se aprende de la operación del negocio crea


una nueva necesidad comercial

Fuente: ISACA, mapeo de COBIT: Mapeo de TOGAF 8. 1 con COBIT® 4.0, USA, 2007

Manual de Preparación para el Examen CISM 14º edición 65


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

Controles que no Están Relacionados con TI gl osari o. Dado el c ontinuo y rápido desarrol lo de la tecnología en
E l gerente de seguridad de la información debe saber que también este ámbito, un gerente de seguridad de l a información prudente
es preciso desarrollar controles de seguridad de la informac ión utilizará los recursos que estén disponibles para mantenerse
para p rocesos de información que no están relacionados c on actualizado en los últimos desarr ollos.
TI. Esto incluy e requerimientos de etiquetado, manejo y
almacenamiento de la info rmación fisica en condic iones seguras. Figura 1 .19 - Defensa en profundidad por función
Debe considerar el manejo y la prevención de ingeniería social. Defensas contra
De igual forma, deben tenerse en cuenta los c ontr oles ambientales inestabilidad del Políticas, estándares, procedimientos y
para que los sistemas seguros no sean objeto de robo, tal c omo h a sistema tecnología
sucedido en algunos casos muy sonados. Prevención Autenticación
Contramedidas Autorización
Las contramedidas son las medidas de protección que reducen Encriptación
directamente una vulnerabilidad o una amenaza. Las co ntramedidas Cortafuegos (firewalls)
simplemente se pueden considerar controles dirigi dos. Las Etiquetado/manejo/retención de datos
contramedidas a las amenazas deben de considerarse desde una Gerencia
perspectiva estratégica. Pueden ser pasivas o activas, pero en muchos Seguridad física
casos pueden llega r a ser más efectivas y menos restrictivas que los Prevención de intrusos
controles generales. Una contramedí da pudiera consistir en h acer
Escaneo de virus
que sólo se pueda acceder a la infonn ación más sensible desde una
subred independiente, que no esté accesible desde el exterior, o bien, Seguridad del personal
podría consistir en cambiar a un sistema operativo inherentemente Concienciación y capacitación
más seguro o evita r que los sistemas insegu ros se conecten a la red. Contención Autorización
Privacidad de datos
Defensas por Niveles Cortafuegos (firewalls)/dominios de seguridad
La defe nsa por capas o defensa en profun didad es un concepto
Segmentación de redes
importante y efectivo en el diseño de una estrategia o arquitectura
de seguridad de la info rmación. Las capas se deben diseñar de Seguridad física
manera que la causa del fallo de una capa no cause también el fa ll o Detección/notificación Monitoreo 1

de la siguiente capa. Mediciones/métricas


Auditoría/registros en bitácoras
El número de capas necesarias dependerá de la confi dencialidad y Honeypots
criticidad de los acti vos así como de la confi abilidad de las defensas
Detección de intrusos
y del grado de exposición. Es probable que una dependencia
excesiva en un solo control genere un falso sentido de confianza. Detección de virus
Por ejemplo, una compañía que depende exclusivamente de Reacción Respuesta a incidentes
un cortafuego (firewall) aún puede ser objeto de numerosas Cambio en políticas/procedimientos
metodologías de ataque. Una defensa adicional puede ser la creación, Mecanismos de seguridad adicionales
mediante la fonnación y la concienciación, de un "cortafuego Nuevos/mejores controles
(firewall) humano" que pueda llegar a constitui r una capa crucial de Recopilación de Auditoría/registros en bitácoras
defensa. Segmentar la red puede constituir otra capa defensiva. evidencia/monitoreo Gerencia/monitoreo
de incidentes
No repudio
1.13.4 TECNOLOGÍAS
Informática forense
Las últimas décadashan sido testigo del desarrollo de numerosas
tecnologías de seguridad pa ra contrarrestar lasamenazas en constante Recuperación/ Respaldos/restablecimiento
restablecimiento
aumento a las que están expuestos los recursos de infonnac ión. Conexión de apoyo (failover)/sitios remotos
La tecnología es una de las piedras angulares de una estrategia de Planes de continuidad del negocio/
seguridad efec tiva. El gerente de seguridad de la infonnación debe recuperación de desastre
familiarizarse con la fonna en la que estas tecnologías pueden Fuente: Krag Brotby
funcionar como controles para alcanzar el "estado deseado" de
seguri dad. Sin embargo, l a tecno logía no compensará por las 1 .1 3.S PERSONAL
deficiencias gerenciales, culturales u operativas, por lo que el L a seguridad del personal es un área importante que el gerente
gerente de seguridad de la infonnación debe tener cuidado de no de seguridad de la info rmación debe considerar como un
depender demasiado de estos mecanismos. Tal como se muestra en medio preventivo de proteger a una organización. Puesto que
la Figura 1.19, para alcanzar defensas efectivas contra incidentes las ex posiciones al daño más costosas y perjudiciales son
relacionados con la seguri dad, es preciso utilizar la tecnología con casi siempre el resultado de actividades iniciadas desde el
una combinación de polí ticas, estándares y procedimientos. interior, ya sean intenci onales o accidentales, la primera lí nea
Existen varias tecnologías que cuentan con mecanismos de de defensa es intentar garantizar la confianza y la integridad
seguridad, los cuales pueden desempeñar una función clave en del personal tanto existente como de nuevo ingreso. Las
el éxito de la estr ategia de seguridad de una organización. Estas tradicionales investigaciones l imitadas de antecedentes pueden
tecnologías se descri ben con más detalle en el Capí tulo 3 y en el proporcionar indicadores de caracterí sticas negativas; si n

66 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformatioll
�:=-�"�:�ager· Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

- embargo, debe tenerse en consideración que el alcance de dichas información sea efectiva, la seguridad tiene que estar más alineada
investigaciones puede verse limitado p or ley es de p rivacidad o con el negocio que con la tecnología.
de otro tip o, sobre todo en las naciones de la Unión Europ ea.
Enfoques Centralizados y Descentralizados para Coordinar la
Además, el alcance y la naturaleza de las investigaciones Seguridad de la Información
de antecedentes deben ser p ertinentes y p rop orcionales a La comp osición cu ltural de u na organización es un factor
la sensibilidad y criticidad de los requerimientos de la p osición determinante para saber si la organización de la seguridad
que se tiene. Por ejemp lo, una investigación de antecedentes es más efectiva si se utiliza un enfo que centralizado o
exhaustiva de una r ecepcionista pudiera considerarse una descentralizado. Aun cuando se pueden obtener much os
invasión no justifi cada a la p rivacidad. Es preciso considerar beneficios a través de la centralización y estandarización de la
las regulaciones sobre la p rivacidad en la jurisdicción seguridad, con fr ecuencia la estructura de una organización lo
de la que se trate, en virtud de que éstas varían much o en hace un enfo que inefi ciente.
los diferentes países. Sin embargo, se deben tener en cuenta
los controles que tienen p or objetivo tanto prevenir que se Las compañías mu ltinacionales que eligen un enfo que
emp lee a p ersonal que probablemente ocasione daños a la centralizado deben considerar cuidadosamente diferentes
organización como dar indicios constantes de exp loración requerimientos legales locales en cada país en qu e tengan
de p roblemas emergentes o p osibles con p ersonal existente. p resencia. Por ejemp lo, algunos países p odrían no p ermitir que los
datos de negocios se almacenen o procesen fuera de las fronteras
Es necesario desarrollar métodos para detectar casos de hurto nacionales; algunos gobiern os p ueden recaudar impuestos como
o robo y estos incidentes deben investigarse y monitorearse una retención de imp uesto p or el software o hardware utilizado
cuando sea factible. La aparición de lo que pudiera considerarse p or las entidades dentro de su jurisdicción, indep endientemente
incidentes menores p uede ser un indicio de una situación más de la ubicación física del software o hardware.
grave. Tambié n p uede ser u n indicador de personal que p udiera Un ejemp lo sería una organización que ha crecido a través
estar involucrado en actividades ilícitas o desh onestas. de adquisiciones y op era más como entidades independientes
que como una sola entidad. En esta situación, es común qu e
Si es p olítica de una organización que el co rreo electrónico no existan grup os de tecnologías de información separados junto
seaprivado y que pueda ser inspeccionado por la compañía, y los con software y hardware diferentes. En este ejemp lo, sería
empleados tienen pleno conocimiento de dicha p olítica, puede común que existieran diferentes organizaciones de seguridad
ser conveniente considerar la supervisión del correo electrónico con enfo ques, p olíticas y procedimientos indep endientes. En
del personal que haya sido identificado como problema potencial. estas situaciones, aún se p odrían obtener beneficios para crear
Las protecciones legales varían en este tipo de contro l y es un solo conjunto de p olíticas de seguridad generales para toda
responsabilidad del director de segu ri dad de la información estar al la empresa, para resolver entonces difer encias locales mediante
tanto de los requerimientos legales de la jurisdicción de la que se trate. está ndares y p rocedimientos locales.

Asimismo, puede ser p rudente desarrollar p olíticas y estándares Un proceso de seguridad descentralizado tiene ventajas en
de investigación de antecedentes que los departamentos de cuanto a que los administradores de la seguridad p or lo general
HHRR y legal de la organización deben reviser los aspectos están más cerca de los usuarios y comprenden mejor los
anteriores. La alta dirección tambié n deberá revisar estas p roblemas locales. A menudo, p ueden resp onder con may or
p olíticas para determinar su congruencia con el enfo que de rap idez a las solicitudes de cambios en privilegios de acceso o
cultura y gobierno de la organización. incidentes de seguridad.

1 .13.6 ESTRUCTURA ORGANIZACIONAL Sin embargo, también existen desventajas. Por ejemp lo, la
Las estructuras jerárquicas de los gerentes de seguridad de calidad del servicio p odría variar dep endiendo de la ubicación,

-
la información son sumamente variables. En la encuesta con base en el nivel de capacitación que tenga el personal local
2011 Global State oflnformation Security llevada a cabo p or y el grado al cual se les p udiera cargar con otras obligaciones
Pricewaterh ouseCoop ers y CSO Magazine, el p orcentaje de no relacionadas.
CISO que info rmaron al CIO dismi nuy ó del 38% en 2007 al
23% en 201O. Du rante el mismo período, el p orcentaje de los que Podrían existir diferentes enfoq ues y té cnicas que se
informan directamente al consejo de dirección se incrementó del utilizan para la seguridad, dep endiendo de si se adop ta un
21 % al 32%, y el 36% ah ora le informan al CEO. enfo que centralizado o descentralizado; sin embargo, las
resp onsabilidades y objetivos de la seguridad no cambiarán. Las
Aunque rep ortar al CIO a menudo ha sido funcionalmente estrategias y objetivos deben:
adecuado, se ve cada vez más como menos que óp timo y debe ser • Estar debidamente alineados con los objetivos de negocio;
examinado p or la alta dirección como parte de las resp onsabilidades • Contar con el patrocinio y ap robación de la alta dirección;
de gobiern o. Existen muchas razones para ello. Una es que • Contar con actividades de monitoreo;
los requerimientos cada vez más extensos de seguridad de la • Contar con p resentación de info rmación y manejo de crisis;
información superan el ámbito del CIO. Otra razón es el inherente • Contar con procedimientos de continuidad organizacional;
confl icto de intereses. Debido a los esfuerzos p or garantizar la • Contar con gestión de r iesgos;
seguridad, a menudo la seguridad de la información se percibe • Contar con p rogramas ap rop iados de concienciación y
como una limitación para las operaciones de TI. L os CIO y sus capacitación sobre la seguridad.
departamentos de TI suelen estar bajo presión para incrementar el
desemp eño y reducir los costos. La seguridad con frecuencia es la
víctima de estas p resiones. Por último, para que la seguridad de la

Manual de Preparación para el Examen C/SM 14º edición 67


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información

1 .13.7 FUNCIONES Y RESPONSABILIDADES DE efectiva contra una variedad al parecer interminable de riesgos
a los que está expuesta la seguridad.
LOS EMPLEADOS
Con la cantidad de tareas que deben llevar a cabo los P uede ser dificil y costoso encontrar empleados que tengan
empleados hoy en día, es importante que la estrategia incluya la combinación necesaria de habilidades de seguridad que
un mecanismo que defina todos los roles y responsabilidades resulte efectiva en los ambientes diversos y siempre cambiantes
de seguridad y que los incluya en las descripciones de puesto de hoy en día y el complejo clima regulatorio. Una forma en
de los empleados. En última instancia, si a los empleados se la cual algunas organizaciones intentan asegurar que se cuente
les paga con base en su cumplimiento para llevar a cabo sus con todas las habilidades necesarias es contratando a gente
responsabilidades laborales, existen mayores probabilidades sobrecalificada. El problema con este enfoque es que resulta
de que se alcancen los objetivos del gobierno de la seguridad. costoso contratar y retener a estas personas, y al no recibir
El desempeño laboral y los objetivos anuales del empleado se retos, a menudo se sienten insatisfechas con el puesto. Esto
pueden incluir en las mediciones relacionadas con la seguridad. puede conducir a una rotación excesiva de empleados, actitudes
improductivas o desempeño por debajo de los niveles aceptados.
El gerente de seguridad de la información debe coordinarse con el
director de personal para definir los roles y las responsabilidades de Capacitar a personal de seguridad de nuevo ingreso o ya existente
seguridad. Las capacidades relacionadas que se requieren para cada para dotarlos de las habilidades que se necesitan para satisfacer
puesto de trabajo también deben estar definidas y documentadas. los requerimientos de seguridad específicos tanto existentes
como emergentes puede ser una opción más rentable. Éste es
1.13.8 HABILIDADES un argumento sólido para un programa en curso de capacitación
Las habilidades que se requieren para implementar una estrategia dirigido a satisfacer las necesidades de la organización y, al
de seguridad son un elemento importante. Es probable que mismo tiempo, establecer una ruta de desarrollo profesional para
elegir una estrategia que utilice las habilidades con las que ya los empleados con base en una mejora continua.
se cuenta sea una opción más rentable, pero en ciertas ocasiones
puede resultar necesario desarrollar habilidades o desarrollar Sin embargo, para que la capacitación sea una opción efectiva
actividades tercerizadas requeridas. Tener un inventario de tiene que estar dirigida a sistemas, procesos y políticas
las habilidades o competencias ayudaría a determinar los específicos, a la forma única y específica de la organización para
recursos que están disponibles para desarrollar una estrategia de hacer negocio, así como a su "contexto de seguridad" particular.
seguridad. Asimismo, las pruebas de competencias pueden servir Cualquier cosa menos de eso es probable que sea inadecuada;
para determinar si se cuenta con las habilidades requeridas o si cualquier cosa más de eso desperdiciará recursos. Si se ejecuta
se pueden alcanzar mediante capacitación. debidamente, el enfoque puede integrarse perfectamente a los
programas e iniciativas existentes, apoyar áreas deficientes y
alinear los procesos de seguridad con los procesos de negocio.
1.13.9 CONCIENCIACIÓN Y FORMACIÓN
La capacitación, la formación y la concienciación son
elementos fundamentales para la estrategia en su conjunto,
1 .13.10 AUDITORÍAS
ya que la seguridad con frecuencia es más débil al nivel del Las auditorías, tanto internas como externas, son uno de los
procesos principales que se utilizan para identificar deficiencias
usuario final. Es aquí también donde se debe considerar la
en la seguridad de la información desde una perspectiva de
necesidad de desarrollar métodos y procesos que permitan que
controles y cumplimiento.
las políticas, estándares y procedimientos sean más fáciles de
seguir, implementar y monitorear. U n programa recurrente de Las auditorías internas en la mayor parte de grandes
concienciación sobre la seguridad dirigido a los usuarios finales organizaciones las lleva a cabo un departamento de auditoría
refuerza la importancia de la seguridad de la información y interna que, por lo general, informa al director de riesgo (CRO)
en la actualidad varias jurisdicciones lo han establecido como o a un comité de auditoría del consejo de dirección. En la mayor
requerimiento por ley para varios sectores. parte de casos, una subunidad de auditoría interna, o un grupo
de auditoría de TI independiente, se centra en los recursos de la
En la mayoría de las organizaciones, la evidencia indica que tecnología de información. En organizaciones más pequeñas, las
la mayor parte del personal no conoce las políticas ni los auditorías o revisiones de TI pueden ser llevadas a cabo por el
estándares de seguridad ni siquiera cuando éstas existen. Los gerente de seguridad de la información o pueden ser delegadas
programas de concienciación y capacitación pueden lograr a un director de seguridad de la información. Normalmente, se
que se reconozca de un modo generalizado que la seguridad centra en el cumplimiento de las políticas por parte del personal,
es importante para la organización. Puesto que la seguridad en los procesos y en la tecnología.
depende en gran medida del cumplimiento individual,
es importante que se cuente con un programa robusto de Casi siempre es el departamento de finanzas el que lleva a cabo las
concienciación sobre la seguridad y es un elemento que se auditorías externas pero es común que no revisen la seguridad de la
tiene que considerar cuando se desarrolle una estrategia. información. Dado que estas auditorías pueden ser una herramienta
de monitoreo altamente efectiva para el gerente de seguridad de
Ampliar y profundizar las habilidades apropiadas del personal la información, es importante garantizar que el departamento de
de seguridad mediante capacitación pueden mejorar en gran seguridad tenga acceso a esta información. Como sucede con
medida la eficiencia de la seguridad en una organización. El reto otros departamentos, es importante que el gerente de seguridad
consiste en determinar cuáles son las habilidades "apropiadas" de la información desarrolle una buena relación de trabajo con el
que es necesario mejorar y cómo para brindar una protección departamento de finanzas a fin de facilitar el flujo de información
que es esencial para una gestión efectiva de la seguridad.

68 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
�:.:,,�:ager" Capítulo 1 -Gobierno de seguridad de la información Sección Dos: Contenido

- Debido al incremento de la su pervisión de las entidades


reguladoras, muchas organizaciones tienen que presentar
frecuentemente debido a los cambios que se producen en el
negocio, en los procesos, en la tecnol ogía y en el personal.
diversos informes de au ditoría y otros tipos de reportes ante las
agencias reguladoras. Much os reportes tienen impl icaciones 1 .13.13 EVALUACIÓN DE VULNERABILIDADES
sobre la seguridad de la información que pueden proporcionar En la mayoría de las organizac iones es común la utilización de
c onocimientos ú tiles e información de monitoreo al gerente de evaluac iones técnicas de vu lnerabil idades empleando escanea s
seguridad de la información. Por ejemplo, de acuerdo con las au tomáticos, pero en sí pueden tener un val or li mitado para
disposic iones de cumplimiento de la L ey Sarbanes-Oxley de el desarroll o de la estrategia de seguridad. No obstante, será
l os EUA, los controles financieros de las compañ ías públ icas importante ll evar a cabo una evaluac ión exhaustiva de la
se deben someter a prueba anual mente en un plaz o de 90 días vul nerabil idad qu e deberá incluir las vul nerabilidades en l os
a partir de la presentación de la info rmac ión financiera ante proc esos, tec nologías y equ ipos. Por lo general, l os procesos y
la Comisión de la Bol sa de Valores de los EUA (SEC). E s l os equ ipos son l os c omponentes más vul nerabl es; sin embargo,
importante qu e el gerente d e seguridad d e l a información tenga con frecuencia son l os menos evaluados, dada la gran dificul tad
acceso a l os resultados de estas pruebas y éstos deben fo rmar que impl ica apl icarles evaluac iones. El proceso de desarroll o de
parte de las considerac iones sobre la estrategia. una estrategia ofrec e oportunidades para hac er frente a muchas
de estas vul nerabil idades c on un enfoque pru dente y proac tivo.

- 1.1 3.1 1 EXIGENCIA DE CUMPLIMIENTO


Las violaciones a la segu ridad son una preocu pac ión c onstante
para los gerentes de seguridad de la informac ión y es importante
Aunqu e no exista ni nguna amenaza conoc ida o aparente para los
puntos débiles descu biertos durante estos anál isi s, es necesario
c onsiderar oportunidades rentabl es para hac er frente a la
que se desarroll en procedimientos para manejarlas. Es debilidad sistémica durante el desarroll o de las estrategias.
fundamental que estos procedimientos cuenten c on la aprobación
y respal do de la al ta dirección, sobre todo, en l o que respecta 1 .1 3.14 EVALUACIÓN Y GESTIÓN DE RIESGOS
a exigir su cumpl imiento. A menudo l os gerentes de seguri dad Mientras las evaluac iones tanto de amenazas c omo de
han enc ontrado que los may ores problemas de cu mplimiento vul nerabil idades pu eden ser ú til es de por sí, al con siderar l os
tienen que ver con la gerenc ia. Si la gerencia no muestra el ementos de estrategia de seguridad, también es necesario
compromi so ni cumpl imiento, será difícil, si no i mposibl e, exigir evaluar l os riesgos gl obales para la organizac ión. Si bi en las
el cumpl imiento de dich os proc edimientos en la organizac ión. amenazas y vulnerabil idades que no plantean ningú n riesgo para
la organizac ión pueden n o ser inmediatamente significativas,
El enfoqu e más efec tivo de c umpl imiento en una organizac ión el panorama de riesgos en cambio constante hace posibl e que
donde la apertura y la c onfianza son val orados y promovidos éste no siga siendo el caso. De cualquier manera, hasta el grado
por la gerencia es probablemente un sistema de au to- reporte en que el desarrol lo de la estrategia pueda tratar las amenazas y
y cumplimiento voluntario, basándose en el entendimien to vu lnerabil idades, esto deberá apl icarse como una buena práctica.
de que la seguridad es claramente para el benefic io de todos.
E ste enfoque también suel e requerir que estos procesos La val orac ión fo rmal de l os riesgos se ll eva a cabo determinando
se planifiquen cuidadosamente, se comuniquen c laramente primero las amenazas viabl es para l os recursos de la informac ión
y se implementen en c ooperación. Cómo ll evar esto a cabo será que afr onta una organizac ión. Éstas incluyen las amenazas fi sicas
un el emento de la estrategia. y ambiental es (por ejemplo, i nundaciones, incendios, terremotos,
pandemias) así como amenazas tec nol ógicas (por ejempl o,
1.13.12 EVALUACIÓN DE AMENAZAS software dañino, fall os del sistema, ataques intern os y extern os).
Aunque la evaluación de amenazas se efectúa c omo parte de la L o sigu iente que hay que tener en cuenta es la posibil idad
evaluación global de riesgos, es un elemento importante para la de que estas amenazas se material ic en así como su probabl e
propia c onsiderac ión estratégica. U na razón de ello es que las magnitud. Ésta es la fase de iden tificac ión del riesgo de la
opc iones de tratamiento de riesgos deben considerar el enfoque evaluac ión de riesgos. Por ejempl o, es probable que ocu rra un
más rentable para hacer frente a cualquier riesgo en particular. Por terremoto en determinadas z onas, pero que normalmente no
ejempl o, las medidas de mitigación pueden afrontar directamente sea lo sufic ientemente fu erte como para causar dañ os. E n tal es
la amenaza, pueden reducir o el iminar las vulnerabilidades o casos, deberán c onsiderarse los terremotos más fu ertes que
pueden afrontar y compensar los impactos. La el ección más han ocu rrido h istóricamen te con menos frecuenc ia y que han
rentabl e se encuentra anal izando por separado la amenaza y la causado dañ os. Al gu nas amenazas pu eden ser extremas, pero
vul nerabil idad, así como la exposición y el impac to. pueden ser demasiado raras c omo para tenerlas presente (por
ejemplo, la caída de c ometa) y pueden i gnorarse.
Otra razón para desarrollar un perfil de amenaza es que la estrategia

-
debe tener presente amenazas viables independientemente de si La frecuenc ia de su ocu rrenc ia y su magnitud probabl e pueden
se conoce la existenc ia de una vulnerabil idad actual. Se trata de i ndicarse calculando las vec es que han ocu rrido en el pasado y
un enfoque proac tivo y tiene en cuenta que no se pueden conocer por la experiencia de organizac iones si milar es. La considerac ión
todas las vu lnerabil idades y que continuamente se introduc en otras de la frecuenc ia es i mportante au nque la magnitud sea
nuevas que pueden resul tar en riesgos. moderada. Aunque un evento senc illo pueda c onstituir un riesgo
ac eptabl e, si ocu rre c on frecuenc ia, es posible que el riesgo
Por otra parte, el desarroll o de pol íticas debe trazar un perfil agregado no sea ac eptable. Por ejemplo, u na organizac ión puede
de amenazas. Ell o se debe a que, en un senti do amplio, las ac eptar una pérdi da de lO 000 $ US una vez al añ o, pero este
amenazas son relativamente constantes (p or ejempl o, incendios, nivel de pérdida puede no ser ac eptable si ocu rre cada día.
inundaciones, terremo tos, software noci vo, robo, frau de,
ataques, err ores), mientras que las vulnerabil idades cambian E l paso sigu iente es determinar el grado de debil idad
organizac ional y la exposic ión a tales amenazas. La

Manual de Preparación para el Examen CISM 14º edición 69


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido e·= �'.:1�1i!Jn
AnlSAC'.A"Certl�

combinación de la fr ec uencia y la magnitud y el grado de gastos. Desde una perspec tiva de seguridad de la info rmación,
vuln erabilidad de la organización deter minarán el ni vel estos ajustes pueden repr esen tar un r iesgo q ue puede ser difícil
r elativo de riesgo. Utilizando esta info rmación para calc ular las de c uan tificar y po siblemen te difícil de mitigar. Casi siempre,
expectativas de pérdidas an uales (ALE) pro bables, ten ien do en tan to los recur so s co mo las habilidades de las func iones que se
cuenta la frecuencia, magni tud y la expo sición, la gerencia se contratan a pro veedores externos no se encuen tran dentro del
enc uen tra en po sición de decidir si es aceptable. contro l de la o rganización, lo cual puede representar un riesgo.
Los pro veedores pueden operar con base en diferentes criter ios
1 .13.15 SEGUROS y puede ser difícil contro larlo s. La estrategia de seguri dad debe
Los recursos de la estrategia inc luyen la o pc ión de reso lver ejercer el debido c uidado cuan do se trate de servicios con tratado s
algunos riesgos con co ber turas de seguro. Generalmente, lo s a pro veedores externos a fin de garantizar q ue no constituyen
tipos de riesgo apro piado s para ser asegurados son eventos un pun to crí tico de fallo o q ue se c uen ta con un plan viable de
poco co munes de alto impacto como inun daciones, hurac anes o respaldo en caso de problemas con el pro veedor del servicio.
incen dios, malversación o deman das de respon sabili dad. Lo s ti po s Mucho del r iesgo que supone laexternalización también puede
de seguro más comunes que se pueden considerar inc luyen lo s materializarse debido a fusiones y adq uisiciones. No rmalmen te, las
se guros de primera persona, tercera persona y de fi delidad. Los diferencias significativas en lacultura, lo s sistemas, la tecno logía
seguros de primera persona pro tegen a la organización en caso de y las operaciones entre las partes presentan numerosos retos de
daños produci dos por la mayoría de las causas y pueden incluir seguridad q ue deben identificarse y abordarse. En estas situaciones,
in terrupción del negocio, pérdida direc ta y costos de recuperación. la se guri dad es muchas veces una i dea tardía y el gerente de
El seguro de tercera persona mane ja po sibles responsabilidades seguri dad debe esforzarse para dar a conocer estas actividades y
ante terceros y generalmente incluye defensa con tra deman das evaluar el riesgo para q ue lo ten ga en c uenta la gerencia.
legales y cubre daño s hasta por los límites predeterminado s. El
seguro o garantía de fi de lidad ofrece pro tección contra robo s o 1 .13.19 OTROS PROVEEDORES DE SOPORTE Y
apropiaciones in debidas de parte de empleados o agentes. ASEGURAMIENTO ORGANIZACIONAL
Cuan do se desarro lla una estrategia de segur idad, por lo regular
1 .13.16 ANÁLISIS DE IMPACTO AL NEGOCIO se c uen ta con vario s pro veedores de ser vicio s de aseguramien to
El impac to al n egoc io es lo " esencial" del r iesgo. Un BIA es y so po rte dentro de la o rganización que deben considerarse
un ejerc ic io q ue determina las con sec uenc ias q ue ten dría en co mo parte de los rec urso s de seguridad de la info rmac ión.
una organiz ación la pér dida de disponibilidad de c ualq uier Esto s pueden inc luir una variedad de departamen tos como legal,
recurso. Las consecuencias se r educen co mún men te a impac to s c umplimien to, auditoría, adq uisic ion es, seguro s, rec uperac ión
fin anc iero s. El r iesgo q ue no puede resultar en un i mpac to en caso de desastre, seguridad fi sica, capacitac ión, ofic ina de
q ue no se pue da apreciar no es importante. Las evaluacion es proyec tos y rec urso s humanos. Otros de partamento s o grupos,
de impac to al n egoc io son un compon en te impo rtan te para como gestión de cambio s o aseguramien to de la c alidad,
desa rro llar una estrategia q ue resuelva posibles impacto s tam bién inc luy en elemento s de aseguramien to en su operación.
adversos para la o rganización. Un BIA también tiene q ue
con si derarse co mo un req uer imiento para determ inar la Estas func iones de aseguramiento casi n unca están bien
critic idad y sensibilidad de lo s sistemas y la info rmac ión. in tegradas, si es q ue lo están. L as con sideracion es estratégicas
Co mo tal, establec e la base para desarrollar un enfoque para la deben inc luir enfoques para garantizar q ue estas func io nes
c lasificación de info rmación y abo rdar lo s requerim ien to s de o peran perfec tamen te a fin de evitar brechas q ue puedan
continuidad del n egoc io. ocasionar que la seguridad se vea co mprometida.

1 .13.1 7 ANÁLISIS DE LA DEPENDENCIA DE RECURSOS 1 .14 RESTRICCIONES DE LA ESTRATEGIA


El análisi s de dependencia de l negocio se explicó anteriormen te
y es similar al análisis de dependencia de lo s recur sos, pero es Se deben considerar varias limitaciones cuan do se desarro lla
m enos granular e inc luye lo s elementos que se consi derarí an en un a estrategia de seguridad. É stas establecen lo s límites para
un plan de con tinuidad del negocio (BCP), inc luyen do artíc ulo s las opc iones con las que cuen ta el geren te de seguri dad de la
como grapas, sujetapapeles, etc. La dependencia de lo s recursos es info rmación y deben definirse y co mpren derse claramen te an tes
similar a la planificac ión de recuperación en caso de de sastre (DRP) de comenzar a desarrollar una estrategia.
y considera los si stemas, el hardware y el software necesarios para
realizar funciones organizac ionales especificas. La depen dencia de 1 .14.1 REQUERIMIENTOS LEGALES Y REGULATORIOS
los recursos puede ofrecer o tra perspectiva sobre la c riticidad de E xisten varios temas le gales y regulatorio s q ue afectan la
los recurso s de información. Hasta c ierto grado, puede utilizarse seguridad de la info rm ac ión y que deben considerarse cuan do
en lugar de un análisis de impacto para garantiza r q ue la estrategia se desarro lle una estrategia. R esulta inevitable q ue la seguridad
inc luy e los recurso s que son c rí ticos para las o peraciones de de la información esté vinc ulada a las c uestiones de privac idad,
negocio. E l análisis se basa en la de terminación de lo s recursos propiedad intelec tual y legi slación contrac tual. Cualquier
(co mo lo s sistemas, el software, la conec tividad, etc.) y las esfuerzo por diseñar e implementar una estrategia efectiva de
depen dencias (como lo s procesos de entrada y lo s repositorios de seguridad de la info rmación tiene que basarse en un enten dimien to
datos) requerido s por las operaciones crí ticas para la organización. só lido de lo s requerimientos y restricciones le gale s aplicables.
Diferentes regiones en una organizac ión glo bal pueden regirse por
1 .13.18 SERVICIOS CONTRATADOS legislaciones en confl ic to. Se puede enco ntrar un buen ejemplo en
La externaliz ac ión (o utso urcing) es cada vez más común tanto a el á mbito de la legislación so bre privacidad, donde las diferencias
n ivel nac ional co mo internacional, a medida q ue las compañías se c ulturales dan una importancia distin ta a la privacidad.
concen tran en co mpetencias funda men tales y formas de recortar

70 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Cerlified lnformation
Securlty Manager"
An lSACA'Cortlllcal�
Capítulo 1 -Gobierno de seguridad de la información Sección Dos: Contenido

En algunos países, se realizan investigaciones profundas Descubrimiento electrónico (E-Discovery)


de antecedentes de empleados de nuevo ingreso; sin embargo, Los procesos civiles y criminales se basan cada vez más en la
dichas investigaciones pueden ser ilegales conforme a la evidencia obtenida de correos electrónicos y otras comunicaciones
legislación de otros países. P ara tratar estas situaciones, electrónicas como respuesta a una solicitud de producción o
la organización global pudiera tener que establecer diferentes citación judicial. Si la información se ha archivado sin haber sido
estrategias de seguridad para cada división regional, o puede clasificada y categorizada, la búsqueda del material necesario
basar su política en los requerimientos más restrictivos a fin puede llegar a ser una tarea difícil y costosa, como ya ha ocurrido
de alcanzar consistencia en toda la empresa. en muchos casos prominentes. La creciente utilización de este
tipo de descubrimientos también contribuye a la necesidad de
De igual modo, existen varios temas legales y regulatorios considerar minuciosamente una política de retención que limite
relacionados con negocios por Internet, transmisiones globales y el tiempo que deban guardarse ciertos tipos de información, tales
flujos de datos transfronterizos (por ej. privacidad, leyes fiscales como correos electrónicos, dentro de los límites legales.
y aranceles, restricciones de importación/exportación de datos,
restricciones sobre criptografía, garantías, patentes, derechos de
autor, secretos comerciales, seguridad nacional). Éstos varían 1.14.2 FÍSICAS
dependiendo de dónde se encuentre ubicada la organización Será que exista una variedad de factores físicos y ambientales

-
y resultan en restricciones y limitaciones a las estrategias de que influirán o impondrán limitaciones en la estrategia de
seguridad. La investigación de tales temas debe llevarse a cabo seguridad de la información. Entre los factores obvios se
de manera conjunta con las áreas de jurídico y de cumplimiento encuentran la capacidad, el espacio, los peligros ambientales y
regulatorio, así como cualquier otra área de negocio que pudiera la disponibilidad de la infraestructura.
verse afectada.
Otras limitaciones que en ocasiones se han ignorado son,
La estrategia de seguridad también debe tener en cuenta que entre otras, un centro de datos que ha instalado una importante
la integridad del personal está sujeta a regulaciones en muchas compañía petrolera en un sótano que se sabe que se inunda con
jurisdicciones regularidad. La estrategia de seguridad debe asegurarse de que
se prevean tanto la atención a los peligros ambientales como una
Requerimientos Sobre el Contenido y la Retención de Registros capacidad de infraestructura adecuada.
de Negocio La estrategia también debe incluir un requerimiento para
Existen dos aspectos principales que debe tener en cuenta una

-
considerar la integridad del personal y de los recursos.
estrategia de seguridad de la información sobre el contenido
y la retención de registros de negocio y cumplimiento:
• Los requerimientos comerciales para registros de negocio; 1 .1 4.3 ÉTICA
• Los requerimientos legales y regulatorios para registros. La percepción que tienen los clientes de una organización
y el público en general de su comportamiento ético puede
Los requerimientos de negocio pueden exceder a aquellos tener un impacto significativo en dicha organización y afectar
legales y regulatorios impuestos por los organismos legislativos su valor. Estas percepciones a menudo se ven influidas por la
correspondientes debido a la naturaleza del negocio de la ubicación y la cultura, por lo que una estrategia efectiva debe
organización. Algunas organizaciones tienen necesidades de considerar los aspectos éticos en las áreas en las que opera.
negocio que requieren de acceso a datos que tienen una antigüedad
de l O a 20 años o más. Éstos pueden incluir registros de clientes,
registros de pacientes, información de ingeniería, entre muchos 1 .1 4.4 CULTURA
otros. Como regla, la estrategia de retención y la política posterior La cultura interna de la organización se debe tomar en cuenta
deben cumplir, como mínimo, con los requerimientos legales en la a la hora de desarrollar una estrategia de seguridad. También
jurisdicción y la industria de las que se trate. se debe considerar la cultura en la cual funciona la organización.
Una estrategia que esté en desacuerdo con las convenciones
Dependiendo de la ubicación y el sector industrial en los que culturales podría encontrar resistencia y ello dificultaría una
se encuentre una organización, los organismos reguladores

-
implementación exitosa.
imponen requerimientos con los que debe cumplir una
organización, entre otros.
1 .1 4.5 ESTRUCTURA ORGANIZACIONAL
Algunas regulaciones, como Sarbanes-Oxley, han impuesto La estructura organizativa tendrá un impacto significativo en
requerimientos obligatorios de retención para varios tipos y cómo una estrategia de gobierno puede concebirse y aplicarse.
categorías de información, independientemente del medio en el que A menudo, existen diversas funciones de aseguramiento en
esté almacenada. La estrategia requerirá que el gerente de seguridad "silos" que tienen diferentes estructuras jerárquicas y facultades.
de la información se mantenga actualizado en lo referente a estos La cooperación entre dichas funciones es importante y suele

- requerimientos y garantice su cumplimiento. Otro requerimiento


legal que debe considerarse es el orden legal de conservación
de acuerdo con el cual una organización o persona debería
requerir de la participación e interacción de la alta dirección.

1 .1 4.6 COSTOS
retener datos específicos a solicitud de la ley u otras autoridades. El desarrollo y la implementación de una estrategia consumirán
Generalmente también sucede que la información archivada se debe recursos, incluso tiempo y dinero. Por supuesto que será necesario
indexar adecuadamente para su localización y recuperación. que la estrategia considere la forma más rentable de implementarla.

Manual de Preparación para el Examen CISM 14º edición 71


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

L as organiz aciones a menudo justifi can el gasto con base deben acatarse o soporte que deba asignarse a ciertas operaciones
en e l valor del proy ecto. No obstante, cuando se trata de estratégicas, tales como una fusión. Podría h aber periodos de
proy ectos de seguridad, la evasió n de un riesgo en específi co oportunidad para actividades de negocio específi cas que exigen
o el cumplimiento con las regulaciones son por lo general los cie rt os plazos para la implementación de determinadas estrategias.
principales impulsores.
1.14.1 1 ACEPTACIÓN Y TOLERANCIA DEL RIESGO
E n términos generales, desde una perspecti va de negocios,
E l nivel de riesgo aceptable y la tolerancia q ue tenga una
un análisis de costo-beneficio u otro análisis financiero es el
organizació n al riesgo desempeñará una funció n importante e n el
enfoque de may or ace ptació n para justifi car gastos y debe
desarrollo de una estrate gia de seguridad de la info rmació n. Aun
tenerse en cuenta cuando se desarrolle una estrategia.
cuando es difi cil de medir, existen varios métodos para llegar
Un e nfoque tradicional, pero espe cul ativo es considerar el valor
a aproximaciones ú tiles. Un método consiste en desarrollar el
de evitar un riesgo específi co calculando las pérdidas potenciales
objetivo de tiempo de recuperació n (RTO) para sistemas críticos.
en las que se puede incurrir mediante un incidente espe cífi co,
E ntre más breves se an los tiempos q ue determine n los gerentes
y multiplicándolas por la probabilidad de que ocurra en un año
correspondie ntes, may or será el costo y menor se rá el apetito de
de terminado. Ello resul ta en una expectativa de pérdida anual
riesgo. L os RTO se basan en un análisis de impacto al negocio
(ALE). Así, el costo de los controles req ueridos para excluir tal
o de depende ncia para determinar los tiempos de inactividad
e vento puede compararse con ALE para determinar el ROL
permisibles para vari os recursos. Obviamente, el costo de
prote cció n no de be exceder el be nefi cio de rivado.
Un enfoque tradicional pe ro especulativo es considerar el valor
de evitar un riesgo espe cífico calcul ando las pérdidas potenciales
en las q ue se puede incurrir me diante un incidente específi co, 1 .15 PLAN DE ACCIÓN PARA IMPLEMENTAR LA
y multiplicándolas por la probab ilidad de q ue ocurra en un año
determinado. E ll o resulta en una expectativa de pérdida anual ESTRATEGIA
(ALE). Así, el costo de los controles req ueridos para excluir tal La impleme ntació n de una estrategia de seguridad de la info rmació n
evento puede compararse con ALE para determinar e l retomo de requiere normal mente uno o más proyectos o iniciativas. Un análisis
la inversión (ROi ). de l as brechas entre el estado actu al y el estado dese ado para cada
métri ca defi ni da identifi ca los requerimientos y las prioridades
Recientemente, los avances en l as tecnologías y los proce dimientos necesarios para un plan de acción gl obal o mapa de ruta con el fi n
de conex ió n única y otorgamiento de acceso a usuarios han de lograr l os objetivosy cerrar las brech as.
resultado en ahorros de tiempo y costos sobre las técnicas
tradicionales de administración manual, lo cual puede propo rcionar
una base razonable para los cál culos del ROL Existen v arios 1 .1 S.1 ANÁLISIS DE BRECHAS: BASE PARA U N PLAN
ejemplos que comparan los costos de los procesos tradicionales con DE ACCIÓN
los procedimientos más re cientes, y éstos se pueden utiliz ar para Será necesario re alizar un análisis de brechas para diversos
desarrol lar un business case (caso de negocios). compo nentes de l a estrategia que y a se discutieron con anterioridad,
tales como niveles de madurez, cada objetivo de control y cada
1 .14.7 PERSONAL obje tivo de riesgo e impacto. El análisis i de ntifi cará los pasos
Una estrategia de seguridad tiene que considerar la resi ste ncia necesarios para pasar del estado actual al estado dese ado con el fi n
que podría encontrar durante la implementació n. Por lo ge neral de l ograr los obje tivos defi nidos.Podría ser necesario repetir este
de be esperarse que h ay a resistencia a cambios signifi cativos, y ejercicio cada año o con mayor frecuencia a fi n de proporcionar
posibles resentimientos contra nuevas limitaciones q ue podrían métricas de desempeño y de metas, así como info rmación sobre
percibirse q ue difi cultan más las tareas o que son muy tardadas. posi bles correcciones a medio camino que sean ne cesarias para
respo nde r a los ambientes cambi antes u otros factores. Un enfoque
típi co del anál isis de bre chas es trabajar en se ntido inverso desde el
1 .14.8 RECURSOS punto fi nal h asta el estado actu al y de terminar los pasos interme dios
Una estrategia efectiva debe considerar los presupuestos disponib les, que se requieren para alcanzar los ob jetivos.
el costo total de la propi edad (TCO- total cost of ownershi p) de
tecnologías nuevas o adicionales y los requerimientos de personal Se pue de utilizar el CMM u otros métodos para determinar
de diseño, aplicació n, operació n, mantenimie nto y cierre e ventu al. l a b rech a o dife rencia e ntre el estado actu al y el estado deseado.
T ípicamente, TCO debe desarrollarse para el ciclo de vida comple to Algunas áreas típicas que se de ben valorar y / o garantiz ar
de te cnología, procesos y personal. incluy en, entre otras, que:
• Una estrategi a de segu ri dad que cuente con la aceptació n y
1 .14.9 CAPACIDADES e l apoy o de la alta dire cció n.
Los re cursos con los que se cuenta para implementar una estrategia • Una estrategia de seguridad que tenga un vínculo intrínse co
deben incluir las capacidades conocidas de la organización, entre con los ob je tivos d e ne gocio.
otras, conocimientos especializ ados y habilidades. Por supuesto que • Políticas de seguridad que estén completas y que sean
una estrategia que se b asa en capacidades demostradas tiene más congruentes con la estrategia.
probabilidades de tener éxito q ue una que no tiene esa base. • Se mantengan de mane ra consistente estándares comple tos
para todas las políticas aplicab les.
• Pro cedimientos completos y precisos para todas las
1 .14.l O TI EMPO operaciones import antes.
E l ti empo es una limitación signifi cativa en el desarrollo de • Asignació n cl ara de roles y responsabilidades.
una estrategia. Podría h abe r fe chas límite de cumplimiento que

72 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformatioo
:�:�":::ager· Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

• Se cuente co n una estr uctura o rganizacio nal que o to rgue po lítica será inco rre cta. Debe ser evidente q ue una po lítica que
una autoridad apro piada a la gest ió n de seguridad de la co ntradice a la est rategia será cont rapro ducente. La est rategia es
info rmació n sin que existan confl ictos de inte rés inherentes; la de claració n de la intenció n, las expe ctativas y la dire cción de
• Lo s activos de información se hayan identifi cado y clasifi cado la gere ncia. A su vez, las po líticas deben se r co ngruentes con la
para determinar su criticidad y sensib ilidad. intención y la dire cción de la est rategia y respaldarlas.
• Co nt ro les efe ctivos q ue se hayan diseñado, implementado y
mantenido. La mayoría de las organizacio nes en la actualidad cuentan con
• Se cuente con mét ricas de seguridad y pro cesos de monitoreo algunas políticas de seguridad de la info rmació n. Tradicionalme nte

- e fi caces.
• Pro cesos e ficaces de cumplimiento y exigencia de cumplimiento.
• Se tengan capacidades de respuesta funcionales y probadas ante
han evo lucionado al paso del t iempo y se han creado en respuesta
a algún problema de seguridad o regulación, y a menudo son
incongruentes e incluso co nt radicto rias. Estas políticas casi nunca
e merge ncias e incidentes. están relacionadas co n una estrategia de se guridad (si existen) y
• Se cue nte con planes probados de continuidad de ne go cio/ só lo guardan una re lación casual co n las actividades de ne gocio.
re cuperació n de desast re.
• Los pro ceso s de gestión de camb io s cuenten con la deb ida Las po líticas so n uno de los elementos primarios del gob ie rno.
aprobación de seguridad. Po r e llo, deben estar debidamente e labo radas, y contar con la
• Riesgo q ue esté deb idamente ident ifi cado, evaluado, aceptación y validació n del co nsejo de dire cció n y la dire cció n

-
co municado y gestionado. e je cutiva; asimismo, deben difundirse ampliamente en toda la
• Ex ista una co ncienciació n ade cuada sob re seguridad po r parte o rganización. Podría haber ocasiones en las q ue sea necesario
de to dos los usuarios y la debida capacitació n; elabo rar sub políticas para t ratar situacio nes ex cepcionales
• Ex ista un desarro llo y ent rega de actividades que puedan separadas del grueso de la o rganizació n. Un e je mplo de e llo sería
promo ver la seguridad de manera positiva en la cultura y cuando una parte independiente de la organizació n lleva a cabo un
co mportamiento del perso nal. t rabajo militar altamente confi dencial. Las po líticas q ue refle jan
• Se entiendan y t raten lo s temas regulatorio s y le gales. lo s req uerimiento s de seguri dad espe cífi cos para t rabajo militar
• Tratamiento de temas re lacionado s co n la seguridad de lo s confi dencial po drían ex istir como un co njunto po r separado.
proveedores de serv icio externos.
• Se resuelvan de manera opo rtuna los temas relacionados con Ex iste un gran número de at ributos de po líticas reco mendab les
incumplimientos y otras desviaciones. que deben de tenerse en consideració n:
• Las políticas de seguridad deben ser una articulación de una
1 .1 5.2 DESARROLLO DE POLÍTICAS estrategia de se guridad de la informació n b ien defi nida y captar
la inte nción, las expe ctativas y la direcció n de la gerencia.
Uno de los aspe ctos más importantes de l plan de acció n
• Cada política debe estable ce r so lo un mandato general de
para eje cutar una est rategia será crear o mo dificar po líticas y
se guridad.
estándares, según sea ne cesario. Las po líticas so n la co nstitució n
• Las po líticas deben ser claras y de fácil comprensió n parat odas
de l gobierno; lo s estándares son la ley. Las políticas deben
las partes interesadas.
capturar la intención, expe ctativas y dire cción de la gerencia.
• Las po líticas rara vez deben tener una extensión q ue ex ceda
A medida q ue evo luciona una est rategia, es fundamental que se
unas cuantas o raciones.
de sarrollen po líticas de apoyo a fin de est ructurar la est rategia.
• Rara vez hab rá una razón para tener más de una veintena
Po r eje mplo, si e l ob jet ivo es cumplir con I SO/IEC 27001: 2013
de po lít icas.
en un periodo de tres año s, entonces laestrategia tiene que
considerar, ent re otras co sas, los elemento s que se van a t ratar
La mayoría de las organizaciones han elabo rado po líticas de
primero, los recursos que se van a asignar, có mo se van a
seguridad antes de desarro llar una estrategia de seguri dad. En
conseguir los elemento s de la norma. La directriz mo strará los
efecto, la mayoría de las o rganizaciones aún no han desarro llado
paso s y la se cuencia, las dependencias y las etapas importantes.
una est rate gia de seguri dad. En muchos caso s, el desarrollo de
El plan de acció n es, en esencia, un plan de proye cto para
po líticas no ha seguido al enfoque de fi nido anteriormente y se ha
adaptado provisionalmente a vario s formatos. A menudo, estas
implementar la est rategia después de estab lece r la direct riz.
po líticas se han redactado para incluir estándares y procedimientos
Si el objetivo es dar cumplimiento a I SO/IEC 2700 1 :2013, cada
en do cumentos ex tensos y detallados reco pilados en grandes y
uno de los 14 dominios respectivos y principales sub divisiones
empo lvados vo lúmenes relegado s al archivo defi nitivo /muerto.
tienen que ser el tema de una política. En la práctica, esto se puede
lograr de manera efectiva con un promedio de po co más de una
Sin e mbargo, en mucho s caso s, en particular en organizaciones
ve intena de po líticas específi cas para instituciones incluso de gran
peq ueñas, se han desarro llado prácticas efe ctivas que no
tamaño. Es probab le que cada política tenga varias estándares de
necesariamente están reflejadas en po líticas escritas. Las prácticas
apoyo que por lo regular se dividirán en do minios de seguridad.
vige nte s que tratan en forma ade cuada lo s req ue rimientos de la
En otras palabras, un conjunto de estándares para un dominio de
se guridad pueden ser de mucha utilidad para establecer la base
alta se guridad po dría se r más riguro sa que los estándares para
para elaborar po líticas y estándares. Este e nfoq ue minimiza
un do minio de baja seguridad. También po dría ser necesario
las inte rrupciones en la organización, la divulgació n de nuevas
desarrollar ot ras estándares para diferentes unidades de nego cio
po líticas y la resistencia a limitaciones nue vas o desco no cidas.
dependiendo de sus actividades y requerimiento s regulato rios.

La est rategia completa estab le ce la base para crear o mo difi car 1 .1 5.3 DESARROLLO DE ESTÁNDARES
políti cas e xiste ntes. Debe se r po sib le dar seguimiento a las Lo s estándares so n po derosas herramientas de la gest ión
po líticas hasta llegar directamente a los e lementos de la est rategia de se gur idad. Estab le cen los límites permisib les para
De lo cont rario, o bien la est rategia estará inco mpleta, o b ie n, la pro ce dimientos y prácticas de te cno logía y sistemas, y tamb ién

Manual de Preparación para el Examen CISM 14º edición 73


ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido e·= �:::-i
Anls.\CA"C.rtl!lc¡i!Jon

para personas y eventos. Si se implementan adecuadamente, durante su ejecución de manera oportuna. Es probable que exista
son la ley para la constitución de la política. Proporcionan la una variedad de metas que se puedan alcanzar a corto plazo y que
vara que mide el cumplimiento de la política y una base sólida requieran de recursos y un plan de acción para alcanzarlas.
para realizar auditorías. Asimismo, regulan la elaboración de
procedimientos y directrices. Existen varios enfoques que pueden aplicarse para monitorear
y medir el progreso de manera continua. Uno o más métodos
Los estándares son la herramienta predominante para la pueden ser utilizados para determinar el estado actual, se pueden
implementación de un gobierno efectivo de seguridad y deben aplicar de manera regular para determinar y dar seguimiento a
ser propiedad del gerente de seguridad de la información. Deben los cambios de dicho estado. P or ejemplo, se podría utilizar un
elaborarse cuidadosamente para establecer sólo los limites cuadro de mando (balanced scorecard) de manera efectiva, dado
necesarios y sign ificativos sin restringir de manera innecesaria que en sí mismo sería un medio de dar seguimiento continuo
las opciones de procedimientos. Los estándares sirven para al progreso. Otro enfoque que se usa comúnmente es el CMM
interpretar políticas y es importante que reflejen la intención para definir tanto el estado actual como los objetivos. El CMM,
de la política. Los estándares no deben ser ambiguas; deben ser un enfoque sencillo que es fácil de implementar y es utilizado
consistentes y precisas con respecto al alcance y el público al ampliamente por COBIT 4, ofrece una base para llevar a cabo
que están dirigidas. Los estándares deben existir para elaborar un análisis de brechas continuo para determinar los avances
estándares y políticas en lo relativo a su formato, contenido realizados para alcanzar las metas. COBIT 5 ha incorporado un
y aprobaciones requeridas. nuevo enfoque más granular llamado modelo de evaluación de
procesos (PAM) que servirá al mismo propósito.
Los estándares deben darse a conocer a aquellos que se Sin embargo, cada plan de acción se beneficiará por desarrollar un
regirán o se verán afectados por ellas. De igual forma, deben conjunto apropiado de Indicadores Clave de Desempeño (KPI),
desarrollarse procesos de revisión y modificación. definiendo Factores Críticos de Éxito (CSF) y estableciendo
Indicadores Clave de Metas (KGI) acordados. Por ejemplo, el
Los procesos de excepción deberán desarrollarse para los plan de acción para alcanzar un cumplimiento regulatorio para
estándares que no se puedan alcanzar de inmediato por razones Sarbanes-Oxley puede requerir, entre otras cosas:
tecnológicas o de otro tipo. Asimismo, debe desarrollarse • Un análisis detallado por parte del personal jurídico competente
un proceso para implementar controles compensatorios para para determinar los requerimientos regulatorios aplicables a
situaciones de incumplimiento. cada unidad de negocio afectada.
• Conocimiento del estado actual del cumplimiento.
1 .15.4 CAPACITACIÓN Y CONCIENCIACIÓN • Definición del estado requerido de cumplimiento.
Un plan de acción eficaz para implementar una estrategia
Entre las posibles métricas y actividades de monitoreo pueden
de seguridad debe considerar un programa continuo de
estar los siguientes KGls, CSFs y KPis:
sensibilización y capacitación sobre seguridad. En la mayoría
de las organizaciones, la evidencia indica que la mayor parte del Indicadores Clave de Metas
personal no conoce las políticas ni las normas de seguridad ni Definir objetivos claros y lograr un consenso en las metas es
siquiera si éstas existen. Para asegurar la sensibilización de las fundamental para desarrollar métricas sign ificativas. Para este
políticas nuevas o modificadas, todo el personal implicado debe plan en particular, las metas clave podrían incluir:
capacitarse adecuadamente para poder ser capaz de ver la relación • Alcanzar niveles de cumplimiento sobre pruebas de controles de
existente entre las políticas y las normas y sus tareas cotidianas. Sarbanes-Oxley.
Esta información debe ajustarse a los grupos individuales • Llevar a cabo una validación y certificación independientes del
para asegurar su importancia y debe presentarse en términos cumplimiento con las pruebas de controles.
claros y de fácil comprensión para las personas a las que va • Elaborar la declaración requerida sobre la eficacia del control.
dirigida. P or ejemplo, la presentación de nuevas normas sobre el
endurecimiento de los servidores no tendrá mucho sentido para el Sarbanes-Oxley requiere que para todas las organizaciones que
departamento de expedición o embarques. cotizan en bolsa en los Estados Unidos, se deben probar todos
los controles financieros dentro de los noventa días posteriores
Además de proporcionar información a los que se ven afectados a la presentación de la información, para determinar su eficacia.
por los cambios, es importante asegurarse de que el personal Los resultados de las pruebas deben contar con la firma tanto
implicado en los diversos aspectos de la implementación de la del CEO como del CFO, así como con la certificación por parte
estrategia esté también debidamente capacitado. P ara ello es del departamento de auditoría de la organización. Los resultados
necesario comprender los objetivos de la estrategia (KGI), los deberán entonces incluirse en los archivos públicos de la
procesos que se utilizarán y la métrica de ejecución para las organización que se envían a la Comisión de la Bolsa de Valores
distintas actividades (KPI). (SEC) de los EUA.
P ara una descripción adicional de la Concienciación de la Factores Críticos de Éxito
seguridad, consulte el Capítulo 3, sección 3.1 3.2. A fin de dar cumplimiento a la ley Sarbanes-Oxley, se deben
llevar a cabo determinados pasos para alcanzar con éxito los
1 .15.5 MÉTRICAS DEL PLAN DE ACCIÓN objetivos requeridos, entre otros:
El plan de acción para implementar la estrategia requerirá de • Identificar, clasificar y definir los controles.
métodos para monitorear y medir el progreso y el logro de • Definir pruebas adecuadas para determinar su eficacia.
las etapas importantes. Tal como sucede con cualquier plan • Asignar recursos para llevar a cabo las pruebas requeridas.
de proyecto, se deben monitorear el progreso realizado y los
costos incurridos de manera continua a fin de determinar su Las grandes organizaciones tienen cientos de controles (o más) que,
aproximación al plan y permitir que se hagan correcciones por lo general, han sido desarrollados a lo largo de un periodo. En

74 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
Security Manager" Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

-
An1SACA"Certl11�atlon

muchos casos, estos controles son provisionales y no están sujetos técnicos de seguridad que se encuentren disponibles. Los cuales
a procesos formales. Será necesario identificar los procesos de pueden incluir:
control, procedimientos, estructuras y tecnologías, de tal forma que • Resultados del análisis de vulnerabilidad.
sea posible desarrollar un régimen de pruebas adecuado. Asimismo, • Cumplimiento de los estándares de configuración de servidores.
será fundamental determinar los recursos y procedimientos de • Resultados del monitoreo de IDS.
pruebas que se requieran para llevar a cabo las pruebas requeridas. • Análisis de registro de cortafuegos (firewall)

Indicadores Clave de Desempeño Suele ser dificil diseñar e implementar métricas útiles de gestión
Entre los indicadores que muestran los factores de desempeño de la seguridad de la información. El enfoque se encuentra
clave o críticos que se requieren para alcanzar los objetivos se frecuentemente en las vulnerabilidades de TI obtenidas mediante
encuentran los siguientes: escaneo automático sin saber si existe alguna amenaza o si hay algún
• Planes de pruebas a la eficacia del control. impacto potencial. Desde la perspectiva de gestión de seguridad de
• Progreso realizado en las pruebas a la eficacia del control. la información y estratégica, no se trata de una información valiosa.
• Resultados de las pruebas aplicadas a la eficacia del control.
Esta situación a menudo resulta en la recopilación de enormes
Para que la gerencia dé seguimiento al progreso en las pruebas cantidades de datos para intentar garantizar que no se ha pasado

-
realizadas, es preciso desarrollar planes de pruebas adecuados por alto nada significativo. El resultado puede ser que el mero
que sean congruentes con las metas que se hayan definido y que volumen de datos dificulte ver la "foto completa", y será
incluyan los Factores Críticos de Éxito. Dado el tiempo limitado necesario desarrollar procesos para filtrar datos técnicos hasta
(90 días) con el que se cuenta para llevar a cabo las pruebas obtener la información necesaria para gestionarlo con efectividad.
requeridas, la gerencia necesitará contar con informes sobre los Es posible lograr mejoras en el monitoreo integral mediante un
avances y los resultados de las pruebas. análisis detallado de las métricas que están disponibles a fin de
determinar su relevancia. P or ejemplo, resultaría interesante
Consideraciones Generales de Métricas saber cuántos paquetes fueron rechazados por los cortafuegos
Las consideraciones para las métricas de la seguridad de la (firewalls); sin embargo, aclara en poco el riesgo al que se enfrenta
información incluyen garantizar que aquello que se esté midiendo, la organización o los impactos potenciales. Podría tratarse de
sea, de hecho, relevante. P uesto que la seguridad es dificil de medir información que es de utilidad para el departamento de TI pero
con objetividad, suelen utilizarse métricas relativamente superfluas que no tiene valor alguno para la gestión de seguridad de la
tan sólo porque están disponibles fácilmente. Las métricas sirven información. Por otra parte, conocer el tiempo que toma recuperar
para un solo propósito: proporcionar la información necesaria para los servicios críticos después de que ha ocurrido un incidente grave
tomar decisiones. Por lo tanto, es crítico entender qué decisiones podría ser de suma utilidad para todas las partes involucradas.
se deben tomar, quién las toma y luego buscar maneras de Las actividades de diseño y monitoreo de métricas deben tener
proporcionar esa información adecuada y oportunamente. Métricas en consideración lo siguiente:
diferentes resultarán más o menos útiles para distintas partes de la • Lo que es importante para las operaciones de seguridad
organización y deben de determinarse de manera conjunta con los de la información.
dueños del proceso de negocio y con la gerencia. • Los requerimientos de la gestión de seguridad de la información.
• Las necesidades de los dueños del proceso de negocio.
Las métricas generalmente se ubicarán en una de tres categorías: • Lo que desea saber la alta dirección.
estratégicas, tácticas y operacionales. Comúnmente, la alta

-
dirección no se interesa en métricas técnicas detalladas como La comunicación con cada uno de los componentes podría
el número de ataques de virus frustrados o de contraseñas servir para determinar los tipos de informes de seguridad
(passwords) restablecidas, sino en información de naturaleza que les resultarían útiles. Entonces es posible desarrollar
estratégica. Mientras las métricas técnicas pueden ser los procesos de presentación de información que le proporcionen
significativas para el gerente de seguridad de TI, la alta dirección a cada grupo la información de seguridad que requiera.
suele desear un resumen de información importante desde una
perspectiva de gerencial información que normalmente excluye
datos técnicos detallados. Los cuales pueden incluir: 1 .16 IMPLEMENTACIÓN DEL GOBIERNO DE LA
• Avances de acuerdo al plan y presupuesto.
• Cambios significativos en el riesgo y posibles impactos a los
SEGURIDAD: EJEMPLO
objetivos del negocio. La siguiente sección demuestra un enfoque para implementar
• Resultados de las pruebas al plan de recuperación ante desastres. el gobierno de la seguridad utilizando el CMM para definir
• Resultados de la auditoría. objetivos (KG!s), determinar una estrategia y como una
• Estado del cumplimiento de las normas reguladoras. métrica del progreso. Alcanzar un CMM de nivel 4 es
Es probable que el gerente de seguridad de la información desee una meta organizacional típica y podría expresarse como
recibir información más detallada que incluya, entre otros: un estado deseado.
• Mediciones del cumplimiento de la política.
• Procesos, sistemas u otros cambios significativos que pudieran La siguiente lista, basada en COBIT 4, podría no delinear todos los
afectar el perfil de riesgo. atributos y las características del estado deseado de la seguridad de
• Estado de la gestión de parches. la información y podría ser necesario añadir otros elementos. No
• Excepciones y desviaciones a las políticas o estándares. obstante, proporciona lo básico que se requiere y una descripción
adecuada del estado deseado de seguridad para la mayoría de las
En organizaciones que cuenten con un gerente de seguridad de organizaciones, como se establece a continuación:
T I, es probable que sean de utilidad la mayor parte de los datos • La evaluación del riesgo es un procedimiento estándar y la
gerencia de TI debería estar en capacidad de detectar cualquier

Manual de Preparación para el Examen CISM 14º edición 75


ISACA. Todos los derechos reservados.
Capítula 1 -Gabierna de seguridad de la información Sección Das: Contenido e·=��� An lSACA"Certlflcatlon

desviació n en la ejecució n de este proc edimiento. Es probable 15. Las prác ticas de redundancia de sistemas, incluyendo
que la gestión de ri esgos de TI sea un departamento gerenc ial el uso de c omponentes de alta disponibilidad, se utilizan
defi nido con la responsabil idad de un nivel superi or. La alta de manera c onsistente.
direcc ió n y la gerencia de TI han determinado los niveles de
riesgo que tolerará la organizac ión y tendrá medidas establecidas Dependiendo de la estructura organizac ional, será necesario evaluar
para las proporciones de riesgo/benefic io. cada área o proceso significativo de la organizació n por separado.
• Las responsabilidades en lo q ue respec ta a la seguridad P or ejempl o, será preciso eval uar las áreas de c ontabil idad, recursos
de la informac ión se asignan, se gestionan y se exige su humanos, operaciones, TI, unidades de negocio o subsidiarias para
cumplim iento de fo rma c lara. Se lleva a cabo de manera determinar si el estado actual cumpl e con l os requerimientos de l os
consistente el análisis de impacto y riesgo de la seguridad 15 elementos ( o más) enlistados con anteriori dad.
de la informac ió n. Las pol íticas y las prác ticas de seguridad En la may oría de las organizaciones, los típicos resultados para cada
se completan c on niveles mínimos específicos de seguridad. una de las 15 caracterí sticas definidas anteriormente oscilarán entre
Las sesiones de c oncienc iac ió n sobre la seguridad se han vuelto los niveles de madurez en una escala de 1 a 4.
obligatorias. La identificación, autenticac ión y autorizac ión de Será nec esario revisar las políticas para determinar si c ubren
usuarios se han h omol ogado. Se ha establec ido la cert ificac ió n también cada uno de los elementos. Hasta el grado en q ue no los
de seguridad del personal. Las pruebas de intrusos son un incluyan, la siguiente secc ión ofrec e sugerenc ias de políticas que
proceso establecido y fo rmalizado que c onduc e a mejoras. abarcan cada uno de l os requerimientos del CMM 4.
El análisis de c osto- benefic io, como ap oyo a la implementació n
d e las medidas d e seguridad, se está utilizan do cada vez c on Un objetivo que debería establecerse es: "alcanzar niveles de
mayor frec uenc ia. L os procesos de seguridad de la informac ión madurez consistentes entre dominios de seguridad específic os",
se c oordinan c on el área de segur idad de toda la organizac ión. teniendo c onc ienc ia de la noc ió n de que " la seguridad es sólo
La presentac ió n de informac ión relativa a la seguridad de la tan buena como el eslabó n más débil". P or ejemplo, el nivel de
informac ión está vinculada a l os objetivos de negocio. madurez de todos los procesos c rític os debe ser igual.
• Se exige el c umplim iento de las responsabil idades y
los estándares para un servic io continuo. Las prác ticas Al selecc ionar un departamento, unidad de negocio o área en
de redundancia de sistemas, incluyendo el uso de componentes partic ular dentro de la organización, puede c onsiderarse el nivel
de alta disponibilidad, se utilizan de manera c onsistente. de madurez de la primera dec larac ión del CMM 4.
La primera declarac ión es: (La evaluac ió n de l riesg o e s un
Después de desglosar los elementos individuales del CMM 4 procedim iento estándar y la gesti ó n de seguridad de bería
se obtiene la siguiente l ista: e star e n capac i da d de detectar cual quie r desviac ió n e n la
l . La evaluac ión del riesgo es un procedim iento estándar y la ej ec uc ión de e ste proc edimiento).
gestión de seguridad debería estar en capac idad de detectar
c ualquier desviac ión en la ejecuc ión de este proc edimiento. Si la organizac ió n no se enc uentra en este nivel de madurez,
2. La gestió n de riesgos en la seguridad de la informac ión es entonces tiene que considerarse el enfoque para alcanzar este
una función gerencial defi nida bajo la responsabilidad del elemento. Un gran número de requerimientos se encuentran
nivel superior. implícitos en esta declaració n. Uno de ellos es que las evaluaciones
3. La alta dirección y la gerenc ia de seguridad de la info rmació n de riesgo son procedimientos estándar y formales que se llevan a
han determinado los niveles de ri esgo q ue tolerará la cabo c omo resultado de cambios en sistemas, procesos, amenazas
organizació n y tendrá medidas establecidas pa ra las o vulnerabilidades, y de manera regular. Asimismo, está implícito
relac iones de ri esgo/benefic io. que estas evaluac iones se basan en buenas prác ticas y se aplican a
4. Las responsabilidades en l o que respec ta a la seguridad procesos c ompletos, ya sean fí sicos o electrónic os.
de la informació n se asignan, se gestionan y se exige
su c umplimiento de forma clara. Además, la declarac ión implica que se tiene implementado un
5. Se lleva a cabo de manera c onsistente el análisis de impacto monitoreo efectivo q ue garantiza q ue las evaluac iones se llevan a
y riesgo de seguridad de la informac ión. cabo según lo requiere la política.
6. Las polí ticas y las prác ticas de seguridad se c omp letan En primer lugar, se debe c ontar con una política que establezca el
con niveles mín imos específicos de seguri dad. requeri miento. En caso de que exista tal política, entonc es se trata
7. Las sesiones de conc ienciació n sobre la seguridad se han el requeri miento. De lo c ontrario, sería necesario c rearla, o bien,
vuelto obl igatorias. modificar alguna política existente.
8. La identificac ió n, autenticación y autorizac ión de usuarios
se han h omologado. Una política ap ropiada para tratar este requerimiento podría
9. Se ha establecido la c ert ificac ión de seguridad del personal. establec er lo siguiente:
1 O. Las pruebas de intrusos son un proceso establec ido
y formalizado q ue conduce a mejoras. El riesgo de seguridad de la iriformación debe
11. El análisis de c osto- benefic io, como apoyo a la valorarse con regularidad o a medida que los
implementac ió n de las medidas de seguridad, se está cambios en las condicionesjustifiquen la utilización
utilizando cada vez c on mayor fr ec uenc ia. deprocedimientos estandarizados y tiene que incluir
12. L os procesos de seguridad de la informac ió n se coordinan todas las tecnologías y procesos relevantes. Se
con el área de seguri dad de toda la organizac ión. deberá notificar al área de seguridad corporativa
13. La presentació n de información relativa a la seguridad antes de comenzar dichas evaluaciones, y de igual
de la información está vinculada c on los objetivos de negocio. forma dicha área deberá recibir los resultados de
14. Se exige el c umpl imiento de las responsabilidades las evaluaciones hasta su conclusión.
y los estándares para un servic io c ontinuo.

76 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Cerlified lnlormation
�:�,,�:�age( Capítulo 1 -Gobierno de seguridad de la información Sección Dos: Contenido

-
Esta política debe tratar el requerimiento del CMM 4 para un • Activos de info rmación que se han identifi cado y clasificado
procedimien to estándar y un proceso para mantener info rmada de acuerdo con su criticidad y sensibilidad-Todos l os acti vos
a la gestión de seguridad. Podría ser n ecesario crear un conjunto de información deben ten er a su dueño debidamente identificado
posterior de estándares para definir l os límites perm isibles y los y deberán ser catalogados. Asimismo, deberá determinarse su valor
requerimientos para la val oración de riesgos de diversos dominios y deberán clasifi carse con base en su criticidad y sensibil idad a lo
operativos. A continuación se presenta el ejemplo de un a n orma: l argo de su cicl o vital.
• Q ue se hay an diseñado, implemen tado y man tenido con troles
L os dominios de alta seguridad que abarcan sistemas efe ctivos- Tan to el riesg o como los impactos poten ciales deben
de n eg ocio críticos y / o info rm ación confiden cial o admin istrarse utilizando controles y contramedidas apropiados
protegida deberán val orarse cada año para efectos de para alcan zar nivel es aceptabl es a costos aceptabl es.
riesg os, o con mayor frecuen cia si ex isten: • Que se cuen te con procesos de monitoreo efi caces- Todas
- Cambios importan tes en l as amen azas o impactos las actividades importantes de gestión de riesg os, aseguramiento
poten ciales y seg uridad deben contar con procesos para proporcion ar
- Cambios en el h ardw are o software el mon itoreo con tin uo que se requiere para g arantizar
- Cambios en el n eg ocio o los objetivos que se al canzan los objetivos de control.
Dichas evaluaciones deberán ser responsabilidad del dueñ o • Que se cuente con procesos efi caces de cumplimien to
del sistema o de l os datos, y deberán enviarse al área de seguridad y ex igen cia de cumpl imien to--S e deben implemen tar,
corporati va para su revisión oportuna. Cuando sea posible, l as administrar y man tener métricas y actividades de mon itoreo
eval uaciones deberán real izarse antes de implementar cambiosy se q ue proporcionen un aseguramiento con stante de que se ex ige
deberán someter a la aprobación del área de seguridad corporativa el cumplimien to de todas las políticas de seg uridad y q ue
con respecto a su congruencia con la política aplicabl e. se alcanzan los objetivos de con trol.
• Q ue se tengan capacidades de respuesta ante emergencias
L a segunda decl aración en el CMM 4 es la siguien te: (L a g estión e incidentes, fun cion al es y probadas- Se deben implementar
de riesg os en la seguridad de la información es un a fun ción y administrar capacidades de respuesta a incidentes que sean

-
gerencial definida bajo l a responsabilidad del nivel superior). sufi cientes para ga ran tizar que l os impactos no afectan de manera
Para alcanzar este requerimien to, puede ser necesario h acer signifi cativa l a capacidad de la organ ización para continuar con sus
algún cam bio org an izacional. A menudo, la seguridad de l a operaciones.
información se releg a a gerentes de nivel infe rior, con l o cual n o • Que se cuente con planes probados de con tinuidad de negocio/
s e al canza el objetivo. Con base en el model o CMM d e COBIT y recuperación de desastre- Se deben de desarroll ar, manten er
el documen to rel acion ado "Governing fo r En terpri se S ecurity y probar planes de continuidad de neg ocio y de recuperación
(Gobierno de la S eguridad Empresarial)", es posible elaborar un de desastre de tal fo rma que se g aran tice la capacidad de la
caso de neg ocio (business case) sólido para impl ementar este org an ización para con tinuar operando bajo cualquier condición.
cambio estructural.
L a may oría de las org an izacion es n o ha alcan zado un nivel
El tercer criterio del CMM establ ece lo siguiente: "L a alta dirección de madurez CMM 4 uniform e en toda la empresa. Este n ivel,
y la gerencia de seguridad de l a info rmación han determinado l os sin embarg o, suele ser sufi ciente para aten der las necesidades
niveles de riesgo que tolerará la organización y tendrá medidas de seg uridad de la may oría de las org anizaciones. De igual
establecidas para las rel aciones de riesgo/benefi cio". form a es un n ivel difi cil de al can zar y puede tomar varios años
log rarlo; sin embargo, puede servir com o el objetivo, el estado

- Una política para tratar estos criterios podría declarar que el


riesg o debe manejarse a niveles que eviten interrupciones g raves
a las operacion es críticas del neg ocio y controlen los impactos a
deseado o model o de refe ren cia.
Cabe h acer n otar q ue las políticas de muestra an teriores pueden
nivel es defin idos como aceptabl es. ser o n o apropiadas para un a org an ización en particular; n o
obstante se presentan a man era d e ejemplo en términos d e un a
L os están dares rel acion ados definirí an límites de interrupciones elaboración simple y clara, estableciendo a un alto n ivel la
g raves y especifi carían cómo determinar los niveles aceptables intención y la dirección de la gerencia.
de impacto. L os estándares también pueden establecer otras Tal como se indicó anteriormente, es n ecesario contar con
definicion es, como l os criterios de las decl araciones (quién políticas completas para tener un g obierno efe ctivo de seguridad
tiene autoridad para declarar un inciden te o desastre que de la info rmación. L a elaboración, tal como establ ecen las
requiere respuestas apropiadas) y l os criterios de severidad (un muestras, ha probado ser, en la práctica, un enfoque preferible
proceso para determina r y defini r l a severidad del even to y l os en l a medida en q ue se obtiene la part icipación de la gerencia y
req uerimientos de escalamiento y n otifi cación). el consenso general. Es preciso recordar que la el aboración de la
pol ítica tiene q ue ser consistente con la estrategia de seguridad de
1 .16.1 EJEMPLOS ADICIONALES DE POLÍTICAS l a inform ación y del estado deseado de seguridad, y ser un refl ejo
En tre l as muestras de políticas que podrían elaborarse para tr atar de el los. L as pol íticas también deben someterse a l a revisión y
algunas de l as demás decl araciones del CMM 4 estarí an las aprobación por escrito de l a alta dirección.
sig uien tes:
• Clara asignación de roles y responsabilidades- L os rol es y L os están dares complementarios son ejemplos clásicos pero deben
l as responsabilidades de la Compañía xyz deberán definirse adaptarse a las necesidades de cada organización y casi nun ca
claramen te y se deberán asignar fo rmalmente todas l as están completas. Por lo regular, se requeri rá con tar con múltiples
áreas de segu ridad que se requieran a fin de g arantizar l a estándares para cada pol ítica en cada dominio de seguridad.
determin ación d e responsabilidad. Un desempeño aceptabl e L a elaboración de estándares tiene que ll evarse a cabo con el debido
deberá asegurarse mediante un monitoreo y métricas apropiados. cuidado. S i se el aboran en fo rma adecuada, proporcionan límites de
Manual de Preparación para el Examen CISM 14º edición 77
ISACA. Todos los derechos reservados.
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido
e. Cerlified lnfonnation
Securtty Manager·
AnlSACA"Certlflcatkm

segu ridad consisten tes y una herramien ta al tamen te efectiva para • Todos los usuarios deb en recib ir formación sob re una po lítica
implemen tar el gobierno de la seguridad de la información. de uso aceptable.
• To das las po líticas deb en revisarse y mo difi carse según sea
Tanto el d epartamen to de audito ría como las unidades n ecesario para que tengan consisten cia con lo s objetivo s
o rgan izacionales afectadas deberán revisar los borrado res de lo s estratégicos d e la seguridad.
están dares. Las auditorías son uno de los principales mecanismos • Deben existir estándares para todas las po líticas.
para cumplir y exigir el cumplimien to con las po líticas. La
contribución de lo s auditores en los estándares puede ay udar a Las metas y las etapas impo rtan tes a co rto plazo deberán formar
desarrollar estándares compl eto s y efe ctivos, y podría ayudarlos par te de los planes d e acción; sin embargo, se deben d efin ir
también a desempeñar sus funciones. Es probab le que la lo s objetivos del estado deseado en con jun to a largo plazo
colabo ración con los dueños del pro ceso en cuestión permita una para maximizar las po sibles sinergias y garan tizar que to do s
mejor cooperación en la impl ementación de los cambios pro puestos los planes de acción a co rto o mediano plazo estén aco rdes a
y ayudar a garan tizar que lo s estándares no interfieran de manera las metas final es. Po r ejemplo, una so lución táctica que d eba
innecesaria en el desempeño de sus funciones. Aun cuan do esto ser remplazada po rque no se in tegrará en el plan general es
puede implicar una etapa de negociación considerab le para alcanzar pro bable que resulte más costo sa que una que sí se in tegrará.
un consenso sobre los es tándar es apro piados, el resultado final será
una mayor consisten cia con las actividades de nego cio y mejo res Es impo rtan te que la estrategia y el plan a largo plazo
resultados en términos de garan tizar su cumpl imiento. sirvan para in tegrar actividades tácticas a co rto plazo. Ello
con trarrestará la ten den cia de implemen ta r so luciones pun tuales
Para la mayo ría de las organizaciones, implemen tar un go bierno
que son típicas del mo do en crisis de la operación en el cual
efe ctivo de segu ridad de la información requerirá de una iniciativa
se en cuen tran muchos d epartamen tos d e seguridad. Tal co mo
impo rtan te dada la naturaleza a menudo fragmen tada y táctica de
han descubierto mucho s gerentes de seguridad, numero sas
lo s esfuerzos típicos relacionados con la seguridad. Para ello será
so luciones no in tegradas que se han implementado en respuesta
n ecesario contar con el apoyo y compromiso de la alta dirección
a una serie de crisis duran te vario s años se vuelven cada vez
y con los recurso s apropiados. Asimismo, será necesario elevar
más co sto sas y difí ciles d e manejar.
la gestión d e seguridad a puestos de auto ridad equiparabl es a sus
responsabilidades. Esta ha sido la tendencia en años recien tes
a medida que las o rganizaciones se vuelven completamen te 1 .18 OBJETIVOS DEL PROGRAMA DE SEGURIDAD
dependien tes de sus activos de información y recursos, y que las
amenazas e in terru pciones con tinúan aumen tando y se vuelven
DE LA INFORMACIÓN
Implemen tar la estrategia con un plan de acción tendrá po r resultado
cada vez más costosas.
un programa de seguridad de la información. El pro grama es,
en esencia, el plan de proyecto para implementar y establecer la
1.17 METAS INTERMEDIAS DEL PLAN DE ACCIÓN gestión en curso de alguna parte o partes de la estrategia.
Para la mayo ría de las o rganizaciones, se puede d efinir de
inmediato una variedad de metas específi cas a co rto plazo que El objetivo del programa de seguridad de la información
sean congruentes con la estrategia de segu ridad de la información es pro teger tan to los in tereses de aquellos que dependen
en su con jun to, una vez que se ha con cluido la estrategia de la info rmación como los pro cesos, sistemas y
to tal. Con base en la determinación del BIA d e lo s recursos co municaciones que la manejan, almacenan y en tregan de sufrir
de nego cio críticos y el estado de seguridad según se haya algún daño que sea consecuen cia de fa llo s en la dispon ibilidad,
establecido a partir del an álisis de brechas d el CMM an terio r, la confi den cialidad e integridad de dicha información.
prio rización de las actividad es co rrectivas debe ser clara.
En tan to que las d efin iciones que van surgiendo añaden
Si el o bjetivo de la estrategia de seguridad es alcanzar
con cepto s co mo lo s de uti lidad y po sesión de la información
la certifi cación CMM 4, en ton ces un ejemplo de un plan
(esta ú ltima para lidiar con ro bos, en gaños y fraudes), la
de acción (o táctico ) a un plazo cercano po dría establecer
econo mía interconectada sin duda ha añadido la n ecesidad de
lo sigu ien te:
que exista confian za y determinación de respon sabilidad en las
Duran te lo s siguien tes 12 meses: transaccion es electrónicas.
• Cada un idad d e n ego cio tien e que iden tifi car las aplicacion es
actuales en uso. Para la mayoría de las o rgan izaciones, el objetivo de la
• Tien e que revisarse el 25 po r cien to de toda la información seguridad se cumple cuan do:
almacenada para determinar su propiedad, criticidad • La información está disponible y se pued e utilizar cuan do se
y sensibilidad. le requiere, y los sistemas que la pro po rcionan pueden resistir
• Cada un idad de negocio llevará a cabo un BIA de los recurso s ataques en forma apro piada (dispon ibilidad).
d e información a fin d e iden tifi car los recursos crítico s. • La información se divulga sólo a aquello s que tengan
• Las unidades de n egocio tienen que dar cumplimien to derecho a conocerla y só lo puede ser observada po r ello s
a las regulaciones. (confi den cialidad ).
• Deben definirse to do s los ro les y las responsabilidades • La información está pro tegida con tra modifi caciones
de seguridad. no auto rizadas (in tegridad).
• Se desarro llará un pro ceso para verifi car los vín culo s a • Se puede confiar en las transacciones d e n ego cio y en
lo s pro ceso s d e negocio. el intercambio de información en tre lo caciones de la empresa
• Se debe realizar una evaluación de riesgo exhaustiva para cada o con so cio s (auten ticidad y no repud io).
unidad de n ego cio.

78 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e• Certified lnformation
� :,,�:ager'
:
Capítulo 1 -Gobiemo de seguridad de la información Sección Dos: Contenido

La relativa prioridad e impor tanc ia de la disponibilidad, A las 7:00 a.m. del lunes, el personal del NOC estaba
la c onfi denc ial idad, la int egr idad, la autenticidad y el no repudio l o suficientemente preocupado como para notificar a l os gerentes
varían de acuerdo con los dat os q ue se encuentran dentr o del de TI q ue había un probl ema y que l os monitores mostraban q ue
sist ema de información y del contexto de negocio en el cual la red se estaba saturando. U na h ora más tarde, cuando el equipo
se utilicen. P or ejempl o, la integridad puede tener particular externo de respuesta a incidentes de computac ión ( CJRT ) ll egó,
importancia c on respec to al manejo de infor mac ió n debido la r ed no estaba operativa y el equipo determinó que la red había
al impac to que la informac ión tiene en las dec isiones crít icas sido afec tada por el gusano Slammer. El gerente del equipo CIRT
relac ionadas con la estrategia. La c onfi dencial idad puede ser informó al gerente de TI q ue el Slammer residía en la memoria
lo más impor tante de acuer do con los r equer imient os legal es y q ue el reinicio de toda la red y el sitio espejo r esol vería el
o r egulatorios con respecto a la informac ió n per sonal, fi nanciera problema. El gerente afirmó que no estaba autorizado para apagar
o médica, o bien, para proteger l os secret os comerc ial es. el sistema y que era necesario que el CIO emitiera la orden. No
se pudo ubicar al CIO, y los números actual izados de tel éfono de
Es importante entender que est os concept os aplican de emergencia y l ocalizador estaban guardados en un nuevo sistema
igual forma a los sistemas el ec tró nic os que a los fí sic os. Por de l ocalizac ión de emergencia que requería acceso a la red. Cuando
ejempl o, la confi denc ial idad está expuesta tanto al riesgo de se le preguntó sobre el plan de recuperac ió n en caso de desastre
ingenier ía soc ial o " bú sq ueda en la basura ( dumpster <l iving)" (DRP ) y l o que tenía que dec ir en relación con l os criter ios de
c omo al de un ataque externo exit oso. Además, la integridad declarac ión, surgieron tres planes diferentes que habían sido
dela informac ió n puede estar expuesta, al menos c on la misma preparados por equipos de diferentes partes de la organización, sin
facilidad, a capturas fí sicas fraudulentas en el sistema qu e el conocimiento del trabajo del r esto. Ninguno contenía criterios
a la inestabilidad elec tró nica. de dec laració n o rol es, r esponsabil idades o autoridad específic os.
La resolución fi nal requirió que el CEO, quien estaba viajando al
Asimismo, debe considerarse q ue muchas de las pér didas exter ior y no estaba disponibl e de inmediato, di era instrucciones
significativas son el resultado de ataques internos así como de la mañana siguiente ( martes) para apagar la red c on fal la. Más de
ataques externos. El resultado es que l os controles que se util izan treinta mil personas no pudieron real izar su trabaj o y la institució n
para det ectar anomal ías y garantizar la integridad de los sist emas no pudo operar durante u n día y medio. E l equipo post mórtem
deben ocuparse ta mbién de los ataques int ernos no t écnic os. calculó l os costos direc tos finales en más de cincuenta mill ones de
dólares. E l trabajo del equipo post mórtem fue obstaculizado por la
indiferencia y fal ta de cooperac ió n de la may oría de l os empleados,
1 .19 CASO DE ESTUDIO temerosos de ser hal lados cul pables, en u na cultura organizacional
El siguiente caso d e estu dio sirve para demostrar gr áficamente orientada a la cul pa.
el requerimient o de gobierno de la seguridad expl icado en est e
capítul o. El caso ilu stra có mo l os desastres son c omúnment e El aut or de este caso fue el gerente del equipo post mór tem
causados por una secuencia d e fallas y e s u n estudio que enc ontró l it eral mente cient os de proc esos defic ient es, u na
de una estructura y cultura organizacional con problemas c ultura disfunc ional y u na serie de métr icas inútiles, además
de fu ncionamiento. El no aprender de esta situac ión (y de otros de una fa lta absoluta de gobierno adecuado. Para l os que
incident es significativos) y no t omar las acc iones cor rectivas su pervisan el NOC, las métr icas indicaron un pr obl ema, pero
recomendadas por el equipo ext erno de expertos en revisió n post no fueron lo sufic ientement e significativas c omo para que l os
mórtem indudabl emente contribuyó al fracaso defi nit ivo de esta empl eados tomaran decisiones activas, much o menos c or rectas.
organizació n fi nanciera de más de 45 000 empl eados durante Mejores métr icas o una may or capac idad del personal pu do
la rec esió n ec onómica de 2008-2009. haber resuel to el probl ema r ápida mente en las etapas inic ial es
del inc idente antes de q ue éste se c onvir tiera en un probl ema.
En u na impor tante inst ituc ión fi nanc iera de E UA, el personal U n mejor gobierno pudo haber c onferido u na autoridad
de bajo nivel q ue supervisa el c entr o de operac iones de red adecuada al gerente de r ed para ejecutar la acció n apropiada.
(NOC) notó una actividad de red inusual un domingo en la U n mejor gobierno pudo haber insist ido en q ue se apl icaran
noche cuando el banc o estaba cerrado. Confundidos e insegur os l os parches para vu lnerabil idad emit idos dos meses antes o que
acerca de l o q ue veían, y sin instrucciones para actuar de manera se implementaran c ontr oles c ompensatorios apropiados para
contraria, decidier on observar el evento en l ugar de arriesgarse enfrentar una amenaza conocida. Inclu so una gestión de riesgo
a mol estar a l os gerentes un fi n de semana. La organizac ió n marginal mente efec tiva habr ía insistido en qu e u na r ed plana,
no había desarrol lado crit er ios de severidad, r eq uer imientos sin segmentac ió n, no era ac eptable y que DRP /BCP era una
de not ificac ión o procesos de escalac ión. El l unes t emprano, ac tividad int egrada y probada.
el t ráfico siguió aumentando en la instalac ió n princ ipal y de
repente comenzó a crec er significativamente en el sitio espejo, Las c onclusiones que se pu eden sacar y que son per tinentes
a cientos de millas de ah í. A pesar de haber sido asesorado en para las métricas y el gobierno sugieren q ue l os datos no
r elac ión c on el r iesgo, el gerente de TI ( al ser interrogado por son informac ión y q ue una infor mac ió n inc omprensible
el aut or de este caso de estudio) afir mó con un grado de orgu llo es simplemente dat os y no es út il. Este caso también ilustra
que lar ed t otal ment e plana había sido diseñada para un al to que no impor ta cuán buenas sean las métr icas y la supervisió n
rendimiento y q ue c onfiaba en q ue su experimentado equipo que r espal dan las dec isiones, no son út il es para los qu e no tienen
podía manejar c ualqu ier eventualidad. el poder de tomar dec isiones.

-
Manual de Preparación para el Examen CISM 14º edición 79
ISACA. Todos los derechos reservados.
Capítulo 1 - Gobierno de seguridad de la información Sección Dos: Contenido

En consecuencia, para desarrollar métricas útiles, debe


establecerse claramente quiénes toman cuáles decisiones
y qué información es necesaria para tomar tales decisiones. A
partir de este análisis, se infiere que las métricas de la gestión
requieren una variedad de información de diferentes fuentes
que luego debe ser sintetizada con el fin de proveer información
significativa, necesaria para tomar decisiones relacionadas con
las acciones que se requieren.

Este caso demuestra la necesidad que tienen las organizaciones


de desarrollar e implementar un gobierno de seguridad de la
información y el requerimiento concomitante de desarrollar
métricas útiles.

80 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.

Certified lnformation
Capítulo 2:

G esti ó n d e Ri esgos d e Ia
Security Manager·
An ISACA· Certification
I nformación y Cumplimiento

Sección Uno: Generalidades


2.1 Introducción ................................................................................................................................................................................. 82
Defi nición....................................................................................................................................................................... 82
Objetivos ........................................................................................................................................................................ 82
2.2 Tareas y conocimientos relacionados ......................................................................................................................................... 82
Tareas ....................... ...................................................................................................................................................... 82
Conocimientos relacionados .......................................................................................................................................... 82
Relación de las tareas con los conocimientos relacionados .......................................................................................... 83
Guía de refe rencia de conocimientos relacionados ... ............................ ..................................... ................................... 84
Recursos sugeridos para estudios posteriores................................................................................................................ 93
2.3 Preguntas de autoevaluación ......................................................... ............................................................................................. 93
Preguntas........................................................................................................................................................................ 93
Respuestas a las preguntas de autoevaluación.............................................................................................. ................. 95

Sección Dos: Contenido


-
-
2.4 Visión General de la Gestión de Riesgos ............................................................................................................................... 97
2.5 Estrategia de la Gestión de Riesgos ....................................................................................................................................... 99

- 2.6 Gestión Efectiva de Riesgos de la Información ....................................... ........................................................................... 100

- 2.7
2.8
Conceptos De La Gestión De Riesgos De La Información ................................................................................................ 10 1
I mplementación de la Gestión de Riesgos ........................................................................................................................... I 02
� 2.9 Metodologías para la Evaluación y el Análisis de Riesgos ................................ ................................................................ 108

- 2.10 Evaluación de Riesgos ............................................................................................................................................................ 11O

- 2.11 Evaluación de los Activos de Información .......................................................................................................................... 131

-
2.12 Objetivo de tiempo de Recuperación.................................................................................................................................. . 137
2.13 I ntegración con los Procesos de Ciclo de Vida.................................................................................................................... 140
2.14 Niveles Mínimos de Control de la Seguridad...................................................................................................................... 142
�--- 2.15 Monitoreo y Comunicación de Riesgos................................................................................................................................ 144
,-
- 2.16
2.17
Capacitación y Concientización ............................. .............................................................................................................. 145
Documentación....................................................................................................................................................................... 146

,-

Manual de Preparación para el Examen CISM 14 º edición 81


ISACA. Todos los derechos reservados.
Capítulo 2-Gestión de Riesgos de la Información y Cumplimiento Sección Uno: Generalidades e. e� lnformatioo
Security Manager·
An lSACA"Certlflcatlon

Sección Uno: Generalidades 2.2 TAREAS Y CONOCIMIENTOS


RELACIONADOS
2.1 INTRODUCCIÓN Domain 2--Gestión de riesgo de la información y cumplimiento
Este capítulo hace una revisión de la base de conocimientos que el Gestionar los riesgos de la información a un nivel aceptable para
gerente de seguridad de la información debe comprender para aplicar cumplir con los requerimientos de negocio y cumplimiento de la
apropiadamente los principios y las prácticas de la gestión de riesgos organización.
al programa de seguridad de la información de una organización.
TAREAS
DEFINICIÓN Existen nueve tareas dentro de esta área de práctica de trabajo que
El riesgo se define como la combinación de la probabilidad un candidato a CISM tiene que saber cómo realizar:
de un evento y sus consecuencias. La Guía 73:2009 de T2. l Establecer y mantener un proceso de clasificación de los
Intemational Organization for Standardization (ISO)/Intemational activos de información para asegurar que las medidas
Electrotechnical Commission (IEC) , Gestión de riesgos� adoptadas para proteger los activos sean proporcionales a
Vocabulario, explica el riesgo como el "efecto de incertidumbre en su valor comercial.
los objetivos". Debe señalarse que es una definición reciente sujeta T2.2 Identificar los requisitos legales, reglamentarios,
a una gran controversia. Sin embargo, es importante entender que organizativos y otros aplicables para gestionar el riesgo de
ambas definiciones señalan que las amenazas y las vulnerabilidades incumplimiento a niveles aceptables.
juntas dan lugar a la "probabilidad de un evento" y la T2.3 Asegurar que las evaluaciones de riesgos, las evaluaciones
"incertidumbre" como resultado de la posibilidad de una amenaza de vulnerabilidad y los análisis de amenazas se lleven
específica que explota una determinada vulnerabilidad. P ara a cabo periódicamente y de manera consistente para
muchos expertos, se considera más útil la definición tradicional, identificar los riesgos a la información de la organización.
Amenazas x Vulnerabilidades = Riesgo, o A x V = R, porque T2.4 Determinar las opciones adecuadas de tratamiento del
separa el riesgo de las consecuencias (impacto). La definición riesgo para gestionar el riesgo a niveles aceptables.
expandida de ISO también incluye las consecuencias (impacto) en T2.5 Evaluar los controles de seguridad de la información para
la definición basándose en que si no hay consecuencias, el riesgo determinar si son apropiados y en efecto mitigan el riesgo
no es material o existente. Sin embargo, es importante entender que a un nivel aceptable.
la "probabilidad de un evento" se determina por una evaluación de T2.6 Identificar las diferencias entre los niveles actuales de riesgo
riesgos, mientras que, generalmente se llega a las "consecuencias" y los deseados para gestionar el riesgo a un nivel aceptable.
por una evaluación/análisis de impacto al negocio (BIA). T2.7 Integrar la información de gestión de riesgos en las
empresas y en los procesos de TI (por ejemplo, en el
Independientemente de la elección de la definición, la gestión desarrollo, las compras, la gestión de proyectos, las
de riesgos de la información es la aplicación sistemática de las fusiones y las adquisiciones) para promover un proceso de
políticas, los procedimientos y las prácticas de gestión a las tareas gestión de riesgo de las información consistente e integral
de evaluar el riesgo, que incluye identificar, analizar y valorar el en toda la organización.
riesgo. La gestión de riesgos también incluye tratar (o responder T2.8 Supervisar el riesgo existente para asegurar que los
a), informar y monitorear el riesgo relacionado con la información. cambios sean identificados y manejados apropiadamente.
T2.9 Informar el incumplimiento y otros cambios en el
OBJETIVOS riesgo de la información para manejar adecuadamente
El objetivo de este dominio es garantizar que el gerente de la asistencia en el proceso de toma de decisiones en la
seguridad de la información comprenda la importancia de la gestión del riesgo.
gestión de riesgos como una herramienta para satisfacer las
necesidades de negocio y desarrollar un programa de gestión de CONOCIMIENTOS RELACIONADOS
la seguridad a fin de apoyar dichas necesidades. Mientras que el El candidato a CISM debe comprender bien cada una de las
gobierno de la seguridad de la información define los vínculos áreas delineadas por los conocimientos relacionados. Estos
que existen entre las metas y objetivos de negocio y el programa conocimientos son la base del examen.
de seguridad de la información, la gestión de riesgos de la
información define el grado de protección que es prudente con Existen 19 conocimientos relacionados dentro del dominio de
base en los requerimientos, objetivos y prioridades de negocio. gestión de riesgos de información y cumplimiento:
KS2. l Conocimiento de los métodos para establecer un
El objetivo de gestionar el riesgo relacionado con la información es modelo de clasificación de los activos de la información
alcanzar los objetivos de negocio y minimizar las interrupciones a coherente con los objetivos de negocio
esos objetivos a través de varias tareas utilizando el conocimiento KS2.2 Conocimiento de los métodos utilizados para asignar
del gerente de seguridad de la información sobre las técnicas clave las responsabilidades y propiedad de los activos de la
de gestión de riesgos. Debido a que la seguridad de la información información así como el riesgo
es un componente de la gestión de riesgos empresariales, podría KS2.3 Conocimiento de los métodos para evaluar el impacto de
ser necesario considerar las técnicas, los métodos y las métricas eventos adversos en el negocio
utilizados para definir el riesgo de la información dentro del KS2.4 Conocimiento de metodologías de valoración de activos
contexto más amplio del riesgo organizacional. Tal como se de la información
indicó en el Capítulo 1, la gestión de riesgos de la información KS2.5 Conocimiento de los requisitos legales, reglamentarios,
también requiere que se incluyan los riesgos de recursos humanos, organizativos y otros, relacionados con la seguridad de la
operativos, fisicos, geopolíticos y ambientales. información
Este dominio representa el 33 por ciento del examen CISM KS2.6 Conocimiento de fuentes de información fidedignas,
( aproximadamente 66 preguntas). confiables y oportunas concernientes a las nuevas
amenazas a la seguridad y vulnerabilidad de la información
82 Manual de Preparación para el Examen CISM 14º edición
ISACA. Todos los derechos reservados.
e. Certilied lnformalion
Securlty Manager"
Ar11SACA"c..rtmcat1on
Capítulo 2-Gestión de Riesgos de la Información y Cumplimienm Sección Uno: Generalidades

KS2.7 Conocimiento de los eventos q ue pueden requerir KS2. l 6 Conocimi ento de las técnicas de anál isis de desviación en
reval uaciones de riesgos y cam bios a los elementos del relación con la seguridad de la información
programa de seguridad de la información KS2. l7 Conocimiento de las técnicas para la i ntegración de la
KS2.8 Conocimiento de las amenazas a la i nformación, las gestión de riesgos en el negocio y en los procesos de TI
vulnerabil idades y las exposici ones y su nat uraleza cambiante KS2. l 8 Conoci miento de los procesos y los requisitos de
KS2.9 Conocimiento de las metodol ogías de evaluación y análisis presentación de informes de cumpl imiento
de ri esgos KS2.l9 Conoc imiento del análisis de costo- benefici o para evaluar
KS2. IO Conocimi ento de los métodos uti li zados para priori zar los las opci ones de tratamiento de riesgos
riesgos
KS2. l l Conocimiento de l os req uisitos para la presentación de RELACIÓN DE LAS TAREAS CON LOS CONOCIMIENTOS
informes de riesgos (por ej emplo, frecuencia, audiencia,
componentes RELACIONADOS
KS2.12 Conocimiento de los métodos utili zados para monitorear los La declaración de tareas es lo q ue se espera q ue el candidato a
ries gos CISM conozca. L os conocimi entos relacionados delinean cada
KS2.l3 Conocimiento de estrategias para tratamiento de riesgos y una de las áreas en las q ue el candi dato a CISM debe comprender
métodos para aplicarlos adecuadamente para real izar las tareas. Las relaci ones entre
KS2.l4 Conocimiento de modelado de controles bási cos y su las tareas y l os conoci mientos relaci onados se muestran en la
relación con el análisis basado en riesgos Figura 2.1 hasta donde es posibl e hacerlo. Nótese q ue aun
KS2. 15 Conocimiento de los control es de seguridad de la cuando a menudo se presenta más de una correspondencia, cada
información y de las contramedidas y los métodos para tarea, por lo general, se relaci ona con más de un conocimi ento.
anali zar su efectividad y su efi ciencia
Figura 2.1-Mapeo (Mapping) de Tareas y Conocimientos Relacionados
Enunciado de tarea Conocimientos relacionados
T2.1 Establecer y mantener un proceso de KS2.1 Conocimiento de los métodos para establecer un modelo de clasificación de los activos de

-
clasificación de activos de información para información coherente con los objetivos de negocio
asegurar que las medidas adoptadas para KS2.2 Conocimiento de los métodos utilizados para asignar las responsabilidades y propiedad de los
proteger los activos sean proporcionales a su activos de la información así como el riesgo
valor comercial. KS2.3 Conocimiento de los métodos para evaluar el impacto de eventos adversos en el negocio
KS2.4 Conocimiento de metodologías de valoración de activos de la información
T2.2 Identificar los requisitos legales, KS2.5 Conocimiento de los requisitos legales, reglamentarios, organizativos y otros, relacionados con
reglamentarios, organizativos y otros la seguridad de la información
aplicables para gestionar el riesgo de KS2.1 4 Conocimiento de modelado d e controles básicos y su relación con e l análisis basado en riesgos
incumplimiento a niveles aceptables.
T2.3 Asegurar que las evaluaciones de riesgos, las KS2.6 Conocimiento de fuentes de información fidedignas, confiables y oportunas concernientes a las
evaluaciones de vulnerabilidad y los análisis nuevas amenazas a la seguridad y vulnerabilidad de la información
de amenazas se lleven a cabo periódicamente KS2.7 Conocimiento de los eventos que pueden requerir revaluaciones de riesgos y cambios a los
y de manera consistente para identificar los elementos del programa de seguridad de la información
riesgos a la información de la organización. KS2.8 Conocimiento de las amenazas a la información, las vulnerabilidades y las exposiciones y su
naturaleza cambiante
KS2.9 Conocimiento de las metodologías de evaluación y análisis de riesgos
KS2.1 1 Conocimiento de los requisitos para la presentación de informes de riesgos (por ejemplo,
frecuencia, audiencia, componentes)
KS2.14 Conocimiento de modelado de controles básicos y su relación con el análisis basado en riesgos
T2.4 Determinar las opciones adecuadas de KS2.1 0 Conocimiento de los métodos utilizados para priorizar los riesgos
tratamiento del riesgo para gestionar el riesgo KS2.1 3 Conocimiento de estrategias para tratamiento de riesgos y métodos para aplicarlos
a niveles aceptables. KS2.1 9 Conocimiento del análisis de costo-beneficio para evaluar las opciones de tratamiento de riesgos
T2.5 Evaluar los controles de seguridad de KS2.1 4 Conocimiento de modelado de controles básicos y su relación con el análisis basado en riesgos
la información para determinar si son KS2.15 Conocimiento de los controles de seguridad de la información y de las contramedidas y los
apropiados y en efecto mitigan el riesgo a un métodos para analizar su efectividad y su eficiencia
nivel aceptable.
T2.6 Identificar las diferencias entre los niveles KS2.9 Conocimiento de las metodologías de evaluación y análisis de riesgos
actuales de riesgo y los deseados para KS2.1 0 Conocimiento de los métodos utilizados para priorizar los riesgos
gestionar el riesgo a un nivel aceptable. KS2.16 Conocimiento de las técnicas de análisis de desviación en relación con la seguridad de la
información
T2.7 Integrar la información de gestión de riesgos KS2.1 0 Conocimiento de los métodos utilizados para priorizar los riesgos
en las empresas y en los procesos de TI KS2.1 5 Conocimiento de los controles de seguridad de la información y de las contramedidas y los
(por ejemplo, en el desarrollo, las compras, métodos para analizar su efectividad y su eficiencia
la gestión de proyectos, las fusiones y las KS2.17 Conocimiento de las técnicas para la integración de la gestión de riesgos en el negocio y en los
adquisiciones) para promover un proceso procesos de TI
de gestión de riesgo de las información
consistente e integral en toda la organización.

Manual de Preparación para el Examen CISM 14 º edición 83


ISACA. Todos los derechos reservados.
Capítulo 2-Gestión de Riesgos de la Información y Cumplimiento Sección Uno: Generalidades e. Certified lnformatioo
Securily Manager·
AnlSACA"Certlflcatlon

T2.8 Supervisar el riesgo existente para asegurar KS2.1 2 Conocimiento de los métodos utilizados para monitorear los riesgos
que los cambios sean identificados y
manejados apropiadamente.
T2.9 Informar el incumplimiento y otros cambios KS2.1 1 Conocimiento de los requisitos para la presentación de informes de riesgos (por ejemplo,
en el riesgo de la información para manejar frecuencia, audiencia, componentes)
adecuadamente la asistencia en el proceso de KS2.1 8 Conocimiento de los procesos y los requisitos de presentación de informes de cumplimiento
toma de decisiones en la gestión del riesgo.

GUÍA DE REFERENCIA DE CONOCIMIENTOS RELACIONADOS


La siguiente secci ón conti ene los conocim ientos relacionados, los conceptos subyacentes y la relevancia para el conocim iento del
gerente de la seguri dad de la informaci ón. L os conocim ientos relacionados consti tuy en lo que el gerente de la seguri dad debe saber
para llevar a cabo las tareas. Se proporci ona una expli cación resumi da de cada conocimi ento relaci onado, segui da de los conceptos
básicos que son los fundamentos del examen escrito. Cada concepto clave tiene referencias a la secci ón dos de este capítulo.

E l conjunto de conocimientos del CISM se ha di vi di do en cuatro domi ni os, y cada uno de los cuatro capítulos cubre parte del material
que contienen estos domini os. Este capítulo revisa el conjunto de conocimientos desde la perspectiva de la gestión de riesgos.

KS2.1 Conocimiento de los métodos para establecer un modelo de clasificación de los activos de información coherente con los
objetivos de negocio
Explicación Conceptos clave Referencia en el Manual
Se desarrolla un esquema de clasificación para Propósito de la clasificación de activos 2.6.1 Asegurar la identificación, clasificación y
definir los grados de sensibilidad y/o criticidad de la de información propiedad de activos
información que está al cuidado, bajo el control o la 2.1 1 .3 Clasificación de los activos de información
custodia de una organización. Esto sirve para priorizar
los esfuerzos de protección y establecer las bases para Requerimientos para la clasificación de 2.1 1 .3 Clasificación de los activos de información
el grado de protección que se le asignará a un activo activos en la gestión de riesgos 2.1 4 Niveles mínimos de control de la seguridad
de información. Proporciona una base para establecer
la proporcionalidad entre el nivel de control y el Establecer las bases para las 2.1 1 .3 Clasificación de los activos de información
valor de los activos con el fin de evitar el costo de la clasificaciones
sobreprotección o el riesgo de la escasa protección de
los activos de información. Beneficios de la clasificación de activos 2.1 1 .3 Clasificación de los activos de información
de información
Un esquema de clasificación también facilita la
continuidad eficaz del negocio y la planificación de Relación de la clasificación con la 2.1 1 .3 Clasificación de los activos de información
recuperación de desastres mediante la identificación planificación de continuidad del negocio
de los activos de información más críticos y (BCP) y la recuperación en caso de
confidenciales. desastres (DR)
Conexión entre clasificación, niveles de 2.1 1 .3 Clasificación de los activos de información
Si no se cuenta con criterios apropiados y procesos severidad de incidentes y criterios de
consistentes para definir la sensibilidad y criticidad de declaración
los recursos de información, no será posible desarrollar
un programa de gestión de riesgos rentable. Relación de la clasificación con 2.1 1 .3 Clasificación de los activos de información
custodios, controles, monitoreo,
Normalmente, las organizaciones utilizarán tres cumplimiento, riesgo e impacto
o cuatro niveles de clasificación: público, interno,
confidencial y tal vez, secreto. El esquema de Propósito de determinar la sensibilidad 2. 4 Visión general de la gestión de riesgos
clasificación debe explicarle a los propietarios de los y criticidad 2.1 0.1 3 Impacto
recursos cómo definir estos niveles, y especificar el 2.1 4 Niveles mínimos de control de la seguridad
nivel de protección que requiere cada clasificación. Métodos para determinar la sensibilidad 2.10.13 Impacto
y criticidad 2.1 1 .3 Clasificación de los activos de información
La critic"idad se refiere a la importancia que tienen
los activos de información y los procesos al momento Enfoques para determinar el impacto 2. 4 Visión general de la gestión de riesgos
de organizar las actividades. La sensibilidad está potencial 2. 4.1 Importancia de la gestión de riesgos
relacionada con el daño potencial causado por la 2.4.2 Resultados de la gestión de riesgos
divulgación no intencional de información privada o 2.1 0.9 Análisis de riesgos relevantes
confidencial como son los secretos comerciales o los 2.1 0.1 0 Evaluación del riesgo
datos personales protegidos. La criticidad también se 2.1 0.1 3 Impacto
puede determinar sobre bases cuantitativas razonables Relaciones entre riesgo, impacto, 2.1 0.13 Impacto
puesto que las pérdidas financieras ocurren como sensibilidad y criticidad
resultado de la falla de una función particular del negocio
que pudo ser determinada. Normalmente, la sensibilidad
se evalúa principalmente por medidas cualitativas.

84 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
Capítulo 2-Gestión de Riesgos de la lnfonnación y Cumplimiento Sección Uno: Generalidades

KS2.2 Conocimiento de los métodos utilizados para asignar las responsabilidades y propiedad de los activos de la información así
como el riesgo
Explicación

-
. ,
1

Para asumir la responsabilidad de garantizar el cumplimiento de las políticas Razón y propósito de las 1 .1 0.1 La meta
y estándares es necesario definir un propietario para todos los activos de polfticas del propietario 2.6.1 Desarrollo de un programa de gestión
información. El esquema de propiedad contiene las políticas (y estándares), y estructura de riesgos
estructura y prácticas que definen a los propietarios, así como sus roles y 2.6.2 Roles y responsabilidades
responsabilidades. También debe especificar los requerimientos para los 3.9.1 Componentes operativos
custodios y para los usuarios de la información.
Responsabilidad de 2.6.1 Desarrollo de un programa de gestión
Asegurar que todos los sistemas tienen usuarios identificados también facilita garantizar que se de riesgos
la asignación de riesgo. Con frecuencia, el riesgo está asociado a uno o más implementen los controles 2.6.2 Roles y responsabilidades
sistemas, aplicaciones o procesos. Debido a esto, es importante identificar la adecuados
propiedad del riesgo en función de la naturaleza del riesgo a ser mitigado. La Elementos del esquema 1 .7.4 Métricas de gestión de riesgos
propiedad del riesgo debe establecerse en los niveles del sistema, aplicación, de propiedad 1 .1 0.1 La meta
proceso o datos. La propiedad del riesgo es importante para asegurar que existe 2.6.1 Desarrollo de un programa de gestión
responsabilidad para procurar que el riesgo se mitigue o de algún otro modo se de riesgos
trate como lo señalan las guías de gestión de riesgos de la organización.
2.6.2 Roles y responsabilidades
3.1 4.5 Gestión de la tecnología de seguridad
3.1 4.9 Externalización y proveedores de
servicios

- KS2.3 Conocimiento de los métodos para evaluar el impacto de eventos adversos en el negocio
• 1 Conceptos clave
El Análisis de Impacto al Negocio (BIA) es el proceso principal para determinar Evaluación y análisis de 2.4 Visión general de la gestión de
el impacto de la pérdida de una función de la organización. La evaluación del impacto del negocio riesgos
impacto consiste en una serie de consideraciones, incluyendo el efecto de 2.1 0.1 3 Impacto
otras operaciones que dependen de la función que ha fallado. También se debe
considerar la intensificación de la pérdida de tiempo, es decir, la pérdida puede Aspectos financieros de 2.1 0.1 3 Impacto
no ser lineal en función del tiempo, pero podría crecer exponencialmente. los impactos
Impactos no financieros 2.1 0. 1 3 Impacto
La posible naturaleza cíclica de la pérdida es otro de los aspectos a evaluar, ya
que puede afectar la prioridad de las medidas correctivas y de restauración. Un
ejemplo de esto es la urgencia de recuperar las funciones financieras hacia el
final de un trimestre en base a los requisitos de reportes regulatorios.
Aunque los impactos en general, serán evaluados en términos financieros,
algunos aspectos como el impacto del daño a la reputación o las sanciones

-
regulatorias, no pueden cuantificarse con exactitud en términos estrictamente
monetarios. El objetivo final de la gestión de riesgos es llevar los impactos
potenciales a un nivel aceptable. Además, se debe conocer la criticidad y
sensibilidad para determinar los niveles de severidad del incidente así como le
manera de gestionarlo y los requerimientos de capacidad de repuesta.

. ,
1 Referencia en el Manual
El proceso de valuación se utiliza para determinar el valor real o relativo de los El propósito y los beneficios 2.1 1 Valuación de recursos de información
activos de información. No es posible llevar a cabo el principio de proporcionalidad, de la valuación de los 2.1 1 .2 Metodologías de valuación de los
que determina un costo razonable para la protección de activos en relación a su activos de información recursos de información
valor, si no se implementa un proceso de valuación. Normalmente, el valor relativo
de un activo de información es afín a su grado de criticidad o sensibilidad, pero
no está relacionado necesariamente con su costo real. Los equipos de bajo costo Relación de la valuación y 2.1 1 Valuación de recursos de información
pueden procesar información indispensable y, por lo tanto, tener un alto grado de la evaluación del impacto 2.1 1 .1 Estrategias de valuación de los
criticidad y requerir un nivel elevado de certeza que garantice la continuidad de la recursos de información
operación. Los sistemas de alto costo se pueden utilizar para procesar información Bases para la valuación de 2.1 1 Valuación de recursos de información
menos importante, pero el equipo requiere un alto nivel de protección contra activos de información 2.1 1 .1 Estrategias de valuación de los
daños o robo. Se deben tomar en cuenta los tres parámetros (costo, criticidad y recursos de información
sensibilidad) para definir y priorizar los riesgos, así como el mejor método para
mitigarlos. 2.1 1 .2 Metodologías de valuación de los
recursos de información
Metodologías de 2.1 0 Evaluación de riesgos
evaluación de los activos 2.1 1 .2 Metodologías de valuación de los
recursos de información

Manual de Preparación para el Examen CISM 14º edición 85


ISACA. Todos los derechos reservados.
Capítulo 2-Gestión de Riesgos de la Información y Cumplimiento Sección Uno: Generalidades e. Cer1ified lnformatioo

��11�:�
age(

KS2.5 Conocimiento de los requisitos legales, reglamentarios, organizativos y otros, relacionados con la seguridad de la
información
• 1 Conceptos clave
Deben considerarse los requerimientos legales y regulatorios en términos Consideraciones legales 2.5 Estrategia de gestión de riesgos
de riesgo e impacto. Esto es necesario para determinar el nivel adecuado y regulatorias en una 2.1 0. 1 5 Requerimientos legales y
de observancia y prioridad. Por ejemplo, una organización multinacional estrategia de gestión de regulatorios
grande es susceptible de estar sujeta a los requerimientos del consejo de riesgos 2.1 1 .3 Clasificación de los activos de
estándares de seguridad (DSS - Data Security Standards) de la industria de información
tarjetas de pagos (PCI - Payment Card lndustry), así como las regulaciones
Sarbanes-Oxley, si sus acciones se cotizan en una bolsa de valores de Riesgo de cumplimiento 2.1 0.8 Riesgo
EE.UU. También puede ser necesario cumplir con la Ley de Responsabilidad operacional
y Transferibilidad de Seguros Médicos (HIPAA) de los EUA y con las Directivas Consideraciones legales 2.1 0. 1 5 Requerimientos legales y
de Privacidad de la UE. Además, puede haber muchos otros reglamentos de y regulatorias para regulatorios
otras jurisdicciones que deben ser considerados. clasificación de activos 2.1 1 .3 Clasificación de los activos de
información
Estas regulaciones deben ser evaluadas sobre la base del riesgo que
suponen para la organización en la medida en que el nivel de aplicación
y la posición relativa de la organización estén en relación con sus pares;
los reguladores tienden a concentrarse en las organizaciones menos
compatibles y más visibles. El impacto potencial en la organización en
cuanto a los impactos financieros y de reputación debe ser evaluado
también. Estas evaluaciones sirven de base para que la alta dirección
determine la naturaleza y el alcance de las actividades de cumplimiento
adecuado para la organización.

El gerente de seguridad de la información debe ser consciente de que la


dirección puede decidir que correr el riesgo de sanciones es menos costoso
que lograr el cumplimiento; que el cumplimiento no es binario y que la
decisión puede ser iniciar estas actividades de forma muy limitada; o que la
imposición es tan limitada o inexistente que no se garantiza el cumplimiento.

KS2.6 Conocimiento de fuentes de información fidedignas, confiables y oportunas concernientes a las nuevas amenazas a la
seguridad y vulnerabilidad de la información
• 1 Conceptos clave
Existen muchas fuentes de información sobre las posibles amenazas y Fuentes externas de 2.8.8 Otro apoyo organizativo
vulnerabilidades a la disposición del gerente de seguridad de la información. reportes de riesgo
Estos recursos deben monitorearse periódicamente para poder notificar
oportunamente las nuevas vulnerabilidades en los sistemas y en el software
y los nuevos brotes de malware, así como otras actividades criminales,
como phishing y pharming. Algunas de estas organizaciones incluyen US
Computer Emergency Response Team (US CERT), Australian Computer
Emergency Response Team (AusCERT), Network Storm Center, SANS,
Computerworld, TechRepublic y otras, entre las que se cuentan proveedores
de seguridad y fabricantes de software y hardware.

86 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
Capítulo 2- Gestión de Riesgos de la Información y Cumplimiento Sección Uno: Generalidades

KS2. 7 Conocimiento de los eventos que pueden requerir revaluaciones de riesgos y cambios a los elementos del programa de
seguridad de la información
Explicación Conceptos clave Referencia en el Manual
Muchas circunstancias pueden crear la necesidad de revaluar el riesgo, como Propósitos de la creación 2.1 0.17 Eventos que afectan a los niveles
por ejemplo nuevas amenazas o vulnerabilidades descubiertas recientemente; de límites mínimos de mínimos de seguridad
cambios en las arquitecturas o en los requerimientos del negocio; nuevos seguridad 2.1 4 Niveles mínimos de controles de
requisitos legales o reglamentarios; o incidentes de seguridad que seguridad
demuestren que las evaluaciones anteriores de riesgo fueron inexactas. 3.1 5.1 1 Niveles mínimos de control
Los límites mínimos de seguridad establecidos en los estándares apropiados Métodos para establecer 3.1 5.1 1 Niveles mínimos de control
son los requerimientos mínimos de seguridad para los diferentes ámbitos los límites mínimos de
de confianza en toda la empresa. Estos límites mínimos pueden tener que seguridad
cambiar por una variedad de razones, como por el impacto de los incidentes Evaluación de la eficacia 2.1 0. 1 7 Eventos que afectan a los niveles
creciendo de manera inaceptablemente elevada o por el panorama de de los límites mínimos mínimos de seguridad
amenazas cambiando y planteando nuevos o mayores riesgos. También de seguridad 2.1 4 Niveles mínimos de controles de
podría necesitarse cambiar los límites mínimos de seguridad cuando seguridad
surgen nuevas vulnerabilidades en los sistemas debido a los cambios en 3.1 5. 1 1 Niveles mínimos d e control
la organización, tales como fusiones o adquisiciones. También pueden
requerirse cambios si surgen nuevos requerimientos contractuales o
regulatorios que exigen la mejora de los niveles de seguridad, como ocurrió
con la imposición de estándares en la industria de tarjetas de pago (PCI).
Estos y otros eventos que cambian la amenaza, vulnerabilidad, exposición
o ecuación de impacto exigen la revaluación del riesgo para determinar el
tratamiento apropiado y los requerimientos de mitigación.

KS2.8 Conocimiento de las amenazas a la información, las vulnerabilidades y las exposiciones y su naturaleza cambiante
Explicación . ,
1

Es importante que el gerente de seguridad de la información conozca los Naturaleza y tipos 2.8.1 Proceso de gestión de riesgos
componentes de riesgo y la diferencia entre amenazas, vulnerabilidades de amenazas a la 2.8.3 Definición del ambiente externo
y exposiciones. Por lo general, las amenazas se definen como información Amenazas
2.1 0.6
cualquier proceso, entidad o evento que pueda causar algún daño. Las
vulnerabilidades son cualquier debilidad que pueda ser aprovechada por una Amenazas internas y 2.8.3 Definición del ambiente externo
amenaza. La exposición se refiere al grado de influencia que puede tener externas 2.8.4 Definición del ambiente interno
un riesgo en una organización. Es crucial que se desarrollen los procesos Evaluación de amenazas 2.9 Metodologías para la Evaluación y
adecuados para determinar de forma oportuna las amenazas factibles que y riesgos el Análisis de Riesgos
enfrenta una organización, y vulnerabilidades lógicas y físicas que puedan 2.10 Evaluación de riesgos
ser aprovechadas por esas amenazas. Las amenazas, vulnerabilidades y
exposiciones no son estáticas, pero cambian según la naturaleza dinámica Vulnerabilidades 2.1 0.7 Vulnerabilidades
del ambiente, la tecnología y el negocio. Se deben realizar revisiones Componentes de la 2.1 0.8 Riesgo
periódicas para garantizar que se realicen los cambios adecuados para evaluación y el análisis 2.1 0.9 Análisis de riesgos relevantes
abordar el riesgo cambiante. de riesgos 2.10.10 Evaluación del riesgo

Manual de Preparación para el Examen CISM 14º edición 87


ISACA. Todos los derechos reservados.
Capítulo 2-Gestión de Riesgos de la Información y Cumplimiento Sección Uno: Generalidades e.� lnform�
Security Manager
AnlSACA"Certlflcatlon

KS2.9 Conocimiento de las metodologías de evaluación y análisis de riesgos


Explicación Conceptos clave Referencia en el Manual
La evaluación y el análisis de riesgo son requisitos fundamentales para llevar Propósito de la 2.4 Visión general de la gestión
a cabo todas las actividades de gestión de riesgos. La evaluación y el análisis evaluación y análisis de de riesgos
de riesgos en los activos de información es la actividad principal del gerente los riesgos 2.6.2 Roles y responsabilidades
de la información puesto que la gestión de riesgos es esencial en todas las
actividades de seguridad de la información. Aunque existen muchos enfoques Enfoques para la 2.8.1 Proceso de gestión de riesgos
que evalúan y cuantifican los riesgos, todos se basan en el conocimiento de evaluación y el análisis 2.8.2 Definición de un marco general
que debe existir una amenaza una vulnerabilidad correspondiente, para que de riesgos de gestión de riesgos
haya un riesgo potencial. El riesgo existe cuando una amenaza es capaz de 2.9 Metodologías para la Evaluación
aprovechar una vulnerabilidad. A pesar de que existen enfoques cualitativos, y el Análisis de Riesgos
semicuantitativos y cuantitativos para evaluar riesgos, todas las evaluaciones 2.10 Evaluación de riesgos
son similares, y pueden ser hasta subjetivas y especulativas. Al analizar los 2.1 0.1 Metodología de Evaluación de
riesgos, se debe tomar en cuenta esta incertidumbre en una ecuación que haga Riesgos NIST
referencia a la frecuencia y a la magnitud de un posible incidente. A menudo, la 2.1 0.3 Riesgo agregado y en cascada
presentación de los riesgos es más eficaz si se realiza en términos de impacto 2.10.4 Otros enfoques de evaluación
potencial máximo o posible impacto. El gerente de seguridad de la información de riesgos
también debe tomar en cuenta la agregación de riesgos, que puede tener
como consecuencia algunos riesgos aceptables que exploten al mismo tiempo Componentes de la 2.8.2 Definición de un marco general de
y produzcan un impacto inaceptable. También se debe considerar el riesgo en evaluación de riesgos gestión de riesgos
cascada, éste se produce en las independencias de los sistemas y procesos y, 2.1 0.3 Riesgo agregado y en cascada
con una exposición, puede producir un efecto dominó en los mismos. Evaluación y análisis 2.1 0.9 Análisis de riesgos relevantes
cualitativo y cuantitativo

KS2.10 Conocimiento de los métodos utilizados para priorizar los riesgos


• 1 Conceptos clave
La cantidad de posibles tipos de riesgos es prácticamente ilimitada. Como Priorizar basándose en 2.4 Visión general de la gestión
consecuencia de esto, es esencial que el gerente de seguridad de la la frecuencia y en !a de riesgos
información desarrolle procesos para clasificar y priorizar los riesgos en magnitud
base a varios factores. Se encuentran los siguientes 2.1 0.1 2
Evaluación basada en el Impacto
• proximidad y naturaleza de la amenaza
• medida en que existe la vulnerabilidad
impacto potencial 2.1 0.1 5 Costos y beneficios
• exposición de la organización al riesgo Determinar la 2.1 0.8 Análisis de riesgos relevantes
• vías potenciales de explotación probabilidad
• impacto potencial si la amenaza se materializa Priorizar por medio de la 2.1 0.1 1 Opciones para el tratamiento de
• frecuencia con la que una vulnerabilidad puede ser explotada
relación costo-beneficio riesgos
• grado de riesgo agregado de las opciones de
• potencial de riesgo en cascada tratamiento
La elección de los enfoques para priorizar debe basarse en las fuentes, el
alcance y la confiabilidad de la información. Pueden nunca ser conocidas
con certeza todas las posibles amenazas, aunque el grado de vulnerabilidad
se puede determinar con una confiabilidad posiblemente mayor.
El impacto de la pérdida de ciertas funciones de la organización, generalmente
se puede determinar con cierta exactitud. En consecuencia, es importante
utilizar la mejor combinación de información complementada con la
disponibilidad de opciones de recuperación rentables para priorizar los riesgos.

88 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
n. Certified lnformatioo
v ��"�:ager" Capítulo 2-Gestión de Riesgos de la Información y Cumplimienl.o Sección Uno: Generalidades

KS2.11 Conocimiento de los requisitos para la presentación de informes de riesgos (por ejemplo, frecuencia, audiencia,
componentes)
Explicación Conceptos clave Referencia en el Manual
Es importante que el gerente de seguridad de la información verifique que Requerimientos para 2.5.1 Comunicación de riesgos,
existe una norma y un proceso establecidos para informar sobre el estado el reporte regular concienciación y consultoría
del riesgo de la información, y su gestión, tanto de forma regular como de riesgos sobre riesgos
motivada por eventos. Existen varios factores encargados de determinar lo 2.1 5 Monitoreo y comunicación
que se reporta, a quién se reporta y cuándo se reporta. Estos factores se de riesgos
basarán en el tipo de organización, su cultura, riesgo aceptable y tolerancia 2.1 5.3 Informe de cambios significativos
al riesgo, al ambiente administrativo y legal, y a la severidad, probabilidad en el riesgo
y consecuencias potenciales del riesgo. El gerente debe definir y aprobar
los múltiples aspectos y criterios que participan en el reporte un riesgo. Los tipos de eventos que 2.1 5 Monitoreo y comunicación de
La estructura y el proceso de emisión de reportes deben incluir los reportes deben ser reportados o riesgos
que se envían en forma regular a las diferentes partes de la organización escalados 2.1 5.3 Informe de cambios significativos
y el tipo y la naturaleza de los cambios del riesgo reportado. El reporte en el riesgo
regular sirve para informar el estado del riesgo y como recordatorio de Se envían los contenidos 2.1 5 Monitoreo y comunicación de
las responsabilidades colectivas para el manejo de riesgos dentro de a varios destinatarios en riesgos
la organización. diferentes niveles de la 2.1 5.3 Informe de cambios significativos
organización en el riesgo
Man itoreo e indicadores 2.1 5 Monitoreo y comunicación de
de riesgos claves (KRls) riesgos
2.1 5.3 Informe de cambios significativos
en el riesgo

KS2.12 Conocimiento de los métodos utilizados para monitorear los riesgos


Explicación Conceptos clave Referencia en el Manual
Debido a que un cambio ya sea en una amenaza, una vulnerabilidad o Evaluación de riesgos 2.8.1 Proceso de gestión de riesgos
una exposición cambiará el riesgo, el monitoreo o la medición, cualquiera y estructura de la 2.9 Metodologías para la Evaluación y
de ellos o una combinación de estos factores puede servir como un seguridad el Análisis de Riesgos
indicador de riesgo. El concepto indicadores de riesgo clave (KRI) es que 2.1 0 Evaluación de riesgos
ciertos cambios internos o externos deben ser monitoreados en base a su 2.1 0.9 Análisis de riesgos relevantes
capacidad de proporcionar una alerta temprana de cambios en el riesgo. 2.1 5.1 Monitoreo de riesgos
Un ejemplo podría ser un aumento repentino de las solicitudes de cambio
de emergencia o un aumento significativo en la rotación de los empleados Determinar la posición 2.6.1 Desarrollo de un programa de
de un departamento en particular. Cualquier evento puede ser la señal actual ante riesgos gestión de riesgos
de una situación cambiante que debe ser investigada por el gerente de 2.6.2 Roles y responsabilidades
seguridad de la información para determinar la causa y las implicaciones 2.1 5.3 Informe de cambios significativos
para el riesgo. en el riesgo
El monitoreo efectivo de los procesos de seguridad y las métricas Lo que debe 2.1 5.1 Monitoreo de riesgos
relacionadas proporcionan la información esencial para la gestión monitorearse 3.16.2 Enfoques de monitoreo
adecuada del programa de seguridad de la información. Toda persona, Man itoreo de controles 3.1 6 Métrica y monitoreo del programa
proceso y tecnología debe monitorearse según su grado de sensibilidad claves de seguridad
e importancia. Los controles clave requieren un monitoreo continuo para Man itoreo físico y 3.1 6 Métrica y monitoreo del programa
garantizar su funcionamiento adecuado. Los métodos de monitoreo varían técnico de seguridad
considerablemente, pudiendo incluir desde monitores de CCTV a sistemas
de detección de intrusos basados en host (HIDS) y sistemas de detección
de intrusión en red (NIDS) para detectar los intentos de intrusión. Muchos
métodos de supervisión pueden implicar una sobrecarga significativa de los
recursos de TI así como de las perspectivas laborales. Para hacer frente a
este problema, los métodos automatizados tales como las herramientas de
seguridad de la información y de gestión de eventos (SIEM) pueden reducir
la sobrecarga de la supervisión.
Las actividades importantes de monitoreo también pueden conllevar riesgos
geopolíticos y rotación de personal, las cuales pueden indicar un aumento
de los niveles de riesgo. Las actividades de priorización y monitoreo deben
basarse en el grado de riesgo evaluado y en el nivel de impacto potencial.

Manual de Preparación para el Examen CISM 14º edición 89


ISACA. Todos los derechos reservados.
Capítulo 2-Gestión de Riesgos de la Información y Cumplimiento Sección Uno: Generalidades e.� lnformati!l"
Security Manager
AnlSACA"Certlflcallon

KS2.13 Conocimiento de estrategias para tratamiento de riesgos y métodos para aplicarlas


Explicación Conceptos clave Referencia en el Manual
La selección de una estrategia de tratamiento del riesgo debe estar basada Opciones de tratamiento 2.1 0.1 1 Opciones para el tratamiento de
en una variedad de factores. Estos incluyen la magnitud y la frecuencia de la riesgos
manifestación potencial del riesgo y del impacto potencial. El impacto potencial 2.1 0.1 1 Opciones para e l tratamiento de
es una función de la criticidad o de la sensibilidad de los recursos. Las opciones Mitigación del riesgo riesgos
de tratamiento incluyen la aceptación del riesgo, la mitigación del riesgo, la
transferencia del riesgo o la suspensión de la actividad que genera el riesgo. Mitigación del impacto 2.1 0.1 1 Opciones para e l tratamiento de
riesgos
La mitigación o la reducción del riesgo se basa en tres consideraciones 2.10.13 Impacto
principales: la disponibilidad de los recursos requeridos, las limitaciones como Contramedidas para las 2.1 0.6 Amenazas
los requerimientos regulatorios, los recursos de tiempo y financieros, y una amenazas
evaluación de la relación costo/efectividad del enfoque bajo consideración. 2.1 0.1 1 Opciones para el tratamiento de
Es importante que el gerente de la seguridad garantice que la estrategia riesgos
seleccionada optimiza la utilización de los recursos, al tiempo que se logra la Gestión de 2.1 0.7 Vulnerabilidades
reducción de riesgo deseada. La mitigación de riesgos generalmente incurre en vulnerabilidades 2.1 0.1 1 Opciones para el tratamiento de
costos de diseño, implementación y mantenimiento. En algunos casos, ciertas riesgos
actividades, tales como la reingeniería de procesos, pueden ayudar a reducir
los riesgos asociados con ciertas actividades y, finalmente, también pueden
producir ahorros en costos. Sin embargo, con cualquier actividad, existen
gastos que se deben considerar, incluida la capacitación especial relacionada
con el nuevo control, así como también los posibles costos asociados con una
reducción de la productividad.
Para poder desarrollar e implementar una estrategia de gestión de riesgos es
necesario conocer la estructura actual de la seguridad en la organización, así
como el "estado deseado" o los objetivos del programa. Normalmente, el estado
deseado se define en términos de estándares de buenas prácticas, como es
el caso de la 1SO/IEC 27002.201 3. El análisis de la brecha existente entre el
estado actual y el deseado reflejará aquello que se debe alcanzar para lograr
los objetivos. Muchos de los aspectos del estado deseado se pueden cuantificar,
pero será necesario contar con un enfoque cualitativo para definir el estado
actual y el estado futuro. Esto se puede lograr mediante el uso de herramientas
como el modelo de madurez de la capacidad (CMM). También existen muchas
organizaciones que utilizan el enfoque del cuadro de mando (balanced scorecard)
(BSC), el cual combina tanto el enfoque cuantitativo como el cualitativo.

KS2.14 Conocimiento de modelado de controles básicos y su relación con el análisis basado en riesgos
Explicación Conceptos clave Referencia en el Manual
Los niveles mínimos de control establecen la seguridad mínima para Problemas de la gestión 2.10.3 Otros enfoques de evaluación
sistemas, procesos y personas. Los niveles mínimos deben estar basados en de riesgos relacionados de riesgos
las clasificaciones de seguridad con niveles mínimos más elevados o más con los ciclos de vida 2.1 3 Integración con los procesos de
seguros definidos para recursos de mayor criticidad o sensibilidad, ya que ciclo de vida
presentan el riesgo de mayor impacto negativo en la organización. En otras 2.13.1 Gestión de riesgos para el Ciclo de
palabras, el alcance de las actividades de control debe ser proporcional al vida de desarrollo de sistemas de TI
valor del activo para el negocio. 2.1 3.2 Principios y prácticas de la gestión
de riesgos basada en el ciclo
de vida
2.14 Niveles mínimos de controles
de seguridad
3.1 5.1 1 Niveles mínimos de control
(baseline controls)
Ciclos de vida de la 2.1 1 .3 Clasificación de los activos de
información información
Gestión y ciclos de vida 2.1 3 Integración con los procesos de
de cambios ciclo de vida
2.1 3.1 Gestión de riesgos para el Ciclo de
vida de desarrollo de sistemas de TI
2.1 3.2 Principios y prácticas de la gestión
de riesgos basada en el ciclo de vida

90 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
Capítulo 2-Gestión de Riesgos de la lnfonnaci6n y Cumplimienlo Sección Uno: Generalidades

KS2.15 Conocimiento de los controles de seguridad de la información y de las contramedidas y los métodos para analizar su
efectividad y su eficiencia
Explicación . ,
1

Los controles son cualquier dispositivo, tecnología o proceso regulatorio. Los Consideraciones sobre el 2.4 Visión general de la gestión de
controles son el proceso principal por el cual el riesgo se mitiga. Es esencial que diseño de controles riesgos
el gerente de seguridad de la información tenga un conocimiento exhaustivo 3.1 5.2 Consideraciones sobre el diseño
de diseño, pruebas e implementación de controles. Dado que los controles, de controles
no importa lo bien que estén diseñados, tienden a degradarse con el tiempo,
también es esencial que el gerente de seguridad de la información comprenda Probar y evaluar 2.1 0.1 6 Costos y beneficios
la manera de monitorear y medir su eficacia y eficiencia de manera permanente. controles 3.1 5.2 Consideraciones sobre el diseño
de controles
Se debe realizar una evaluación periódica tanto de los controles técnicos como 3.1 5.3 Fortaleza de los controles
de los de procedimiento de seguridad de la información para determinar si éstos Controles por capas 2.1 0.7 Vulnerabilidades
aún cumplen eficazmente con los objetivos de control. Dado que es normal que
con el tiempo pierdan efectividad, es importante revaluarlos con regularidad. Determinar la fortaleza 3.1 5.3 Fortaleza de los controles
Asimismo, los controles pueden evolucionar con el paso del tiempo en de los controles
respuesta a eventos particulares que pueden dejar de ser relevantes o no estar
ya relacionados con los objetivos de control actuales. Los controles que ya no
son necesarios o que pierden su efectividad, se deben eliminar o modificar para
mejorar la eficacia. Al evaluar la eficacia de los controles se deben considerar
los impactos adversos relacionados con la funcionalidad y otros factores
humanos. Los controles, cuya complejidad o dificultad es innecesaria, a menudo
son burlados y esto afecta seriamente su eficacia.
En muchas organizaciones se desarrollan controles para períodos de tiempo
extensos, con frecuencia en respuesta a un evento o incidente relacionado con
la seguridad. Las razones que generan estos controles por lo general no se
documentan, de manera que éstos simplemente se convierten en la práctica
aceptada, independientemente de que aún sean necesarios o de si se hayan
implementado controles redundantes. Un requerimiento permanente en la
gestión efectiva de la seguridad de la información es garantizar que todos
los controles, ya sean técnicos, físicos o de procedimiento, se documenten,
cumplan los objetivos de control definidos, y que su pruebe periódicamente su
efectividad y eficacia. Los métodos utilizados para probar los controles deben
ser objetivos, coherentes y económicos.

KS2.16 Conocimiento de las técnicas de análisis de brechas en relación con la seguridad de la información
Explicación
,,- . ,
1

El análisis de brechas en el contexto de la gestión del riesgo generalmente Controles y objetivos de 2.8.7 Análisis de brechas
implica el análisis de la diferencia entre los controles existente y los control 3.1 5 Controles y contramedidas
objetivos de control o entre el programa de gestión de riesgos existentes y
el programa deseado. Los objetivos de las actividades de gestión de riesgos Determinar la brecha 2.8.7 Análisis de brechas
han sido determinados en el transcurso del desarrollo de una estrategia o diferencia entre el
de seguridad de la información como se describe en el Capítulo 1 . Estos estado actual y el estado
objetivos pueden ser expresados en términos de capacidades y eficacia en deseado.
el logro de niveles aceptables de riesgo dentro de tolerancias aceptables a Evaluación de riesgos 2.8.1 Proceso de gestión de riesgos
un costo aceptable y estructura de la 2.9 Metodologías para la Evaluación y el
seguridad Análisis de Riesgos
Para poder desarrollar e implementar una estrategia de gestión de riesgos es 2.1 0 Evaluación de riesgos
necesario conocer la estructura actual de la seguridad en la organización, así 2.1 0.9 Análisis de riesgos relevantes
como el "estado deseado" o los objetivos del programa. Normalmente, el estado
deseado se define en términos de estándares de buenas prácticas, como es Determinar la posición 2.6.1 Desarrollo de un programa de
el caso de la IS0/IEC 27002. 2013. El análisis de la brecha existente entre el actual ante riesgos gestión de riesgos
estado actual y el deseado reflejará aquello que se debe alcanzar para lograr 2.6.2 Roles y responsabilidades
los objetivos. Muchos de los aspectos del estado deseado se pueden cuantificar, 2.1 5.3 Reporte de cambios significativos en
pero será necesario contar con un enfoque cualitativo para definir el estado el riesgo
actual y el estado futuro. Esto se puede lograr mediante el uso de herramientas
como el modelo de madurez de la capacidad (CMM). También existen muchas
organizaciones que utilizan el enfoque del cuadro de mando (balanced scorecard)
(BSC), el cual combina tanto el enfoque cuantitativo como el cualitativo.

Manual de Preparación para el Examen CISM 14 º edición 91


ISACA. Todos los derechos reservados.
Capítulo 2- Gestión de Riesgos de la Información y Cumplimiento Sección Uno: Generalidades
e.� lnformation
Security Manager"
Anls..\CA"Certlficalioo

KS2.1 7 Conocimiento de las técnicas para la integración de la gestión de riesgos en el negocio y en los procesos de TI
Explicación Conceptos clave Referencia en el Manual
La gestión de riesgos es un requisito fundamental en todos los negocios y los procesos Problemas de la gestión de 2.10.4 Otros enfoques de evaluación de riesgos
de TI. El riesgo cambia significativamente durante el ciclo de vida de los recursos y a riesgos relacionados con los 2.13 Integración con los procesos de ciclo de
medida que cambian los procesos y los procedimientos de negocio. Por ejemplo, el ciclos de vida vida
riesgo asociado con las etapas de factibilidad y diseño de un proyecto es muy diferente 2.13.1 Gestión de riesgos para el Ciclo de vida de
del riesgo que ocurre durante las etapas de implementación y despliegue. Algunos desarrollo de sistemas de TI
de los procesos principales para exponer y gestionar el riesgo incluyen la gestión 2.13.2 Principios y prácticas de la gestión de
de cambios e incorporaciones, el aseguramiento de la calidad (QA) y las pruebas de riesgos basada en el ciclo de vida
aceptación de usuarios (UAT). El gerente de seguridad de la infonnación debe asegurar
Ciclos de vida de la 2.13.2 Principios y prácticas de la gestión de
que estos procesos existen de modo que se identifique y gestione el riesgo durante las
infonnación riesgos basada en el ciclo de vida
diferentes etapas del ciclo de vida de las tecnologías, los activos físicos y los procesos
Gestión y ciclos de vida de 2.1 3 Integración con los procesos de ciclo de
Además, es necesario garantizar que los procesos, procedimientos y prácticas a lo cambios vida
largo de la organización son evaluados para el riesgo. Basándose en esta evaluación, 2.13.1 Gestión de riesgos para el Ciclo de vida de
el gerente de seguridad de la información tiene una base para determinar los medios desarrollo de sistemas de TI
apropiados para gestionar el riesgo mediante la implementación de las diversas 2.13.2 Principios y prácticas de la gestión de
opciones para el tratamiento de riesgos. riesgos basada en el ciclo de vida

KS2.18 Conocimiento de los procesos y los requisitos de presentación de informes de cumplimiento


Explicación Conceptos clave
La necesidad de cumplimiento de los requisitos legales y reglamentarios se está Problemas de la gestión de 2.1 0.4 Otros enfoques de evaluación de riesgos
volviendo cada vez más común para muchas organizaciones. Aunque el grado de riesgos relacionados con los 2.13 Integración con los procesos de ciclo de vida
cumplimiento y los procesos y los recursos asignados son decisiones que deben ser ciclos de vida 2.13.1 Gestión de riesgos para el Ciclo de vida de
realizadas por la alta dirección, nonnalmente es una parte de las responsabilidades del desarrollo de sistemas de TI
gerente de seguridad de la información la ejecución de los elementos que involucran los 2.13.2 Plincipios y prácticas de la gestión de
diversos aspectos de seguridad de la infonnación. lnfonnar sobre el logro de los hitos de riesgos basada en el ciclo de vida
cumplimiento, será generalmente necesario y debe ser establecido en colaboración con
Ciclos de vida de la 2.1 1 .3 Clasificación de los activos de información
la alta dirección.
infonnación
Gestión y ciclos de vida de 2.1 3 Integración con los procesos de ciclo de vida
cambios 2.1 3.1 Gestión de riesgos para el Ciclo de vida de
desarrollo de sistemas de TI
2.13.2 Plincipios y prácticas de la gestión de
riesgos basada en el ciclo de vida

KS2.19 Conocimiento del análisis de costo-beneficio para evaluar las opciones de tratamiento de riesgos
Explicación Conceptos clave Referencia en el Manual
La elección de la mejor manera de tratar el riesgo debe basarse en última instancia, en un Beneficios de la gestión de 2.10.9 Análisis de riesgos relevantes
análisis de costo-beneficio. El enfoque específico con más probabilidades de ser eficaz, riesgos en comparación con 2.10.1 1 Opciones para el tratamiento de riesgos
es el que se utiliza habitualmente en la organización. Los beneficios son por lo general el costo 2.10.16 Costos y beneficios
el logro de un objetivo definido de control que da como resultado un nivel aceptable de 3.1 5 Controles y contramedidas
riesgo para la organización. Costos y beneficios
Factores de costo en los 2.10.1 6
controles 2.1 1 .1 Estrategias de valuación de los recursos
Los costos pueden ser analizados mediante el uso de diversos de enfoques financieros. de infonnación
Estos pueden incluir los métodos más comunes, como: 2.1 1 .3 Clasificación de los activos de
• Valor en Riesgo (VAR) infonnación
• Retomo sobre la inversión (ROi)
• Retorno de inversiones en seguridad (ROSI) Enfoques de análisis de 2.1 0.13 Impacto
• Valor presente neto (NPV) costo-beneficio 2.1 0.1 6 Costos y beneficios
• Tasa interna de retomo (IRR) 2.1 4 Niveles mínimos de controles de
seguridad
Por supuesto, el costo no debe superar nunca el beneficio. Hay muchas situaciones en 3.15.1 1 Niveles mínimos de control
las que la mitigación podría no ser una opción basada en el costo del impacto potencial
comparada con el costo de la mitigación o con los costos de transferencia del riesgo. El
análisis también puede mostrar que los beneficios no son suficientes para justificar el
riesgo asociado con la actividad.

Un análisis de costo-beneficio ayuda a proveer una visión del impacto monetario de


riesgos y ayuda a detenninar el costo de proteger lo que importa. Sin embargo, un análisis
costo-beneficio también está relacionado con elegir opciones inteligentes basándose en
los costos de mitigación de riesgos potenciales versus posibles pérdidas (exposición al
riesgo). Estos dos conceptos replantean las prácticas del buen gobierno.

92 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
e. Certified lnformation
Security Manager·
AnlSACA"CertlHc&tloo
Capítulo 2-Geslión de Riesgos de la Información y Cumplimiento Sección Uno: Generalidades

RECURSOS SUGERIDOS PARA ESTUDIOS POSTERIORES 2.3 PREGUNTAS DE AUTO EVALUACIÓN


Brotby, W. Krag; Information Security Management Metrics: Las preguntas que se incluyen en el examen de certificación
A Definitive Guide to Ejfective Security Monitoring and CISM están desarrolladas con el propósito de medir y probar
Measurement, Auerbach Publications, USA, 2009 el conocimiento práctico sobre la gestión de la seguridad de la
información. Todas las preguntas son de opción múltiple y están
Centro para Protección de Infraestructura Nacional, www.cpni. gov.uk diseñadas para que se obtenga una mejor respuesta. Todas las
preguntas del examen CISM tienen el formato de planteamiento
Information Technology lnformation Sharing and Analysis de un problema (pregunta) y cuatro opciones (opciones de

-
respuesta). Se pide al candidato que elija la respuesta correcta o la
Centre, www.it-isac.org
mejor respuesta entre las opciones. El problema se puede formular
como una pregunta o como un enunciado incompleto. En algunas
Intemational Organization for Standardization (ISO), ISOIIEC ocasiones, se puede incluir algún escenario o descripción de un
27005:2011: Jnformation technology- Security techniques­ problema. Estas preguntas normalmente incluyen la descripción
lnformation security risk management, 2nd Edition, Switzerland, de una situación y requieren que el candidato responda dos o más
20 1 1 preguntas basándose en la información suministrada. Muchas
veces una pregunta del examen de certificación CISM requerirá
ISO, ISO 3/ 000:2009: Risk management- Principles and que el candidato elija la respuesta más probable o la mejor.
guidelines, Switzerland, 2009
En cada caso, el candidato debe leer la pregunta cuidadosamente,
I SACA, COB/T 5 para Riesgos, USA, 2013, www.isaca.org/cobit eliminar las respuestas que sean claramente incorrectas y luego
hacer la mejor elección posible. Conocer el formato en que
ISACA, Implementing and Continually Improving IT se presentan las preguntas y cómo estudiar para obtener el
Governance, USA, 2010 conocimiento de lo que se va a probar será de gran ayuda para
responder las preguntas correctamente.
IT Govemance Institute, Measuring and Demonstrating the Value
of!T, USA, 2005 PREGUNTAS
2- 1 El objetivo general de la gestión de riesgos es:
Jaquith, Andrew; Security Metrics: Replacing Fear, Uncertainty
and Doubt, Pearson Education, USA, 2007 A. eliminar todas las vulnerabilidades, de ser posible.
B. determinar la mejor manera de transferir el riesgo.
Kaplan, Robert S.; Anette Mikes; "Managing Risks: A New C. gestionar el riesgo a un nivel aceptable.
Framework," Harvard Business Review, USA, 20 12 D. implementar contramedidas eficaces.

Killmeyer, Jan; lnformation Security Architecture: An lntegrated


2-2 El gerente de seguridad de la información debe tratar el
Approach to Security in the Organization, 2nd Edition, CRC
cumplimiento regulatorio como:
Press, USA, 2006
A. un mandato de la organización.
National lnstitute ofStandards and Technology (NIST), NIST B. una prioridad de la gestión de riesgos.
Special Publication 800-3 7 Revision 1 : Guidefor Applying the C. una cuestión puramente operacional.
Risk Management Framework to Federal lnformation Systems: A D. tan solo otro riesgo a ser tratado.
Security Life Cycle Approach, USA, 201 O
2-3 Para tratar los cambios en el riesgo, un programa eficaz de
NIST, NIST Special Publication 800-39: Managing lnformation gestión de riesgos debe:
Security Risk: Organization, Mission, and lnformation System
,-_ View, USA, 20 1 1 A. garantizar que se cuenta con procesos de monitoreo
continuo.
B. establecer niveles mínimos (baselines) de seguridad
Peltier, Thomas R.; Jnformation Security Risk Analysis, 3rd
adecuados para todos los recursos de información.
Edition, CRC Press, USA, 20 1 O
C. implementar un proceso completo de clasificación de
datos.
U.S. Department ofHomeland Security, Daily Open Source D. cambiar las políticas de seguridad de forma oportuna
Infrastructure Reportfor U.S. Department ofHomeland Security, para tratar los riesgos cambiantes.
www.dhs. gov/dhs-daily-open-source-infrastructure-report

Nota: Las publicaciones que aparecen en negritas están disponibles en la Libreria de /SACA.

Manual de Preparación para el Examen CISM 14 º edición 93


ISACA. Todos los derechos reservados.
Capítulo 2-Gestión de Riesgos de la Información y Cumplimiento Sección Uno: Generalidades e• Certilied lnfonnation
Security Manager"
AnlSACA"Certlflcatloo

2-4 La clasificación de información es importante 2-8 ¿Para tratar cuál de las siguientes áreas, los dueños de los
para administrar el riesgo de forma apropiada datos son los PRINCIPALES responsables de desarrollar
PRINCIPALMENTE porque: estrategias de mitigación de riesgos?

A. garantiza la responsabilidad sobre los recursos de A. La seguridad de la plataforma


información según se requiera mediante roles y B. Cambios en privilegios
responsabi Iidades. C. Detección de intrusos
B. es un requerimiento legal de conformidad con diversas D. Controles antivirus
regulaciones.
C. no existe otra forma de cumplir con los requerimientos 2-9 Un análisis de riesgos debe:
de disponibilidad, integridad y auditabilidad.
D. se utiliza para identificar la sensibilidad y la criticidad A. limitar el alcance a un estudio comparativo de
de la información para la organización. compañías similares.
B. asumir un grado igual de protección para todos los
2-5 Las vulnerabilidades identificadas durante una evaluación activos.
deben: C. tratar la posible magnitud y probabilidad de pérdida.
D. dar mayor peso a la probabilidad en comparación con la
A. manejarse como un riesgo, aun cuando no exista una magnitud de la pérdida.
amenaza. 2- 1 O ¿Cuál de las opciones siguientes es el PRIMER paso para
B. priorizarse para su solución sólo con base en el impacto. seleccionar los controles apropiados que se implementarán
C. ser una base para analizar la eficacia de los controles. en una nueva aplicación de negocios?
D. evaluarse para determinar las amenazas, el impacto y el
costo de mitigación. A. Un análisis de impacto al negocio (BIA)
B. Análisis costo-beneficio
2-6 Los acuerdos de indemnización se pueden utilizar para: C. Análisis de retomo de la inversión (ROi)
D. Evaluación de riesgos
A. garantizar un nivel de servicio acordado.
B. reducir el impacto sobre los recursos organizacionales.
C. transferir la responsabilidad a un tercero.
D. proporcionar una contramedida eficaz ante amenazas.

2-7 El riesgo residual se puede determinar al:

A. evaluar las vulnerabilidades que permanecen.


B. realizar un análisis de amenazas.
C. realizar una evaluación de riesgos.
D. implementar una transferencia del riesgo.

94 Manual de Preparación para el Examen CISM 14º edición


ISACA. Todos los derechos reservados.
-
e. certified lnformatioo
Security Manager"
AII ISACA"Certlflt:atlon
Capítulo 2-Gestión de Riesgos de la Información y Cumplimiemo Sección Uno: Generalidades

-
- RESPUESTAS A LAS PREGUNTAS DE AUTOEVALUACIÓN
2-1 A No es posible eliminar todas las vulnerabilidades.
2-4 A La clasificación no garantiza la responsabilidad.
B La clasificación, generalmente, no es un requerimiento
legal.
B El objetivo de la gestión de riesgos es alcanzar un e La clasificación no aborda requerimientos para
,,.., nivel de riesgo aceptable en toda la organización. La disponibilidad, integridad y auditabilidad.
transferencia del riesgo es solo una opción para alcanzar D La clasificación de la información es un paso
este objetivo. fundamental para determinar cuán confidencial
e
-
,--- La gestión de riesgos es el proceso para reducir el y determinante es la información para el negocio.
riesgo a un nivel aceptable. La clasificación se usa, por tanto, para determinar
D Las contramedidas son una forma de control y parte qué información se debe proteger, y en qué
,,-. del proceso de tratamiento de riesgos para alcanzar el medida, durante su creación, manejo, etiquetado,
transportación, almacenamiento y destrucción. La

objetivo general de la gestión de riesgos.
protección puede incluir una encriptación fuerte,
,-.
2-2 A Un requerimiento regulatorio, aunque sea dispuesto por controles de acceso robustos, controles de etiquetado,
la organización, debe ser tratado como cualquier otro distribución y retención.
riesgo.
B Un requerimiento regulatorio es una prioridad hasta 2-5 A Las vulnerabilidades pueden no estar expuestas a
que el nivel de riesgo se compar