©Copyright 2013 ISACA. Todos los derechos reservados. 1.5 Gobierno Efectivo de la Seguridad de la Información BMIS - Una clara estrategia organizacional

©Copyright 2013 ISACA. Todos los derechos reservados.

1.5 Gobierno Efectivo de la Seguridad de la Información

• BMIS - Una clara estrategia organizacional para la preservación es igualmente importante y debe acompañar a la estrategia para el progreso.

• CMU - Ver una seguridad adecuada como un requerimiento no negociable para estar en el negocio.


1.5.1 Metas y objetivos del negocio

• El gobierno corporativo es el conjunto de responsabilidades y prácticas ejercidas por el directorio y el equipo ejecutivo.

• Sus metas pueden incluir:– Entregar dirección estratégica– Asegurar el logro de los objetivos– Asegurar que los riesgos son gestionados apropiadamente– Verificar que los recursos de la compañía son utilizados

responsablemente



• ¿Qué es Gobierno de seguridad de la información?− Es un subconjunto del Gobierno Corporativo− Entrega dirección estratégica a las actividades de

seguridad y asegura el logro de los objetivos− Asegura que el riesgo de seguridad de la

información se gestione apropiadamente− También ayuda a asegurar que los recursos de

información son utilizados responsablemente.



• En orden a asegurar la efectividad del Gobierno de seguridad de la información, la gerencia debe establecer y mantener un marco de trabajo− Este marco de trabajo deberá guiar el desarrollo

y gestión de un programa de seguridad de la información consistente que apoye los objetivos de negocios



El marco de trabajo de gobierno generalmente consistirá en:— Una estrategia de seguridad completa vinculada con los

objetivos del negocio— Las políticas de Seguridad deben ocuparse de cada aspecto

estratégico, controles y regulaciones— Un conjunto completo de estándares para cada política — Una estructura organizacional libre de conflictos de

intereses con la suficiente autoridad y recursos— Métricas y procesos de monitoreo para garantizar el

cumplimiento y entregar retroalimentación


1.5.2 Alcance y estatutos del gobierno de la seguridad de

la información

• Seguridad de la Información se ocupa de todos los aspectos de la información.

• Seguridad de TI es concerniente a la seguridad de la información en los límites del dominio de la tecnología.



la información

• La Corporate Government Task Force (Grupo de Trabajo de gobierno corporativo) de la National Security Partnership [Sociedad de seguridad nacional], un grupo de trabajo especial conformado por líderes corporativos y del gobierno, ha identificado un conjunto básico de principios para ayudar a dirigir la implementación de un gobierno efectivo de seguridad de la información:

— Los CEO deben asegurarse de que se lleve a cabo una evaluación anual de la seguridad de la información, deben revisar los resultados de la evaluación con el personal y presentar ante el consejo de dirección información sobre el desempeño.

— Las organizaciones deben llevar a cabo evaluaciones periódicas de riesgos con respecto a los activos de información como parte de un programa de gestión de riesgos.

— Las organizaciones deben implementar políticas y procedimientos basados en las evaluaciones de riesgos para proteger los activos de información.

— Las organizaciones deben establecer una estructura de gestión de la seguridad para asignar roles, deberes, facultades y responsabilidades individuales explícitas.



la información• La Corporate Government Task Force (Grupo de Trabajo de gobierno corporativo) de la National

Security Partnership [Sociedad de seguridad nacional], un grupo de trabajo especial conformado por líderes corporativos y del gobierno, ha identificado un conjunto básico de principios para ayudar a dirigir la implementación de un gobierno efectivo de seguridad de la información:

— Las organizaciones deben desarrollar planes y tomar acciones para brindar una seguridad de la información apropiada para las redes, equipos, sistemas e información.

— Las organizaciones deben tratar la seguridad de la información como una parte integral del ciclo vital del sistema.

— Las organizaciones deben proporcionar concienciación, capacitación y formación en seguridad de la información al personal.

— Las organizaciones deben realizar pruebas y evaluaciones periódicas de la efectividad de las políticas y procedimientos de seguridad de la información.

— Las organizaciones deben desarrollar y ejecutar un plan para tomar acciones correctivas para resolver cualquier deficiencia en la seguridad de la información.

— Las organizaciones deben desarrollar e implementar procedimientos de respuestas a incidentes.— Las organizaciones deben establecer planes, procedimientos y pruebas para brindar continuidad a las

operaciones.— Las organizaciones deben aplicar las mejores prácticas en seguridad, tales como ISO 27001, para medir el

desempeño de la seguridad de la información.


1.5.3 Roles y responsabilidades de la alta dirección

• Consejo de dirección/Alta dirección:— Gobierno de seguridad de la información

• Dirección ejecutiva:— Implementar un gobierno efectivo de seguridad y definir los objetivos

estratégicos de seguridad • Comité directivo:

— Asegurar que todas las partes interesadas impactadas por consideraciones de seguridad estén involucradas.

• CISO:— Las responsabilidades van desde el CISO (quien reporta al CEO) hasta

los administradores de sistemas que tiene una responsabilidad de medio tiempo por la gerencia de la seguridad


1.5.4 Roles y responsabilidades de la seguridad de la información

Gerente de seguridad de la información: • Desarrolla la estrategia de seguridad con la colaboración de

unidades clave del negocio y la aprobación de la estrategia por parte de la alta dirección.

• Educar a la gerencia

La seguridad de la información requiere: • Liderazgo y respaldo continuo por parte de la alta dirección• Integración con las gerencias de la unidad de negocio y

organizacional, así como de su cooperación• Establecimiento de los canales de reporte y comunicación


1.5.5 Gobierno, gestión de riesgos y cumplimiento

GRC – Enfoque adoptado por muchas organizaciones para combinar procesos de aseguramiento que incluyen:• Auditoría interna• Programas de cumplimiento (SOX)• Gestión de riesgos empresariales (ERM)• Gestión de incidentes



Gobierno: • Es responsabilidad de _______________• Su foco está en _____________________Gestión de riesgos: • Es un _____________________________• Desarrolla e implementa _____________Cumplimiento:• Es el _______ que _________________



Un programa de GRC de TI generalmente incluye:• Controles y librerías de políticas• Distribución de políticas y respuesta• Autoevaluación de controles de TI y medición• Repositorio de activos de TI• Recopilación automatizada de control de computadoras

general• Gestión de correcciones y excepciones• Reporte• Evaluación avanzada de riesgos de TI y tableros de

cumplimiento


1.5.6 Modelo de negocios para la seguridad de la información

• Modelo creado por el Institute for Critical Information Infrastructure Protection.

• Un enfoque orientado a negocios para gestionar la seguridad de la información.

• Se ve mejor como un sistema flexible, en 3-D, la estructura piramidal compuesta por cuatro elementos unidos por seis interacciones dinámicas.





Diseño y Estrategia de la Organización

Una organización es una red e personas, activos y procesos interactuando entre sí con roles

definidos y trabajando para alcanzar una meta común. La estrategia de la empresa especifica

sus metas de negocio y los objetivos que e deben alcanzar, así como los valores y las misiones que

se deben perseguir. El diseño define la manera en que la organización implementa su estrategia. Los procesos, la cultura y la arquitectura son

importantes para determinar el diseño.

ARQUITECTURA

CULTURA

Diseño/Estrategia

ORGANIZACION

DAR SOPORTESURGIMIEN

TO

FACTORES HUMANOSTECNOLOGÍARECURSO

HUMANO

PROCESOSDE NEGOCIO



ARQUITECTURA

CULTURA

Diseño/Estrategia

ORGANIZACION


TO


HUMANO

PROCESOSDE NEGOCIO

Personas: Los recursos humanos y los aspectos de seguridad que los rodean.

Define quién implementa cada parte de la estrategia.

Estrategias de reclutamiento • Acceso, verificaciones de antecedentes, entrevistas, roles y

responsabilidades

Aspectos relacionados con el empleo• Ubicación de la oficina, acceso a herramientas y datos,

capacitación y concientización, movimiento dentro de la empresa

Término de relaciones laborales• Razones de la desvinculación, momento de la salida, acceso a

los sistemas, acceso a otros empleados



ARQUITECTURA

CULTURA

Diseño/Estrategia

ORGANIZACION


TO


HUMANO

PROCESOSDE NEGOCIOPr

oces

osIncluye mecanismos formales e informales para realizar las tareas. Identifican, miden, gestionan y controlan el riesgo, la disponibilidad, la integridad y la confidencialidad, además de asegurar la responsabilidad.



ARQUITECTURA

CULTURA

Diseño/Estrategia

ORGANIZACION


TO


HUMANO

PROCESOSDE NEGOCIO

Tecnología

• Conformada por todas las herramientas, aplicaciones y la infraestructura que incrementa la eficiencia de los procesos.

• Como elemento en evolución que experimenta cambios frecuentes, tiene sus propios riesgos dinámicos.

• Dada la típica dependencia de la tecnología que exhiben las organizaciones, la tecnología constituye una parte esencial de la infraestructura de la empresa y un factor crítico para alcanzar la estrategia.

Documents

©Copyright 2013 ISACA. Todos los derechos reservados. 1.5 Gobierno Efectivo de la Seguridad de la Información BMIS - Una clara estrategia organizacional