Implementación EPA

Subdirección de Diseño instruccional

GESTIÓN DE
CSY Nombre de la Tiemp
Sigla Asignatura RIESGO EN REDES 4 horas
6122 Asignatura o
CORPORATIVAS
Experiencia de Aprendizaje N° 1 Gestión de Riesgo y Continuidad Operacional
Actividad N° 1.1 Gobierno de Seguridad de la Información

Nombre del Recurso Didáctico Caso de estudio Gobierno de Seguridad de la Información

1. Descripción General Actividad:

1. Esta evaluación tiene carácter formativo, es decir: busca evaluar lo aprendido hasta el momento en
la asignatura.
2. Esta evaluación será en formato grupal.
3. La evaluación podrá realizarse en horario de clases, como un encargo con plazo de entrega o,
incluso, puede evaluar cada clase y luego subir el promedio de ellas.

2. Descripción Específica Actividad:

Contexto de la Evaluación:

Presente de forma general en qué consiste la actividad, indicando la modalidad de trabajo, resultados
esperados, entre otros elementos que usted considere relevante incluir.

Instrucciones de la Evaluación:

Debe leer el caso descrito en el documento, discutir las respuestas con su grupo de trabajo y luego
exponerlas ante el grupo curso.

Requerimientos de la solución:

Debe describir todos los requerimientos que desarrollará el estudiante en la evaluación práctica.

Docente Diseñador Jaime Gómez Revisor metodológico Carlos Carvacho G.

 Implementación EPA
Subdirección de Diseño instruccional

Descripción del caso

El CISO de una gran empresa de fabricación con tres años de experiencia empezó a darse cuenta de que la
función de seguridad de la información estaba teniendo menos influencia y que las unidades de negocio de
la organización ignoraban cada vez más las recomendaciones sobre riesgos de la información. A pesar de los
continuos esfuerzos para comunicarse con los gerentes de los diversos departamentos corporativos y
unidades de negocios y un programa de capacitación y concientización sobre seguridad valorado
positivamente, ella estaba teniendo poco éxito en lograr que la gerencia aceptara la implementación de los
controles necesarios.

La importancia cada vez menor de la seguridad de la información se hizo evidente cuando no fue invitada a
una serie de reuniones sobre cambios significativos en las operaciones de la empresa. Durante las siguientes
reuniones presupuestarias, varios ejecutivos (incluido el CEO) dijeron que no estaban seguros del valor que
la seguridad de la información aporta a la empresa y sugirieron que el presupuesto podría asignarse mejor a
otra parte. Además, el CISO ha notado que no ha sido invitada a una reunión de la junta para presentar
actualizaciones sobre el programa de seguridad de la información en más de un año.

La empresa cotiza en bolsa y ha estado en funcionamiento durante casi 90 años. Ha sido rentable durante
todos los años de su existencia, salvo unos pocos, aunque los beneficios se redujeron durante la reciente
recesión mundial. La empresa tiene aproximadamente 9.000 empleados y unos cientos de contratistas a
largo plazo. Fabrica una amplia variedad de herramientas manuales y eléctricas pequeñas y es conocida
internacionalmente por la amplia variedad de productos de alta calidad que fabrica.

El CEO también es el presidente de la junta directiva y nombra a las personas para la junta sobre la base de
su voluntad de aprobar sus iniciativas con poca demora. En consecuencia, la junta proporciona poca
supervisión y orientación al negocio, y aunque el comité de auditoría de la junta está cada vez más
preocupado por los riesgos absolutos que enfrenta la organización, tiene poca influencia sobre el director
ejecutivo. Debido al escaso reconocimiento del CEO por la seguridad de la información, al CISO le preocupa
que su trabajo esté en riesgo a menos que pueda mejorar la percepción de la gerencia sobre el valor de la
seguridad de la información.

Una complicación adicional es la reciente recesión, que vio una caída en las ventas de bienes
manufacturados. Los competidores vendían productos por debajo del costo para reducir los inventarios y
aumentar el flujo de efectivo. Como resultado, el CEO ha visto este aumento de la competencia y la
reducción de las ganancias como una justificación adicional para reducir los gastos que no están
directamente relacionados con la producción de ingresos.

Las unidades de negocio son la columna vertebral de esta empresa. A excepción de compartir la maquinaria
y los equipos utilizados en la fabricación, cada uno es un silo ferozmente independiente con la misión de ser
lo más rentable posible. Los gerentes de unidades de negocios son altamente valorados y se ubican en un
nivel bastante alto en el organigrama; todos reportan al director de operaciones. Cada unidad de negocio a
menudo se enfrenta a plazos breves para vencer a la competencia en el mercado con nuevos productos.
Como resultado, los administradores de las unidades de negocios deben planificar cuidadosamente el uso de
maquinaria y equipo dentro de cada planta porque varias unidades de negocios a menudo necesitan
maquinaria y equipo al mismo tiempo. Además, la maquinaria y el equipo deben estar disponibles las 24
horas del día, los 7 días de la semana. Toda la maquinaria y el equipo están controlados por software de
automatización de procesos en computadoras que se ejecutan en salas de control. Este software está

Docente Diseñador Jaime Gómez Revisor metodológico Carlos Carvacho G.

 Implementación EPA
Subdirección de Diseño instruccional

altamente distribuido hasta el punto de que es probable que cualquier tipo de interrupción o interrupción
de la red afecte negativamente a la producción.

El CISO se ha dado cuenta de que la práctica de seguridad de la información establecida hace tres años no es
adecuada para hacer frente a las crecientes amenazas actuales. Aunque hizo esfuerzos para ajustar el
programa de acuerdo con los cambios que ocurrieron dentro de la organización, es claro que algunas áreas
no fueron consideradas suficientemente. Una de estas áreas son las métricas de seguridad de la información
relevantes para las preocupaciones de la administración. Actualmente, los siguientes tipos de métricas se
utilizan para medir el éxito del programa de seguridad de la información:

● Porcentaje de sistemas Windows que ejecutan software antivirus que se actualiza diariamente

● Porcentaje del tráfico de red entrante que es evaluado por un firewall en una puerta de enlace
exterior Porcentaje del tráfico de red que es monitoreado por un IDS
● Porcentaje de sistemas que están parcheados dentro del período de tiempo requerido

● Porcentaje de sistemas que cumplen con los estándares de seguridad de referencia

● Porcentaje de spam que es eliminado por el muro de spam de la empresa

● El número de vulnerabilidades descubierto durante escaneos automatizados

Se da cuenta de que las métricas que consideró suficientes hace tres años cuando se implementó el
programa claramente no son suficientes para ser útiles a la gerencia en su proceso de toma de decisiones o
suficientemente persuasivas para generar apoyo al programa de seguridad de la información. Ella determina
que, si bien las métricas actuales han sido útiles operativamente, no son relevantes o significativas a nivel
táctico y estratégico y esta es la causa subyacente de que la administración no comprenda el valor del
programa de seguridad de la información y la necesidad de una serie de mejoras. eso aumentaría los
requisitos presupuestarios.

A continuación, debe responder las siguientes preguntas y discutirlas con su grupo

1. ¿Qué aspectos de la gobernanza de la seguridad de la información podría utilizar el CISO para abordar
algunos de los problemas que podrían mejorar su posición en la organización?

R: Creo que uno de los aspectos que generarían más impacto tanto al CEO como también al resto de la junta
directiva es demostrar la cantidad de dinero que se puede perder si no se invierte en esta área, mostrando
el nivel de gravedad que tendría para la empresa las masivas perdidas que genera no tener la infraestructura
y las reglas de seguridad adecuadas a las necesidades de seguridad actuales.

2. ¿De qué formas y áreas principales puede la seguridad de la información ayudar a la empresa a alcanzar
sus objetivos?

R: Creo que, considerando las recientes perdidas de la empresa debido a la recesión mundial, y el creciente
vuelco masivo hacia el uso de más tecnología para la venta de producto en línea es importante que esta
empresa posea políticas e infraestructuras vanguardistas entorno a esta área, ya que los ataques a grandes

Docente Diseñador Jaime Gómez Revisor metodológico Carlos Carvacho G.

 Implementación EPA
Subdirección de Diseño instruccional

empresas como bien puede ser esta han supuesto grandes perdidas incluso a grandes corporaciones a lo
largo de planeta.

3. ¿Qué tan adecuado es el conjunto actual de métricas de seguridad de la información en términos de los
objetivos y direcciones comerciales de la empresa?

R: Como se contaba en el caso la empresa al no estar interesada en invertir en seguridad denotan practicas
básicas y un tanto a anticuadas considerando que nuevas vulneraciones surgen día a día.

4. ¿Cómo se puede mejorar el conjunto actual de métricas? ¿Por qué?

R: Si, debido a que a nivel de software está claro que se deberían usar programas de encriptación, además
de actualizar equipos como el IDS por equipos que cumplan un rol más activo dentro del análisis y
prevención de ataques dentro de la red de la empresa.

Docente Diseñador Jaime Gómez Revisor metodológico Carlos Carvacho G.