PowerPoint Presentation
1.14.5 PersonalEl gerente de seguridad tambin debe considerar
los riesgos relativos al personal:La primera lnea de defensa es
intentar garantizar la confianza y la integridad del personal tanto
existente como de nuevo ingreso.Las verificaciones tradicionales de
antecedentes son muy comunes, pero la extensin de este tipo de
verificaciones puede estar limitado por privacidad u otras
leyes.Las medidas relativas al personal deben ser proporcionales a
la sensibilidad y criticidad de los requerimientos de la posicin
que se tiene.Es necesario desarrollar mtodos para el seguimiento de
casos de hurto o robo. Tambin se deben desarrollar polticas y
normas de investigacin de antecedentes.
Copyright 2013 ISACA. Todos los derechos reservados.1Directivas
para el instructor:La seguridad del personal es un rea importante
que el gerente de seguridad de la informacin debe considerar como
un medio preventivo de proteger a una organizacin. Puesto que las
exposiciones al dao ms costosas y perjudiciales son casi siempre el
resultado de actividades iniciadas desde el interior, ya sean
intencionales o accidentales, la primera lnea de defensa es
intentar garantizar la confianza y la integridad del personal tanto
existente como de nuevo ingreso. Las tradicionales investigaciones
limitadas de antecedentes pueden proporcionar indicadores de
caractersticas negativas; sin embargo, debe tenerse en consideracin
que el alcance de dichas investigaciones puede verse limitado por
leyes de privacidad o de otro tipo, sobre todo en las naciones de
la Unin Europea.
Asimismo, puede ser prudente desarrollar polticas y estndares de
investigacin de antecedentes que Los departamentos de HHRR y legal
de la organizacin deben reviser los aspectos anteriores. La alta
direccin tambin deber revisar estas polticas para determinar su
congruencia con el enfoque de cultura y gobierno de la
organizacin.
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
641.14.6 Estructura organizacionalDe acuerdo a una encuesta, el 23
por ciento de todos los ISMs tiene una lnea de dependencia directa
o indirectamente al CIO:Podra no ser la estructura ideal y la alta
direccin debe evaluarla como parte de sus responsabilidades de
gobiernoDebe estar la seguridad centralizada y estandarizada?La
centralizacin/estandarizacin depende de la estructura de la
organizacin.Un proceso de seguridad descentralizado permite a los
administradores de seguridad estar ms cerca de los usuarios y a
comprender mejor sus problemas locales.
Copyright 2013 ISACA. Todos los derechos reservados.2Directivas
para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
64-65
1.14.7 Roles y responsabilidades de los empleadosLa estrategia
debe incluir un mecanismo que defina todos los roles y
responsabilidades de seguridad y que los incluya en las
descripciones de cargo de los empleados.Las mediciones relacionadas
con la seguridad se pueden incluir en el desempeo laboral y los
objetivos anuales del empleado.El ISM debe coordinarse con Recursos
Humanos para definir los roles y las responsabilidades de
seguridad.
Copyright 2013 ISACA. Todos los derechos reservados.3Directivas
para el instructor:
Con la cantidad de tareas que deben llevar a cabo los empleados
hoy en da, es importante que la estrategia incluya un mecanismo que
defina todos los roles y responsabilidades de seguridad y que los
incluya en las descripciones de puesto de los empleados. En ltima
instancia, si a los empleados se les paga con base en su
cumplimiento para llevar a cabo sus responsabilidades laborales,
existen mayores probabilidades de que se alcancen los objetivos del
gobierno de la seguridad. Las mediciones relacionadas con la
seguridad se pueden incluir en el desempeo laboral y los objetivos
anuales del empleado.
El gerente de seguridad de la informacin debe coordinarse con el
director de personal para definir los roles y las responsabilidades
de seguridad. Las capacidades relacionadas que se requieren para
cada puesto de trabajo tambin deben estar definidas y
documentadas.
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
651.14.8 HabilidadesElegir una estrategia que utilice las
habilidades con las que ya se cuenta aparece como una opcin ms
rentable.Tener un inventario de las habilidades o competencias
ayudara a determinar los recursos que estn disponibles para
desarrollar una estrategia de seguridad.Las pruebas de competencias
pueden servir para determinar si se cuenta con las habilidades
requeridas o si se pueden alcanzar mediante capacitacin.
Copyright 2013 ISACA. Todos los derechos reservados.4Las
habilidades que se requieren para implementar una estrategia de
seguridad son un elemento importante. Es probable que elegir una
estrategia que utilice las habilidades con las que ya se cuenta sea
una opcin ms rentable, pero en ciertas ocasiones puede resultar
necesario desarrollar habilidades o desarrollar actividades
tercerizadas requeridas. Tener un inventario de las habilidades o
competencias ayudara a determinar los recursos que estn disponibles
para desarrollar una estrategia de seguridad. Asimismo, las pruebas
de competencias pueden servir para determinar si se cuenta con las
habilidades requeridas o si se pueden alcanzar mediante
capacitacin.
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
651.14.9 Concientizacin y formacinLa capacitacin, la formacin y la
concienciacin son elementos fundamentales para la estrategia en su
conjunto porque:La seguridad con frecuencia es ms dbil al nivel del
usuario final.La seguridad depende en gran medida del cumplimiento
individual.Un programa recurrente de concienciacin sobre la
seguridad dirigido a usuarios finales refuerza la importancia de la
seguridad de la informacin y en la actualidad incluso se exige por
ley.Los programas de concienciacin y capacitacin pueden lograr que
se reconozca de un modo generalizado que la seguridad es
importante.Existen evidencias que indican que la mayora de los
usuarios finales no son conscientes de las polticas y estndares de
seguridad existentes.
Copyright 2013 ISACA. Todos los derechos reservados.5Pginas de
Referencia del Manual de Preparacin al Examen: Pg. 651.14.9
Concientizacin y formacin La concienciacin y capacitacin en
seguridad a menudo produce las mejoras ms rentables sobre
seguridad.Ampliar y profundizar las habilidades apropiadas del
personal de seguridad mediante capacitacin pueden mejorar en gran
medida la eficiencia de la seguridad en una organizacin.Capacitar a
personal de seguridad de nuevo ingreso o ya existente para dotarlos
de las habilidades que se necesitan para satisfacer los
requerimientos de seguridad especficos tanto existentes como
emergentes puede ser una opcin ms rentable que contratar nuevo
personal con las habilidades apropiadas.La capacitacin efectiva
tiene que estar dirigida a: Sistemas especficosProcesos y polticasA
la forma nica y especfica de la organizacin para hacer negocioAl
contexto de seguridad particular de la organizacinCopyright 2013
ISACA. Todos los derechos reservados.6Directivas para el
instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
65-661.14.10 AuditorasLas auditoras, tanto internas como externas,
son uno de los procesos principales que se utilizan para
identificar deficiencias en la seguridad de la informacin.Las
auditoras internas en la mayor parte de grandes organizaciones las
lleva a cabo un departamento de auditora interna que, por lo
general, informa al director de riesgo (CRO) o a un comit de
auditora del consejo de direccin.Las auditorias externas son
generalmente iniciadas por el departamento de finanzas. (Los
resultados a menudo no se ofrecen a seguridad de la informacin,
pero el ISM debe ayudar a garantizar que se encuentren.)Copyright
2013 ISACA. Todos los derechos reservados.7Directivas para el
instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
66.1.14.11 Exigencia de cumplimientoEs importante que el ISM
desarrolle procedimientos para manejar las violaciones de
cumplimiento.Es preferible un sistema de auto informe y
cumplimiento voluntario.Copyright 2013 ISACA. Todos los derechos
reservados.8Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
66-67
1.14.12 Evaluacin de AmenazasEvaluacin de amenazasEs una tarea
de Evaluacin de Riesgos, pero tiene un componente estratgicoDebe
considerar los tipos, naturaleza y extensin de las amenazasAyuda a
optimizar la respuesta al riesgoFacilita el desarrollo de
polticas
Copyright 2013 ISACA. Todos los derechos reservados.9Directivas
para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
671.14.13 Evaluacin de vulnerabilidadesLa utilizacin de
evaluaciones tcnicas de vulnerabilidades empleando escaneos
automticos, pero en s pueden tener un valor limitado para el
desarrollo de la estrategia de seguridad.Evaluaciones exhaustivas
de la vulnerabilidad deber incluir las vulnerabilidades en:
ProcesosTecnologasInstalacionesCopyright 2013 ISACA. Todos los
derechos reservados.10Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
67
1.14.14 Evaluacin y Gestin de RiesgosAn cuando las evaluaciones
tanto de amenazas como de vulnerabilidades puede ser tiles por s
mismas, tambin es necesario evaluar el riesgo global al que est
expuesta la organizacin.
Copyright 2013 ISACA. Todos los derechos reservados.11Directivas
para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
67
