EA1 Gestión de Riesgo y

Continuidad Operacional
Gobierno de Seguridad de la
información
 La información se puede definir como "datos
Introducción dotados de significado y propósito".
Desempeña un papel fundamental en todos los
aspectos de nuestras vidas.

La información se ha convertido en un componente

indispensable para realizar negocios para
prácticamente todas las organizaciones. En un
número creciente de empresas, la información es el
negocio.
De acuerdo con Ernst and Young Global Information:

Sólo el 12% de las organizaciones cree que la

Seguridad de la Información satisface las
necesidades de la organización
El 69% cree que el presupuesto de Seguridad
de la Información debiera incrementarse en un
50%
 La información se puede definir como "datos
Introducción dotados de significado y propósito".
Desempeña un papel fundamental en todos los
aspectos de nuestras vidas.

La información se ha convertido en un componente

indispensable para realizar negocios para
prácticamente todas las organizaciones. En un
número creciente de empresas, la información es el
negocio.
De acuerdo con Ernst and Young Global Information:

Sólo el 12% de las organizaciones cree que la

Seguridad de la Información satisface las
necesidades de la organización
El 69% cree que el presupuesto de Seguridad
de la Información debiera incrementarse en un
50%
 Marco de Gobierno de la Seguridad de la
Introducción Información

• 1. Una estrategia de seguridad integral

intrínsecamente vinculada con los objetivos
comerciales
• 2. Políticas de seguridad que rigen que expresen
claramente la intención de la administración y
aborden cada aspecto de la estrategia, los
controles y la regulación
• 3. Un conjunto completo de estándares para cada
uno política para garantizar que las personas, los
procedimientos
• 4. Una estructura organizativa de seguridad eficaz
con suficiente autoridad y recursos adecuados, sin
conflictos de interés
• 5. Flujos de trabajo definidos y estructuras que
ayuden en la definición de responsabilidades
• 6. Métricas institucionalizadas y procesos de
monitoreo para garantizar el cumplimiento
Marco de Gobierno de la
Seguridad de la Inf.
 Marco de Gobierno de la Seguridad de la
Información

• Diseño y estrategia de la organización:

• Una organización es una red de personas, activos
y procesos que interactúan entre sí en roles
definidos y trabajan hacia un objetivo común.
• La estrategia de una empresa especifica sus metas
comerciales y los objetivos a alcanzar, así como
los valores y misiones a perseguir. Establece la
dirección básica de la empresa. La estrategia debe
adaptarse a factores externos e internos.
• El diseño define cómo la organización implementa
su estrategia. Los procesos, la cultura y la
arquitectura son importantes para determinar el
diseño.
 Marco de Gobierno de la Seguridad de la
Información

• Personas:
• Los recursos humanos y los problemas de seguridad que
los rodean. Define quién implementa (a través del diseño)
cada parte de la estrategia.
• Internamente, es fundamental que el gerente de seguridad
de la información trabaje con los departamentos de
recursos humanos y legales para abordar cuestiones tales
como:
• Estrategias de contratación (acceso, verificación de
antecedentes, entrevistas, roles y responsabilidades)
• Problemas de empleo (ubicación de la oficina, acceso a
herramientas y datos, capacitación y concientización,
movimiento dentro de la empresa)
• Terminación (motivos de la salida, momento de la salida,
roles y responsabilidades, acceso a los sistemas, acceso a
otros empleados)
• Externamente, clientes, proveedores, medios de
comunicación, partes interesadas y otros puede tener una
gran influencia en la empresa y debe tenerse en cuenta
dentro de la postura de seguridad.
 Marco de Gobierno de la Seguridad de la
Información

• Proceso:
• Incluye mecanismos formales e informales (grandes y
pequeños, simples y complejos) para hacer las cosas y
proporciona un vínculo vital para todas las interconexiones
dinámicas. Derivan de la estrategia e implementan la parte
operativa del elemento de organización. Para ser
ventajosos para la empresa, los procesos deben:
• Cumplir con los requisitos comerciales y alinearse con la
política
• Considerar la aparición y ser adaptables a los requisitos
cambiantes
• Estar bien documentados y comunicados a los recursos
humanos apropiados
• Ser revisados periódicamente, una vez que estén
implementados, para asegurar eficiencia y eficacia
• .
 Marco de Gobierno de la Seguridad de la
Información

• Tecnología:
• Compuesta por todas las herramientas, aplicaciones e
infraestructura que hacen que los procesos sean más
eficientes. Dada la dependencia de la tecnología de la
empresa típica, la tecnología constituye una parte central
de la infraestructura de la empresa y un componente crítico
para lograr su misión.
• El equipo de gestión de la empresa suele considerar la
tecnología como una forma de resolver las amenazas y los
riesgos de seguridad. Si bien los controles técnicos son
útiles para mitigar algunos tipos de riesgo, la tecnología no
debe verse como una solución de seguridad de la
información.
• La tecnología se ve muy afectada por los usuarios y por la
cultura organizacional. Algunas personas aún desconfían
de la tecnología; algunos no han aprendido a usarlo; y
otros sienten que los frena.
• .
Roles en Gobierno de Seguridad de la
Información
 Roles en Gobierno de Seguridad de la
Información

• Los principales roles son:

• Directorio
• Gerente de Riesgo
• Gerente de Tecnologías de Información
• Oficial de Seguridad (CISO)
• Gerente de Seguridad de la Información
• Gerentes de negocio
• Personal Técnico
 Relacionamiento con terceros

• Un aspecto importante del gobierno de la seguridad de la

información son las reglas y los procesos empleados
cuando se trata de relaciones con terceros.

• Estas partes incluyen:

• Proveedores de servicios
• Operaciones subcontratadas
• Socios comerciales
• Organizaciones fusionadas o adquiridas
 Métricas

• Una métrica se define como una entidad cuantificable que

permite medir el logro de un objetivo de proceso. La
seguridad es la protección o la ausencia de peligro.
• Por lo tanto, las métricas de seguridad deben informarnos
sobre el estado o grado de seguridad en relación con un
punto de referencia.
• Puede ser útil aclarar la distinción entre la gestión de la
infraestructura técnica de seguridad de TI a nivel operativo
y la gestión general de un programa de seguridad de la
información.
 Efectividad de las métricas de Seguridad

• Es difícil o imposible gestionar cualquier actividad que no

se pueda medir..
• Para que las métricas sean útiles, la información que
brindan debe ser relevante de modo que se puedan tomar
decisiones informadas.
• Todo lo que resulte en un cambio se puede medir.
• La clave de las métricas efectivas es utilizar un conjunto de
criterios para determinar cuál es la más adecuada. Las
buenas métricas son INTELIGENTES:
• Específicas: basadas en un objetivo claramente entendido;
claro y conciso
• Medible: se puede medir; cuantificable (objetivo), no
subjetivo
• Alcanzable: realista; basado en objetivos y valores
importantes
• Relevante: directamente relacionado con una actividad u
objetivo específico
• Oportuna: basado en un marco de tiempo específico
Métricas

Componentes de las métricas de Seguridad (NIST 800-55)

 Ejemplos de métricas

• El tiempo que lleva detectar y reportar incidentes

relacionados con la seguridad
• El número y la frecuencia de incidentes no reportados
posteriormente descubiertos
• La capacidad de determinar la efectividad/eficiencia de los
controles
• La ausencia de imprevistos o eventos de seguridad no
detectados
• Conocimiento de amenazas en evolución e inminentes
• Medios efectivos para determinar las vulnerabilidades
organizacionales
• Métodos de seguimiento de riesgos en evolución
• Resultados de las pruebas de planificación de la
continuidad del negocio (BCP)/recuperación ante desastres
(DR)
• El grado en que se monitorean los controles clave
Estrategia de Seguridad de la Información
Estrategia de Seguridad de la
Información
 Estrategia de Seguridad de la Información

• Objetivos:
• Se deben definir los objetivos de desarrollar una estrategia
de seguridad de la información y desarrollar métricas para
determinar si esos objetivos se están logrando.
Normalmente, los seis resultados definidos de la
gobernanza de la seguridad son:
• Alineación estratégica
• Gestión de riesgos eficaz
• Entrega de valor
• Optimización de recursos
• Medición del desempeño
• Integración del proceso de aseguramiento
 Estrategia de Seguridad de la Información

• En resumen, no será posible desarrollar una estrategia de

seguridad rentable que esté alineada con los requisitos
comerciales antes de:

• Definir los requisitos comerciales para la seguridad de la

información
• Determinar los objetivos de seguridad de la información
que satisfagan los requisitos
• Ubicar e identificar los activos de información y recursos
• Valorar los activos y recursos de información
• Clasificar los activos de información según su criticidad y
sensibilidad
• Implementar un proceso para asegurar que todos los
activos tengan un propietario definido
 Balance Scorecard

• El cuadro de mando integral es un sistema de gestión (no

sólo un sistema de medición) que permite a las
organizaciones aclarar su visión y estrategia y traducirlas
en acciones. Proporciona información sobre los procesos
comerciales internos y los resultados externos para
mejorar continuamente el desempeño
• Cuando está completamente implementado, el cuadro de
mando integral transforma la planificación estratégica de
un ejercicio académico en el centro neurálgico de una
empresa.
• El cuadro de mando integral, utiliza cuatro perspectivas,
desarrolla métricas, recopila datos y analiza los datos
relativos a cada una de estas perspectivas:
• Aprendizaje y crecimiento
• Proceso empresarial
• Cliente
• Financiero
Balance Scorecard
Análisis de Riesgo
 Objetivos de Riesgo

• Una entrada importante para definir el estado deseado es el

enfoque de la organización al riesgo, su apetito por el
riesgo y tolerancia al riesgo, es decir, lo que la gerencia
considera un riesgo aceptable y las desviaciones tolerables
de los niveles de riesgo aceptables.
• Este es otro paso crítico, ya que el riesgo aceptable
definido se transfiere a los objetivos de control u otras
medidas de mitigación de riesgos empleadas, así como a
los criterios por los cuales se puede evaluar la
aceptabilidad del riesgo.
• La definición de los objetivos de control es fundamental
para determinar el tipo, la naturaleza y el alcance de los
controles y contramedidas que la organización emplea para
gestionar el riesgo.
Objetivos de Riesgo
 Resumen

• Objetivos
• Marco del GSI
• Modelo de negocios
• Métricas
• Estrategia de Seguridad de la Información
• Balance Scorecard
• Objetivos del riesgo
 Referencia Bibliográfica

• CISM Review Manual, 15th Edition eBook