Seguridad Informatica Clase 1

GOBIERNO de la
SEGURIDAD de INFORMACION
Función de
Gobierno de la Seguridad de Información
Lic. Susana Daldin 1

Introducción
• La creciente dependencia de la información de los
sistemas que la procesan.
• Vulnerabilidad cada vez mayores y un amplio
espectro de amenazas.
• Escala y costo de las inversiones presentes y futuras
en sistemas y en tecnología de información.
• La gestión efectiva de la seguridad de la información
es un tema de negocios y un requisito legal, no sólo
un asunto tecnológico.

• Definición:
• Establecer y mantener un marco que permita asegurar que las estrategias de

seguridad de la información están alineadas con los objetivos de negocio y
son consistentes con las leyes y reglamentaciones aplicables.

• Objetivo:
• Integrar el planeamiento de la seguridad dentro del contexto más amplio de
planeamiento de negocios y de TI
• Comprende el desarrollo e integración de una unidad de organización y estructura
de gestión con procesos de generación y presentación de informes
• Abarca todos los aspectos de un programa de seguridad exitoso, el cual garantiza
a la Dirección que sus riesgos están definidos y apropiadamente administrados

• Tareas:
• Desarrollar la estrategia de S.I. como soporte de la estrategia de negocio y de la Dirección
• Obtener el compromiso de la Alta Gerencia y apoyo en toda la empresa
• Asegurarse la definiciones de roles y responsabilidades en toda la empresa
• Establecer informe y canales de comunicación que brinden apoyo
• Identificar asuntos legales y reglamentarios actuales y los potenciales; determinando sus impacto sobre la empresa
• Establecer y mantener políticas de S.I. que sustenten los objetivos y metas del negocio
• Desarrollar guías y procedimientos que brinden apoyo a las políticas
• Desarrollar el caso de negocio que sustente las inversiones en el programa de S.I.

Diagrama de ‘Espina de Pescado’ de los riesgos
Top
Programas Puertas Denegación E-mail Robo de

troyanos traseras de servicio spoofing Identidad
Riesgos
Técnicos
de Seguridad
Espionaje Leyes y Robo Problemas Propiedad

Industrial Regulaciones Físico de Software Intelectual

Entregables ISO27002 anteriormente 17799

Metodología de
Administración de riesgo
Identificar los activos bajo riesgos: Ayuda a mitigar el riesgo
identificando y priorizando los
Permite optimizar las inversiones recursos de red, sus
de seguridad y proteger en forma vulnerabilidades y amenazas.
proactiva sus más importantes
activos de información.
ACTIVOS
VULNERABILIDADES
AMENAZAS
Fuente: FoundStone, Risk Management Lifecycle

Ciclo de vida
POLITICA
Establecer proceso, normas y estándares
INVENTARIO
Identificar todos los activos de TI
La evaluación de riesgos y
PRIORIZAR
el sistema de Asignar a los activos el valor para el negocio
administración necesitan VULNERABILIDADES

Determinar las vulnerabilidades de los activos
dirigirse mediante un ciclo
de vida completo de las
vulnerabilidades que vaya
AMENAZAS
desde su identificación ACTIVOS DIGITALES Visualizar las amenazas potenciales
hasta la remediación.
RIESGO
Determinar el nivel de riesgo = Ac x V x Am
REMEDIACION
Tratamiento proactivo de vulnerabilidades.
Fuente: FoundStone, Risk Management Lifecycle
MEDICION
Medir el impacto de las decisiones y acciones de seguridad
Lic. Susana Daldin

CUMPLIMIENTO 9
Revisión del cumplimiento de la política
Estándares
NIST COSO ISO 27002 Fuentes Regulatorias Sarbanes HIPAA Basel II
Políticas
Controles Organizacionales Controles de Gestión Controles Técnicos
Clasificación de Gestión de riesgo Control de Accesos

Información Plan de contingencia ID & Autenticación
Comunicaciones Respuesta a Incidentes Auditoría
Uso Aceptable Seguridad física Cifrado
Seguridad Perimetral Seguridad personal Detección de
Respuesta a Incidentes Verificación de Incidentes
certificación Redes
Personal Procesos Tecnologia

Gobierno de Seguridad de la Información

Los sistemas de información pueden generar muchos beneficios

directos e indirectos, así como también riesgos directos e indirectos.
Estos riesgos han conducido a una brecha entre la necesidad para
proteger dichos sistemas y el grado de protección aplicado. Esta
brecha se debe a factores internos y externos.

Cuando se implementa de manera correcta, el Gobierno en Seguridad

de la Información debería proveer cuatro resultados básicos:
• Alineación estratégica
• Entrega de valor
• Gestión de riesgos
• Medición del desempeño

La conformidad con un buen número de nuevas medidas legales y

regulatorias ha creado obligaciones nuevas para la gerencia de seguridad
de la información. Entre estas medidas se cuentan:
• Sarbanes Oxley (SOX)

• Basilea II
• HIPAA
• EU Privacy Directives

Alineación Estratégica
• Los requisitos en seguridad de la información deberían darse como consecuencia de los requisitos del negocio.
• Las soluciones de seguridad de la información necesitan satisfacer los procesos del negocio.
• La inversión en la seguridad de la información debería estar alineada con la estrategia del negocio y el perfil de
riesgo acordado.
Entrega de Valor
• Un conjunto estándar de prácticas de seguridad, Ej., Los requisitos mínimos de seguridad adecuados para satisfacer
las necesidades del negocio.
• Un esfuerzo correctamente priorizado y distribuido hacia las áreas que generan mayor impacto y/o beneficio para
el negocio.
• Soluciones institucionalizadas y personalizadas.
• Soluciones completas que cubren la organización y sus procesos, así como también la tecnología.
• Una cultura de mejoramiento continuo.

Gestión de Riesgos
• Un perfil de riesgo acordado para el negocio.
• Entendimiento de la exposición ante el riesgo.
• Prioridades respecto a la toma de conciencia ante los riesgos.
• Mitigación del riesgo.
• Aceptación, mitigación o traslado de los riesgos.
Medición de Desempeño
• Un conjunto definido, convenido y significativo de métricas.
• Un proceso de medición que ayudará a identificar defectos y proveerá retroalimentación respecto a los avances en la
resolución de problemas (oportunidades de mejoramiento.)
• Una evaluación independiente.

Estrategia de Seguridad de la Información
Los estándares pueden proveer una útil guía para la ejecución efectiva del gobierno en seguridad de la información.
Los siguientes nueve principios deberían ser considerados en cualquier iniciativa de seguridad:
• Responsabilidad
• Conciencia en Seguridad
• Ética
• Multidisciplinariedad
• Proporcionalidad
• Integración
• Cumplimiento
• Evaluación
• Equidad

El gerente de seguridad de la información debe asegurarse de que una estrategia de seguridad de la
información sea diseñada, desarrollada, implementada y mantenida.
La estrategia de seguridad de la información a menudo incluye:
• Las relaciones con las estrategias del negocio
• Políticas
• Autenticación
• Autorización
• Administración
• Recuperación
• Servicios del soporte
• Tecnologías

Para desarrollar una estrategia adecuada de seguridad de la información, el gerente de
seguridad de la información debería tener conocimiento de:
• Los conceptos fundamentales de la Seguridad de la Información.
• La relación entre la seguridad de la información y las operaciones del negocio.
• Los métodos para integrar el Gobierno en Seguridad de la Información con el marco

general de Gobierno Corporativo del negocio.

Conceptos fundamentales de la Seguridad de la
Información
Las políticas de seguridad de la información, los estándares y procedimientos son requeridos para
proteger la información de las organizaciones.
El gerente de seguridad de la información es responsable por entender:
• Las necesidades del negocio respecto a la seguridad de la información.
• Su importancia para la organización.
• La implementación y monitoreo de las políticas de seguridad, estándares y procedimientos,

con el fin de cumplir con los objetivos del negocio.

Información
El gerente de seguridad de la información debe tener claros los conceptos de Seguridad de la
Información generalmente aceptados, entre los que se cuentan:
• Confidencialidad
• Integridad
• Disponibilidad
• Auditabilidad
• Autenticación
• Autorización
• No repudio
• Control del Acceso
• Seguridad estratificada (por capas)
Información
Un gerente de seguridad de la información debe entender las seis capas fundamentales de defensa en
caso de que la seguridad se vea comprometida:
• Prevención
• Contención
• Detección/notificación
• Reacción
• Recolección de Evidencia/Seguimiento a eventos
• Recuperación/Restauración

Información
La relación entre la seguridad de la información y las
operaciones del negocio se puede desarrollar a través de
actividades como:
• El entendimiento de la misión del negocio.

• El entendimiento de los objetivos del negocio y sus procesos críticos.
• La obtención del apoyo y entendimiento de la alta gerencia.
• El desarrollo de los procedimientos de seguridad y guías que estén
alineados con los objetivos del negocio.
• El establecimiento de un proceso de gobierno de seguridad de la
información.

Integrando el Gobierno en Seguridad de la
Información
Elevar la responsabilidad por la seguridad de la información al nivel de
un alto ejecutivo dentro de la organización, es prueba de que la alta
gerencia entiende la necesidad de integrar el Gobierno en Seguridad de
la Información con en el marco global del Gobierno Corporativo del
negocio.
Posiciones de alto nivel como el Oficial de Seguridad (Chief Security

Officer) y el Oficial de Seguridad de la Información (Chief Information
Security Officer) se están volviendo comunes en las organizaciones.

Integrando el Gobierno en Seguridad de la Información
Governance Roles and Responsibilities
Governance
Membership Responsibilities
Body
Executive COO Business alignment
Steering CFO Strategic directives
Committee CIO Key performance dashboard
VP IT Review and approve contract modifications
Management CIO & staff IT alignment with business strategy

Board VP IT Finance & Service delivery
staff Strategic direction
ion Security Officer Benchmarking
Contract management
Enterprise CISO Chairs Board Security strategy & policy alignment technology
Security Architecture plan
Governance Strategy Technical security architecture guidance &
Board IT Operations recommendations
Security operations Security Technology policy standards review
Emerging security technology assessment
Continuous improvement & 6 Sigma
Benchmarking
Service Delivery VP IT Services Agreement implementation
/ Functional Ops Service Delivery Dispute management
Mgmt Team Mgrs Service Level Agreements
Finance Resource management
Contracts Forecasting and budgeting
Supply Mgmt Demand management
Others as needed

El compromiso de la Alta Gerencia
Obtener el patrocinio y apoyo de la alta gerencia en las iniciativas

relacionadas con la seguridad de la información a ser desarrolladas en
toda la organización.
La alta gerencia (Junta Directiva o su equivalente) debería tener a un alto nivel

de compromiso con:
• Alcanzar altos estándares de Gobierno Corporativo.
• Tratar la seguridad de la información como un asunto crítico para el negocio y crear un
ambiente positivo para la seguridad de la información.

La alta gerencia (Junta Directiva o su equivalente) debería tener a un alto

nivel de compromiso con:
• Demostrar a terceras partes que la organización trata la seguridad de la información de una

manera profesional.
• La aplicación de principios fundamentales tales como: asumir la responsabilidad última por la
seguridad de la información, implementar controles que sean acordes al riesgo y lograr la
identificación de responsabilidades individuales.

La alta gerencia debería demostrar su compromiso con la seguridad de
la información al:
• Involucrarse directamente en asuntos de alto nivel relacionados con la seguridad de

la información tales como las políticas de seguridad de la información.
• Proporcionar control de alto nivel.
• Asignar suficientes recursos a la seguridad de la información.
• Revisar la efectividad de la seguridad de la información.

Para obtener el apoyo y el compromiso de la alta gerencia, el gerente de
seguridad de la información debería tener un conocimiento sólido de:
• Las técnicas utilizadas para asegurar el compromiso y apoyo a la gerencia de seguridad

de la información, por parte de la alta gerencia de la organización.
• Las prácticas asociadas con una directriz de política global que capture las expectativas
de la alta gerencia a nivel de dirección en cuanto a seguridad de información, con el fin
de sentar las bases de la administración de la seguridad de información dentro de la
organización.

Las presentaciones formales son la técnica que se utiliza de manera más
frecuente para educar y comunicar aspectos clave del programa de
seguridad de la información. Estas presentaciones deben incluir prácticas
usuales en los negocios como:
• Alinear los objetivos de la seguridad de la información con los objetivos del negocio.
• Identificar aspectos de presupuesto, de tal manera que la alta gerencia pueda cuantificar los
costos de programa de seguridad.
• Utilizar modelos de negocio generalmente aceptados como TCO o ROI.
• Definir medidas de seguimiento que serán incluidas en el programa de seguridad.

Los gerentes de seguridad de la información deberían así mismo utilizar
prácticas comunes del negocio entre las que se cuentan:
• La utilización de métodos de Balanced Business Scorecard.

• Requerir que la administración de riesgos sea integrada a la operación del programa de
seguridad.
• Asegurar que sean definidas de manera clara las responsabilidades.
El gerente de la seguridad de la información debe buscar obtener la

aceptación del programa de seguridad por parte de los empleados para
alcanzar el éxito del mismo.

Prácticas asociadas a una Directriz de
Política Global
Prácticas asociadas con una directriz de política global que capture las
expectativas de la alta gerencia a nivel de dirección en cuanto a la seguridad
de la información, que sirvan para sentar las bases de la administración de la
seguridad de información dentro de la organización.
La alta gerencia debería tener claros los lineamientos de una política de

seguridad, entre los que se cuentan:
• Directrices y expectativas antes de implementar los procedimientos y políticas de seguridad.

• La necesidad de mantener el programa de seguridad.
• La necesidad de hacer seguimiento y de contar con programas de administración de riesgos
y administración de crisis.

Roles y Responsabilidades
Asegurarse de que en la definición de los roles y responsabilidades en la
compañía se incluyan actividades de Gobierno en Seguridad de la
Información.
• Las actividades de gobierno en seguridad deben estar definidas en las descripciones del
puesto de trabajo de los empleados.
• Los roles y responsabilidades deben estar claramente definidos.
• La compensación del empleado es una herramienta que puede usarse para lograr un efecto
sobre su comportamiento.
• Las revisiones de desempeño laboral deben incluir mediciones relacionadas con la seguridad
de la información.
• El gerente de seguridad de la información debe trabajar con el área de Recursos Humanos para
definir e implementar cambios en las políticas relacionados con la seguridad de la información.
• Las políticas deben ser comunicadas al personal apropiado y deben actualizarse de manera
regular.

Roles y Responsabilidades
Para asegurarse de que en la definición de los roles y responsabilidades a
todo lo largo de la empresa se incluyen actividades de Gobierno en
Seguridad de la Información, el gerente de seguridad de la información debe
tener conocimiento de:
• Roles, responsabilidades y estructura organizacional de la gerencia de seguridad de la

información.
• Áreas de gobierno (Ej., administración de riesgos, administración en clasificación de datos,
seguridad de redes, acceso a sistemas.)

Roles, Responsabilidades y Estructura
Organizacional
Los roles claves de la gerencia de seguridad de la información incluyen:
• Reportar directamente a un ejecutivo de alto rango (EVP, COO, CFO, CIO o CEO.)
• Supervisar y coordinar esfuerzos a lo largo de la organización.
• Identificar iniciativas y estándares claves de seguridad corporativa (Ej., protección ante
virus informáticos, monitoreo de seguridad, detección de intrusos y el control de
acceso a las instalaciones.)
• Trabajar con asesores externos, según sea el caso, para la ejecución de auditorías
independientes de seguridad.
• Identificar metas y objetivos de protección que sean consistentes con el plan
estratégico corporativo.

Roles, Responsabilidades y Estructura
Organizacional
Los roles claves incluyen (continuación):
• Identificar elementos claves del programa de seguridad.

• Administrar el desarrollo y la implementación de políticas, estándares, guías y
procedimientos globales de seguridad para garantizar el mantenimiento continuo de la
seguridad de la información.
• Apoyar las investigaciones de incidentes de seguridad y proveer asistencia en asuntos de
tipo disciplinario y legal.
• Coordinar los planes de implementación de productos de seguridad.
• Salvaguardar la información confidencial, los activos y la propiedad intelectual de la
organización (Ej. seguridad de computadores, seguridad física.)

Áreas de Gobierno
Las áreas claves de gobierno incluyen entre otras:
• Gestión de riesgos
• Gestión de clasificación de datos
• Seguridad de red
• Acceso a sistemas
• Gestión de cambio
• Análisis de impacto en el negocio
• Reporte y administración de crisis
• Continuidad de la organización
• Monitoreo de la seguridad

Canales de Comunicación
Establecer canales efectivos de comunicación y reporte que apoyen las
iniciativas de Gobierno en Seguridad de la Información.
• El gerente de seguridad de la información debería reportarle a un alto ejecutivo dentro de

la organización (Ej. CIO, CFO, COO, CEO).
• Establecimiento de métricas para medir la efectividad del programa de seguridad.
• Las métricas deben ser reportadas periódicamente.
• Los reportes deben ser entregados a un grupo ejecutivo de alto nivel como la Junta
Directiva o el comité de seguridad.
• Algunas métricas deberían entregarse también a todos los empleados, con el fin de
promover la conciencia en seguridad (Ej. a través de la Intranet, periódicos, cursos
formales, etc.)
• El gerente de seguridad de la información también debe incrementar su conocimiento al
relacionarse con organizaciones que promuevan la seguridad de la información.

Canales de Comunicación
Con el fin de establecer canales efectivos de comunicación y reporte que
apoyen las iniciativas de Gobierno en Seguridad de la Información, el
gerente de seguridad de la información debe tener un conocimiento fuerte
en:
• La función del grupo de dirección de seguridad de la información.

• Los enfoques centralizado y descentralizado utilizados en la coordinación de la seguridad de
la información.

Grupo de Gestión de Seguridad de la
Información
Funciones del grupo de dirección de seguridad de la información.
• Proveer al gerente de seguridad de la información un contacto regular con los líderes de

negocio.
• Facilitar al gerente de seguridad de la información el hacer contacto con los diferentes niveles
de la organización, al proveer un canal de comunicación para asuntos relacionados con la
• Proveer información al gerente de seguridad acerca de cambios en la organización.
• El comité de seguridad es usualmente el responsable por establecer y mantener un programa
de seguridad que sea costo-efectivo.

Enfoque Centralizado y
Descentralizado
El carácter cultural de una organización a menudo determina si se utiliza
un enfoque centralizado o descentralizado para la seguridad.
Sin importar cuál de estos enfoques se utilice, dicho enfoque debería:
• Estar estrechamente alineado con los objetivos de negocio.

• Estar patrocinado y aprobado por la alta gerencia.
• Ser monitoreado.
• Incluir el reporte y administración de crisis.
• Contar con procedimientos de continuidad organizacional.
• Contar con administración de riesgos.
• Contar con programas de entrenamiento y conciencia en seguridad.

Aspectos Legales y Regulatorios
Los aspectos legales y regulatorios, actuales o potenciales, que puedan
afectar la seguridad de la información deben ser identificados y su
impacto en la organización debe ser medido.
• Los gerentes de seguridad de la información deben identificar y evaluar los aspectos

legales y regulatorios que apliquen a su organización y puedan afectar la seguridad de
la información.
• Es posible que las directrices de diferentes organismos reguladores entren en conflicto.

Para identificar los aspectos legales y regulatorios, actuales o potenciales,
que puedan afectar la seguridad de la información de la organización, el
gerente de seguridad de la información debe tener conocimiento de:
• Asuntos legales y regulatorios asociados con los negocios por Internet, transmisión global
y flujos de datos transfronterizos.
• Pólizas de seguros y condiciones impuestas comunes.
• Requisitos de contenido y retención que deben cumplir los registros del negocio.
• Requisitos de reporte y revelación.
• Multas y riesgos en caso de no conformidad.

Los gerentes de seguridad de la información deben trabajar estrechamente

con los asesores jurídicos para entender las implicaciones legales de las
actividades y planes de seguridad.
Jurisdicciones diferentes emplean diferentes leyes para el comercio

electrónico y la seguridad de la información.

Pólizas de Seguros Comunes
Algunos tipos de pólizas de seguros de las cuales los gerentes de seguridad

de la información deberían estar conscientes incluyen:
• Interrupción de Negocio
• Pérdida de datos críticos
• Responsabilidad legal con terceros
• Responsabilidad profesional
• Pérdida de propiedad de seguridad de la red
• Responsabilidad por el contenido en sitios Web
• Comunicación en caso de crisis

Pólizas de Seguros
Comunes
Las definiciones empleadas por los aseguradores incluyen:
• Evaluación de Riesgo – El Asegurado:
• Identifica amenazas razonablemente previsibles, internas o externas, que podrían

implicar la divulgación no autorizada, el mal uso, la alteración o la destrucción de
sistemas o información de sus clientes.
• Evalúa la probabilidad y daño potencial de estas amenazas, teniendo en cuenta la
sensibilidad de la información de sus clientes.
• Evalúa la suficiencia de las políticas, procedimientos, sistemas de información del
cliente y otros acuerdos establecidos para controlar los riesgos.

Pólizas de Seguros Comunes
Las definiciones empleadas por los aseguradores (cont.):
Administración y Control de Riesgos – El Asegurado:
• Diseña su programa de seguridad de la información para controlar los riesgos identificados,

considerando la sensibilidad de la información así como también la complejidad y el alcance
de actividades del licenciatario.
• Entrena a sus empleados, según sea el caso, para implementar el programa de seguridad de
la información del licenciatario.
• Regularmente prueba los controles claves, sistemas y procedimientos del programa de
seguridad de la información. La frecuencia y la naturaleza de tales pruebas son
determinadas por la valoración de riesgo del licenciatario.

Retención de los Registros del Negocio
Dos aspectos principales a entender acerca del contenido y la retención de registros
del negocio y la conformidad:
• ¿Cuales son los requerimientos de la organización para sus registros de negocio?
• ¿Cuáles son los requerimientos legales y regulatorios?
Los organismos regulatorios podrían imponer requisitos de retención y de

preservación de registros:
• Legales
• Médicos
• Arancelarios (Impositivos)

Políticas y estándares de Seguridad de la
Información
Establecer y mantener las políticas de seguridad de la información de manera que
apoyen los objetivos del negocio.
Es necesario que se establezcan procesos para el desarrollo y el mantenimiento de

las políticas de seguridad.
• Deben convertirse en una parte integral de las prácticas de Gobierno global.

• Deben ser continuamente monitoreadas y actualizadas.
• Las buenas prácticas requieren que una plantilla de seguridad sea
establecida.
• Algunos ejemplos e información de apoyo relacionada con políticas de
seguridad se puede encontrar en:
• ISO/IEC17799:2002- 27001
• BS7799-2
• Firmas de consultores

Políticas de Seguridad de la Información
Los pasos para establecer y mantener políticas de seguridad de la información pueden
incluir:
• Implementar un proceso para el desarrollo y el mantenimiento de las políticas de

seguridad.
• Identificar a los funcionarios responsables de los diferentes aspectos de las políticas
de seguridad de la información, incluyendo la aprobación de las mismas.
• Indagar las políticas organizacionales existentes tales como políticas de seguridad
del personal o seguridad física.
• Desarrollar la política basándose en plantillas existentes.
• Incluir la revisión de las políticas de seguridad dentro del proceso de gestión de
cambios corporativo.
• Desarrollar un programa de conciencia en seguridad para educar a los empleados
de la organización en aspectos relevantes de la política de seguridad.

Políticas de Seguridad de la Información
Con el fin de establecer y mantener unas políticas de seguridad de la información que
apoyen las metas de negocio, el gerente de seguridad de la información debe tener
conocimiento de:
• El proceso para alinear las políticas con los objetivos del negocio.
• La función y contenido de los elementos esenciales de un programa de seguridad de
la información.
• Técnicas para el desarrollo de un modelo de mejora del proceso de seguridad.

Alineando las Políticas con los Objetivos
del Negocio
El gerente de seguridad de la información debe asegurase de que las políticas de
seguridad están alineadas con los objetivos de negocio al:
• Determinar si las inversiones en seguridad de la información son proporcionales con

el perfil de riesgo de la organización y sus objetivos de negocio.
• Determinar la clasificación de la información y/o datos de la organización a fin de
que las políticas de seguridad pueden ser implementadas para protegerlos.
• Determinar si las políticas de seguridad están adecuadamente diseñadas e
implementadas para proteger la información de la organización.

Elementos de un Programa de Seguridad
de la Información
Un programa de seguridad de la información debe incluir los siguientes
elementos esenciales:
• Políticas
• Estándares
• Procedimientos
• Guías
Políticas
Estándares
Procedimientos
Guías

Elementos de un Programa de Seguridad
de la Información
Además de entender los elementos esenciales de una política de seguridad de la información,
el gerente de seguridad de la información también debería estar familiarizado con el contenido
de la política. Algunas áreas clave de la política de seguridad de la información incluyen:
• Patrocinio y compromiso de la alta gerencia.

• Filosofía de acceso.
• Conformidad con leyes y regulaciones relevantes al negocio.
• Autorización de acceso.
• Revisión de las autorizaciones de acceso.
• Protección y privacidad de la información.
• Conciencia en seguridad.
• Medición de la Seguridad.
• Control de cambios.
• Manejo de incidentes.
• Continuidad del negocio.

Modelo de Mejora del Proceso de
Seguridad
Las siguientes técnicas pueden ser utilizadas para desarrollar un modelo de mejora del
proceso de seguridad de tal forma que se obtengan políticas y procedimientos de seguridad
repetibles y sostenibles:
• Apoyo de la alta gerencia.

• Conciencia en Seguridad.
• Responsabilidad.
• Evaluación.
• Monitoreo.
• Comunicación.
• Administración de cambio.

Procedimientos y Guías
Desarrollar estándares, procedimientos y normas que soporten las políticas de seguridad de
la información.
Se deben desarrollar estándares técnicos y no técnicos para garantizar que los
procedimientos cumplan las intenciones de las políticas, incluyendo:
• Estándares de contraseñas.
• Estándares de encriptación.
• Estándares de backup y retención.
• Estándares para políticas y procedimientos.
• Estándares de configuración de firewalls.
• Estándares de arquitectura.
• Estándares de seguridad del dominio.

Se deben desarrollar procedimientos técnicos y no técnicos que apoyen las políticas
de seguridad, incluyendo requerimientos técnicos para:
• Backup y recuperación.
• Administración de privilegios.
• Obligación en caso de incumplimiento de las políticas (auditoría, detección de
intrusos)
• Monitorear el cumplimiento de las políticas.
• Políticas de seguridad de red (firewalls, enrutadores, etc.)
• Políticas del sistema operativo

Se deben desarrollar procedimientos que apoyen las políticas de seguridad,
incluyendo requerimientos no técnicos para:
• Procedimientos de revisión.
• Procedimientos de autorización.
• Procedimientos de aceptación de riesgo.
• Procedimientos de respuesta ante incidentes.
Se debe establecer un proceso global, referente a las políticas de seguridad y

el programa global de seguridad, que incluya lo siguiente:
• Evaluación
• Diseño
• Implementación
• Monitoreo
• Revisión
• Mantenimiento

Para asegurar el desarrollo de procedimientos y guías que apoyen las políticas de seguridad
de la información, un gerente de seguridad de la información debería tener conocimiento
sólido de:
• La mejora del proceso de seguridad de la información y su relación con la

administración de procesos tradicional.
• La mejora del proceso de seguridad de la información y su relación con el
modelamiento y desarrollo de la arquitectura de seguridad.
• La mejora del proceso de seguridad de la información y su relación con la
infraestructura de seguridad.
• Los estándares internacionales generalmente aceptados para el gerenciamiento de
seguridad de la información y los modelos relacionados de mejora de procesos.

Mejora del Proceso de Seguridad
• Cualquier iniciativa organizacional importante requiere de técnicas robustas
de administración de proyectos y procesos, incluyendo la Gerencia de
Seguridad de la Información.
• El gerente de seguridad de la información administra una amplia gama de

tareas y tiene múltiples responsabilidades relacionadas con la obtención de
un ambiente de seguridad exitoso.
• El gerente de seguridad de la información debe tener un sólido conocimiento

del enfoque tradicional de administración de procesos, con el fin de ser
efectivo y alcanzar las metas del programa de seguridad.

• La seguridad es un proceso continuo.
• A través de mecanismos establecidos para el manejo de cambio, el

gerente de seguridad de la información recibirá actualizaciones periódicas
relacionadas con las áreas donde los procedimientos de seguridad deben
ser actualizados.
• Las actualizaciones pueden incluir cambios a la arquitectura de seguridad.
• Los modelos de seguridad pueden ser utilizados para determinar el

impacto general sobre la estrategia de seguridad antes de que los cambios
sean implementados.

Dos métodos se utilizan comúnmente cuando se planean
cambios en la infraestructura de seguridad:
• Modificar el procedimiento de seguridad en un ambiente de pruebas.

• Ejecutar el procedimiento de seguridad en modo de pruebas.
Los dos métodos de prueba le dan al gerente de seguridad de la información la

habilidad para dimensionar los cambios a la infraestructura de seguridad y monitorear
sus efectos en el sistema.
Sugerido:
Los dos métodos de prueba proveen al administrador de seguridad de la información
la habilidad de modelar cambios a la infraestructura de seguridad y a monitorear sus
efectos en el sistema.

Estándares Internacionales
Generalmente Aceptados
• Existen estándares internacionales generalmente aceptados para modelos de
mejoramiento de procesos y gerencia en seguridad.
• El gerente de seguridad de la información debe estar al tanto de estos modelos y

debe adaptarlos a la organización.
• Estos estándares proveen al gerente de seguridad de la información modelos y áreas

de importancia que de otra manera podrían ser pasadas por alto.

Análisis de Valor
Desarrollar casos de negocio y análisis de valor, que puedan ser utilizados para justificar la inversión en
• Los gerentes de seguridad de la información deben buscar la justificación de la inversión en los
proyectos de seguridad de la información, utilizando métodos como:
• Análisis costo / beneficio

• Retorno sobre la inversión (ROI)
• Costo total de las operaciones (TCO)
• Los gerentes de seguridad de la información probablemente necesitarán presentar esta justificación

ante la alta gerencia.
• Ha habido tardanza en el diseño y aceptación de las metodologías de retorno sobre la inversión en

seguridad (ROSI).
• Los recientes avances en tecnologías como “single sign-on” y “role-based security” han facilitado la
identificación de los ahorros reales.

Análisis de Valor
Muchas organizaciones, incluyendo universidades, han comenzado a
promover las metodologías de retorno sobre la inversión en
seguridad (ROSI). A continuación un ejemplo provisto por
investigadores de la universidad de Idaho:
(R-E) + T=ALE
• "T" es el costo de la herramienta de detección de intrusos

• "E" es el ahorro obtenido al detener un número particular de intrusiones gracias a la
introducción de una herramienta de detección de intrusos.
• "R" es el costo por año para recuperarse de un número particular de intrusiones.
• Al resolverse esta ecuación, se encuentra la expectación anual de pérdida: (R - (ALE) =
ROSI)
• Para determinar el retorno sobre la inversión en seguridad (ROSI), se debe restar del
costo anual de intrusión (R), el valor que la organización espera perder en un año (ALE).

Análisis de Valor
Para desarrollar casos de negocio y análisis de valor que puedan ser
utilizados para justificar la inversión en seguridad de la información,
un gerente de seguridad de la información debería tener un sólido
conocimiento de:
• Los componentes claves del análisis costo / beneficio y de los planes de transformación
/migración empresariales (Ej. la alineación de la arquitectura, el posicionamiento
organizativo, la administración de cambio, y el análisis de mercado / competencia)
• Las metodologías para el desarrollo de casos de negocio y propuestas de valor de TI.

Componentes Clave del Análisis
Costo/Beneficio
• El conocimiento de los análisis de costo/beneficio y de los planes de transformación
/migración empresariales, le da al gerente de seguridad de la información la entrada para el
desarrollo de los casos de negocio para la inversión en seguridad.
• La información relacionada con los planes de transformación / migración empresariales

puede ser obtenida a través del comité de seguridad.
• Es importante hacer notar que aunque pudiera haber un impacto en el ambiente de

seguridad, se debe continuar trabajando en el logro de los objetivos de seguridad.

Metodología para el Desarrollo de Casos
de Negocio
• Los gerentes de seguridad de la información necesitan demostrar
que la seguridad de información es de valor crítico para
organización mediante:
• La realización de una evaluación de riesgos y midiendo su impacto sobre el negocio.

• La Identificación de vulnerabilidades.
• La coordinación con los objetivos de negocio.
• El cumplimiento de los aspectos legales y regulatorios.
• La identificación de los impactos tangibles e intangibles.
• La comunicación con la alta gerencia.

Principios del BSC
El Balanced Scorecard presenta el desempeño desde cuatro perspectivas:
Financiera
Qué objetivos
financieros debemos
alcanzar
Cliente Interna
Qué necesidades En qué procesos de
del cliente debemos negocios internos
servir debemos distinguirnos
Aprendizaje
Cómo nuestra
organización debe
aprender e innovar

Creando un BSC
• Cada perspectiva está diseñada para responder una pregunta acerca
de la forma de hacer negocios que tiene la empresa :
• Perspectiva Financiera Para satisfacer a nuestros accionistas, ¿Qué objetivos
financieros debemos alcanzar?
• Perspectiva del Cliente Para alcanzar nuestros objetivos financieros,¿Qué
necesidades del cliente debemos servir?
• Perspectiva Interna Para satisfacer a nuestros clientes y accionistas, ¿En qué procesos
internos del negocio debemos distinguirnos?
• Perspectiva de Aprendizaje Para alcanzar nuestros objetivos, ¿Cómo debe aprender e
innovar nuestra organización?
• Los resultados financieros y la satisfacción del cliente son medidas típicas del objetivo del
negocio alcanzado y medido después del hecho.
• Por otro lado, la excelencia del proceso y la habilidad para aprender e innovar son
indicadores de cuán bien una organización se está desempeñando e indican la probabilidad
de alcanzar el éxito antes del hecho.

Creando un BSC
• Las enunciaciones de medición clave son creadas para cada una de las cuatro perspectivas, y las
interrelaciones entre ellas son identificadas.
• La premisa básica de BSC es “la medición motiva”. Operando bajo la creencia en que “lo que se mide
se hace”, el proceso BSC define las mediciones para cada enunciación de un objetivo clave. El logro de
la medición definida indica el éxito.
• Al usar el Balanced Scorecard, los gerentes confían en las medidas financieras de corto plazo como las
indicadoras del desempeño de la compañía. Pero, ellos también toman en cuenta items intangibles
como el nivel de satisfacción del cliente, la modernización de las funciones internas, la creación de
eficiencias operacionales y el agregado de habilidades en el staff.
• Esta visión de las operaciones de negocio, contribuye a unir los objetivos estratégicos de largo plazo
con las acciones de corto plazo.

Enfoque de medición
Indicadores vs. Metas
DEFINIR METAS
Meta Actividad Meta de Proceso Meta de TI Meta de Negocio

Entender los Detectar y resolver Asegurar que los Mantener la imagen
requerimientos de los accesos no servicios de TI y liderazgo de la
MEDIR EL CUMPLIMIENTO seguridad, autorizados a la pueden resistir y empresa
MEJORAR Y REALINEAR
vulnerabilidades y información, recuperarse de
c aplicaciones e c c
amenazas o o ataques de o
infraestructura
n n seguridad n
d d d
u u u
c c c
e e e
es medida por n es medida por n es medida por n
es medida por
Frecuencia de Número de a
Número de Número de
a a
revisión de los violaciones de incidentes de TI incidentes que
tipos de eventos acceso con impacto al repercuten en la
de seguridad a ser negocio imagen pública
monitoreados
KPI Métrica de Negocio KGI
KPI Métrica de TI KGI
KPI Métrica de Proceso KGI

DIRECCIONAR EL DESEMPEÑO
Mapa estratégico del Balanced Scorecard
Contribución Reducir el tiempo y esfuerzo
corporativa operativo para hacer
(Financiera) cambios
Orientación Reducir el número de

al cliente interrupciones causadas por
errores de manejo de
(Cliente) cambios
Excelencia Reducir el trabajo adicional

operativa Reducir número de soluciones de causado por especificaciones de
(Interna) emergencia cambios inadecuadas
Orientación
futura Proceso definido y usado dentro de Entrenamiento y concienciación
(Aprendizaje) 3 meses completados en 4 meses

Seguridad Informatica Clase 1

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad Informatica Clase 1

Cargado por

Copyright:

Formatos disponibles

GOBIERNO de la

Lic. Susana Daldin 1

Lic. Susana Daldin 2

• Establecer y mantener un marco que permita asegurar que las estrategias de

Lic. Susana Daldin 3

Lic. Susana Daldin 4

• Obtener el compromiso de la Alta Gerencia y apoyo en toda la empresa

• Asegurarse la definiciones de roles y responsabilidades en toda la empresa

• Establecer informe y canales de comunicación que brinden apoyo

• Desarrollar guías y procedimientos que brinden apoyo a las políticas

• Desarrollar el caso de negocio que sustente las inversiones en el programa de S.I.

Lic. Susana Daldin 5

Programas Puertas Denegación E-mail Robo de

Espionaje Leyes y Robo Problemas Propiedad

Lic. Susana Daldin 6

Lic. Susana Daldin 7

Lic. Susana Daldin 8

administración necesitan VULNERABILIDADES

Lic. Susana Daldin

Controles Organizacionales Controles de Gestión Controles Técnicos

Clasificación de Gestión de riesgo Control de Accesos

Personal Procesos Tecnologia

Lic. Susana Daldin 10

Lic. Susana Daldin 11

Los sistemas de información pueden generar muchos beneficios

Lic. Susana Daldin 12

Cuando se implementa de manera correcta, el Gobierno en Seguridad

Lic. Susana Daldin 13

La conformidad con un buen número de nuevas medidas legales y

• Sarbanes Oxley (SOX)

Lic. Susana Daldin 14

Lic. Susana Daldin 15

• Un perfil de riesgo acordado para el negocio.

• Entendimiento de la exposición ante el riesgo.

• Prioridades respecto a la toma de conciencia ante los riesgos.

• Mitigación del riesgo.

• Aceptación, mitigación o traslado de los riesgos.

• Una evaluación independiente.

Lic. Susana Daldin 16

Lic. Susana Daldin 17

La estrategia de seguridad de la información a menudo incluye:

• Las relaciones con las estrategias del negocio

• Servicios del soporte

Lic. Susana Daldin 18

• Los conceptos fundamentales de la Seguridad de la Información.

• La relación entre la seguridad de la información y las operaciones del negocio.

• Los métodos para integrar el Gobierno en Seguridad de la Información con el marco

Lic. Susana Daldin 19

• Las necesidades del negocio respecto a la seguridad de la información.

• Su importancia para la organización.

• La implementación y monitoreo de las políticas de seguridad, estándares y procedimientos,

Lic. Susana Daldin 20

Lic. Susana Daldin 22

• El entendimiento de la misión del negocio.

Lic. Susana Daldin 23

Posiciones de alto nivel como el Oficial de Seguridad (Chief Security

Lic. Susana Daldin 24

Management CIO & staff IT alignment with business strategy

Lic. Susana Daldin 25

Obtener el patrocinio y apoyo de la alta gerencia en las iniciativas

La alta gerencia (Junta Directiva o su equivalente) debería tener a un alto nivel

Lic. Susana Daldin 26