Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD de INFORMACION
Función de
Gobierno de la Seguridad de Información
• Objetivo:
• Integrar el planeamiento de la seguridad dentro del contexto más amplio de
planeamiento de negocios y de TI
• Comprende el desarrollo e integración de una unidad de organización y estructura
de gestión con procesos de generación y presentación de informes
• Abarca todos los aspectos de un programa de seguridad exitoso, el cual garantiza
a la Dirección que sus riesgos están definidos y apropiadamente administrados
• Tareas:
• Desarrollar la estrategia de S.I. como soporte de la estrategia de negocio y de la Dirección
• Identificar asuntos legales y reglamentarios actuales y los potenciales; determinando sus impacto sobre la empresa
• Establecer y mantener políticas de S.I. que sustenten los objetivos y metas del negocio
Riesgos
Técnicos
de Seguridad
ACTIVOS
VULNERABILIDADES
AMENAZAS
Fuente: FoundStone, Risk Management Lifecycle
INVENTARIO
Identificar todos los activos de TI
La evaluación de riesgos y
PRIORIZAR
el sistema de Asignar a los activos el valor para el negocio
hasta la remediación.
RIESGO
Determinar el nivel de riesgo = Ac x V x Am
REMEDIACION
Tratamiento proactivo de vulnerabilidades.
Fuente: FoundStone, Risk Management Lifecycle
MEDICION
Medir el impacto de las decisiones y acciones de seguridad
Políticas
• Alineación estratégica
• Entrega de valor
• Gestión de riesgos
• Medición del desempeño
Entrega de Valor
• Un conjunto estándar de prácticas de seguridad, Ej., Los requisitos mínimos de seguridad adecuados para satisfacer
las necesidades del negocio.
• Un esfuerzo correctamente priorizado y distribuido hacia las áreas que generan mayor impacto y/o beneficio para
el negocio.
• Soluciones institucionalizadas y personalizadas.
• Soluciones completas que cubren la organización y sus procesos, así como también la tecnología.
• Una cultura de mejoramiento continuo.
Medición de Desempeño
• Un conjunto definido, convenido y significativo de métricas.
• Un proceso de medición que ayudará a identificar defectos y proveerá retroalimentación respecto a los avances en la
resolución de problemas (oportunidades de mejoramiento.)
Los siguientes nueve principios deberían ser considerados en cualquier iniciativa de seguridad:
• Responsabilidad
• Conciencia en Seguridad
• Ética
• Multidisciplinariedad
• Proporcionalidad
• Integración
• Cumplimiento
• Evaluación
• Equidad
• Políticas
• Autenticación
• Autorización
• Administración
• Recuperación
• Tecnologías
• Confidencialidad
• Integridad
• Disponibilidad
• Auditabilidad
• Autenticación
• Autorización
• No repudio
• Control del Acceso
• Seguridad estratificada (por capas)
Lic. Susana Daldin 21
Conceptos fundamentales de la Seguridad de la
Información
Un gerente de seguridad de la información debe entender las seis capas fundamentales de defensa en
caso de que la seguridad se vea comprometida:
• Prevención
• Contención
• Detección/notificación
• Reacción
• Recolección de Evidencia/Seguimiento a eventos
• Recuperación/Restauración
Enterprise CISO Chairs Board Security strategy & policy alignment technology
Security Architecture plan
Governance Strategy Technical security architecture guidance &
Board IT Operations recommendations
Security operations Security Technology policy standards review
Emerging security technology assessment
Continuous improvement & 6 Sigma
Benchmarking
Service Delivery VP IT Services Agreement implementation
/ Functional Ops Service Delivery Dispute management
Mgmt Team Mgrs Service Level Agreements
Finance Resource management
Contracts Forecasting and budgeting
Supply Mgmt Demand management
Others as needed
• Alinear los objetivos de la seguridad de la información con los objetivos del negocio.
• Identificar aspectos de presupuesto, de tal manera que la alta gerencia pueda cuantificar los
costos de programa de seguridad.
• Utilizar modelos de negocio generalmente aceptados como TCO o ROI.
• Definir medidas de seguimiento que serán incluidas en el programa de seguridad.
• Las actividades de gobierno en seguridad deben estar definidas en las descripciones del
puesto de trabajo de los empleados.
• Los roles y responsabilidades deben estar claramente definidos.
• La compensación del empleado es una herramienta que puede usarse para lograr un efecto
sobre su comportamiento.
• Las revisiones de desempeño laboral deben incluir mediciones relacionadas con la seguridad
de la información.
• El gerente de seguridad de la información debe trabajar con el área de Recursos Humanos para
definir e implementar cambios en las políticas relacionados con la seguridad de la información.
• Las políticas deben ser comunicadas al personal apropiado y deben actualizarse de manera
regular.
• Reportar directamente a un ejecutivo de alto rango (EVP, COO, CFO, CIO o CEO.)
• Supervisar y coordinar esfuerzos a lo largo de la organización.
• Identificar iniciativas y estándares claves de seguridad corporativa (Ej., protección ante
virus informáticos, monitoreo de seguridad, detección de intrusos y el control de
acceso a las instalaciones.)
• Trabajar con asesores externos, según sea el caso, para la ejecución de auditorías
independientes de seguridad.
• Identificar metas y objetivos de protección que sean consistentes con el plan
estratégico corporativo.
• Gestión de riesgos
• Gestión de clasificación de datos
• Seguridad de red
• Acceso a sistemas
• Gestión de cambio
• Análisis de impacto en el negocio
• Reporte y administración de crisis
• Continuidad de la organización
• Monitoreo de la seguridad
• Asuntos legales y regulatorios asociados con los negocios por Internet, transmisión global
y flujos de datos transfronterizos.
• Pólizas de seguros y condiciones impuestas comunes.
• Requisitos de contenido y retención que deben cumplir los registros del negocio.
• Interrupción de Negocio
• Responsabilidad profesional
• Legales
• Médicos
• Arancelarios (Impositivos)
• ISO/IEC17799:2002- 27001
• BS7799-2
• Firmas de consultores
• El proceso para alinear las políticas con los objetivos del negocio.
• La función y contenido de los elementos esenciales de un programa de seguridad de
la información.
• Técnicas para el desarrollo de un modelo de mejora del proceso de seguridad.
• Políticas
• Estándares
• Procedimientos
• Guías
Políticas
Estándares
Procedimientos
Guías
• Estándares de contraseñas.
• Estándares de encriptación.
• Estándares de backup y retención.
• Estándares para políticas y procedimientos.
• Estándares de configuración de firewalls.
• Estándares de arquitectura.
• Estándares de seguridad del dominio.
• Backup y recuperación.
• Administración de privilegios.
• Obligación en caso de incumplimiento de las políticas (auditoría, detección de
intrusos)
• Monitorear el cumplimiento de las políticas.
• Políticas de seguridad de red (firewalls, enrutadores, etc.)
• Políticas del sistema operativo
• Los recientes avances en tecnologías como “single sign-on” y “role-based security” han facilitado la
identificación de los ahorros reales.
• Los componentes claves del análisis costo / beneficio y de los planes de transformación
/migración empresariales (Ej. la alineación de la arquitectura, el posicionamiento
organizativo, la administración de cambio, y el análisis de mercado / competencia)
Financiera
Qué objetivos
financieros debemos
alcanzar
Cliente Interna
Qué necesidades En qué procesos de
del cliente debemos negocios internos
servir debemos distinguirnos
Aprendizaje
Cómo nuestra
organización debe
aprender e innovar
MEJORAR Y REALINEAR
vulnerabilidades y información, recuperarse de
c aplicaciones e c c
amenazas o o ataques de o
infraestructura
n n seguridad n
d d d
u u u
c c c
e e e
es medida por n es medida por n es medida por n
es medida por
Frecuencia de Número de a
Número de Número de
a a
revisión de los violaciones de incidentes de TI incidentes que
tipos de eventos acceso con impacto al repercuten en la
de seguridad a ser negocio imagen pública
monitoreados
Orientación
futura Proceso definido y usado dentro de Entrenamiento y concienciación
(Aprendizaje) 3 meses completados en 4 meses