CISM - DOMINIO 3 - Refuerzo Secciones - 2021

PREPARACIÓN PARA
EL EXAMEN CISM
Material adicional
dominio3
Dominio 3
Desarrollo y gestión del programa de seguridad de la
información
Dominio 3
Desarrollar y mantener un programa de

seguridad de la información que identifique,
gestione y proteja los activos de la
organización y se alinee con la estrategia de
seguridad de la información y las metas del
negocio, de manera tal que respalde una
postura de seguridad efectiva.
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
2º Riesgos 3ºControles
5º Arquitectura
1º Elixir
4º Medición
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Eficacia Programa
Eficiencia
+ -
Fallo
Aquí Estoy Gobierno
Aquí Llego
Gap Riesgos Controles Medición
Estrategia
Análisis
Gestión
Objetivos de Control
Controles
Arquitectura
Personas, Procesos Tecnología
Aportar Valor al negocio

NEGOCIO
Medición y Control
Construir el Programa Gobierno

Corporativo
Gobierno IT
Riesgos
Arquitectura
Gobierno
Seguridad
El objetivo del CISO: Implementar la estrategia a través de una

arquitectura en la organización
NEGOCIO
Medición y Control
Conseguir
Aportar valor al
Apoyo
negocio y hacer Responsabilidad (
Gobierno que siga Gobierno
Gobierno IT accountability)
Corporativo funcionando Seguridad
Riesgos
Arquitectura
NEGOCIO
Entorno
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
ORGANIZATION
IT Security
Governance
IT
Governance
Business
Governance El entorno Corporativo
ORGANIZATION
IT Security IT Business
Governance Governance Governance
ORGANIZATION
IT Security IT Business
Governance Governance Governance
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Entorno
Riesgos
Arquitectura
Infraestructuras
Productos
Información y sistemas
de TI
Gobernanza y Buenas Prácticas
Operación Personas
ISM
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
El entorno de trabajo del ISM: Programa (Plan) de Seguridad

de la Información para el entorno Corporativo:
Desarrollar
Diseñar D
Objetivos
Estrategia
Medir Activos Gestionar
Implementar la
estrategia Implementar
Objetivos
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Los Objetivos de Gobierno Seguridad (key goals)

Transformar estos conceptos y relaciones lógicas en
tecnologías y procesos resultando en una Arquitectura
Gestión
Alineamiento
de Entrega
estratégico
de Valor
Riesgos
Gestión Medición
Integración del
de Proceso de del
aseguramiento
Recursos Desempeño
Programa trazable a la estrategia.
Negocio Alinear el plan con el negocio
Medición y
Midiendo el desempeño para mejorar
Control
Información y
Controlando la información
Control
Gobierno
Aportando valor al gobierno coporativo
corporativo
Gobierno de TI Aportando valor al gobierno de IT
Gobierno de
De la información y de IT
Seguridad
Riesgos Minimizando y tratando en base a los riesgos
Arquitectura Cimentado mediante la arquitectura a todos los niveles

NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Las reglas básicas del Programa

Riesgos
Arquitectura
• Principio de proporcionalidad: Coste de la Medida

menor que valor del activo.
• Lo que no se mide no existe
• Necesidad de Conocer
• Lo que no se escribe no existe
• Defensa en capas: Defense in depth
• Aportar Valor: Alineación con el negocio
• Diligencia Debida
Sección Uno
Gestión de recursos y alineación
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Refuerzo
Riesgos
Arquitectura
REFUERZO SECCIÓN 1
El objetivo de las secciones de refuerzo es complementar con información
más clara enfocada al proceso de implementación del programa explicado
de la perspectiva de la sección.
Desarrollo de Programa y Gestión de
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Proyecto Riesgos
Arquitectura
• Un “gap analysis” identificará una serie de proyectos que mejorarán el

programa de seguridad de la información
Cada programa debe:
• Tener acotado tiempo, presupuesto y objetivos medibles.
• Hacer el entorno más seguro sin causar debilidades de control en
otras áreas.
• El ISM prioriza el portfolio de proyecto de manera que:
• Que los proyectos interdependientes no se retrasan entre sí.
• Los recursos son asignados de forma óptima.
• Los resultados se integran “suavemente” ( smoothly) en las
operaciones existentes.
• El ISM debería emplear técnicas generalmente aceptadas de
gestión de proyecto como:
• Establecimiento de objetivos
• Monitorización del avance
• Seguimiento de fechas límite (deadlines)
• Asignación de responsabilidades
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Presupuesto del Programa

Riesgos
Arquitectura
Tiene un impacto importante en el éxito del programa.
Los elementos del presupuesto del programa que deben

incluirse son::
• Tiempo de los empleados
• Tarifas de contratistas y consultores
• Equipamiento
• Requerimientos de espacio
• Recursos para pruebas
• Documentación de soporte
• Mantenimiento en curso (Ongoing maintenance)
• Coste para Contingencias inesperadas
16
NEGOCIO
Medición y Control
Evaluación de la Gestión del

Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Consideraciones sobre los componentes de gestión del

Programa
programa incluyen:
• ¿ Las políticas y los estándares se definen, se aprueban formalmente y se
distribuyen?
• ¿ Se involucran los gerentes de las unidades de negocio en las actividades de
orientación y soporte del PSI?
• ¿ Hay un comité de dirección formal?
• ¿ Cómo se encuentra posicionado el programa dentro de la organización?
• ¿ De quién es la responsabilidad del programa (accountable)?
• ¿Este posicionamiento transmite un nivel de autoridad y visibilidad para los
objetivos que debe alcanzar el programa?
• ¿El programa implementa funciones de gestión eficaces?
• ¿ Se utilizan métricas pertinentes para evaluar el desempeño del programa? ¿ Se
recopilan e informan esta métricas de forma regular?
• ¿ Existen foros y mecanismos para una vigilancia continua por parte de la gerencia
de las actividades del programa? ¿La gerencia reevalúa la eficacia del programa con
regularidad?
NEGOCIO
Medición y Control
Evaluación de la Gestión del

Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Programa
•Consideraciones sobre los componentes de gestión del
• ¿Hay documentación
programa incluyen: completa del propio programa?
¿Las políticas, estándares y procedimientos clave han sido
reducidos a directrices operativas accesibles y distribuidos
a los responsables ?
• ¿ Los responsables comprenden sus roles y
responsabilidades?
¿Hay roles y responsabilidades definidos para la alta
Dirección, el consejo, etc.? ¿Estas personas y entidades
entiende y asumen sus responsabilidades?
• ¿Las responsabilidades de la seguridad de la información
están representada en los objetivos individuales de los
gerentes de negocios y forman parte de su evaluación de
rendimiento individual?
NEGOCIO
Medición y Control
Plan-Do-Check-Act
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Planear-hacer-comprobar-actuar
• El programa de seguridad de la información depende de la
efectividad de los procesos de negocio
• El PSI utiliza los conceptos y metodologías de Total Quality
Management (TQM) combinados con el usos de la
metodología de gobernaza.
• TQM se base en 4 procesos primarios:
• Plan
• Do,
• Check,
• Act
• Los elementos de gobernanza inlcuyen:
• Visión
• Objetivos estratégicos
• Factores críticos de Éxito Success Factors (CSFs)
• Indicadores clave del rendimiento Key Performance Indicators (KPIs)
• Acciones Clave
19
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Riesgos
Arquitectura
• Riesgos
• BIA
• Risk IT
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Definiciones
Riesgos
Arquitectura
• Activo: Cualquier recurso de los sistemas de información o

relacionados con los mismos necesarios para que la organización
opere adecuadamente y alcance los objetivos establecidos por la
dirección.
• Amenaza: Cualquier circunstancia o evento con la capacidad
potencia de afectar adversamente los sistemas de información
por medio del acceso no autorizado, destrucción, revelación,
modificación de datos, denegación de servicio o repudio.
• Vulnerabilidad: Una debilidad en los sistemas de información, los
procedimientos de seguridad, controles internos o la
implementación que puede ser explotada o aprovechada.
• Riesgo: La posibilidad que una amenaza particular afecte
adversamente a los sistemas de información al explotar una
vulnerabilidad particular.
• Contramedida o Salvaguarda: Acción, dispositivo, procedimiento
o técnica que reduce la vulnerabilidad de un sistema de
información a posibilidad.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Gestión de Riesgos
Riesgos
Arquitectura
• Virtualmente todos los aspectos del programa de

seguridad de la información PSI se dirigen a
reducir el riesgo a un nivel aceptable.
• Un aspecto importante de a gestión de riesgos en
el programa es la gestión de incidentes
• El ISM debe comprender y desarrollar las
habilidades requeridas para:
• identificar, Riesgos
• evaluar/analizar, y
• manejar (responder a ) los riesgos.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Valoración vs Gestión Riesgos

Riesgos
Arquitectura
• Valoración de riesgos ( risk analysis/assessment) proceso

cuantitativo o cualitativo que analiza e identifica las
amenazas y vulnerabilidades a los activos de un sistema de
información y permite estimar el impacto o nivel de daño.
• Gestión de riesgos (risk management) proceso basado en el
análisis previo que permite seleccionar e implementar las
contramedidas o salvaguardas, que ayudando a descubrir,
prevenir, impedir, reducir o controlar los riesgos permiten
reducir o minimizar los posibles daños.
• “FOR THE RISKS THEY’RE CHANGING”

NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Nivel Aceptable Riesgos

Arquitectura
• GSI Gestor (gerente) de la seguridad de la información (ISM:

Information Security Manager)
• Recursos y Sistemas de Información se gestionan dentro
un nivel aceptable de riesgo
• El riesgo siempre existe y debe ser tratado o gestionado:

• Eliminado: Imposible debido al Factor Humano
• Transferido: Seguros
• Gestionado o manejado:
• Valoración de activos
• Impacto de la pérdida
• Probabilidad de ocurrencia del evento sobre el activo
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos Residuales
Riesgos
Arquitectura
• Riesgo residual es el riesgo que queda después de haber sido

implementados los controles
• Siempre existirá algo de riesgo residual, porque:
• No hay forma de anticiparse a cada evento que pueda
causar daño y
• Los recursos son limitados
• Incluso con controles efectivos que gestionen el riesgo a niveles
aceptables, el efecto agregado de un número de riesgos
aceptables pueden no se aceptables y plantear una amenaza
seria a la organización.
• Mientras que, individualmente, los riesgos residuales pueden
ser bajos, colectivamente pueden ser desastrosos.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Análisis de Vulnerabilidad
Riesgos
Arquitectura
• Una vulnerabilidad es una característica que puede ser

explotada por una amenaza y causar un impacto
• Un análisis de vulnerabilidad está diseñado para poner en
evidencia la existencia de vulnerabilidades en un ambiente o
sistema de información dado
• Los ISMs deben poder llevar a cabo un análisis de
vulnerabilidades para determinar si los controles son
adecuados.
NEGOCIO
Medición y Control
Evaluación de Riesgos e Impacto al

Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Negocio
Valoración de Riesgos (Risk assessment): es un proceso usado para
identificar y evaluar los riesgos y su impacto potencial en una
organización en términos cuantitativos y cualitativos
BIA
• Determina el impacto de perder la disponibilidad cualquier
recurso, para una organización
• Establece como escala esa pérdida con el paso del tiempo
• Identifica los recursos mínimos necesarios para la
recuperación
• Prioriza la recuperación de los procesos y los sistemas en que
estos se apoyan
• Basados en los resultados de las evaluaciones de riesgos
NEGOCIO
Medición y Control
Análisis de la Dependencia de
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Recursos
• Similar al BIA: determinar los recursos requeridos
para soportar funciones específicas.
• Operación de Negocio: determinar las aplicaciones

usadas para ejecutar sus actividades principales y
los recursos (redes, bases de datos) necesarios para
ejecutar las funciones requeridas
Risk IT
Risk IT
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos IT
Riesgos
Arquitectura
Fuente: Isaca Risk IT

NEGOCIO
Gobierno Corporativo
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Gobierno Corporativo
Riesgos
Arquitectura
• Estrategia
• Diligencia Debida
• Entrega de Valor
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
ESTRATEGIA
NEGOCIO
Proceso de Planificación Estratégica

Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
COSO: La provisión de la estructura que

permita determinar los objetivos
de la Organización y supervisar el rendimiento,
a fin de asegurar que los objetivos son
Largo - Plazo(3-5 años)
cumplidos. OCDE (2004)
Objetivos organizativos,
regulaciones y avances Decisiones del
técnológicos
Estratégico Negocio
Plazo 1- años impulsan

Decisiones a la consecucion de los
Tranformar objetivos estratégicos
estrategia en acción Táctico
Decisiones
Planes
para
detallados o
técnicos Operativo implementar
las acciones
NEGOCIO
Medición y Control
Proceso de Planificación
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Estratégica
• Gestión de Riesgos
• Legislación- Regulación
• Política de Gobernanza
• Seguridad Organizacional
• Clasificación de Información Estratégico
• Auditoría
• Análisis de Riesgos
•
•
Continuidad de Negocio
Desarrollo de Métricas
Táctico
• Respuesta a Incidentes
•
•
Seguridad Física
Seguridad de Red
Operativo
• Uso de Métricas
• Cumplimiento de Políticas
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Diligencia Debida
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Debida Diligencia
Riesgos
Arquitectura
(Due Diligence)
• Debida diligencia = la “norma de debido cuidado”
• Algunos de los componentes de la debida diligencia son:
• Apoyo de la alta dirección
• Políticas, normas y procedimientos integrales
• Formación, capacitación y sensibilización apropiadas sobre seguridad en
toda la organización
• Valoraciones de riesgos periódicas
• Procesos eficaces de respaldo y recuperación
• Implementación de controles de seguridad adecuados
• Monitoreo y métricas eficaces del programa de seguridad
• Esfuerzos apropiados de cumplimiento
• Planes probados de recuperación de desastre y continuidad del negocio
NEGOCIO
Medición y Control
Debida Diligencia
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
(Due Diligence)
• El ISM debe mantener el monitoreo diario de las entidades que publican
información de vulnerabilidades
• Equipo de respuesta a emergencias informáticas (CERT)
• La base de datos de Exposiciones (CVE)
• Vulnerabilidades Comunes de MITRE
• La lista de correo electrónico BUGTRAQ de Security Focus
• El SANS Institute
• Numerosos proveedores de software.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Entrega de Valor
Entrega de Valor
Entrega de Valor
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
La gestión de la seguridad debe aporte valor añadido al negocio

Val IT: se centra en la decisión de COBIT: está enfocado en la
invertir (¿estamos haciendo lo ejecución (¿lo estamos haciendo
correcto?) y la realización de correctamente, y lo estamos
beneficios (¿estamos obteniendo logrando bien?).
beneficios?)
Comparación de • Coste real de los trabajos programados frente

Costes al presupuestado
Efectividad • Bajos costos y variación de la programación de

demostradas tareas
• Eficiencia mediante el uso de técnicas y

Retornos de herramientas de seguridad reutilizables dentro
inversión positivos de la infraestructura y los procesos de revisión
de la seguridad
NEGOCIO
Medición y Control
Gobierno Seguridad
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Gobierno de Seguridad
Riesgos
Arquitectura
• Definición de Seguridad
• Objetivos
• Pilares de Seguridad: Modelo BMIS
• Plan de Acción y Recursos
• El ISM
• Responsabilidad
• Terceros
NEGOCIO
Medición y Control
Marco de Gestión de la Seguridad de la

Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
información
• Debería describir fundamentalmente los
componentes de la gestión de la seguridad de la
información y sus interacciones.
• Los componentes de seguridad de la información

incluyen
• roles
• políticas
• Procedimientos de operación estandarizados
• Procedimientos de gestión
• Arquitecturas de seguridad, etc.
NEGOCIO
Objetivos de Gobierno Seguridad

Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Transformar estos conceptos y relaciones lógicas en tecnologías y

procesos => Arquitectura
Gestión key goals

Alineamiento Entrega
estratégico de de Valor
Un PSI roadmap
Riesgos
ayuda a definir que es
Gestión Medición lo que significa cada
Integración del objetivo para la
de Proceso de del organización
aseguramiento
Recursos Desempeño
NEGOCIO
Medición y Control
Objetivos de Seguridad Gobierno

Corporativo
Gobierno IT
Riesgos
Arquitectura
Gobierno
Seguridad
Los elementos clave del programa de gestión de la

seguridad
Apoyo Dirección
Responsabilidade
Políticas y
s
Procedimientos
Organizacionales
key elements
Roles y
Comunicaciones Responsabilidade
s
Normas y
Implementación
Estándares
NEGOCIO
Medición y Control
Definición de Objetivos
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Aunque no exista un Programa de Seguridad de la información debe

haber bloques básicos:
• Determinar los objetivos de gestión para la seguridad de

la información
• Desarrollar key goal indicators (KGIs) que reflejen esos
objetivos
• Desarrollar medios de medida para determinar si el
programa se alinea en la dirección correcta con esos
objetivos
• Por tanto, es esencial el establecimiento de procesos y
proyectos orientados a cerrar esa brecha
KGI & KPI : http://www.isaca.org/Journal/Past-Issues/2005/Volume-

6/Documents/jpdf0506-CobiT-Management.pdf
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Gobierno de IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Gobierno de IT
Riesgos
Arquitectura
• Marco
• Cobit 5
• ISO 38500 / ISO 20000
• Gobierno vs Gestion
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Marco
Marco
(Framework)
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
COBIT 5 Productos
Riesgos
Arquitectura
®
COBIT 5
Guías de Habilitadores de COBIT® 5

® ®
COBIT 5: COBIT 5: Otras Guías
Procesos Habilitadores Información Habilitadora Habilitadoras
Guias Profesionales de Orientación de COBIT® 5
®
COBIT 5 COBIT ® 5 ®
® COBIT 5 Otras Guías
COBIT 5 Implementación Para la Seguridad Para el
Para Riesgos Profesionales
de la Información Aseguramiento
COBIT® 5 Ambiente Colaborativo En Línea
Source: COBIT® 5, ISACA

NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Marco de Gobierno
Riesgos
Arquitectura
COBIT 5:
Gobierno Corporativo de TI
Gobierno de TI
Evolución del Alcance
Val IT 2.0
Administración (2008)
Control
Risk IT
(2009)
Auditoría
COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5
1996 1998 2000 2005/7 2012

NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Cobit 5 Principios
Riesgos
Arquitectura
1. Satisfacer
5 Principios de COBIT 5 las
7 Habilitadores de COBIT 5 necesidades
de las partes
interesadas
5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral
Principios de
COBIT 5
4. Habilitar un 3. Aplicar un
enfoque solo marco
holistico integrado

NEGOCIO
Medición y Control
COBIT 5 Habilitadores
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
2. Procesos 3. Estructuras 4. Cultura, Ética

Organizacionales y Comportamiento
1. Principios, Políticas y Marcos
6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades y
y Aplicaciones Competencias
RECURSOS

NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Gobierno Seguridad
Riesgos
Arquitectura
ISO / IEC 38500:2008
Corporate
Corporate
Governance
Governance ofIT
IT
Evaluar
Dirigir Monitor
Poposals
´Políticas
Planes
Conformance
Performance
Procesos de Negocios
ICT Projects ICT Operations
Adaptado IS0-IEC 38500:2008

Marco de Gobierno
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
ISO / IEC 20000:2011

NEGOCIO
Medición y Control
Marco de Gobierno: Controles

Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
ORGANIZACIONAL
ISO-27002:2013
Clause 5: Information Security Policies
Clause 6: Organization of Information Security
Clause 7: Human Resource Security
Clause 8: Asset Management
Clause 9: Access Control
Clause 10: Cryptography
Clause 11: Physical and Environmental Security
Clause 12: Operations Security
Clause 13: Communication Security
Clause 14: System Acquisition, Development and Maintenance
Clause 15: Supplier Relationships
Clause 16: Information Security Incident Management
Clause 17: Information Security Aspects of Business Continuity Management
Clause 18: Compliance
OPERACIONAL
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Gobierno vs Gestión
Gobierno vs Gestión
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Governance vs Management
Riesgos
Arquitectura
Procesos Habilitadores:

Governance vs Management
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
COBIT 5 cubre las áreas clave de ambos procesos
EVALUAR MONITORIZAR
EJECUTAR
DIRIGIR Governance Management

Process Process
CONSTRUIR
MONITORIZAR
PLANIFICAR
Source: Adaptado COBIT® 5, ISACA

NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Traducir a Negocio los Riesgos

Afecta
Riesgo Técnico Riesgo Negocio
Debido a Cambios Procesos Negocio Críticos
Equipación Obsoleta Reputación
Fallas de Auditorías Secretos corporativos
Incidentes Seguridad Capacidad Organizativa

Objetivos Financieros no
Controles no realizados
Alcanzados
Sección Dos
Estándares, Concienciación y Capacitación
REFUERZO SECCIÓN 2
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Información y Comunicación
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Información y Comunicación
Riesgos
Arquitectura
• Documentación
• Sensibilización
• Formación
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Documentación
Riesgos
Arquitectura
Sets direction Uniform method of support policies

high level statements low level mandatory controls
Policies
Suggested action , Standards Provide support for

estándar
if not standard mandatory
recommended, step by step instructions
non-mandatory
controls
Procedure
Guidelines Quality &

Monitoring
Evidences
http://www.isaca.org/Knowledge-Center/Standards/Documents/G5-Audit-Charter-12Nov07.pdf
Documentación
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Sensibilización
Concientización
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Concienciación en Seguridad
Riesgos
Arquitectura
• Son necesarios conocimientos y entrenamiento para la ejecución

de las tareas
• Las clases de entrenamiento deberían ser adecuadas para
aquellos con responsabilidades de seguridad
• Un programa de concienciación en seguridad de la información
también debería incluir entrenamiento para usuarios finales
• Los temas de un entrenamiento en concienciación incluyen:
• Respaldar los archivos relacionados con el trabajo
• Elegir adecuadamente las contraseñas y no exponerlas
• Evitar virus propagados vía Web y correo electrónico
• Reconocer ataques de ingeniería social
• Reportar incidentes de seguridad
• Proteger de robo y exposición a medios electrónicos y físicos
• Detectar malware que podría provocar robos de identidad y espionaje
sobre puestos de trabajo
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Formación
Formación
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Capacitación y Formación
Riesgos
Arquitectura
• Los programas de seguridad de la información casi siempre

dependen de que la gente siga las instrucciones – así, el
entrenamiento es crítico
• Los materiales de educación y concientización deberían estar a
mano de aquellos con responsabilidades por el cumplimiento de
la política
• A partir de que se dé este tipo de comunicación, un usuario será
responsable por cualquier actividad que intente esquivar o saltear
cualquier control
• En consecuencia, los usuarios
• comprenderán por qué la política es impuesta de
determinada forma
• aceptarán mejor las actividades que imponen el
cumplimiento con la política
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Cumplimiento de los Estándares

Riesgos
Arquitectura
• Los estándares deben ser diseñados para asegurar que

todos los sistemas del mismo tipo se configuran y operan
de la misma manera.
• En lo posible el cumplimiento con los estándares se debería
automatizar, para asegurarse que la configuración de los
sistemas no se desvía del cumplimiento por actos
intencionales ni accidentales.
• La dirección ejecutiva firma aprobando la política, mientras
que los estándares simplemente son un método general
para cumplir con la misma.
• Podría haber desviaciones, y aún así estar dentro de los propósitos de la
políticas, por lo que no debería haber preocupación en la dirección
ejecutiva, en la medida que el programa estaría intacto.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Responsabilidades
ISM: El gestor/gerente de Seguridad
El Gestor de Seguridad
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
DIRIGE personas,
procesos y Individuos cuyas actividades
Personas
políticas (PPP) para impactan el alcance de los
implementar los objetivos (personas)
programas de
seguridad
Las influencias sobre el

individuo, tanto éticas
ISM La actividad de esos
como legales que individuos y de otro
afectan su toma de Políticas Procesos cuyas acciones
decisiones (políticas) generan restriccione
sobre la actividad
(procesos)
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Gestor de Seguridad
Riesgos
Arquitectura
Objetivos y beneficios en Estrategias Adapta los cambios a los

función de términos del requisitos de seguridad
negocio
Integrar la política de
seguridad y la
tecnología que encaja
ISM
en el esquema básico de
prevención, detección y
recuperación
Tecnología y
Habilidades Accountability
Tecnológicas
Comprender el apetito general de riesgo de una organización para determinar si las

brechas existentes en un programa de seguridad de la información han alcanzado
niveles aceptables
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Relaciones de ISM
Riesgos
Arquitectura
Estrategia de Seguridad,
Riesgos y Alineameiento
Dirección
Ejecutiva Contratos, formación,
Requisitos de
Desarrollo Roles,
Control de acceso RRHH
SW responsabilidades
gestión de incidentes
Requisitos
Seguridad en RFP Dirección
Compras CISO Validar Requi. Seg
Requisitos Negocio Test aceptación
Contractuales
Autorizaciones
de acceso
Control Legal
Requisitos de Seguridad Calidad Leyes y Regulaciones
Revisión de control de Operación
cambios Pruebas y IT Monitorización de seguridad,
actualizaciones de respuesta a incidentes, inventario
Seguridad activos, gestión de crisis
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Personal, Roles, Responsabilidades y Riesgos

Arquitectura
habilidades
• Role
• Una designación asignada a un individuo en virtud de las
responsabilidades de sus funciones de trabajo
• Responsabilidad
• La descripción de un procedimiento o función
relacionado al rol del que alguien es responsable de que
se haga (accountable).
Personal, Roles, Responsabilidades y
habilidades Gobierno
NEGOCIO
Medición y Control
Gobierno
Gobierno IT
Riesgos
Arquitectura
• Personal:
• Arquitectos, diseñadores, constructores,
desarrolladores, testers y otros implicados
en la construcción del programa de
seguridad de la información.
• Probablemente será distinto del personal
que administrará el sistema una vez en
funcionamiento
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Los empleos de Seguridad

Riesgos
Arquitectura
Arquitecto Administrador
• Diseño topologías • Datos y

segura Propietarios
• Cumplimiento • Concietización
Riesgo • Test Arquitectura
• Evaluación • Monitorización
tecnologías • Revisar y Evaluar
Política seguridad
NEGOCIO
Medición y Control
Personal, Roles, Responsabilidades y

Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
habilidades
• El personal y las habilidades difieren entre:
• Desarrolladores del Programa de ISM
• Arquitectos
• Diseñadores
• Constructores
• Desarrolladores
• testers
• Operations of the ISM Program
• Security analysts
• Database administrators
• Network administrators
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Personal, Roles y Responsabilidades, y Habilidades
Personal
• Los arquitectos, diseñadores, constructores, desarrolladores, encargados de
pruebas y otros involucrados en el desarrollo del programa de seguridad
de la información es probable que no coincidan con el personal que habrá
de administrar los sistemas una vez que estén funcionando.
Roles
• Permiten que las responsabilidades y/o derechos de acceso sean asignados
en base al hecho de que un individuo ejecuta una función, en lugar de
tener que asignárselas a personas individuales.
Habilidades
• Entrenamiento, pericia y experiencia del personal asignado a una
determinada función.
Cultura
• Representa el comportamiento organizacional, métodos con los que
desempeñarse en las estructuras formales e informales de la organización
para conseguir que el trabajo sea hecho, actitudes, normas, nivel de
trabajo en equipo, existencia o no de “chacras” locales, y la dispersión
geográfica
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Responsabilidades
Riesgos
Arquitectura
• Gerencia Ejecutiva (Executive management) 

Responsabilidad
• Propietarios/ Dueños de Propietarios/ Dueños de Procesos
 Consistencia
• Consultores / Especialistas seguridad Asistencia &
soporte
• Propietarios/ Dueños de Datos  Clasificación
• IT developers  desarrollo
• Users  Cumplimiento
• Security committee : hacer cumplir (enforce) y establecer
prácticas de seguridad
82
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Responsabilidades
Riesgos
Arquitectura
• Segregation of tasks / Segregación de Funciones

• Las responsabilidades de seguridad de la información y
funciones de negocio deben ser distribuidas sobre una
variedad de funciones laborales
• El gerente de seguridad de la información (ISM) se debe
asegurar:
• que los objetivos de seguridad de la información estén claramente
establecidos
• que en los casos en que se han delegado actividades de seguridad de la
información, aquellos a quienes se les ha asignado estas
responsabilidades, comprenden:
• sus roles,
• son capaces de desempeñarlos ,
• y se responsabilizan por los resultados.
La responsabilidad no se delega
Sección Tres
Construyendo Seguridad en Procesos y Prácticas
REFUERZO SECCIÓN 3
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Arquitectura
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Gestión de la
Complejidad
Gestión de la Complejidad
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Arquitectura
Riesgos
Arquitectura
• Gestión de la Complejidad
• Marco Arquitectónico
• Umbrales de Seguridad
• Certificación
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Gestión de la Complejidad
Riesgos
Arquitectura
• La arquitectura proporciona un marco y un plan de acción

• La arquitectura actúa como un plan de acción para los proyectos y
servicios que deben ser integrados
• La arquitectura proporcionar simplicidad y claridad por
Estratificación y Modularización
• La arquitectura de los sistemas debe tomar en cuenta
• Las metas que se deben alcanzar a través de los sistemas
• El ambiente en que los sistemas se construirán y usarán
• Las capacidades técnicas de quienes construyan y operen los
sistemas y sus subsistemas componentes
• La arquitectura debe tener un enfoque Empresarial más allá
del Dominio Técnico
• La arquitectura ES MÁS que la tecnología.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Arquitectura (corporativa) de Seguridad

Riesgos
Arquitectura
de la información
• Establecer y mantener arquitectura de seguridad de la
información (personas, procesos, tecnología) para
llevar a cabo el programa de seguridad de la
información
• La arquitectura de seguridad de la información
incluye múltiples capas que van desde lo contextual a
lo físico.
• Su diseño esta estrechamente alineado con el
propósito. Una buena arquitectura es una
articulación de la política..
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Objetivos de la Arquitecturas de Seguridad de la

Riesgos
Arquitectura
Información
• La noción subyacente para cualquier arquitectura
es que los objetivos de los sistemas complejos
deben:
• Ser exhaustivamente definidos,
• Tener desarrolladas especificaciones precisas,
• Tener sus estructuras diseñadas y probadas en cuanto a forma,
ajuste y función
• Tener su desempeño monitoreado y medido en términos de la
especificación y objetivos de diseño originales.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Marcos
Arquitectónicos
Marcos Arquitectónicos
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Marcos Arquitectónicos
Riesgos
Arquitectura
• Transformar estos conceptos y relaciones lógicas en tecnologías y

procesos => Arquitectura
• La arquitectura de seguridad de la información incluye una serie de capas,
que van de lo contextual a lo físico.
• El diseño está fuertemente alineado con el propósito – una buena
arquitectura es una articulación de la política.
• Se ha desarrollado un número de marcos arquitectónicos para atender la
necesidad de disponer de un modelo global exhaustivo para los sistemas de
información.
• Se puede usar COBIT,
• ITIL
• ISO/IEC 27001
• Modelo SABSA (ejemplo) http://www.sabsa.org/the-sabsa-
method/the-sabsa-model.aspx
• Otros
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Modelo Sabsa HOW- PROCESS

Riesgos
Arquitectura
WHERE- LOCATION
Service Manager’s View Operaciones WHEN -TIME
Tradesman’s View
Componentes
Builder’s View Física –
Lógica-
Designer’s View
WHY - MOTIVATION
conceptual-
WHO - PEOPLE
Architect’s View
Context
ual – Business View
WHAT- ASSETS
Infraestructura y Arquitectura de la NEGOCIO
Medición y Control
Información
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
• Infraestructura se refiere a la base subyacente o

cimiento sobre el cual se hacen funcionar los sistemas
de información
• Infraestructura de seguridad se refiere al cimiento que
permite hacer funcionar a los recursos de seguridad
• Cuando la infraestructura está diseñada e
implementada en consistencia con las políticas y
estándares, se dice que la infraestructura es segura
• La arquitectura de seguridad de la información debería
ser usada para alcanzar los objetivos de control de
seguridad de la información
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Arquitectura Perímetro de Red

Riesgos
Arquitectura
Defense in Depth: Onion

- Screening Router
- Firewalls - Security Zones
- DMZ Hosts (Web; Mail)
- IDS Sensors (Network & Host)
ISP Router DMZ – Web & Mail Servers
Internet
Screening Router
Firewall
Firewall
Application & Database Servers
96
Pilares
NEGOCIO
Medición y Control
Pilares de la Seguridad: Modelo

Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
BMIS
• Holístico
• Dinámico
• Diseño
• Implementación
“organizational mission
affects the security program
and vice versa.”
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Umbrales (Baselines)
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Desarrollar un umbral de seguridad de la Información:

Riesgos
Arquitectura
Information Security Baseline

• Los umbrales o líneas base pueden usarse para
desarrollar requisitos de alto nivel de requerimientos
funcionales
• Flujo desde políticas y estándares
• Procedimental en naturaleza y uso
• Define el mínimo aceptable de seguridad que serán
implementado para proteger los recurso de
información
• Los umbrales son comúnmente definidos por
organizaciones tecnológicas incluidos los vendedores
de hardware y software.
100
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Umbrales
Riesgos
Arquitectura
• Debe ser aplicable a nuestra organización

• Requisitos de seguridad diferentes para industrias
financieras frente a industrias manufactureras
• Aproximación en dos capas
• Umbral de seguridad
• P.e. Aplicable a todos los servidores
• Entornos de alto riesgo
• Se añade al umbral e incrementa los controles en
determinados servidores
• Servidores accesibles desde internet
• Necesita aceptación y soporte de la dirección
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Ejemplos de umbrales
Riesgos
Arquitectura
• Seguridad Sistemas Operativos

• Windows
• Unix
• Gestores de Bases de Datos
• Oracle, DB2 UDB, Microsoft SQL Server
• Network
• Firewall, VPN, Wireless LAN
• Intrusion Detection System
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Umbrales
Riesgos
Arquitectura
Procedimientos Umbral
(procedures)
(Baseline)
Mínimo de seguridad aceptable en
consonancia con su nivel de criticidad
Niveles
Basados en los Mínimos
propuestos por
organizaciones
tecnológicas
Evaluación del
riesgo (asses the risk)
Políticas de Seguridad Clasificación de Recursos

(security policies) (Categorized resources)
Reglas generales de uso
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Política de Uso Aceptable

 Control de Acceso
 Clasificación y etiquetado de la información
 Manejo de documentos e información
 Reglas de uso Internet
 Reglas de uso Puesto Trabajo
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Certificación
Certificación
Evaluación de la Gestión del NEGOCIO
Medición y Control
Programa
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
La evaluación de la gestión de los componentes del

programa revela la extensión del soporte de la
Dirección y la profundidad del programa :
• Los programas más tácticos dirigidos por la técnica son
débiles en la gestión de los componentes porque
implementa menos componentes de gestión.
• Los programas más estratégicos dirigido por los
estándares, cumplimiento y gobernanza implementan más
actividades de gestión que aseguran que se establezcan los
requisitos y se cumplan.
NEGOCIO
Certificación & Acreditación de Información

Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
los sistemas de información son examinados y la

documentación habrá de incluir:
• Declaración de categorización del sistema
• Descripción del sistema, con fronteras señaladas
• Diagrama de red y flujos de datos
• Inventario de software y hardware
• Evaluación de los riesgos del negocio
• Evaluación de los riesgos del sistema
• Plan de contingencia
• Autoevaluación
• Plan de seguridad del sistema
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Objetivos
NEGOCIO
Medición y Control
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Objetivos de Control y Controles
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
• Objetivos
• Controles
• Umbrales Medir Controles y
• Auditorías Umbrales mediante
Auditorías y métricas para
saber el estado en que nos
encontramos
NEGOCIO
Medición y Control
Objetivos Generales Seguridad

Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Integridad Confidencialidad
No- Repudio
Disponibilidad Conformidad
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Controles
NEGOCIO
Control
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Objetivos de Control
Control Tecnología
/ Enablers
 Objetivos Control =  “Las políticas, procedimientos  La tecnología por sí sola
Requisitos de Control prácticas y estructuras no es un control: se usa para
No implican acciones en sí organizacionales designadas para implementar controles.
mismos. proporcionar una seguridad razonable
 "Declaración de los resultados de que se logran los objetivos del  La tecnología debe
deseados o propósitos a negocio y que los sucesos no encajar en el esquema
conseguir mediante la deseados son prevenidos o básico de prevención,
implementación de detectados y corregidos. Un control es detección y
procedimientos de un medio razonable para un fin recuperación.
control dentro de una actividad definido por los objetivos del
de TI particular”. negocio."
 Ej: CRC datos para  Ej: CheckSum

 Ej: Utilizar datos
asegurar integridad y
íntegros en las
comprobación.
transmisiones.
Requisitos de Control (objetivos de control) deben ser soportados mediante políticas,
estándares, tecnología y actividades de control así como exigencia (enforcement) de puntos
de control.
http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Documents/jpdf11v4-Where-Have-All.pdf
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Controles de Seguridad
Riesgos
Arquitectura
Características
Control
Seguridad
controles
controles de
generales aplicación
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Tipos de controles y sus efectos

Riesgos
Arquitectura
Control
Amenaza compensato
rio
Reduce la
probabilidad de
Control
disuasivo
Crea Vulnerabilidad
Reduce la Explota
probabilidad de
Ataque Genera
Descubre
Control
detectivo Control
correctivo
Protege
Activa Reduce
Control
preventivo Impacto
Reduce
115
NEGOCIO
Medición y Control
Tipos de controles y sus efectos

Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Controles Físicos Contramedidas Cambios de

y Ambientales Emergencia
• Conjunto especializado: de ellos • Controles que se •Imperativos del negocio
dependen todas las instalaciones de implementan como respuesta cambios de emergencia
cómputos y su personal. a una amenaza específica que •Controles y autorización se
• El ISM debería: se sabe existe hace después del hecho
• Validar las tecnologías para el • Las mismas pueden ser: •Usado limitadamente
soporte de la seguridad física •Uso de cuenta ‘Firecall’
• Asegurarse de que existen – Preventivas
Password controlada y
formalmente roles, – Detectivas reseteada después del uso,
responsabilidades e – Correctivas registrada y revisada
imputabilidades con respecto a los
controles de acceso físico
• Aplciar roles y responsabilidades
para interactuar con diversas
unidades de seguridad física
geográficamente dispersas
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Controles en el SLDC
Riesgos
Arquitectura
NEGOCIO
Tecnologías de Control
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
• Supplemental
• Se añade al entorno
Complementarias • Funcionalidad NO nativa
• Más especializadas que las tecnologías
de control nativas.
• Automatizar procedimientos (i.e SIEM)

Soporte Gestión • Utilizadas por grupo seguridad de la
información independiente de IT
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Auditorías
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Auditorías Formales
Riesgos
Arquitectura
• Las auditorías de seguridad tienen objetivos, alcance,

restricciones, enfoque y resultados.
• La efectividad se juzga sobre la base de que los controles
existentes cumplan o no con un conjunto dado de objetivos
de control
• Una auditoría es extremadamente útil para determinar si las
políticas y estándares han sido totalmente implementados
• Donde se está desarrollando un programa de seguridad de
la información, el ISM puede
• Seleccionar estándares externos
• Involucrar a un equipo de auditoría para determinar
hasta donde su organización está en cumplimiento
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Cumplimiento
Riesgos
Arquitectura
• El programa de seguridad de la información ha establecido políticas

y estándares
• Las actividades de exigencia son funciones gerenciales de
supervisión, mediante las cuales se supervisan las actividades de
control diseñadas para alcanzar un cierto objetivo de
cumplimiento.
• Se entiende por exigencia de cumplimiento a cualquier actividad
dentro del programa de seguridad de la información, diseñada para
asegurar el cumplimiento con los objetivos de control de la
organización.
• La exigencia de cumplimiento tiene dos connotaciones:
• Cumplimiento con respecto un contexto regulatorio
• Cumplimiento con respecto a políticas, estándares y
procedimientos internos.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Análisis de Vulnerabilidad
Riesgos
Arquitectura
• Una vulnerabilidad es una característica que puede ser

explotada por una amenaza y causar un impacto
• Un análisis de vulnerabilidad está diseñado para poner en

evidencia la existencia de vulnerabilidades en un ambiente o
sistema de información dado
• Los ISMs deben poder llevar a cabo un análisis de

vulnerabilidades para determinar si los controles son
adecuados
NEGOCIO
Medición y Control
Recovery Time
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
t - RPO t t’ t + (t’ – t) + RTO

Pérdida Datos Pérdida Servicio
RPO RTO
Evaluación de
impacto y
Cantidad máx. necesidad de Tiempo máx. para la
de datos que activar plan reanudación del
se pueden perder Recuperación servicio
del servicio
OK
DESASTRE Se activa
Vuelta a
Operación
Interrupción de la actividad plan
recuperación
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Recovery Time
Riesgos
Arquitectura
Ventana de Interrupción: Tiempo que puede esperar una organización entre el punto
de fallo y la recuperación del servicio.
Service Delivery Objective SDO: Nivel de servicio en modo alternativo ( en contingencia)
Máximun Tolerable outage (MTO): Máximo tiempo tolerable de interrupción

DRP en Acción
Servicio Normal Servicio Servicio Normal

SDO
Alternativo
Restauración
Interrupción
Ventana Interrupción
Máximun Tolerable outage (MTO):

NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Terceros
Terceros
125
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Gobierno de IT en un Entorno de Outsourcing
Estrategia de Negocio
y Procesos
Gobierno de IT
Sólida
Relación
Comercial Estrategia de IT de
Proveedores Procesos
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Proveedores Externos de Servicios de

Riesgos
Arquitectura
Seguridad
• Dos tipos de servicios de seguridad se pueden obtener de
proveedores externos
• Tercerización (Outsourcing)
• Contratación de servicios*
• Una actividad tercerizada debe ser consistente con las metas y

objetivos del programa integral de seguridad de la información
• Los elementos del programa de seguridad que monitorean las
funciones de seguridad tercerizadas no deben ser tercerizados.
*La distinción entre tercerizar la seguridad y contratar servicios de
seguridad es que en este último caso, el ISM conserva la propiedad
y responsabilidad por el desempeño del servicio de seguridad
Proveedores Externos de
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Servicios de Seguridad
Al usar un servicio externo, el ISM debería:
• Describir como se almacenan y protegen los datos en
el ambiente del proveedor de manera de conservar la
CID
• Destinar recursos a mantener un ambiente seguro
• Responsabilizarse por la seguridad del servicio
• Mantener la imputabilidad (accountability) del lado
de la organización del proveedor del servicio a efectos
de la aplicación de la política
• Mantener procesos de seguridad que sean
transparentes para los usuarios
• Mantener procedimientos bien definidos
Sección Cuatro
Monitoreo y informe de seguridad
REFUERZO SECCIÓN 4
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Medición
NEGOCIO
Medición & Controles

Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Lo que no se puede medir

no existe, ni se gestiona, ni
se controla, ni se mejora. Las medidas de
control dependen
siempre de los
riesgos.
William Pepperell Montague, filósofo

estadounidense (1873-1953)
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Establecer Métricas
Riesgos
Arquitectura
pecific: para una actividad particular o función
easurable: sí o no, proporciones, volúmenes, porcentajes
ttainable: dentro del alcance de los objetivos
epeatable: mismas circunstancias rinden mismos resultados
ime-dependent: registradas y seguidas conforme a base temporal

¿Qué Medir ?
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
• El nivel de riesgo de los sistemas

• La capacidad y sensibilidad de los empleados
• Las mejoras de una medida a la siguiente
• Controles técnicos de Seguridad
• Impacto en el negocio
• La bondad ( o no ) del PSI
• Medición del Desempeño
• Actividades de control alcanzan los resultados deseados
• Medición del desempeño con respecto actividades de seguridad diseñadas para
alcanzar objetivos técnicos
• Medir tendencias
• Niveles de madurez de CMM en intervalos periódicos
• Indicadores clave de meta (KGIs)
• Indicadores clave de desempeño (KPIs)
• Business Balanced scorecard (BSC)
• Indicadores de calidad Six Sigma.
• Indicadores de calidad ISO 9001
Medición del desempeño
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
WELL - BAD DONE MUST
KPI KGI CSF
• Key Performance Indicator / • Key Goal Indicator / Indicador • Critical Success Factors.
Indicador Clave de Clave de Meta u Objetivo • Lo que debe ocurrir durante el
Rendimiento) • Indican, después del hecho, si curso del proyecto ,
• Eficiency: Eficiencia un determinado objetivo se ha desarrollo, plan,
• Como de bien cumple alcanzado. implmentación para lograr el
• Indican cómo se está • Effectivenes: objetivo
desarrollando el proceso, cuál Eficacia/efectividad
está siendo su • Cumple su objetivo
comportamiento. • La meta final del trabajo de un
• Predicen la probabilidad es ISM es un estado en el cual
éxito o fracaso en el futuro. todos los KGIs se
Son indicadores “guía”. corresponden con objetivos
• Ayudarán a mejorar el proceso de control, los que están
de Seguridad de la respaldados por actividades
Información cuando sean de control que son
medidos y se actúe sobre gestionadas y son medibles
ellos.
•http://www.isaca.org/Journal/Past-Issues/2005/Volume-6/Pages/COBITs-Management-Guidelines-Revisited-The-
KGIs-KPIs-Cascade.aspx
Medición del Programa NEGOCIO
Medición y Control
de seguridad
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Usadas para monitorizar y guiar el programa mediante :

• Desarrollo de Métricas (Metrics Development)
• Enfoques de Monitoreo (Monitoring Approaches)
• Medición del desempeño de la gerencia de SI (Measuring Information Security Management
Performance)
• Medición del riesgo y la pérdida relacionados con la seguridad de la información (Measuring
Information Security Risk and Loss)
• Medición del apoyo de los objetivos Organizacionales (Measuring Support of Organizational
Objectives)
• Medición del cumplimiento (Measuring Compliance)
• Medición de la productividad operativa (Measuring Operational Productivity)
• Medición de la rentabilidad de la seguridad (Measuring Security Cost Effectiveness)
• Medición de la conciencia Organizacional (Measuring Organizational Awareness)
• Medición de la eficacia de la arquitectura de seguridad (Measuring the Effectiveness of Technical
Security Architecture)
• Medición de la eficacia del marco y los recursos de gestión (Measuring Effectiveness of
Management Framework and Resources)
136
• Medición del desempeño operativo (Measuring Operational Performance)
Medición de Controles Técnicos y NEGOCIO
Medición y Control
Arquitectura
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
• El análisis de los componentes de control técnico y

arquitectura deben realizarse:
• Cuando se analice la arquitectura técnica de seguridad, el
ISM de utilizar un conjunto claramente definidos de
criterios cuantificables para permitir el monitoreo de las
métricas de desempeño.
• Algunos criterios posibles para analizar la arquitectura de
seguridad técnica y sus componentes pueden incluir:
• Colocación (ubicación) del Control (Control placement)
• Efectividad del Control (Control effectiveness)
• Eficiencia del Control (Control efficiency)
• Política de Control (Control policy)
• Implementación del Control (Control implementation)
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
ANEXO
TIPs Para el exámen: ayudar
a resolver las preguntas
que se dudan
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
TIPS EXAMEN
Riesgos
Arquitectura
Crear mapa mental con los conceptos normalmentea aplicables a todas las preguntas
dudosas
139
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
TIPS EXAMEN
Riesgos
Arquitectura
• Reformular la pregunta para entender el sentido

de la misma
• Marcar con “?” las que no entendemos a la
primera y volver sobre ellas. No perder tiempo
• Hay que estar atentos a las preguntas relacionadas
que pueden resolverse entre ellas
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Tips
Riesgos
Arquitectura
• Hacer cambios durante la fase de diseño o implementación es menos costosos y más efectivo que
hacerlo más tarde.
• Tratar con el Riesgo:: Evitarlo misión imposible Factor Humano, transferirlo, gestionarlo
• Los umbrales de seguridad ( y la política) y la gestión de la configuración debe integrarse en el diseño

y gestión de las aplicaciones del negocio y las infraestructuras
• El programa general de seguridad debe cumplir los requisitos del negocio de la organización.
• Aconsejar y Habilitar a la dirección para seleccionar los controles apropiados.
• Permitir el acceso a recursos en base a la necesidad de conocer o hacer ( Need-To-Know / Need to do
basis)
• Aplicar el principio de Proporcionalidad siempre
• Siempre Registrar (logging) y auditar
• Es MEJOR integrar la seguridad en el ciclo de vida de los procesos de TI
• El negocio es quién mejor conoce los recursos de información por lo que este conocimiento es
importante para la evaluación de riesgos y priorización.
• Diligencia Debida en cualquier cosa que haga el gestor de seguridad ISM
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Preguntas Prácticas
Refuerzo Preguntas Prácticas
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Preguntas de Práctica
Riesgos
Arquitectura
3-1. ¿Quién está en la MEJOR posición para

desarrollar las prioridades e identificar los
riesgos e impactos que ocurrirían si hubiera
una pérdida o corrupción de los activos de
información de una organización?
A. Los auditores internos
B. La gerencia de seguridad
C. Los dueños de los procesos de negocio
D. Agencias reguladoras externas
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
3-2. El concepto elemental MÁS importante que

un arquitecto de seguridad de la información
debe tener en mente es:
A. planificar-hacer-chequear-actuar.
B. confidencialidad, integridad, disponibilidad.
C. prevención, detección, corrección.
D. Actitud de los niveles jerárquicos más altos.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
3-3. ¿Cuál de los siguientes es el MEJOR método

para gestionar el riesgo inherente a las redes
inalámbricas?
A. Requerir el uso de encriptación de clave
privada para conectarse a la red inalámbrica
B. Habilitar la auditoría en todo equipo que se
conecta a la red inalámbrica
C. Requerir que todo equipo que se conecta a la
red tenga un plan de recuperación probado
D. Habilitar la auditoría de toda conexión que se
haga a la red inalámbrica
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
3-4. ¿Cuál de los siguientes es el elemento MÁS

importante de un programa de entrenamiento
en concientización en seguridad exitoso?
A. Proveer de métricas para medir su efectividad
B. Contenido personalizado para el programa de
concientización en seguridad
C. Nivel de detalle técnico del programa de
concientización
D. Relación entre el programa de concientización
y un estándar de seguridad reconocido
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
3-5. Si un ISM es responsable por la revisión de

seguridad de una aplicación, ¿cuál de las
siguientes otras responsabilidades presenta un
conflicto de intereses con la ejecución de la
revisión?
A. Recuperación del sistema operativo
B. Administración de la aplicación
C. Control de cambios sobre la red
D. Detección de intrusiones basada en host
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
3-6. Los controles de acceso que fallan en forma

segura se usan cuando:
A. Es necesario asegurar el acceso de los
usuarios al sistema.
B. La política de controles especifica el
requerimiento.
C. Hay un motivo de negocio para limitar el
impacto.
D. está indicado por un análisis de rentabilidad.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
3-7. Las políticas de control relativas a los modos de falla

son elementos críticos a considerar en la arquitectura
de seguridad PRINCIPALMENTE porque:
A. Proveen de los requerimientos que establecen una serie
de restricciones a la arquitectura.
B. Proveen de un enfoque objetivo al diseño general de los
controles.
C. Expresan las capacidades requeridas de los sistemas
para alcanzar los objetivos del negocio.
D. Son sb-políticas que deben ser implementadas a nivel
operativo o funcional.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
3-8. ¿En qué etapa del ciclo de vida del desarrollo

de sistemas (SDLC) es que el ISM debería
crear una lista de elementos de seguridad
relativos a la descripción funcional de un nuevo
sistema planificado?
A. Factibilidad
B. Requerimientos
C. Diseño
D. Desarrollo
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
3-9. ¿Cuál es el PRIMER paso al diseñar un

ambiente cliente-servidor seguro?
A. Identificar todos los puntos de acceso a los
datos.
B. Establecer la seguridad del sistema operativo
en todas las plataformas.
C. Exigir contraseñas complejas.
D. Poner un firewall entre el servidor y los
clientes.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
3-10. En controles de seguridad ambiental, ¿cuál es un

problema común al usar dispositivos detectores de
vibración para el control perimetral?
A. Los dispositivos son vulnerables a cualquier tipo de
perturbación.
B. Los dispositivos pueden ser anulados mediante medios
electrónicos.
C. La amplitud de la señal se ve afectada por las
condiciones climáticas.
D. Los dispositivos deben estar enterrados por debajo de la
línea de congelamiento.
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Respuestas
Riesgos
Arquitectura
• 1- C
• 2- C
• 3- A
• 4- B
• 5- B
• 6- B
• 7- A
• 8- B
• 9- A
• 10 - A
153
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Glosario
Riesgos
Arquitectura
• PMI: Un programa es un grupo de proyectos

relacionados cuya dirección se realiza de manera
coordinada para obtener beneficios y control que
no se obtendrían si fueran dirigidos de forma
individual
• CISM: Information Security Programme
development: conjunto coordinado de actividades
, proyectos y/o iniciativas para implementa r la
estrategia de la seguridad de la información
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Glosario
Riesgos
Arquitectura
• Accountability: Responsabilidad de que se haga

• Responsible: Responsable de hacer
• Eficiencia/ (efficiency): ( rendimiento) costo-rendimiento
• Efectivo/Eficacia (effectivenes) (próposito). Lograr lo que se pretende
• KGI’s
• KPI’S
• Controles generales: son actividades de control que ofrecen soporte de
forma centralizada a toda la organización
• La tecnología es inadecuada para implementar controles generales por
si misma debe adoptarse una arquitectura
• Seguridad de IT “security” se centra principalmente en temas
funcionales de la seguridad en el ámbito (realm) de la tecnología
mientras la seguridad de la información se centra ,más en temas
transversales a la organización como governanza, cumplimiento y
riesgo
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Referencias Bibliográficas
Riesgos
Arquitectura
• Security Forum http://www.securityforum.org/html/frameset.htm
• Online book http://www.acsac.org/secshelf/book002.html
• Nist http://csrc.nist.gov/publications/nistpubs/index.html
• Project management www.pmi.org www.pmforum.org
• “National Strategy to Secure Cyberspace” www.whitehouse.gov/pcipb
• ISO http://www.iso.ch
• AENOR http://www.aenor.es
• BS www.bsi-global.com BSI http://www.bsi.bund.de/gshb/english/etc/index.htm
• BSI tool http://www.bsi.de/gstool/down.htm
• ASIA http://www.auditoresdesistemas.com (Pablo Lanza: Iniciación a la Auditoría de SI )
• Bs7799 Sans audit checklist http://www.sans.org
• ISACA http://www.isaca.org
• ITGI http://www.itgi.org
• Isecom http://www.isecom.org
• FIST http://www.itl.nist.gov/fipspubs/
• Libro:Seguridad de las Tecnologías de la información Aenor 2003
• Common Criteria http://www.commoncriteriaportal.org/
• Security Architectures: http://www.knowledgestorm.com/
• OSI model http://en.wikipedia.org/wiki/OSI_model
• Tcp-ip Guide http://www.tcpipguide.com/free/index.htm
• Building Internet Firewalls D. Brent Chapman & Elizabeth D. Zwicky, Ed: O'Reilly, USA 2000
Referencias Bibliográficas
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
• Differences Betwen worms,virus,trojan horse http://www.webopedia.com/DidYouKnow/Internet/2004/virus.asp

• Piper Fred; Simon Blake-Wilson; John Mitchell; Digital Signatures - Security and Controls, IT Governance Institute, USA
1999 http://www.itgi.org
• Singh, Simon; The Code book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Anchor, UK, 2000
http://www.simonsingh.com/The_Code_Book.html
• The project Managent Institute, A Guide to Project Management Body of Knowledge, USA 2000
• National Information Assurance Certification and Accreditation Process (NIACAP), NSTISSI No. 1000 , April 2000 http://
www.nstissc.gov/Assets/pdf/4009.pdf
• NIST Special Publication 800–18, Guide for Developing Security Plans for Information Technology Systems
http://csrc.nist.gov/publications/nistpubs/800-18/Planguide.PDF
• The computer Security Resource Center of the US Department of Commmerce’s National Institute of Standards and
Technology. Certification and Accreditation (C&A) http://csrc.nist.gov/sec-cert/
• White papers Cost Benefit Security procedures CSO Online www.csoonline.com
• IT Governance Institute. Information security Governance http://www.itgi.org
• Swanson Marianne, Security Self Asssesment Guide For Information Technology Systems, NIST SP800-26, USA August 2001
• The Systems Security Engineering Capability Maturity Model (SSE-CMM) http://www.issea.org
• SCORE Procedimientos y standares, checklist http://www.sans.org/score/
• Schneier Bruce: Secrets and Lie. Digital Security in a Networked World. John Wiley and Sons USA 2000
• 3- Tier http://www.undu.com/Articles/010131f.html
• Redes ATM http://www.ldc.usb.ve/~redes/Temas/Tema09/
157
Resumen
• La documentación define el contenido de un
programa y los criterios con los que se pueden
evaluar sus actividades, por lo que debe revisarse
periódicamente y mantenerse actualizada.
• La concienciación de seguridad de la información es
clave para el éxito de un programa de seguridad
porque se ocupa del factor humano.
• La concienciación y la formación se usan para
asegurar que las personas estén haciendo las cosas
correctas y ejerciendo un buen juicio.
Resumen
• La arquitectura de seguridad de la información
proporciona una hoja de ruta para los programas y
actividades relacionados con la seguridad de la
información, incluidos los controles.
• Los controles pueden clasificarse como
compensatorios, correctivos, detectivos, disuasivos y
preventivos. Pueden ser identificados por la
implementación administrativa, técnica o física.
• Consideraciones de seguridad de la información deben
tenerse en cuenta en el desarrollo de software, gestión
de proveedores y acuerdos de externalización
(outsourcing).
Resumen
• La computación en la nube tiene implicaciones para la
seguridad de la información, especialmente en la
gestión de proveedores. Tenga en cuenta que el
proveedor de servicios en la nube tiene algunas
provisiones para el riesgo, pero la organización de
outsourcing sigue siendo responsable en caso de una
violación.
• Es necesario monitorear la efectividad y la eficiencia del
programa y los controles de seguridad de la
información.
• Las métricas proporcionan la información que los
interesados necesitan para tomar decisiones de
negocio.

CISM - DOMINIO 3 - Refuerzo Secciones - 2021

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CISM - DOMINIO 3 - Refuerzo Secciones - 2021

Cargado por

Copyright:

Formatos disponibles

PREPARACIÓN PARA

Desarrollar y mantener un programa de

Aportar Valor al negocio

Construir el Programa Gobierno

El objetivo del CISO: Implementar la estrategia a través de una

Gobernanza y Buenas Prácticas

El entorno de trabajo del ISM: Programa (Plan) de Seguridad

Medir Activos Gestionar

Los Objetivos de Gobierno Seguridad (key goals)

Gobierno de TI Aportando valor al gobierno de IT

Riesgos Minimizando y tratando en base a los riesgos

Arquitectura Cimentado mediante la arquitectura a todos los niveles

Las reglas básicas del Programa

• Principio de proporcionalidad: Coste de la Medida

• Un “gap analysis” identificará una serie de proyectos que mejorarán el

Presupuesto del Programa

Tiene un impacto importante en el éxito del programa.

Los elementos del presupuesto del programa que deben

Evaluación de la Gestión del

Consideraciones sobre los componentes de gestión del

Evaluación de la Gestión del

• Activo: Cualquier recurso de los sistemas de información o

• Virtualmente todos los aspectos del programa de

Valoración vs Gestión Riesgos

• Valoración de riesgos ( risk analysis/assessment) proceso

• “FOR THE RISKS THEY’RE CHANGING”

Nivel Aceptable Riesgos

• GSI Gestor (gerente) de la seguridad de la información (ISM:

• El riesgo siempre existe y debe ser tratado o gestionado:

• Riesgo residual es el riesgo que queda después de haber sido

• Una vulnerabilidad es una característica que puede ser

Evaluación de Riesgos e Impacto al

• Operación de Negocio: determinar las aplicaciones

Fuente: Isaca Risk IT

Proceso de Planificación Estratégica

COSO: La provisión de la estructura que

Plazo 1- años impulsan

La gestión de la seguridad debe aporte valor añadido al negocio

Comparación de • Coste real de los trabajos programados frente

Efectividad • Bajos costos y variación de la programación de

• Eficiencia mediante el uso de técnicas y

Marco de Gestión de la Seguridad de la

• Los componentes de seguridad de la información

Objetivos de Gobierno Seguridad

Transformar estos conceptos y relaciones lógicas en tecnologías y

Gestión key goals

Objetivos de Seguridad Gobierno

Los elementos clave del programa de gestión de la

Aunque no exista un Programa de Seguridad de la información debe

• Determinar los objetivos de gestión para la seguridad de

KGI & KPI : http://www.isaca.org/Journal/Past-Issues/2005/Volume-

Guías de Habilitadores de COBIT® 5

Guias Profesionales de Orientación de COBIT® 5

COBIT® 5 Ambiente Colaborativo En Línea

Source: COBIT® 5, ISACA

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Source: COBIT® 5, ISACA

2. Procesos 3. Estructuras 4. Cultura, Ética

1. Principios, Políticas y Marcos

Source: COBIT® 5, ISACA

ISO / IEC 38500:2008