PowerPoint Presentation
1.17 Implementacin del gobierno de la seguridadEjemplo La lista
contina:Se lleva a cabo de manera consistente el anlisis de impacto
y riesgo de seguridad de la informacin.Las polticas y las prcticas
de seguridad se completan con niveles mnimos especficos de
seguridad.Las sesiones de concienciacin sobre la seguridad se han
vuelto obligatorias.La identificacin, autenticacin y autorizacin de
usuarios se han homologado.Se ha establecido la certificacin de
seguridad del personal.Las pruebas de intrusos son un proceso
establecido y formalizado que conduce a mejoras.Copyright 2013
ISACA. Todos los derechos reservados.1Directivas para el
instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
74-751.17 Implementacin del gobierno de la seguridadEjemplo La
lista contina:El anlisis de costo-beneficio, como apoyo a la
implementacin de las medidas de seguridad, se est utilizando cada
vez con mayor frecuencia.Los procesos de seguridad de la informacin
se coordinan con el rea de seguridad de toda la organizacin.La
presentacin de informacin relativa a la seguridad de la informacin
est vinculada con los objetivos de negocio.Se exige el cumplimiento
de las responsabilidades y los estndares para un servicio
continuo.Las prcticas de redundancia de sistemas, incluyendo el uso
de componentes de alta disponibilidad, se utilizan de manera
consistente.Copyright 2013 ISACA. Todos los derechos
reservados.2Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
74-75Dependiendo de la estructura organizacional, ser necesario
evaluar cada rea o proceso significativo de la organizacin por
separado.En la mayora de las organizaciones, los tpicos resultados
para cada una de las 15 caractersticas definidas anteriormente
oscilarn entre los niveles de madurez en una escala de 1 a 4.Ser
necesario revisar las polticas para determinar si cubren tambin
cada uno de los elementos de CMM.Uno de los objetivos es alcanzar
niveles consistentes de madurez a lo largo de dominios de seguridad
especficos:Todos los procesos crticos deben estar a un nivel de
madurez similar.1.17 Implementacin del gobierno de la
seguridadEjemplo
Copyright 2013 ISACA. Todos los derechos reservados.3Directivas
para el instructor:
Dependiendo de la estructura organizacional, ser necesario
evaluar cada rea o proceso significativo de la organizacin por
separado. Por ejemplo, contabilidad, recursos humanos, operaciones,
TI, las unidades de negocio o filiales deben ser evaluados para
determinar si el estado actual cumple con los requisitos de los 15
(o ms) elementos enumerados anteriormente.
En la mayora de las organizaciones, los tpicos resultados para
cada una de las 15 caractersticas definidas anteriormente oscilarn
entre los niveles de madurez en una escala de 1 a 4. Ser necesario
revisar las polticas para determinar si cubren tambin cada uno de
los elementos. En la medida en que no lo hacen, en la seccin
siguiente se ofrecen sugerencias de polticas que abordan cada uno
de los requisitos de CMM 4.
Un objetivo que debera establecerse es: alcanzar niveles de
madurez consistentes entre dominios de seguridad especficos,
teniendo conciencia de la nocin de que la seguridad es slo tan
buena como el eslabn ms dbil. Por ejemplo, el nivel de madurez de
todos los procesos crticos debe ser el mismo.
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
74-751.17.1 Muestras adicionales de polticasEjemplos de polticas
que podran crearse para abordar algunos aspectos de CMM 4 son las
siguientes:Un mtodo establecido para asegurar alineacin continua
con las metas y objetivos del negocio:Los roles y las
responsabilidades de la Compaa XYZ deben definirse claramente y
deben asignarse formalmente todas las reas de seguridad necesarias
para garantizar la determinacin de responsabilidad. Un desempeo
aceptable deber asegurarse mediante un monitoreo y mtricas
apropiados.Activos de informacin que han sido identificados y
clasificados por su criticidad y sensibilidad: Todos los activos de
informacin deben tener a su dueo debidamente identificado y debern
ser catalogados. Asimismo, deber determinarse su valor y debern
clasificarse con base en su criticidad y sensibilidad a lo largo de
su ciclo vital.Copyright 2013 ISACA. Todos los derechos
reservados.4Directivas para el instructor:
Esta seccin incluye a conjunto de ejemplos de polticas
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
761.18 Metas intermedias del plan de accinLas metas a corto plazo
del plan de accin deberan ser:Definidas una vez que se ha concluido
la estrategia total Con base en la determinacin del BIA de los
recursos de negocio crticos Determinar el estado de seguridad segn
se haya establecido a partir del anlisis de brechas del CMM
anteriorCopyright 2013 ISACA. Todos los derechos
reservados.5Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
771.18 Metas intermedias del plan de accin Si los objetivos de la
estrategia de seguridad son alcanzar cumplimiento o certificacin
CMM 4, entonces un ejemplo de un plan de accin (o tctico) a un
plazo cercano podra establecer que durante los siguientes 12
meses:Cada unidad de negocio tiene que identificar las aplicaciones
actuales en usoTiene que revisarse el 25 por ciento de toda la
informacin almacenada para determinar su propiedad, criticidad y
sensibilidadCada unidad de negocio llevar a cabo un BIA de los
recursos de informacin a fin de identificar los recursos crticosLas
unidades de negocio tienen que dar cumplimiento a las
regulacionesDeben definirse todos los roles y las responsabilidades
de seguridadCopyright 2013 ISACA. Todos los derechos
reservados.6Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
77Se desarrollar un proceso para verificar los vnculos a los
procesos de negocioSe debe realizar una evaluacin de riesgo
exhaustiva para cada unidad de negocioTodos los usuarios deben
recibir formacin sobre una poltica de uso aceptableTodas las
polticas deben revisarse y modificarse segn sea necesario para la
consistencia con los objetivos de la estrategia de seguridad.Deben
existir estndares para todas las polticas
1.18 Metas intermedias del plan de accin Copyright 2013 ISACA.
Todos los derechos reservados.7Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
77
Los fundamentos de un programa de seguridad de la informacin
son:La estrategia de seguridadEl plan de accinEl programa es, en
esencia, el plan de proyecto para implementar y establecer gestin
en curso de alguna parte o partes de la estrategia.
1.19 Objetivos del programa de seguridad de la informacin
Copyright 2013 ISACA. Todos los derechos reservados.8Directivas
para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
771.19 Objetivos del programa de seguridad de la informacin El
objetivo del programa de seguridad de la informacin es proteger
tanto los intereses de aquellos que dependen de la informacin como
los procesos, sistemas y comunicaciones que la manejan, almacenan y
entregan de sufrir algn dao que sea consecuencia de fallas
en:DisponibilidadConfidencialidadIntegridadCopyright 2013 ISACA.
Todos los derechos reservados.9Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
77
1.19 Objetivos del programa de seguridad de la informacin Para
la mayora de las organizaciones, el objetivo de la seguridad se
cumple cuando:La informacin est disponible y se puede utilizar
cuando se le requiere, y los sistemas que la proporcionan pueden
resistir ataques en forma apropiada (disponibilidad)La informacin
se divulga slo a aquellos que tengan derecho a conocerla y slo
puede ser observada por ellos (confidencialidad)La informacin est
protegida contra modificaciones no autorizadas (integridad)Se puede
confiar en las transacciones de negocio y en el intercambio de
informacin entre locaciones de la empresa o con socios
(autenticidad y no repudio)
Copyright 2013 ISACA. Todos los derechos reservados.10Directivas
para el Instructor:La cantidad necesaria de Confidencialidad,
Integridad y Disponibilidad (CID) y No Repudio vara de una
organizacin a otra, dependiendo del contexto del negocio.
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
77
