CISM 15e Domain1 Spanish PDF

26 Y 27 AGOSTO - Santiago CHILE
Capítulo 1: Gobierno de
Seguridad de la Información
Fotografía del Pablo Caneo
Expositor
26 Y 27 AGOSTO - Santiago CHILE
PREPARACIÓN PARA
EL EXAMEN CISM
Pablo Caneo
Pregunta previa al curso - 1
¿Cuál de las siguientes razones es la MÁS importante para

desarrollar una estrategia antes de implementar un programa de
seguridad de la información?
A. Justificar los costos de desarrollo del programa

B. Integrar las actividades de desarrollo
C. Obtener apoyo de la gerencia para un programa de
seguridad de la información
D. Cumplir con los estándares internacionales
¿De qué manera ayuda el conocimiento del apetito de riesgo a

incrementar la efectividad del control de seguridad?
A. Le muestra a la alta dirección que usted entiende sus

necesidades.
B. Proporciona una base para redistribuir los recursos para
mitigar los riesgos que superan el apetito de riesgo.
C. Requiere el monitoreo continuo porque el entorno de riesgo
completo cambia constantemente.
D. Facilita la comunicación con la gerencia sobre la importancia
de la seguridad.
Cuando una organización establece una relación con un

proveedor de servicio de TI externo, ¿cuál de las opciones
siguientes es uno de los temas MÁS importantes que se deben
incluir en el contrato desde el punto de vista de la seguridad?
A. Cumplimiento de los estándares de seguridad

internacionales.
B. Uso de un sistema de autenticación de dos factores
C. Existencia de un sitio de respaldo alterno completamente
equipado (hot site) en caso de interrupción de las
operaciones del negocio
D. Cumplimiento de los requerimientos de seguridad de la
información de la organización
¿Cuál de las siguientes opciones es MÁS importante verificar

para garantizar la disponibilidad de los procesos clave de negocio
en un sitio alternativo?
A. Objetivo de tiempo de recuperación

B. Matriz de delegación funcional
C. Disponibilidad del personal en el lugar
D. Flujo de transacciones de extremo a extremo
Dominio 1
Gobierno de la seguridad de la
información
Dominio 1
Establecer y / o mantener un marco de

referencia del gobierno de la seguridad de
la información y sus procesos de soporte
para asegurar que la estrategia de
seguridad de la información esté alineada
con las metas y los objetivos de la
organización
Dominio 1 (cont.)
• Este dominio revisa el conjunto de

conocimientos y tareas asociadas necesarias
para desarrollar una estructura de gobierno
de seguridad de la información alineada con
los objetivos de la organización.
Objetivos del dominio
• Asegurar que el candidato a CISM tenga los conocimientos

necesarios para:
– Entender el propósito del gobierno de seguridad de la información, en
qué consiste y cómo se logra.
– Entender el propósito de una estrategia de seguridad de la
información, sus objetivos y las razones y los pasos que se requieren
para desarrollar una.
– Entender el significado, el contenido, la creación y el uso de políticas,
estándares, procedimientos y directrices, y cómo se relacionan entre
sí.
– Desarrollar casos de negocio y obtener el compromiso del personal
directivo.
– Definir requisitos de las métricas de gobierno, selección y creación.
Referencia al examen CISM
• Este dominio representa el 24% del examen
CISM (aproximadamente 36 preguntas).
Dominio 1:
Dominio 4: Gestión
Gobierno de
de incidentes de
seguridad de la
seguridad de la
información (24%)
información (19%)
Dominio 3: Desarrollo
y gestión del Dominio 2: Gestión
programa de de riesgos de
seguridad de la seguridad de la
información (27%) información (30%)
Gobierno vs. Gestión
 Gobierno  Gestión
– El propósito es – El propósito es
establecer metas planificar, construir,
– “Hacer lo correcto” ejecutar y monitorear
las actividades para
alcanzar los objetivos
– “Hacer las cosas
bien”
¿Por qué es importante el gobierno?
La información es crítica para nuestras vidas.
Proteger la información es clave, pero los costos y los beneficios varían.
¿Cómo podemos estar seguros de que estamos eligiendo la opción adecuada?
• El gobierno ayuda a alinear la seguridad de la

información con las metas y objetivos del negocio
Seguridad de la información efectiva
Un programa de seguridad de la
información efectiva:
 Apoya lo que la organización
está intentando hacer
 Mantiene el riesgo dentro de
los niveles aceptables
 Rastrea el éxito y las áreas de
mejora
 Cambios en la organización
Generalidades del Dominio 1
• Sección Uno: Diseño de una estrategia y un

marco de referencia del gobierno
• Sección Dos: Obtener el respaldo/la
aprobación de la gerencia
• Sección Tres: Implementación de alala práctica
Refiérase estrategia
laboral de
CISM para las Declaraciones de
de seguridad Tareas y Conocimientos.
Sección Uno
Diseño de una estrategia y un marco

de referencia del gobierno
Declaraciones de tareas
• T1.1 Establecer y/o mantener una estrategia de seguridad de la

información alineada con las metas y los objetivos de la organización para
orientar el establecimiento y/o la administración continua del programa
de seguridad de la información.
• T1.2 Establecer y/o mantener un marco de referencia del gobierno de la

seguridad de la información para orientar las actividades que apoyan la
estrategia de seguridad de la información.
• T1.3 Integrar el gobierno de la seguridad de la información dentro del

gobierno corporativo para asegurar que las metas y objetivos
organizacionales sean respaldados por el programa de seguridad de la
información.
Declaraciones de
conocimientos
¿Cómo se relaciona la Sección Uno con cada una de las
siguientes declaraciones de conocimientos?
Declaración de Conexión
conocimiento
K1.1 Las técnicas son formas de analizar lo que se necesita y de cómo diferenciar
lo que está actualmente implementado.
K1.2 Las relaciones proporcionan una mirada a través de la cual entender InfoSec.
K1.3 Mediante el uso de marcos de referencia de seguridad, las organizaciones

pueden evitar "reinventar la rueda" utilizando los recursos existentes y
adaptándolos a la organización.
K1.4 Los estándares / marcos de referencia son atajos para saber lo que es
posible y cómo llegar a ello.
K1.5 Es importante comprender los conceptos fundamentales del gobierno, junto
con los puntos de vista y las lecciones de los expertos.
Declaraciones de
conocimientos
¿Cómo se relaciona la Sección Uno con cada una
conocimiento de las
siguientes
K1.6 declaraciones
Aprovechar alde conocimientos?
máximo un marco de referencia requiere una buena comprensión
de sus beneficios y cómo ponerlo en práctica.
K1.7 Otros departamentos o unidades de negocios pueden no comprender

inmediatamente el valor de la seguridad de la información. Esto hace que sea
importante que la organización de seguridad de la información se comunique
con aquellos fuera del área de trabajo de seguridad.
K1.10 Un programa eficaz es aquel que la organización puede implementar y que

proporciona información inmediatamente accionable y útil.
K1.11 El programa InfoSec necesita adaptarse a los cambios en el ecosistema complejo

de la organización para seguir siendo útil.
K1.12 Los programas solo son tan buenos como ellos se ven; un programa bien
diseñado que es pobremente comunicado no despegará del suelo.
Términos clave RH1
Término clave Definición

Control El medio de gestionar el riesgo, que incluye políticas, procedimientos,
directrices, prácticas o estructuras organizacionales que pueden ser
de naturaleza administrativa, técnica, gerencial o legal
Marco de referencia Una descripción de las relaciones que pueden existir entre las
actividades sin especificar cómo esas relaciones deben ser hechas
para que funcionen
Política Declaraciones de alto nivel sobre la intención y la dirección de la
gerencia.
Riesgo La combinación de la probabilidad de un evento y sus consecuencias.
(ISO/IEC 73)
Estándar Un requisito obligatorio, un código de práctica o una especificación
aprobada por una organización normalizadora externa reconocida,
como ISO.
Estrategia Un plan de alto nivel para alcanzar un objetivo
Consulte www.isaca.org/glossary para más términos clave.

Diapositiva 20
RH1 Compile into a job aid?

Renée Herrmann (ISACA HQ); 12/10/2016
Metas y estrategia
• Las metas del negocio son establecidas por el
consejo de dirección
o La alta dirección construye la estrategia
para alcanzar estos objetivos Metas
• El gobierno asegura que la estrategia del
negocio se mantiene consistente con las
Objetivos
metas del negocio
• El gobierno de la seguridad de la información
proporciona orientación estratégica para la
seguridad
• La estrategia de seguridad de la
información debería vincularse con la Estrategia
estrategia general del negocio
Resultados del gobierno de la
• Seis resultados básicos de un programa de

seguridad:
– Alineación estratégica
– Gestión de riesgos
– Entrega de valor
– Optimización de recursos
– Medición del desempeño
– Integración del proceso de aseguramiento
Apetito de riesgo
• El riesgo es parte de cualquier actividad de negocio.

– El potencial con mayor recompensa viene con mayores consecuencias
potenciales
• Capacidad de riesgo: Cantidad de pérdidas que una empresa
puede tolerar sin que se cuestione la continuidad de su
existencia.
• Apetito de riesgo: La cantidad de riesgo que una entidad está
dispuesta a aceptar para llevar a cabo su misión.
Estrategia y riesgo
• El propósito de la seguridad de la información:

Gestionar el riesgo de la información a un
nivel aceptable
– Comprender el perfil de riesgo
– Comprender la exposición al riesgo
– Tenga en cuenta las prioridades de gestión de
riesgo
– Asegure la suficiente mitigación del riesgo
– Basar las decisiones de tratamiento de riesgo
sobre las consecuencias potenciales
Pregunta de discusión
 ¿Por qué es importante tener un proceso formal para aceptar

el riesgo?
Gobierno, Riesgo y Cumplimiento
 GRC es un proceso de
aseguramiento integrado
 Convergencia puede
Gobierno existir de manera
independiente a través
de las diferentes
funciones de negocio
 La seguridad de la
Riesgo Cumplimiento información es a
menudo parte del GRC
Errores en el desarrollo de la
estrategia
• Exceso de confianza/Optimismo
• Anclaje
• Sesgo de status quo
• Contabilidad mental
• Instinto de reunión
• Falso consenso
– Confirmación del sesgo
– Pensamiento en grupo
Empieza con la Metas
• ¿Cuál es la meta?
– Típicamente asegurar la fiabilidad de la
información relacionada con los procesos de
negocio
• A menudo se desconoce qué información
existe dentro de la empresa, criticidad, etc.
– Impacto costo-efectividad
• Las metas ayudan a establecer los objetivos,
los que conducen a las estrategias.
– Deberían atarse a las metas empresariales
Clasificación de los activos
• La clasificación inicial
puede consumir mucho
tiempo
– No se vuelve más fácil
con el tiempo
• El mejor enfoque es
iniciar lo más pronto
posible
– Clasificar nuevos activos
cuando ellos son
creados
– Monitorear los cambios
Enfocarse en los datos
• La seguridad de la información
tradicionalmente se ha enfocado en los
sistemas de TI.
• Los dueños de procesos de negocio
consideran los sistemas de TI como
herramientas, mientras los datos producidos
tienen valor
• La integración con el gobierno corporativo se
vuelve más fácil con un enfoque a datos
Valoración de los datos
• La criticidad de los datos se puede derivar de

la criticidad de los procesos que utilizan estos
datos.
• La sensibilidad se puede derivar
determinando las consecuencias de fuga de
datos.
– La sensibilidad de los datos podría ser subjetiva.
– Algunos tipos de datos podrían ser considerados
sensibles por ley o regulación.
Estado actual vs Estado deseado
 Estado deseado  Brechas entre el estado

– Ambiente ideal de seguridad de actual y el estado
la información deseado
– Marcos de – Planes para alcanzar el
referencia/estándares ayudan a estado deseado
identificar resultados
– Definir el estado deseado hace
más fácil la identificación de la
ruta desde el estado actual
 Estado actual
– Que es lo que ocurre
actualmente
– Ayuda a identificar donde el
ambiente no alcanza el deseado
Es bueno saber que
 El conocimiento del estado actual nunca es completo, y el

estado deseado puede cambiar con el tiempo.
 Una visión exacta de cómo son las cosas hoy en día y cuál es el
estado deseado del objetivo es suficiente para los propósitos
del gobierno.
Construyendo la estrategia
 La estrategia provee un mapa

de ruta hacia el estado
deseado
 La ruta puede ser larga
dependiendo de la distancia
entre el estado actual y el
deseado
 Debería identificar:
– Los recursos disponibles
– Los métodos disponibles
– Limitaciones
Políticas, estándares y
controles
Políticas Estándares Controles

Partes de la
Herramientas Herramientas
arquitectura de
de gobierno de gerencia
seguridad
“Constitución” “Leyes” “Aplicación”

Restricciones de la estrategia
• Legal
• Físico
• Ética
• Cultura
• Costos
• Personal
• Estructura organizacional
• Recursos
• Capacidades
• Tiempo
• Apetito de riesgo
Requerimientos legales y regulatorios
 Seguridad de la información
está vinculada con la
privacidad, propiedad
intelectual y ley
 Es posible que se requieran
estrategias de seguridad para
diferentes regiones
 Requerimientos de retención
 Descubrimiento electrónico
(E-Discovery)
 Tratar como cualquier otro
riesgo
Limitaciones físicas
• Incluye capacidad, espacio, peligros

ambientales, etc.
• La seguridad del personal también debería ser
considerado
• A menudo se ignoran y pueden dar lugar a
interrupciones o infracciones
• La recuperación ante desastres debería ser
considerada
Ética y Cultura
• Ética
– Percepción del comportamiento de la empresa
– Influenciado por la localidad y cultura
• Cultura
– Cultura interna
– Cultura local
Costos
• Justificar el gasto con base en el valor del

proyecto.
• Análisis costo-beneficio/financiero más
ampliamente aceptados
• ALE
• ROI
Personal y Estructura
organizacional
• Personal
– La resistencia a los cambios puede impactar el
éxito de la implementación de la estrategia
• Estructura organizacional
– Impacta como una estrategia de gobierno puede
ser implementada
– La cooperación es necesaria
– El apoyo de la alta dirección ayuda a asegurar la
cooperación
Recursos, Capacidades y
Tiempo
• Recursos
– Considerar los presupuestos disponibles, TCO y
requerimientos del personal
• Capacidades
– Experiencia y habilidades
• Tiempo
– Plazos/Ventanas de oportunidad
Apetito de riesgo
• La aceptación del riesgo y la tolerancia al

riesgo desempeñan un papel importante
• Dificultad para medir
• RTOs/RPOs
Evaluación continua
 La estrategia de seguridad de
la información necesita ser
dinámica.
 Actualizar las evaluaciones
regularmente.
 ¿Cuáles son algunas razones por las que el riesgo de

información en el ambiente cambia a través del tiempo?
Estrategia y Marco de
•
referencia
Un marco de referencia es un
andamio de elementos
interrelacionados
• La estrategia es el punto de
inicio del marco de referencia
• Asegura que la seguridad de la
información se enfoque en las
metas correctas
Marcos de referencias y Arquitectura
 Los marcos de referencias

están asociados muy
cercanamente con la
arquitectura empresarial
– Metas = arquitectura
conceptual
– Marco de referencia =
arquitectura lógica
 La arquitectura física
implementa la arquitectura
lógica a través de las políticas,
estándares y controles
Relación entre los elementos de
gobierno
Recursos de terceras partes
• Una variedad de recursos se encuentran

disponibles para ser utilizados como una base
– COBIT, CMMI, ISO, etc.
• Los marcos de referencia definen relaciones
• Pueden derivarse beneficios desde un
cumplimiento certificado con estándares de
terceras partes (ej., ISO)
Matriz de arquitectura de
seguridad SABSA
Fuente: Copyright SABSA Institute, www.sabsa.org. Reproducido con autorización.

La estructura del documento
TOGAF
Fuente: The Open Group; TOGAF, Versión 9.1, Reino Unido, 2011
Construyendo consistencia
• La integración asegura consistencia.

• Cuando se agrega la seguridad de la
información a una estructura de gobierno
existente, no es necesario utilizar un marco de
trabajo diferente.
• Si no se utiliza un marco de referencia general,
encuentra un marco de referencia que sea
comprensivo y que puede ser utilizado a
través de la organización
Sección Uno
 ¿Preguntas?
La “foto completa"
• La autoridad del gobierno viene

del consejo de dirección.
información es como la
Sección Uno organización administra el riesgo
Diseño de una estrategia y un marco de asociado con los activos de
referencia del gobierno información y asegura que ellos
están disponibles para soportar
el logro de las metas del negocio.
Sección Uno
Preguntas de preparación para el

examen
Pregunta de preparación
¿Cuál de los siguientes debe ser el PRIMER paso para desarrollar

un plan de seguridad de la información?
A. Realizar una evaluación técnica de vulnerabilidades.

B. Analizar la estrategia de negocio actual.
C. Realizar un análisis de impacto en el negocio.
D. Evaluar los niveles actuales de concienciación en seguridad.
El gobierno de la seguridad de la información es

PRINCIPALMENTE impulsado por:
A. las restricciones de tecnología.

B. los requerimientos regulatorios.
C. el potencial de litigios.
D. la estrategia del negocio.
El PRIMER paso para crear una cultura interna que abarque la

seguridad de la información es:
A. implementar controles más fuertes.

B. realizar una capacitación de concienciación de forma
periódica.
C. monitorear activamente las operaciones.
D. obtener el consentimiento de la gerencia ejecutiva.
El propósito de una estrategia de seguridad de la información es:
A. expresar las metas del programa de seguridad de la

información y el plan para alcanzarlas.
B. indicar la configuración deseada de los controles de
seguridad del sistema de información.
C. exigir el comportamiento y las acciones aceptables de todos
los usuarios del sistema de información.
D. autorizar los pasos y procedimientos necesarios para
proteger los sistemas de información críticos.
Sección Dos
Obtener el respaldo/la aprobación de

la gerencia
• T1.5 Desarrollar casos de negocio para apoyar la inversión en seguridad de

la información.
• T1.6 Identificar influencias internas y externas a la organización (por

ejemplo, las tecnologías emergentes, las redes sociales, el entorno
empresarial, la tolerancia al riesgo, los requisitos regulatorios, las
consideraciones de terceros, el panorama de amenazas) para asegurarse
de que estos factores son abordados continuamente por la estrategia de
seguridad de la información.
• T1.7 Obtener el compromiso constante del personal directivo y de otras

partes interesadas para apoyar la implementación exitosa de la estrategia
de seguridad de la información.
Declaraciones de
conocimientos
¿Cómo se relaciona la Sección Dos con cada una de las
conocimiento
K1.7 Factores fuera de la organización podría impactar como se
enfoca el gobierno, y que ese enfoque podría no ser flexible. Es
a menudo necesario cambiar el modelo de gobierno de
seguridad de la información para alinearlo con el gobierno
corporativo en vez de esperar lo contrario.
K1.9 Los ejecutivos y tomadores de decisión tienden a ser buenos en
la evaluación de casos de negocio. Necesitas hablar su propio
lenguaje para obtener su apoyo.
K1.10 Comprender los costos y beneficios ayudan a mantener el
enfoque en el valor que puede proveer la seguridad de la
información.
Declaraciones de
conocimientos
¿Cómo se relaciona
conocimiento la Sección Dos con cada una de las
siguientes
K1.11 declaraciones de conocimientos?
El programa de seguridad de la información existe dentro de un
ecosistema complejo de procesos dinámicos dentro y fuera de la
organización. Necesita estar disponible para adaptarse a los cambios
en este ecosistema para permanecer relevante y útil.
K1.12 Los programas solo son buenos en la medida en que se ven. Un

programa bien diseñado que es comunicado pobremente nunca
despejará.
K1.13 Ir con las personas correctas en los momentos indicados y en las
direcciones correctas puede hacer toda la diferencia en si la
propuesta es aprobada o rechazada. Es importante conocer cómo y
cuándo las personas quieren ser contactadas y hacer lo mejor para
cumplir con sus expectativas cuando sea posible.
Términos clave RH2

Caso de negocio Documentación de las razones para hacer una inversión empresarial,
que se utiliza tanto para apoyar una decisión empresarial sobre si
proceder o no con la inversión y como una herramienta operativa
para apoyar la gestión de la inversión a través de su ciclo completo de
vida económica
Tolerancia al riesgo El nivel aceptable de variación que la administración está dispuesta a
permitir en un riesgo en particular, mientras la empresa logre sus
objetivos.
Partes interesadas Cualquiera que tenga la responsabilidad por, una expectativa desde u
otros intereses en la empresa. Ejemplos: accionistas, usuarios,
gobierno, proveedores, clientes y público.
Panorama de El conjunto de todas las amenazas conocidas que enfrenta la
amenazas organización

Diapositiva 64

El compromiso es clave
 El respaldo de la alta
dirección es esencial para el
éxito
 La seguridad de la
información podría necesitar
educar a la alta gerencia para
mantenerlos interesados
 Utiliza lenguaje de negocio,
no jerga técnica
Vender la estrategia
• La estrategia de seguridad debería administrar

el riesgo de información a un nivel aceptable
en línea con la estrategia de negocio.
• Los gerentes de seguridad de la información

necesitan transmitir el valor de la proposición
de los que es propuesto.
Establecer las bases
 Los talleres o sesiones de
información pueden
sentar las bases para la
implementación de la
estrategia.
 Intentar anticiparse a las
situaciones/
preocupaciones que los
gerentes pueden tener
Roles y responsabilidades
 Consejo de dirección  Alta dirección

– Necesitas estar al tanto de los – Asegurar que se
activos de información encuentren disponibles
las funciones/recursos
– Provee resultados de alto nivel
que se necesitan
sobre las evaluaciones de riesgo
y BIAs. – Asegurar que los recursos
se utilizan
– Tener cuidado al proteger los
apropiadamente
activos clave
– Necesitas estar al tanto de
los activos de información
• El comité de dirección
– Compuesto por altos representantes de grupos afectados por la
– Asegurar alineamiento del programa de seguridad con los objetivos
del negocio
• Temas comunes:
– La estrategia de seguridad y los esfuerzos de integración
– Acciones y avances específicos relacionados con el apoyo a las
unidades de negocio con respecto a las funciones del programa de
– Riesgos emergentes, prácticas de seguridad en las unidades de
negocio y temas de cumplimiento
• Director de riesgo
– Generalmente responsable de todo el riesgo que
no sea de información y ERM en general
• Director de información
– Responsable de la planificación, presupuesto y
desempeño de TI
• Director de seguridad de la información
– Funciones similares como gerente de seguridad de
la información con más elementos estratégicos y
de gestión
Es bueno saber que
 Muchos no tienen una posición oficial

– Las tendencias muestran que la mayoría de las
organizaciones tienen un CISO a cargo del programa de
seguridad
– Algunas organizaciones tienen un CSO sobre la seguridad
de la información y seguridad física.
 La mayoría a menudo reporta al CEO, seguido por el
CIO y el consejo
– Conflictos de interés pueden surgir si el CISO reporta al CIO
porque la seguridad a menudo es vista como una
limitación en TI
Seguimiento a roles
Fuente: ISACA, COBIT 5: Procesos catalizadores, EE.UU., 2012

Actividad
 Completar la siguiente matriz RACI.

Respuestas de la actividad
Gerente de Consejo de Director de Director Dueños del
seguridad de la dirección seguridad general proceso de
información de la ejecutivo negocio
información
Definir las C R A I
capacidades
objetivo de TI.
Llevar a cabo R A R
un análisis de
brechas.
Definir el plan C A C
estratégico y
mapa de ruta.
Comunicar la I I R R I
dirección y
estrategia de
TI.
El caso de negocio
• Provee una propuesta formal
para un proyecto
– Costos probables
– Beneficios
• Debería tener suficiente
detalle para explicar el
porqué del proyecto y que es
lo que entregaría de regreso
Preparar un caso de negocio
• Elementos de un estudio de factibilidad

– Alcance del proyecto
– Análisis actual
– Requerimientos
– Enfoque recomendado
– Evaluación
– Revisión formal
Nota: El estudio de factibilidad se centra en los costos directos,

mientras que el caso de negocios debe centrarse en el costo total
El Caso de negocio y la Gestión
de proyectos
• El caso de negocio conduce el proceso de

decisión
– Si ya no es válido, el proyecto debería revisarse
– Utilizado en cada fase finalizada (puntos muertos)
– Reevaluación/reaprobación necesaria cuando las
circunstancias cambien
Comunicar el valor
 El valor puede ser estimado

en ingresos, ahorros o ambos
 Un programa de seguridad de
la información efectiva:
– Reduce la probabilidad de un
evento significativo
– Reduce las pérdidas de un
evento
 Cualquiera de los dos
resultados iguala el ahorro
Compra de las partes
interesadas
• Otros grupos son afectados por la propuesta
de seguridad de la información
• Las partes interesadas podrían ser internas o
externas
• El fracaso para lograr
la inclusión de otros
puede sabotear
su propuesta
 ¿Quiénes son algunas de las partes interesadas en la

estrategia de seguridad de la información de una
organización?
Partes interesadas internas
• Gerentes responsables de procesos de

negocio clave
• Gerentes responsables por actividades de
generación de ingresos
• Recursos humanos
• Legal y privacidad
Nota: El caso de negocio debería ser actualizado

a través de notas requeridas, aun si ellas no han
Partes interesadas externas
• Proveedores de
servicio
• Vendedores críticos
• Socios de
subcontratación
• Consumidores/
miembros
• Seguridad de la
información podría ser
afectada por los
contratos.
Presentar la estrategia
• Puede ser utilizada para
educar y comunicar
• Factores comunes para su
aceptación:
– Alineamiento de la
seguridad con los objetivos
del negocio
– Identificar consecuencias
potenciales
– Identificación de partidas
presupuestarias
– Utilizar modelos comunes
de riesgo / beneficio o
financieros
– Definir medidas de
monitoreo y auditoria
Presentar la estrategia
• Recuerda: Usted es el experto en la materia!

– Ser conciso, pero se honesto
– La alta dirección podría no realizar el impacto de
un daño reputacional
• Alineamiento es clave: Si la estrategia está
alineada con el negocio, es más probable que
sea aprobada.
Sección Dos
 ¿Preguntas?
información apoya los objetivos
y la estrategia empresarial de la
organización.
Sección Dos • Tener la aprobación del alto

directivo para implementar la
Obtener el respaldo/la aprobación de la
estrategia es esencial porque
gerencia
proporciona acceso a los
recursos y ayuda a eliminar los
obstáculos procedimentales.
Sección Dos

examen
El compromiso y soporte de la alta dirección hacia la seguridad

de la información se puede obtener MEJOR a través de
presentaciones que:
A. usen ejemplos ilustrativos de ataques exitosos.

B. expliquen el riesgo técnico para la organización.
C. evalúen la organización comparándola contra buenas
prácticas de seguridad.
D. vinculen los riesgos de seguridad con los objetivos clave del
negocio.
Un gerente de seguridad está preparando un informe para

obtener el compromiso de la gerencia ejecutiva para un
programa de seguridad. ¿La inclusión de cuál de los siguientes
elementos sería de MÁS valor?
A. Ejemplos de incidentes genuinos en organizaciones similares

B. Declaración de las buenas prácticas generalmente aceptadas
C. Asociar amenazas realistas con los objetivos corporativos
D. Análisis de la exposición tecnológica actual
El requerimiento MÁS importante para obtener el compromiso

de la gerencia con el programa de la seguridad de la información
es:
A. llevar a cabo un análisis comparativo de varias

organizaciones exitosas.
B. demostrar las pérdidas potenciales y otros impactos que
pudieren resultar de una falta de apoyo.
C. informar a la gerencia de los requerimientos legales en
relación con el debido cuidado.
D. demostrar apoyo para los resultados deseados.
¿Cuál de las siguientes situaciones inhibiría MÁS la

implementación efectiva del gobierno de la seguridad?
A. La complejidad de la tecnología
B. Limitaciones presupuestarias
C. Prioridades del negocio en conflicto
D. Falta de patrocinio de alto nivel
Sección Tres
Implementación de la estrategia de
seguridad
• T1.4 Establecer y mantener políticas de seguridad de la información para

orientar el desarrollo de estándares, procedimientos y directrices en
alineación con las metas y los objetivos de la empresa.
• T1.8 Definir, comunicar y monitorear las responsabilidades de seguridad

de la información en toda la organización (por ejemplo, propietarios de
datos, custodios de datos, usuarios finales, usuarios con privilegios o de
alto riesgo) y las líneas de autoridad.
• T1.9 Establecer, supervisar, evaluar y reportar métricas clave de seguridad

de la información para proporcionar a la administración información
precisa e importante en cuanto a la efectividad de la estrategia de
seguridad de la información.
Declaraciones de
conocimientos
¿Cómo se relaciona la Sección Tres con cada una de las
conocimiento
K1.2 Las relaciones proporcionan una lente a través de la cual
entender la seguridad de la información.
K1.8 Las políticas requieren que el apoyo ejecutivo sea eficaz, por lo
que necesita saber cómo involucrar a la gente en la parte
superior en formas que se adapten a su cultura organizacional.
Si los ejecutivos no están dispuestos a seguir una política que
ellos mismos implementaron, nadie más lo hará.
K1.10 Un programa eficaz es aquel que la organización puede
permitirse y que proporciona información inmediatamente
responsable y útil.
Declaraciones de
conocimientos Pagina 18 del
Manual de
Preparación
¿Cómo se relaciona la Sección Tres con cada una
conocimiento de las
siguientes
K1.15 declaraciones
La seguridad de
de la conocimientos?
información puede requerir la participación en
prácticamente cualquier nivel de una organización, desde equipos
funcionales hasta el consejo de dirección. Es crítico saber cómo fluye la
información y quién aprueba cada nivel de escalamiento.
K1.16 Las personas adecuadas necesitan obtener la información correcta en los

momentos adecuados. La comprensión de la estructura ayuda a evitar pasar
por alto a cualquier persona que necesite saber algo y también facilita
limitar el reporte de lo que puede ser información sensible.
K1.17 Las organizaciones cambian con el tiempo, y los cambios en las relaciones y
estructuras de reporte fuera de la función de seguridad de la información no
siempre pueden ser ampliamente comunicados. Desarrollar una manera de
monitorear estos cambios a medida que ocurren e incorporarlos en el
proceso de gobierno.
Declaraciones de
conocimientos
¿Cómo se relaciona
conocimiento la Sección Tres con cada una de las
siguientes
K1.18 declaraciones
Evitede
crearconocimientos?
nuevos métodos de comunicación siempre que los
métodos existentes puedan ser adaptados o expandidos para
incluir la seguridad de la información. Cuando se necesiten
nuevos canales, entienda cómo su organización espera que sean
evaluados y aprobados antes de que se establezcan.
K1.19 La seguridad de la información cubre una enorme variedad de
procesos, tecnologías y preocupaciones que pueden ser
monitoreadas individual o colectivamente. La identificación de
los indicadores clave para el riesgo, el desempeño y otras
consideraciones ayuda a hacer más efectiva la presentación de
informes.
Términos clave RH3

Custodio de datos Personas y departamentos responsables del almacenamiento
y protección de la información computarizada
Directriz Una descripción de una determinada manera de lograr algo
que es menos prescriptivo que un procedimiento
Métrica Una entidad cuantificable que permite medir el logro de una
meta de proceso
Procedimiento Un documento que contiene una descripción detallada de los
pasos necesarios para realizar operaciones específicas
conforme a las normas aplicables. Los procedimientos se
definen como partes de los procesos.

Diapositiva 97

Políticas
 Directamente rastreable a
elementos de estrategia
 Lo suficientemente amplia
como para no requerir una
revisión periódica, pero debe
revisarse periódicamente
 Aprobada al nivel más alto
 Preparar el camino para una
implementación efectiva
Políticas
• Atributos de buenas políticas:

– Deben capturar la intención, expectativas y
dirección de la gerencia
– Deben establecen sólo una orden de seguridad
general
– Deben ser claras y fáciles de entender
– Incluir el contexto suficiente para ser útiles
– Un número raramente de más de dos docenas en
total
Establecer estándares
• Proveer medición para cumplimiento

• Gobernar la creación de procedimientos y directrices
• Establecer niveles mínimos de seguridad
• Reflejan el riesgo aceptable y los objetivos de control
• Actúan como un criterio para la evaluación del riesgo
aceptable
• Son inequívocos, consistentes y precisos
• Se diseminan a los gobernados por ellos y los afectados
Establecer estándares
 Los estándares de terceros

son típicamente prescriptivos
para permitir la certificación.
– Si se utiliza como referencia, su
organización puede tener cierta
flexibilidad al utilizar el
estándar.
 Los procesos de excepción
deben ser desarrollados
 Una vez establecidos los estándares, ¿cuáles son algunos

factores que pueden determinar si se siguen o no?
Capacitación y concienciación
• La gente necesita estar al tanto de las políticas

y estándares de seguridad para estar en
cumplimiento.
• La capacitación y la concienciación van más
allá de publicar una política
– El tipo debe ser apropiado para logística, cultura,
etc.
– Relevante para la audiencia
Actitud de la gerencia
 Los empleados emulan el

comportamiento de la
gerencia
 Si los gerentes ignoran los
estándares y las políticas,
menos personas los seguirán.
Controles
• Influir en el comportamiento de personas,

procesos y tecnología para gestionar el riesgo
a niveles aceptables
• Mantén en mente:
– Los controles no son siempre efectivos a como se
pretende
– Los controles pueden no abarcar todos los
resultados
– Los cambios en tecnología pueden volver
obsoletos los controles
 ¿Cuáles son algunos ejemplos de cómo los cambios en la

tecnología pueden pasar por alto o negar controles
previamente eficaces?
Controles de TI
• Constituyen la mayoría de los controles en una

organización
• Objetivo de control: Una declaración del
resultado deseado o propósito que se va a
lograr mediante la implementación de
procedimientos de control en una actividad de
TI en particular.
Defensa por niveles
• Desplegar controles en capas es una buena

práctica
– Defensa en profundidad
• Usos:
– Proporcionar protección adicional en caso de fallo
de control
– Debido a que se sabe que un solo control es
inadecuado
• Los controles adaptados a amenazas
específicas pueden ser más rentables
Defensa por niveles
Contramedidas
• Diseñadas para reducir una única

vulnerabilidad o una amenaza
• Pueden ser pasivas o activas
• Deberían ser consideradas desde
una perspectiva
estratégica
Controles que no están
relacionados
con TI
• La seguridad de la información se extiende
más allá de TI
• Incluye:
– Marcaje seguro, manipulación y almacenamiento
– Esfuerzos para prevenir ingeniería social
• Puede ayudar a mitigar el riesgo que plantean
las llamadas individuales de juicio
 Un ejemplo de un control que no es de TI es educar a la gente

sobre la importancia de no anotar o compartir contraseñas.
¿Qué otras cosas vienen a la mente?
Procedimientos
• Un control que no es de TI indica exactamente

cómo se va a hacer algo
• Responsabilidad del personal de operaciones
– Utiliza un lenguaje inequívoco
– Incluye todos los pasos necesarios
• Asegurarse de que una organización pueda
continuar sus operaciones incluso si el
personal no está disponible
Es bueno saber que
 La gente tiende a memorizar sus acciones al hacer algo con

regularidad y podría no referirse a los procedimientos.
 Esto hace más difícil mantener los procedimientos
actualizados y aumenta la probabilidad de errores.
 Las listas de verificación
son útiles para promover
el uso regular de los
procedimientos.
Directrices
• Contienen información que sería de ayuda

para ejecutar los procedimientos
• Habilitar el uso de juicio individual
• Puede ser útil cuando un resultado necesita
ser alcanzado, pero el cómo no importa
Métricas y Medición
• Las métricas de seguridad indican el estado de

seguridad relativa a un punto de referencia
• Métricas técnicas de poco valor desde un
punto de vista estratégico
Métricas y Medición
 Las métricas deberían ser

SMART:
– Específicas
– Mensurables
– Alcanzable
– Relevantes
– Oportunas
 Evite medir algo simplemente
porque
puede medirse.
Métricas a nivel estratégico
• Los Indicadores clave de meta (KGIs) e los

Indicadores clave de desempeño (KPIs)
pueden ser útiles para metas de servicio o
procesos.
• Métricas de alto nivel relacionadas con la
implementación de una estrategia incluyen:
– Alineación con las metas y los objetivos de
negocio
– Gestión de riesgos a niveles aceptables
– Gestión efectiva de recursos
Métricas de gestión de riesgos
• Los indicadores de una gestión
de riesgos apropiada incluyen:
– Apetito y tolerancia al
riesgo definidos
– Proceso para el manejo
de impactos adversos
– Tendencias en la
evaluación de riesgos y de
impacto periódicos
– Un inventario de activos
completo
– Ratio de incidentes de
seguridad de conocidos a
desconocidos riesgos de
seguridad
Métricas de la entrega de
valor
• KGI y KPI incluyen:
– El costo de la seguridad es proporcional al valor de los activos.
– Los recursos de seguridad que sean distribuidos con base en el grado
de riesgo valorado y el posible impacto.
– Los costos de protección sean consolidados como una función de
ingresos o valuación de activos.
– El número de controles para alcanzar niveles aceptables de riesgo e
impacto es adecuado y apropiado.
– Las políticas establecidas que requieren que todos los controles se
reevalúen con regularidad para determinar su costo, cumplimiento y
efectividad.
– El uso y la eficacia de los controles
Métricas de gestión de recursos
 Los indicadores que denotan una
gestión de recursos eficiente incluyen:
– Redescubrimiento de una solución para
los problemas de ocurrencias poco
frecuentes.
– La recopilación y difusión del
conocimiento es eficiente.
– Comprender los roles y
responsabilidades definidos.
– Porcentaje de activos de información y
sus respectivas amenazas
correctamente dirigidos por actividades
de seguridad.
– La debida ubicación organizacional, nivel
de autoridad y número de personal para
el área de seguridad de la información.
– Niveles de utilización de recursos.
– Productividad del personal.
– Costo por asiento de los servicios de
seguridad.
Medición del desempeño
• Los indicadores para una medición efectiva del desempeño

incluyen:
– El tiempo requerido para detectar y reportar eventos de seguridad.
– El número y la frecuencia de incidentes no notificados.
– La realización de pruebas comparativas (benchmarking) de costos y
efectividad de organizaciones comparables.
– Conocimientos de las amenazas inminentes y cambiantes.
– Métodos para monitorear el riesgo cambiante.
– Consistencia en las prácticas de revisión de logs.
– Resultados de las pruebas BCP/DR
– El alcance del monitoreo sobre los controles clave.
Auditoría y Cumplimiento
• Auditorias pueden ser útiles como un medio

para identificar deficiencias.
• Los gerentes senior tienden a creer en los
informes de auditoria.
• Los informes de auditoría indican lo que ya ha
sucedido.
– Útil para la comprensión
– No puede utilizarse como el único medio para
identificar problemas
Sección Tres
 ¿Preguntas?
• El éxito de una estrategia de

depende del comportamiento
de las personas, procesos y
Sección Tres tecnología.
Implementación de la estrategia de
seguridad • La seguridad es dinámica y se
necesitan monitoreo y
auditoría regulares.
Sección Tres

examen
La promulgación de políticas y procedimientos para evitar la

intrusión de hackers es un ejemplo de una actividad que
pertenece a:
A. la gestión de riesgos.
B. el cumplimiento.
C. la gestión de TI.
D. el gobierno.
¿Cuál de las siguientes opciones es el indicador clave de riesgo

MÁS importante?
A. Una desviación en una rotación de empleados

B. La cantidad de paquetes rechazados por los cortafuegos
(firewall)
C. La cantidad de virus detectados
D. La relación de informes de TI
¿Qué persona o grupo debería dar la aprobación final a las

políticas de la seguridad de la tecnología de la información (TI)
de la organización?
A. Gerentes de unidad de negocios

B. Director de seguridad de la informática
C. La alta dirección
D. Director de informática
¿Cuál de las siguientes es la razón PRINCIPAL para cambiar las

políticas durante el desarrollo de un programa?
A. Las políticas deben cumplir con los nuevos mandatos

regulatorios y legales.
B. Las líneas base de seguridad apropiadas ya no se establecen
en las políticas.
C. Las políticas ya no reflejan la intención y dirección de la
gerencia.
D. Los empleados ignoran constantemente las políticas.
Dominio 1
Resumen
Resumen
• Un gobierno de seguridad de la información

eficaz requiere la alineación con las metas del
negocio.
• El compromiso de la alta dirección con la
estrategia de seguridad de la información es
clave para el éxito.
• La seguridad es dinámica, por lo que las
métricas son fundamentales para determinar
el éxito y se requiere supervisión para indicar
cualquier problema.
¿Preguntas?
¡¡ Muchas Gracias !!

CISM 15e Domain1 Spanish PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CISM 15e Domain1 Spanish PDF

Cargado por

Copyright:

Formatos disponibles

26 Y 27 AGOSTO - Santiago CHILE

¿Cuál de las siguientes razones es la MÁS importante para

A. Justificar los costos de desarrollo del programa

¿De qué manera ayuda el conocimiento del apetito de riesgo a

A. Le muestra a la alta dirección que usted entiende sus

Cuando una organización establece una relación con un

A. Cumplimiento de los estándares de seguridad

¿Cuál de las siguientes opciones es MÁS importante verificar

A. Objetivo de tiempo de recuperación

Establecer y / o mantener un marco de

• Este dominio revisa el conjunto de

• Asegurar que el candidato a CISM tenga los conocimientos

La información es crítica para nuestras vidas.

Proteger la información es clave, pero los costos y los beneficios varían.

¿Cómo podemos estar seguros de que estamos eligiendo la opción adecuada?

• El gobierno ayuda a alinear la seguridad de la

• Sección Uno: Diseño de una estrategia y un

Diseño de una estrategia y un marco

• T1.1 Establecer y/o mantener una estrategia de seguridad de la

• T1.2 Establecer y/o mantener un marco de referencia del gobierno de la

• T1.3 Integrar el gobierno de la seguridad de la información dentro del

K1.3 Mediante el uso de marcos de referencia de seguridad, las organizaciones

K1.7 Otros departamentos o unidades de negocios pueden no comprender

K1.10 Un programa eficaz es aquel que la organización puede implementar y que

K1.11 El programa InfoSec necesita adaptarse a los cambios en el ecosistema complejo

Término clave Definición

Consulte www.isaca.org/glossary para más términos clave.

RH1 Compile into a job aid?

• Seis resultados básicos de un programa de

• El riesgo es parte de cualquier actividad de negocio.

• El propósito de la seguridad de la información:

 ¿Por qué es importante tener un proceso formal para aceptar

• La criticidad de los datos se puede derivar de

 Estado deseado  Brechas entre el estado

 El conocimiento del estado actual nunca es completo, y el

 La estrategia provee un mapa

Políticas Estándares Controles

“Constitución” “Leyes” “Aplicación”

• Incluye capacidad, espacio, peligros

• Justificar el gasto con base en el valor del

• La aceptación del riesgo y la tolerancia al

 ¿Cuáles son algunas razones por las que el riesgo de

 Los marcos de referencias

• Una variedad de recursos se encuentran

Fuente: Copyright SABSA Institute, www.sabsa.org. Reproducido con autorización.

• La integración asegura consistencia.

• La autoridad del gobierno viene

Preguntas de preparación para el

¿Cuál de los siguientes debe ser el PRIMER paso para desarrollar

A. Realizar una evaluación técnica de vulnerabilidades.

El gobierno de la seguridad de la información es

A. las restricciones de tecnología.

El PRIMER paso para crear una cultura interna que abarque la

A. implementar controles más fuertes.

El propósito de una estrategia de seguridad de la información es:

A. expresar las metas del programa de seguridad de la

Obtener el respaldo/la aprobación de

• T1.5 Desarrollar casos de negocio para apoyar la inversión en seguridad de

• T1.6 Identificar influencias internas y externas a la organización (por

• T1.7 Obtener el compromiso constante del personal directivo y de otras

K1.12 Los programas solo son buenos en la medida en que se ven. Un

Término clave Definición

Consulte www.isaca.org/glossary para más términos clave.