Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CISM - DOMINIO 3 - Refuerzo Secciones - 2021
CISM - DOMINIO 3 - Refuerzo Secciones - 2021
EL EXAMEN CISM
Material adicional
dominio3
Dominio 3
Desarrollo y gestión del programa de seguridad de la
información
Dominio 3
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
2º Riesgos 3ºControles
5º Arquitectura
1º Elixir
4º Medición
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Eficacia Programa
Eficiencia
+ -
Fallo
Aquí Estoy Gobierno
Aquí Llego
Gap Riesgos Controles Medición
Estrategia
Análisis
Gestión
Objetivos de Control
Controles
Arquitectura
Personas, Procesos Tecnología
Riesgos
Arquitectura
Gobierno
Seguridad
NEGOCIO
Medición y Control
Conseguir
Información & Comunicación
Aportar valor al
Apoyo
negocio y hacer Responsabilidad (
Gobierno que siga Gobierno
Gobierno IT accountability)
Corporativo funcionando Seguridad
Riesgos
Arquitectura
NEGOCIO
Entorno
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
ORGANIZATION
IT Security
Governance
IT
Governance
Business
Governance El entorno Corporativo
ORGANIZATION
IT Security IT Business
Governance Governance Governance
ORGANIZATION
IT Security IT Business
Governance Governance Governance
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Entorno
Riesgos
Arquitectura
Infraestructuras
Productos
Información y sistemas
de TI
Operación Personas
ISM
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Objetivos
Estrategia
Implementar la
estrategia Implementar
Objetivos
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gestión
Alineamiento
de Entrega
estratégico
de Valor
Riesgos
Gestión Medición
Integración del
de Proceso de del
aseguramiento
Recursos Desempeño
Programa trazable a la estrategia.
Negocio Alinear el plan con el negocio
Medición y
Midiendo el desempeño para mejorar
Control
Información y
Controlando la información
Control
Gobierno
Aportando valor al gobierno coporativo
corporativo
Gobierno de
De la información y de IT
Seguridad
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Refuerzo
Riesgos
Arquitectura
REFUERZO SECCIÓN 1
El objetivo de las secciones de refuerzo es complementar con información
más clara enfocada al proceso de implementación del programa explicado
de la perspectiva de la sección.
Desarrollo de Programa y Gestión de
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Proyecto Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
16
NEGOCIO
Medición y Control
Información & Comunicación
Riesgos
Arquitectura
Riesgos
Arquitectura
Programa
•Consideraciones sobre los componentes de gestión del
• ¿Hay documentación
programa incluyen: completa del propio programa?
¿Las políticas, estándares y procedimientos clave han sido
reducidos a directrices operativas accesibles y distribuidos
a los responsables ?
• ¿ Los responsables comprenden sus roles y
responsabilidades?
¿Hay roles y responsabilidades definidos para la alta
Dirección, el consejo, etc.? ¿Estas personas y entidades
entiende y asumen sus responsabilidades?
• ¿Las responsabilidades de la seguridad de la información
están representada en los objetivos individuales de los
gerentes de negocios y forman parte de su evaluación de
rendimiento individual?
NEGOCIO
Medición y Control
Información & Comunicación
Plan-Do-Check-Act
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Planear-hacer-comprobar-actuar
• El programa de seguridad de la información depende de la
efectividad de los procesos de negocio
• El PSI utiliza los conceptos y metodologías de Total Quality
Management (TQM) combinados con el usos de la
metodología de gobernaza.
• TQM se base en 4 procesos primarios:
• Plan
• Do,
• Check,
• Act
• Los elementos de gobernanza inlcuyen:
• Visión
• Objetivos estratégicos
• Factores críticos de Éxito Success Factors (CSFs)
• Indicadores clave del rendimiento Key Performance Indicators (KPIs)
• Acciones Clave
19
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Riesgos
Arquitectura
• Riesgos
• BIA
• Risk IT
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Definiciones
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gestión de Riesgos
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos Residuales
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Análisis de Vulnerabilidad
Riesgos
Arquitectura
Riesgos
Arquitectura
Negocio
Valoración de Riesgos (Risk assessment): es un proceso usado para
identificar y evaluar los riesgos y su impacto potencial en una
organización en términos cuantitativos y cualitativos
BIA
• Determina el impacto de perder la disponibilidad cualquier
recurso, para una organización
• Establece como escala esa pérdida con el paso del tiempo
• Identifica los recursos mínimos necesarios para la
recuperación
• Prioriza la recuperación de los procesos y los sistemas en que
estos se apoyan
• Basados en los resultados de las evaluaciones de riesgos
NEGOCIO
Medición y Control
Análisis de la Dependencia de
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Recursos
• Similar al BIA: determinar los recursos requeridos
para soportar funciones específicas.
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos IT
Riesgos
Arquitectura
Gobierno Corporativo
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gobierno Corporativo
Riesgos
Arquitectura
• Estrategia
• Diligencia Debida
• Entrega de Valor
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
ESTRATEGIA
NEGOCIO
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Proceso de Planificación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Estratégica
• Gestión de Riesgos
• Legislación- Regulación
• Política de Gobernanza
• Seguridad Organizacional
• Clasificación de Información Estratégico
• Auditoría
• Análisis de Riesgos
•
•
Continuidad de Negocio
Desarrollo de Métricas
Táctico
• Respuesta a Incidentes
•
•
Seguridad Física
Seguridad de Red
Operativo
• Uso de Métricas
• Cumplimiento de Políticas
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Diligencia Debida
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Debida Diligencia
Corporativo Seguridad
Riesgos
Arquitectura
(Due Diligence)
• Debida diligencia = la “norma de debido cuidado”
• Algunos de los componentes de la debida diligencia son:
• Apoyo de la alta dirección
• Políticas, normas y procedimientos integrales
• Formación, capacitación y sensibilización apropiadas sobre seguridad en
toda la organización
• Valoraciones de riesgos periódicas
• Procesos eficaces de respaldo y recuperación
• Implementación de controles de seguridad adecuados
• Monitoreo y métricas eficaces del programa de seguridad
• Esfuerzos apropiados de cumplimiento
• Planes probados de recuperación de desastre y continuidad del negocio
NEGOCIO
Medición y Control
Información & Comunicación
Debida Diligencia
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
(Due Diligence)
• El ISM debe mantener el monitoreo diario de las entidades que publican
información de vulnerabilidades
• Equipo de respuesta a emergencias informáticas (CERT)
• La base de datos de Exposiciones (CVE)
• Vulnerabilidades Comunes de MITRE
• La lista de correo electrónico BUGTRAQ de Security Focus
• El SANS Institute
• Numerosos proveedores de software.
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Entrega de Valor
Entrega de Valor
Entrega de Valor
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Seguridad
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Gobierno de Seguridad
Corporativo Seguridad
Riesgos
Arquitectura
• Definición de Seguridad
• Objetivos
• Pilares de Seguridad: Modelo BMIS
• Plan de Acción y Recursos
• El ISM
• Responsabilidad
• Terceros
NEGOCIO
Medición y Control
Información & Comunicación
Riesgos
Arquitectura
información
• Debería describir fundamentalmente los
componentes de la gestión de la seguridad de la
información y sus interacciones.
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Riesgos
Arquitectura
Gobierno
Seguridad
Responsabilidade
Políticas y
s
Procedimientos
Organizacionales
key elements
Roles y
Comunicaciones Responsabilidade
s
Normas y
Implementación
Estándares
NEGOCIO
Medición y Control
Definición de Objetivos
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gobierno de IT
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gobierno de IT
Riesgos
Arquitectura
• Marco
• Cobit 5
• ISO 38500 / ISO 20000
• Gobierno vs Gestion
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Marco
Marco
(Framework)
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
COBIT 5 Productos
Riesgos
Arquitectura
®
COBIT 5
®
COBIT 5 COBIT ® 5 ®
® COBIT 5 Otras Guías
COBIT 5 Implementación Para la Seguridad Para el
Para Riesgos Profesionales
de la Información Aseguramiento
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Marco de Gobierno
Riesgos
Arquitectura
COBIT 5:
Gobierno Corporativo de TI
Gobierno de TI
Evolución del Alcance
Val IT 2.0
Administración (2008)
Control
Risk IT
(2009)
Auditoría
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Cobit 5 Principios
Riesgos
Arquitectura
1. Satisfacer
5 Principios de COBIT 5 las
7 Habilitadores de COBIT 5 necesidades
de las partes
interesadas
5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral
Principios de
COBIT 5
4. Habilitar un 3. Aplicar un
enfoque solo marco
holistico integrado
COBIT 5 Habilitadores
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades y
y Aplicaciones Competencias
RECURSOS
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gobierno Seguridad
Riesgos
Arquitectura
Corporate
Corporate
Governance
Governance ofIT
IT
Evaluar
Dirigir Monitor
Poposals
´Políticas
Planes
Conformance
Performance
Procesos de Negocios
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Riesgos
Arquitectura
ORGANIZACIONAL
ISO-27002:2013
Clause 5: Information Security Policies
Clause 6: Organization of Information Security
Clause 7: Human Resource Security
Clause 8: Asset Management
Clause 9: Access Control
Clause 10: Cryptography
Clause 11: Physical and Environmental Security
Clause 12: Operations Security
Clause 13: Communication Security
Clause 14: System Acquisition, Development and Maintenance
Clause 15: Supplier Relationships
Clause 16: Information Security Incident Management
Clause 17: Information Security Aspects of Business Continuity Management
Clause 18: Compliance
OPERACIONAL
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno vs Gestión
Gobierno vs Gestión
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Governance vs Management
Riesgos
Arquitectura
Procesos Habilitadores:
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
EVALUAR MONITORIZAR
EJECUTAR
MONITORIZAR
PLANIFICAR
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Información y Comunicación
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Información y Comunicación
Corporativo Seguridad
Riesgos
Arquitectura
• Documentación
• Sensibilización
• Formación
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Documentación
Riesgos
Arquitectura
Policies
Evidences
http://www.isaca.org/Knowledge-Center/Standards/Documents/G5-Audit-Charter-12Nov07.pdf
Documentación
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Sensibilización
Concientización
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Concienciación en Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Formación
Formación
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Capacitación y Formación
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Responsabilidades
ISM: El gestor/gerente de Seguridad
El Gestor de Seguridad
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
DIRIGE personas,
procesos y Individuos cuyas actividades
Personas
políticas (PPP) para impactan el alcance de los
implementar los objetivos (personas)
programas de
seguridad
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Gestor de Seguridad
Riesgos
Arquitectura
Integrar la política de
seguridad y la
tecnología que encaja
ISM
en el esquema básico de
prevención, detección y
recuperación
Tecnología y
Habilidades Accountability
Tecnológicas
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Relaciones de ISM
Riesgos
Arquitectura
Estrategia de Seguridad,
Riesgos y Alineameiento
Dirección
Ejecutiva Contratos, formación,
Requisitos de
Desarrollo Roles,
Control de acceso RRHH
SW responsabilidades
gestión de incidentes
Requisitos
Seguridad en RFP Dirección
Compras CISO Validar Requi. Seg
Requisitos Negocio Test aceptación
Contractuales
Autorizaciones
de acceso
Control Legal
Requisitos de Seguridad Calidad Leyes y Regulaciones
Revisión de control de Operación
cambios Pruebas y IT Monitorización de seguridad,
actualizaciones de respuesta a incidentes, inventario
Seguridad activos, gestión de crisis
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
habilidades
• Role
• Una designación asignada a un individuo en virtud de las
responsabilidades de sus funciones de trabajo
• Responsabilidad
• La descripción de un procedimiento o función
relacionado al rol del que alguien es responsable de que
se haga (accountable).
Personal, Roles, Responsabilidades y
habilidades Gobierno
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
• Personal:
• Arquitectos, diseñadores, constructores,
desarrolladores, testers y otros implicados
en la construcción del programa de
seguridad de la información.
• Probablemente será distinto del personal
que administrará el sistema una vez en
funcionamiento
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Arquitecto Administrador
Riesgos
Arquitectura
habilidades
• El personal y las habilidades difieren entre:
• Desarrolladores del Programa de ISM
• Arquitectos
• Diseñadores
• Constructores
• Desarrolladores
• testers
• Operations of the ISM Program
• Security analysts
• Database administrators
• Network administrators
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Personal
• Los arquitectos, diseñadores, constructores, desarrolladores, encargados de
pruebas y otros involucrados en el desarrollo del programa de seguridad
de la información es probable que no coincidan con el personal que habrá
de administrar los sistemas una vez que estén funcionando.
Roles
• Permiten que las responsabilidades y/o derechos de acceso sean asignados
en base al hecho de que un individuo ejecuta una función, en lugar de
tener que asignárselas a personas individuales.
Habilidades
• Entrenamiento, pericia y experiencia del personal asignado a una
determinada función.
Cultura
• Representa el comportamiento organizacional, métodos con los que
desempeñarse en las estructuras formales e informales de la organización
para conseguir que el trabajo sea hecho, actitudes, normas, nivel de
trabajo en equipo, existencia o no de “chacras” locales, y la dispersión
geográfica
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Responsabilidades
Riesgos
Arquitectura
82
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Responsabilidades
Riesgos
Arquitectura
La responsabilidad no se delega
Sección Tres
Construyendo Seguridad en Procesos y Prácticas
REFUERZO SECCIÓN 3
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Arquitectura
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gestión de la
Complejidad
Gestión de la Complejidad
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Arquitectura
Riesgos
Arquitectura
• Gestión de la Complejidad
• Marco Arquitectónico
• Umbrales de Seguridad
• Certificación
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Gestión de la Complejidad
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
de la información
• Establecer y mantener arquitectura de seguridad de la
información (personas, procesos, tecnología) para
llevar a cabo el programa de seguridad de la
información
• La arquitectura de seguridad de la información
incluye múltiples capas que van desde lo contextual a
lo físico.
• Su diseño esta estrechamente alineado con el
propósito. Una buena arquitectura es una
articulación de la política..
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Información
• La noción subyacente para cualquier arquitectura
es que los objetivos de los sistemas complejos
deben:
• Ser exhaustivamente definidos,
• Tener desarrolladas especificaciones precisas,
• Tener sus estructuras diseñadas y probadas en cuanto a forma,
ajuste y función
• Tener su desempeño monitoreado y medido en términos de la
especificación y objetivos de diseño originales.
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Marcos
Arquitectónicos
Marcos Arquitectónicos
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Marcos Arquitectónicos
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
WHERE- LOCATION
Tradesman’s View
Componentes
Lógica-
Designer’s View
WHY - MOTIVATION
conceptual-
WHO - PEOPLE
Architect’s View
Context
ual – Business View
WHAT- ASSETS
Infraestructura y Arquitectura de la NEGOCIO
Medición y Control
Información & Comunicación
Información
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Internet
Screening Router
Firewall
Firewall
Application & Database Servers
96
Pilares
NEGOCIO
Medición y Control
Información & Comunicación
Riesgos
Arquitectura
BMIS
• Holístico
• Dinámico
• Diseño
• Implementación
“organizational mission
affects the security program
and vice versa.”
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Umbrales (Baselines)
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
100
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Umbrales
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Ejemplos de umbrales
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Umbrales
Riesgos
Arquitectura
Procedimientos Umbral
(procedures)
(Baseline)
Mínimo de seguridad aceptable en
consonancia con su nivel de criticidad
Niveles
Basados en los Mínimos
propuestos por
organizaciones
tecnológicas
Evaluación del
riesgo (asses the risk)
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Certificación
Certificación
Evaluación de la Gestión del NEGOCIO
Medición y Control
Información & Comunicación
Programa
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Objetivos
NEGOCIO
Medición y Control
Información & Comunicación
Medición y Control
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Objetivos de Control y Controles
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
• Objetivos
• Controles
• Umbrales Medir Controles y
• Auditorías Umbrales mediante
Auditorías y métricas para
saber el estado en que nos
encontramos
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Integridad Confidencialidad
No- Repudio
Disponibilidad Conformidad
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Controles
NEGOCIO
Control
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Objetivos de Control
Control Tecnología
/ Enablers
Objetivos Control = “Las políticas, procedimientos La tecnología por sí sola
Requisitos de Control prácticas y estructuras no es un control: se usa para
No implican acciones en sí organizacionales designadas para implementar controles.
mismos. proporcionar una seguridad razonable
"Declaración de los resultados de que se logran los objetivos del La tecnología debe
deseados o propósitos a negocio y que los sucesos no encajar en el esquema
conseguir mediante la deseados son prevenidos o básico de prevención,
implementación de detectados y corregidos. Un control es detección y
procedimientos de un medio razonable para un fin recuperación.
control dentro de una actividad definido por los objetivos del
de TI particular”. negocio."
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Controles de Seguridad
Riesgos
Arquitectura
Características
Control
Seguridad
controles
controles de
generales aplicación
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Control
Amenaza compensato
rio
Reduce la
probabilidad de
Control
disuasivo
Crea Vulnerabilidad
Reduce la Explota
probabilidad de
Ataque Genera
Descubre
Control
detectivo Control
correctivo
Protege
Activa Reduce
Control
preventivo Impacto
Reduce
115
NEGOCIO
Medición y Control
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Controles en el SLDC
Corporativo Seguridad
Riesgos
Arquitectura
NEGOCIO
Tecnologías de Control
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
• Supplemental
• Se añade al entorno
Complementarias • Funcionalidad NO nativa
• Más especializadas que las tecnologías
de control nativas.
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Auditorías
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Auditorías Formales
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Cumplimiento
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Análisis de Vulnerabilidad
Riesgos
Arquitectura
Recovery Time
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
RPO RTO
Evaluación de
impacto y
Cantidad máx. necesidad de Tiempo máx. para la
de datos que activar plan reanudación del
se pueden perder Recuperación servicio
del servicio
OK
DESASTRE Se activa
Vuelta a
Operación
Interrupción de la actividad plan
recuperación
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Recovery Time
Riesgos
Arquitectura
Ventana de Interrupción: Tiempo que puede esperar una organización entre el punto
de fallo y la recuperación del servicio.
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Terceros
Terceros
125
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Estrategia de Negocio
y Procesos
Gobierno de IT
Sólida
Relación
Comercial Estrategia de IT de
Proveedores Procesos
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Riesgos
Arquitectura
Seguridad
• Dos tipos de servicios de seguridad se pueden obtener de
proveedores externos
• Tercerización (Outsourcing)
• Contratación de servicios*
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Servicios de Seguridad
Al usar un servicio externo, el ISM debería:
• Describir como se almacenan y protegen los datos en
el ambiente del proveedor de manera de conservar la
CID
• Destinar recursos a mantener un ambiente seguro
• Responsabilizarse por la seguridad del servicio
• Mantener la imputabilidad (accountability) del lado
de la organización del proveedor del servicio a efectos
de la aplicación de la política
• Mantener procesos de seguridad que sean
transparentes para los usuarios
• Mantener procedimientos bien definidos
Sección Cuatro
Monitoreo y informe de seguridad
REFUERZO SECCIÓN 4
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Medición
NEGOCIO
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Establecer Métricas
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
• Key Performance Indicator / • Key Goal Indicator / Indicador • Critical Success Factors.
Indicador Clave de Clave de Meta u Objetivo • Lo que debe ocurrir durante el
Rendimiento) • Indican, después del hecho, si curso del proyecto ,
• Eficiency: Eficiencia un determinado objetivo se ha desarrollo, plan,
• Como de bien cumple alcanzado. implmentación para lograr el
• Indican cómo se está • Effectivenes: objetivo
desarrollando el proceso, cuál Eficacia/efectividad
está siendo su • Cumple su objetivo
comportamiento. • La meta final del trabajo de un
• Predicen la probabilidad es ISM es un estado en el cual
éxito o fracaso en el futuro. todos los KGIs se
Son indicadores “guía”. corresponden con objetivos
• Ayudarán a mejorar el proceso de control, los que están
de Seguridad de la respaldados por actividades
Información cuando sean de control que son
medidos y se actúe sobre gestionadas y son medibles
ellos.
•http://www.isaca.org/Journal/Past-Issues/2005/Volume-6/Pages/COBITs-Management-Guidelines-Revisited-The-
KGIs-KPIs-Cascade.aspx
Medición del Programa NEGOCIO
Medición y Control
Información & Comunicación
de seguridad
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
ANEXO
TIPs Para el exámen: ayudar
a resolver las preguntas
que se dudan
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
TIPS EXAMEN
Riesgos
Arquitectura
Crear mapa mental con los conceptos normalmentea aplicables a todas las preguntas
dudosas
139
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
TIPS EXAMEN
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Tips
Riesgos
Arquitectura
• Hacer cambios durante la fase de diseño o implementación es menos costosos y más efectivo que
hacerlo más tarde.
• Tratar con el Riesgo:: Evitarlo misión imposible Factor Humano, transferirlo, gestionarlo
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Preguntas Prácticas
Refuerzo Preguntas Prácticas
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Preguntas de Práctica
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Preguntas de Práctica
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Preguntas de Práctica
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Preguntas de Práctica
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Preguntas de Práctica
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Preguntas de Práctica
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Preguntas de Práctica
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Preguntas de Práctica
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Preguntas de Práctica
Corporativo Seguridad
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Preguntas de Práctica
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Respuestas
Riesgos
Arquitectura
• 1- C
• 2- C
• 3- A
• 4- B
• 5- B
• 6- B
• 7- A
• 8- B
• 9- A
• 10 - A
153
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Glosario
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Glosario
Riesgos
Arquitectura
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Referencias Bibliográficas
Riesgos
Arquitectura
• Nist http://csrc.nist.gov/publications/nistpubs/index.html
• ISO http://www.iso.ch
• AENOR http://www.aenor.es
• ISACA http://www.isaca.org
• ITGI http://www.itgi.org
• Isecom http://www.isecom.org
• FIST http://www.itl.nist.gov/fipspubs/
• Building Internet Firewalls D. Brent Chapman & Elizabeth D. Zwicky, Ed: O'Reilly, USA 2000
Referencias Bibliográficas
NEGOCIO
Medición y Control
Información & Comunicación
Gobierno Gobierno
Gobierno IT
Corporativo Seguridad
Riesgos
Arquitectura
157
Resumen
• La documentación define el contenido de un
programa y los criterios con los que se pueden
evaluar sus actividades, por lo que debe revisarse
periódicamente y mantenerse actualizada.
• La concienciación de seguridad de la información es
clave para el éxito de un programa de seguridad
porque se ocupa del factor humano.
• La concienciación y la formación se usan para
asegurar que las personas estén haciendo las cosas
correctas y ejerciendo un buen juicio.
Resumen
• La arquitectura de seguridad de la información
proporciona una hoja de ruta para los programas y
actividades relacionados con la seguridad de la
información, incluidos los controles.
• Los controles pueden clasificarse como
compensatorios, correctivos, detectivos, disuasivos y
preventivos. Pueden ser identificados por la
implementación administrativa, técnica o física.
• Consideraciones de seguridad de la información deben
tenerse en cuenta en el desarrollo de software, gestión
de proveedores y acuerdos de externalización
(outsourcing).
Resumen
• La computación en la nube tiene implicaciones para la
seguridad de la información, especialmente en la
gestión de proveedores. Tenga en cuenta que el
proveedor de servicios en la nube tiene algunas
provisiones para el riesgo, pero la organización de
outsourcing sigue siendo responsable en caso de una
violación.
• Es necesario monitorear la efectividad y la eficiencia del
programa y los controles de seguridad de la
información.
• Las métricas proporcionan la información que los
interesados necesitan para tomar decisiones de
negocio.