Вы находитесь на странице: 1из 118
Gestión de Seguridad de la Información Profesor: Mgtr. Gonzalo Martin Valdivia Benites CISA, CISM, CCISO, ISMS-LA,

Gestión de Seguridad de la Información

Profesor: Mgtr. Gonzalo Martin Valdivia Benites

CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS, CRISC(t)

La Asignatura

El curso busca desarrollar competencias en el estudiante que le permita gestionar de manera segura la información en las organizaciones. Brinda a los participantes los conceptos y buenas prácticas de gestión

de seguridad para proteger a la organización de los

diferentes aspectos que puedan alterar o dañar el sus

recursos de TI por medio de la implementación de

políticas y procedimientos y diversos mecanismos de

seguridad siguiendo las mejores prácticas de la industria relacionadas con seguridad de la información.

Syllabus

1. Gestión de Seguridad de la información 2. Marcos Normativos de Seguridad 4. Controles de Seguridad
1.
Gestión
de
Seguridad
de la
información
2.
Marcos Normativos
de Seguridad
4. Controles
de
Seguridad
5.
Gestión
6.
Sistema de Gestión de
de
Seguridad de la
Incidentes
Información (SGSI)

3. Programa de Seguridad

El reto de las Organizaciones

https://www.yout ube.com/watch?v

=RRy_73ivcms

La información es un activo estratégico de la empresa.

Tiene valor para una organización y por

consiguiente debe ser debidamente

protegida.

Valor de la Información

Mas importante que el valor tangible de la tecnología, es el valor de la información del

negocio.

El valor de la información se puede medir desde el punto de vista de negocio de varias

formas, por ejemplo:

El valor de mercado de la información El valor de oportunidad:

que se puede medir por el costo financiero, costo oportunidad, pérdida de mercado, costos directos.

Enfoque Integral de la Seguridad

Imagen propiedad de Warner bros

¿Qué es la Seguridad?

La situación ó estado de algo,

que se adquiere al estar libre de

riesgo o peligro.

Seg. Informática y de Información

Seg. de la Información Seg. Informática
Seg. de la
Información
Seg. Informática

Principios de Seguridad

Confidencialidad

Principios de Seguridad Confidencialidad Integridad Disponibilidad

Integridad

Disponibilidad

Confidencialidad La información es accedida sólo por las personas autorizadas.

Confidencialidad

La información es accedida

sólo por las personas

autorizadas.

Integridad

Exactitud y totalidad de la información.

DISPONIBILIDAD

Acceso a la

información cuando se

necesita.

Funcionalidad vs. Protección

Desafios

Todo el tiempo aparecen vulnerabilidades Contextos cambiantes Presupuestos limitados Riesgos desconocidos Ataques sofisticados de hackers Problemas para encontrar profesionales especializados Dificultad en implementar Normativas

Potenciales enemigos

Crackers. Vándalos. Usuarios del sistema. Competencia. Ex-empleados. Personal insatisfecho o desleal Delincuentes Millones de adolescentes

¿ Sistema Seguro?

"El único sistema seguro es aquel que está apagado y desconectado, enterrado en un

refugio de concreto, rodeado por gas

venenoso y custodiado por guardianes bien

pagados y muy bien armados. Aun así, yo no

apostaría mi vida por él".

Gene Spafford

¿Por qué tanta inseguridad ?

Huecos de Seguridad Físicos Huecos de Seguridad en el Software Fallas de los equipos y servicios Falta de Experiencia Pobre administración de la infraestructura Desconocimiento del valor de la información Alta motivación e interés por atacar un sistema Ausencia de un Esquema de Seguridad.

El nivel de efectividad

El nivel de seguridad esta determinado por el punto mas débil.

Si un activo es tratado de manera menos segura por una parte, esto implica la destrucción de la inversión en seguridad

hecha por las otras partes

La sincronización de esfuerzos permite obtener economías de escala e incrementar la

eficiencia operacional

La realidad de la seguridad

La definición y la practica de la seguridad de la información no es homogénea ni integral en las

empresas e instituciones del país.

Existen conocimientos técnico avanzado en controles técnicos.

No existe personal entrenado en gerenciar la seguridad de manera integral.

Seguridad en profundidad • Múltiples capas de seguridad. • Las capas tienen vulnerabilidades

Seguridad en profundidad

Múltiples capas de seguridad.

Las capas tienen

vulnerabilidades

Seguridad por

obscuridad

No decir nada

de la seguridad me hace mas

seguro.

El CISO

Gartner indica que:

El rol del CISO se esta convirtiendo en estratégico a

medida que la seguridad

madura y las funciones de

seguridad se estandarizan y comoditizan.

La mayoría de los CISO siguen reportando a TI, pero

una minoría significativa ahora reportan en niveles

"corporativos" más altos fuera de TI.

Las competencias clave de un CISO son cada vez más la

gestión, colaboración y comunicación, en lugar de

competencias técnicas.

Fuente: Gartner for IT Leaders Overview: The Chief Information Security Officer. Julio 2013

El CISO

La posición de CISO ha ido ganando popularidad.

Porcentaje de los entrevistados que dicen que sus empresas ahora cuentan con un ejecutivo de

seguridad:

En 2011, > 80% En 2006, 22%

23% de los CISOs reportan a los CIOs 36% de los CISOs reportan a los CEOs 32% de los CISOs reportan al comité de directorio

Responsabilidades del CISO

Definir y gestionar el programa de seguridad de la información.

Proporcionar formación y orientación al equipo ejecutivo

Presentar opciones e información para permitir la toma de decisiones

Actúe como un asesor de seguridad de la información.

Certificaciones

Certificaciones • CISSP: Certified Information System Security Professional • CCISO: Certified Chief Information Security Officer •
Certificaciones • CISSP: Certified Information System Security Professional • CCISO: Certified Chief Information Security Officer •

CISSP: Certified Information System Security Professional

CCISO: Certified Chief Information Security Officer

CISM: Certified Information Security Manager

CRISC: Certified in Risk and Information Systems Control

CEH: Certified Ethical Hacker (v8)

GSEC: GIAC Security Essentials Certificate

GCIH: GIAC Certified Incident Handler

GCIA: GIAC Certified Intrusion Analyst

GPEN: GIAC Penetration Tester

CompTIA Security +

CASP: CompTIA Advanced Security Practitioner

CISA Certified Information System Auditor

CGEIT: Certified Governance of Enterprise IT

CCNP Security : Cisco Certified Network Professional Security

CCIE Security: Cisco Certified Internetwork Expert Security

Gobierno de TI

Subconjunto de la disciplina de Gobierno Corporativo con foco en la tecnología de la información (TI), su desempeño y manejo de riesgo.

Gobierno de TI • Subconjunto de la disciplina de Gobierno Corporativo con foco en la tecnología

Tomado de: Gobierno y Control de TI Jesús Ariel Moreno Camacho

Gobierno de Seguridad de la

Información

Debe ser tratado por los niveles más altos de la organización

Es parte del gobierno corporativo

La alta dirección y el consejo de dirección son responsables y deben proporcionar:

Liderazgo Estructura Organizacional Procesos

Resultados del Gobierno de SI

Alineación estratégica:

Alineada con la estrategia de negocio para respaldar los objetivos

Gestión de riesgos:

Mitigar los riesgos y reducir el impacto a un nivel aceptable

Entrega de valor:

Optimizar las inversiones en seguridad para apoyar los objetivos del negocio.

Gestión de recursos:

Utilizar el conocimiento y la infraestructura de seguridad de la información con eficiencia y eficacia

Medición de desempeño:

Monitorear y reportar para garantizar que se alcancen los objetivos

Integración:

Integrar todos los factores de aseguramiento

relevantes para garantizar

que los procesos operan de acuerdo con lo planeado de extremo a extremo

Estrategia de Seguridad de la Información

¿ Que desea proteger? ¿De quien desea proteger? ¿Qué vulnerabilidades tiene?

¿Cuáles son los riesgos?

¿Qué medidas se deben implementar?

¿Cuánto se debe invertir?

¿Lo hecho, será suficiente?

¿ Cual es el porcentaje de Presupuesto

de Seguridad IT en relación al gasto

total de IT?

Gestión de Riesgos y Cumplimiento

GRC Enfoque adoptado por muchas organizaciones para combinar procesos de

aseguramiento que incluyen:

Auditoría interna Programas de cumplimiento (SOX) Gestión de riesgos empresariales (ERM) Gestión de incidentes

Modelo de negocios para la

seguridad de la información

Modelo de negocios para la seguridad de la información

Visión General de la Estrategia de SI

Visión General de la Estrategia de SI 35

Normas Internacionales

ISO 31000 NIST SP-800 PCI HIPAA SOX ISO 27000 CobiT 5

Gestión de riesgos - ISO 31000

Gestión de riesgos - ISO 31000
Gestión de riesgos - ISO 31000
• Special Publications SP 800-* • Publicaciones especializadad en Seguridad. • http://csrc.nist.gov/publications/PubsSPs.html

Special Publications SP 800-*

Publicaciones especializadad en Seguridad.

http://csrc.nist.gov/publications/PubsSPs.html

• Payment Card Industry Data Security Standard • Versión 3.0 Nov. 2013 • Norma orientada a

Payment Card Industry Data Security Standard Versión 3.0 Nov. 2013

Norma orientada a las empresas que procesan, guardan o trasmiten datos de tarjetas

12 requisitos de control

HIPAA

Health Insurance Portability And Accountabilty Act of 1996

Derecho a la confidencialidad de la información de salud

SOX

Respuesta a los escándalos financieros de Enron, Tyco, WorldCom y Peregrine.

Sarbanex-Oxley Act of 2002 Monitorea a las empresas de la Bolsa Estándares para los consejos de administración y dirección, así como

mecanismos contables. Introduce responsabilidades penales

Familia ISO 27000

Familia ISO

27000

Familia ISO 27000

27000 Overview y Vocabulario

  • 27001 Sistema de

Gestión de Seguridad de la Información

27002 Código de práctica (requisitos)

27003 Guia de Implementación

27004 Metricas

  • 27005 Gestión de

riesgos de

Seguridad de la información

ISO 27002

Estructura de la Norma ISO 27002 o

Anexo A de la ISO 27001

14 Dominios

Estructura de la Norma ISO 27002 o Anexo A de la ISO 27001 14 Dominios 39

39 Objetivos

Estructura de la Norma ISO 27002 o Anexo A de la ISO 27001 14 Dominios 39

114 Controles

ISO 27002

Control OBjectives for Information and related Technology

Control OBjectives for

Information and

related Technology

CobiT

COBIT, lanzado en 1996, es una herramienta

de gobierno de TI que ha cambiado la forma

en que trabajan los profesionales de TI.

Vinculando tecnología informática y prácticas

de control, COBIT consolida y armoniza

estándares de fuentes globales prominentes

en un recurso crítico para la gerencia, los

profesionales de control y los auditores.

Ubicación Gobierno Corporativo ISO 9000 Gobierno de Gobierno de Gobierno de TI Finanzas Marketing CobiT ISO
Ubicación
Gobierno
Corporativo
ISO 9000
Gobierno de
Gobierno de
Gobierno de
TI
Finanzas
Marketing
CobiT
ISO 27002
BS15000
CMM
ISO9126
ISO 27001
ITIL
ISO15504
ISO 12207
ISO 20000
TickIT Plus

Gobierno y Gestión

Capacidad para establecer objetivos

Gobierno

Gobierno y Gestión • Capacidad para establecer objetivos Gobierno • Capacidad de usar los recursos necesarios

Capacidad de usar los recursos necesarios para

alcanzar los

objetivos

Gestión

Gobierno y Gestión • Capacidad para establecer objetivos Gobierno • Capacidad de usar los recursos necesarios

Familia CobiT 5

Familia CobiT 5 Fuente: COBIT 5, © 2012 ISACA All rights reserved.

Fuente: COBIT ® 5, © 2012 ISACA ® All rights reserved.

Areas clave de Gobierno y Gestión

Areas clave de Gobierno y Gestión Fuente: COBIT 5, © 2012 ISACA All rights reserved.

Fuente: COBIT ® 5, © 2012 ISACA ® All rights reserved.

Modelo de Procesos

Modelo de Procesos Fuente: COBIT 5, © 2012 ISACA All rights reserved.

Fuente: COBIT ® 5, © 2012 ISACA ® All rights reserved.

Marco Normativo Peruano

Código Civil Código Procesal Civil Ley General de Salud Ley General del Sistema Financiero Ley de Transparencia Ley de Telecomunicaciones Ley Antispam Ley de Delitos Informáticos

Ley centrales Privadas de riesgo

Ley registros Publicos Normas SBS

Marco Normativo Peruano – Código Civil – Código Procesal Civil – Ley General de Salud –

Ley de protección de Datos Personales

Código Civil de 1984

La intimidad de la vida personal y familiar no

puede ser puesta de manifiesto sin el

asentimiento de la persona o si ésta ha muerto, sin el de su cónyuge, descendientes,

ascendientes o hermanos, excluyentemente y en

este orden

Código Procesal Civil Artículo 647 A

Secuestro conservativo sobre bienes informáticos.- En caso de que se dicte secuestro conservativo o embargo, sobre soportes magnéticos, ópticos o similares, el

afectado con la medida tendrá derecho a

retirar la información contenida en ellos.

Ley General de Salud

Artículo 15.Toda persona, usuaria de los servicios de salud, tiene derecho:

a) Al respeto de su personalidad, dignidad e intimidad;

b) A exigir la reserva de la información

relacionada con el acto médico y su historia clínica, con las excepciones que la

ley establece;

Ley General del Sistema Financiero - 26702 Cap II Secreto Bancario.

Art. 140° Alcance de la prohibición. Está prohibido a

las empresas del sistema financiero, así como a sus

directores y trabajadores, suministrar cualquier

información sobre las operaciones pasivas con sus clientes

Art. 141° Falta Grave de quienes violen el secreto

bancario. Sin perjuicio de la responsabilidad penal que señala el artículo 165º del Código de la materia, la infracción a las disposiciones de este capítulo se

considera falta grave para efectos laborales y, cuando

ello no fuere el caso, se sanciona con multa.

Ley 27806 de Transparencia y Acceso a

la Información Pública

Toda información que posea el Estado se presume

pública, salvo las excepciones expresamente previstas por el Artículo 15º de la presente Ley.

Art. 15º. Excepciones al ejercicio del derecho:

Información Confidencial (militares, planes de

inteligencia).

Ley 26096 Telecomunicaciones

Art. 52. las empresas concesionarias deben

dar garantía para asegurar el secreto de las

comunicaciones.

Resolución Ministerial N° 622-96-MTC-IS, aprueba procedimientos de inspección y de requerimientos de información relacionados

al secreto de las telecomunicaciones y

protección de datos.

Artículos: 1°, 4º y 5 .1

Ley 28493 - Ley Antispam Peruana

Modificada por Ley N° 29246 y el D.S. 031-05-MTC.

Todo correo electrónico comercial no solicitado, deben contener en el asunto la palabra: "Publicidad"

y otros requisitos. Quien recibe estos correos ilegales tiene derecho a

solicitar por la vía judicial, contra el remitente y el

beneficiario o anunciante, una indemnización que será equivalente al 1% de la UIT por cada mensaje con un máximo de 2% de la UIT.

Ley 27269- Ley Firmas y Certificados

digitales

Tiene por objeto regular la utilización de la firma electrónica otorgándole la misma validez y eficacia

jurídica que el uso de una firma manuscrita u otra

análoga que conlleve manifestación de voluntad.

Ley 30096 de Delitos Informáticos

Promulgada 22/10/2013. Modificada por Ley

30171

Objetivo: Prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos

Regula el uso de Internet Incorpora al Código penal el “Grooming”.

Ley de Centrales Privadas de Riesgo

1º.- Objeto de la ley

9º.- Lineamientos generales de recolección y tratamiento de información

10º.- Información Excluida 12º.- Deber de Seguridad

13º.- Derechos de los Titulares: acceso (14º), Modificación y Cancelación (15º) y Rectificación

(16º).

Reglamento Registros Públicos

Resolución Nº 195-2001-SUNARP/SN

Artículo 128.- Acceso a información que afecta el derecho

a la intimidad

La persona responsable del registro no podrá mantener en reserva la información contenida en el archivo registral, con

excepción de las prohibiciones expresamente establecidas

en otras disposiciones.

Cuando la información solicitada afecte el derecho a la

intimidad, ésta solo podrá otorgarse a quienes acrediten

legítimo interés, conforme a las disposiciones que establezca la Superintendencia Nacional de los Registros

Públicos.

Circular SBS N° G-139-2009

Establece criterios mínimos para la gestión de la continuidad del negocio financiero, que forma parte de una adecuada gestión del riesgo operacional que

enfrentan las empresas supervisadas por la SBS.

La circular contiene disposiciones, que toman como referencia estándares internacionales.

Circular SBS N° G-140-2009

Establece criterios mínimos para una adecuada gestión de la seguridad de la información, tomando como referencia estándares internacionales como el ISO 17799 e ISO 27001.

Sistema de Gestión de Seguridad de la Información (SGSI)

El objetivo de implementar el SGSI es proteger los activos de información más importantes de las instituciones financieras

como resultado del análisis de riesgo y sobre todo cumpliendo

con las expectativas de todos los interesados del sistema, clientes, comunidad, estado, proveedores, y la misma entidad financiera, entre otros.

Privacidad

Privacidad

Ambito de la vida personal de un

individuo que se desarrolla en un espacio reservado y debe mantenerse de manera confidencial.

Declaración Universal de los DDHH

Art. 12: Nadie será objeto de injerencias

arbitrarias en su vida privada, su familia, su

domicilio o su correspondencia, ni de ataques

a su honra o a su reputación. Toda persona

tiene derecho a la protección de la ley contra tales injerencias o ataques."

APDP

APDP • https://www.youtube.com/watch?v=1c4YMd_YaRs

https://www.youtube.com/watch?v=1c4YMd_YaRs

Datos Personales

Toda información sobre una persona natural

que la identifica o la hace identificable a

través de medios que pueden ser

razonablemente utilizados.

Ejm :

Nombres, Apellidos, DNI, teléfonos,

dirección domicilio, correo electrónico, fecha

de nacimiento, sexo, Nro identificación

tributaria, Razon Social,nro. de cuenta

bancaria.

Datos Sensibles

Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al

titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación

sindical; e información relacionada a la salud o a la

vida sexual. Ejm.: Sueldos de los trabajadores

Información personal manejada por

las Organizaciones

Clientes Bancos de Visitantes Personal Datos Proveedores (personas naturales)
Clientes
Bancos de
Visitantes
Personal
Datos
Proveedores
(personas
naturales)

Ley 29733

Promulgada 03/07/11 22/03/13 Reglamentada Directiva de 16/10/13 Seguridad 08/05/15 Plena Vigencia
Promulgada
03/07/11
22/03/13
Reglamentada
Directiva de
16/10/13
Seguridad
08/05/15
Plena Vigencia

Afecta

La ley implica Organizativos Legales Tecnologicos
La ley implica
Organizativos
Legales
Tecnologicos
Afecta La ley implica Organizativos Legales Tecnologicos Cumplimiento

Cumplimiento

Afecta

Derechos ARCO

Acceso
Acceso
Rectificación
Rectificación
Cancelación
Cancelación
Oposición
Oposición

Programa de

Seguridad de la

Información (SI)

El Programa de SI

El programa es el plan a seguir en SI Requiere diseñar, implementar, gestionar y monitorear El programa de seguridad transforma la estrategia en realidad. Provee las capacidades para cumplir los objetivos de seguridad. Adaptarse a cambios en requerimientos de seguridad.

Factores Críticos de Éxito

Compromiso de parte de la gerencia;

 

Normatividad de seguridad;

Una estrategia de implementación alineada a

la cultura organizacional;

 

Un

claro

entendimiento

de

los

requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;

Comunicación eficaz

a todos los gerentes y

empleados;

Factores Críticos de Éxito

Instrucción y entrenamiento adecuados;

Gestión efectiva de incidentes;

 

Un

sistema

integral

y

equilibrado

de

medición.

Objetivos del programa de SI

Ejecutar la estrategia de seguridad de la información de la manera mas costo-efectiva Maximizar el soporte de las funciones de negocio Minimizar las interrupciones del negocio

La gestión del programa de seguridad de la información usa una agrupación estructurada de proyectos para producir valor para el negocio claramente identificable.

Implementación del programa de SI

Se debe obtener una comprensión de:

Objetivos Organizacionales Apetito al riesgo y tolerancia Principios, Políticas , Marcos de Referencia Procesos, Estructuras organizacionales Cultura, ética y comportamientos Información Servicios, Infraestructura y aplicaciones Personas, habilidades y competencias.

Implementación del programa de SI

La implementación de un programa de

seguridad deberá incluir una serie de objetivos

de control específicos:

Técnicos Procedimentales Físicos

Actividades Operativas

Son actividades continuas que deben ser completadas para garantizar el

aseguramiento de la seguridad de la

información.

Procedimientos de operación Prácticas de seguridad de la operación del negocio Mantenimiento y administración de tecnologías de seguridad (e.g., administración de identidad, administración de control de acceso, y análisis y monitoreo de eventos de seguridad)

Actividades Operativas

Se requiere coordinar con las unidades de TI, unidades de negocio y otras unidades

organizacionales la ejecución de las

actividades operativas que no son ejecutadas

por Seguridad de la Información.

Actividades de Gestión

Establecer las etapas del programa de seguridad de la información

Responsabilidad del gerente y de la Alta dirección

Incluye:

Desarrollo o modificación de estándares Revisiones de políticas Supervisión de iniciativas o ejecución de programas

Actividades de Gestión

El análisis continuo o periódico de los activos, amenazas, riesgos e impactos en la

organización debe seguir siendo la base para

modificar las políticas de seguridad y

desarrollar o modificar los estándares.

Actividades Administrativas

Asegurar la administración efectiva del programa de seguridad de la información incluyendo temas relacionados con:

Finanzas RR.HH. Funciones de soporte

Las buenas relaciones de trabajo con los departamentos de Recursos Humanos y Financiero ayudará a facilitar una efectiva ejecución del programa de seguridad de la información.

Actividades Administrativas

Balancear los esfuerzos del proyecto y la sobrecarga operativa continua con:

Cantidad de Personal Niveles de utilización Recursos externos

El balanceo de las cargas de trabajo y los recursos externos ayuda a abordar picos de

actividades planeadas y no planeadas.

Actividades Administrativas

Asegurar que la Alta Dirección entienda los riesgos que implica comenzar una

iniciativa sin la adecuada diligencia en

seguridad

Concientización, Capacitación y Formación

Es considerada una medida preventiva

Educar a los empleados sobre:

Amenazas y riesgos Obligaciones y Prácticas adecuadas Repercusiones del incumplimiento

Incluye:

Políticas y procedimientos organizacionales Monitoreo de empleados

Generalmente comunicadas y administradas por el área de Recursos Humanos.

Concientización, Capacitación y Formación

Son necesarios conocimientos y entrenamiento para la ejecución de las tareas.

Las clases de entrenamiento deberían ser adecuadas para aquellos con

responsabilidades de seguridad.

Un programa de concienciación en seguridad de la información también debería incluir

entrenamiento para usuarios finales.

Concientización, Capacitación y Formación

Los temas de un entrenamiento en concienciación incluyen:

Elegir adecuadamente las contraseñas y no exponerlas

Evitar malware propagados vía Web y correo electrónico

Reconocer ataques de ingeniería social

Reportar incidentes de seguridad

Proteger de robo y exposición a medios electrónicos y físicos

Detectar malware que podría provocar robos de identidad

y espionaje sobre puestos de trabajo

Respaldar los archivos relacionados con el trabajo

Plan de Acción

Una hoja de ruta (roadmap) ayuda a definir lo que significa para cada organización.

Analisis de Brechas base para Plan de Acción

Identificar donde los objetivos de control no son adecuadamente soportados por las actividades de

control

Establecer procedimientos para monitorear de manera continua el logro de los objetivos de

control.

Diseñar un programa de seguridad de la información flexible para evolucionar y madurar.

Gestión de Proyectos

Un análisis de brechas (Gap analysis) identificara una serie de proyectos que mejorarán el programa de seguridad de la información

Cada proyecto debe:

Tener un tiempo definido, presupuesto y objetivos medibles.

Hacer el ambiente más seguro sin que de otro modo se ocasionen deficiencias de control en otras áreas.

Priorización del portafolio de proyectos de modo que:

La interdependencia de los proyectos no retrasa unos a otros.

Los recursos son colocados de la forma mas óptima.

Los resultados son integrados suavemente dentro de la operación existente.

Gestión de Proyectos

Empleo de técnicas de gestión de proyectos

generalmente aceptadas, como:

Establecimiento de objetivos

Monitoreo de progreso

Seguimiento de plazos

Asignación de responsabilidades

Infraestructura de Seguridad

Infraestructurala base o sistema inicial sobre el cual se despliegan los sistemas de información.

Infraestructura de seguridadel cimiento que permite hacer funcionar a los recursos de

seguridad.

Cuando la infraestructura está diseñada e implementada para soportar las políticas y

estándares, se dice que la infraestructura es segura.

Arquitectura de Seguridad

La arquitectura incluye una serie de capas, que van de

lo contextual a lo físico.

El diseño está fuertemente alineado con el propósito una buena arquitectura es una articulación de la

política.

Implementación de la Arquitectura

Se ha desarrollado un número de marcos arquitectónicos para atender la necesidad de

disponer de un modelo global exhaustivo para

los sistemas de información:

COBIT

ITIL

ISO/IEC 27001:2013

SABSA

Otros …

Documentación

Políticas

Estandares / Normas

Procedimientos

Instructivos

Documentación

Algunas de las documentaciones necesarias generalmente incluyen:

Objetivos del programa Planes de acción Casos de negocio Recursos necesarios Documentación Controles Presupuestos Diseños/arquitecturas de sistemas Políticas, estándares, procedimientos, directrices

Hitos de planes de proyectos y cronogramas

KGIs, KPIs, factores críticos de éxito, otras métricas

Requerimientos de capacitación y concientización

Análisis de riesgo e impacto del negocio

Acuerdos de niveles de servicio (SLA)

Criterios de gravedad Criterios de declaración

Gestión de Riesgos

Virtualmente todos los aspectos del programa para administración de la seguridad de

información apunta a reducir los riesgos a un

nivel aceptable.

Un aspecto de la administración de riesgos es un programa de administración de incidentes

Gestión de Riesgos

Conocimiento y habilidades para administrar riesgos como parte

del programa podría incluir:

Desarrollo del programa de

riesgos del ciclo de vida

Programa de gestión de riesgo

Riesgo del proyecto

Métodos de evaluación de

vulnerabilidad

Amenazas especificas de la administración de la seguridad de información en las organizaciones

Enfoque de análisis de riesgos

evaluar el impacto posible si

Opciones de respuesta a

riesgos Capacidad para comprender y

se materializan los riesgos Monitoreo y reporte de

riesgos Análisis de amenazas

Caso de Negocio

El propósito de un caso de negocio

Obtener soporte las personas que toman decisiones y los

que influencian

Requiere que los proyectos propuestos suministren una

clara propuesta de valor

Habilitar:

Comparación entre diferentes proyectos y propuestas

Objetivos para la toma de decisiones

Medición del éxito del proyecto frente a lo proyectado

Presupuesto del programa

Empleados

Contratista y consultores

Equipos

Requerimientos de espacio

Recursos para pruebas

Documentación de soporte

Mantenimiento en curso

Contingencias por costes

inesperados

Otras Actividades del Programa de SI

Requerimientos legales y regulatorios Factores físicos y ambientales Ética Diferencias culturales/regionales Logística

Controles y Contramedidas

Controles y Contramedidas

Controles

Cualquier cosa que minimiza el riesgo. Las categorías de control incluyen:

Controles preventivos Controles detectivos Controles correctivos Controles compensatorios Controles disuasivos

Métrica y Monitoreo del Programa de SI

Las siguientes son utilizadas para rastrear y guiar un programa :

Desarrollo de métricas

Enfoques de monitoreo

Medición del desempeño de la gerencia de seguridad de la información

Medición del riesgo y la pérdida relacionados con la seguridad de la

información Medición del apoyo de los objetivos organizacionales

Medición del cumplimiento

Medición de la productividad operativa

Medición de la rentabilidad de la seguridad

Medición de la conciencia organizacional

Medición de la efectividad de la arquitectura de seguridad técnica

Medición de la efectividad del marco y los recursos de gestión

Medición del desempeño operativo

Monitoreo y comunicación

119