PowerPoint Presentation
Los Indicadores Clave de Meta (KGI) para la integracin del
proceso de aseguramiento pueden incluir:No existen fallas en la
proteccin de los activos de informacinSe eliminan superposiciones
innecesarias en la seguridadLas actividades de aseguramiento estn
perfectamente integradasLos roles y las responsabilidades estn bien
definidosLos encargados de proporcionar el aseguramiento entienden
la relacin con otras reas de aseguramientoTodas las funciones de
aseguramiento estn identificadas e incluidas en la estrategia1.8.8
Integracin del proceso de aseguramiento
Copyright 2013 ISACA. Todos los derechos reservados.1Directivas
para el instructor: Con respecto a la administracin del riesgo
inherente a un negocio, Booz Allen Hamilton (en su publicacin
Convergence of Enterprise Security Organizations, Convergencia de
organizaciones de seguridad empresarial), indica que:En el pasado,
la gestin del riesgo inherente en un negocio era una funcin que
estaba integrada dentro de los roles individuales del "Conjunto C".
El enfoque tradicional era tratar cada riesgo por separado y
asignar la responsabilidad a una persona o grupo reducido.
Gestionar un nico tipo de riesgo se volvi un trabajo definido, y
llevarlo a cabo significaba enfocarse exclusivamente en esa rea
particular. El problema con este enfoque independiente es que no
slo ignora la interdependencia de muchos riesgos de negocio sino
tambin suboptimiza el financiamiento del riesgo total de una
empresa.
Romper con ese enfoque independiente y tratar la suboptimizacin
de las inversiones requiere de una nueva forma de pensar acerca del
problema.
Este nuevo pensamiento agrupa a las diversas partes involucradas
en el conjunto problema para que trabajen de manera cercana y
conjunta. Uno de los principales objetivos de este estudio es saber
cmo las organizaciones lderes conjuntan diversos elementos y hacen
que se orienten hacia un objetivo comn.
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
471.9 Visin General de la Seguridad de la InformacinQu es
estrategia?Kenneth Andrews define estrategia corporativa como: El
patrn de decisiones en una compaa que determina y revela sus
objetivos, propsitos o metas, produce las principales polticas y
planes para conseguir las metas y define el rango de negocios que
la compaa seguir, el tipo de organizacin econmica y humana que es o
intenta ser, y la naturaleza de la contribucin econmica o
no-econmica que busca entregar a sus accionistas, empleados,
clientes y comunidades
Copyright 2013 ISACA. Todos los derechos reservados.2Directivas
para el instructor: Si tomamos esta definicin y agregamos seguridad
en los puntos apropiados, el resultado es una buena definicin de la
estratega de seguridad de la informacin.
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
47-481.9 Visin General de la Seguridad de la Informacin Una
estrategia de seguridad de la informacin:Declara
objetivos/propsitos/metasDelinea las polticas y planes principales
para asegurar objetivos/propsitos/metasDefine:El rango de
negociosEstado deseado para los negociosEntrega la base para un
plan de accinLos planes de accin deben ser formulados basndose en
los recursos y obligaciones disponibles.Los planes de accin deben
contener provisiones para el monitoreo y mtricas para determinar el
nivel de xitoCopyright 2013 ISACA. Todos los derechos
reservados.3Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
47-4841.9 Visin General de la Seguridad de la Informacin
Copyright 2013 ISACA. Todos los derechos reservados.Directivas
para el instructor:
El flujo de este modelo sirve para promover el alineamiento de
la seguridad de la informacin con los objetivos de negocios. El
equilibrio de las contribuciones radica en determinar el estado
deseado de la seguridad en comparacin con el estado actual o
existente. Los procesos del negocio se deben considerar al igual
que el riesgo organizacional clave, incluyendo los requisitos
regulatorios y el anlisis de impacto correspondiente para
determinar niveles de proteccin y prioridades.
Pginas de Referencia del Manual de Preparacin al Examen: 48
41.10.1 Dificultades comunesExceso de Confianza Optimismo
AnclajeTendencia al status quo Contabilidad Mental Instinto
Gregario Falso ConsensoCopyright 2013 ISACA. Todos los derechos
reservados.5Directivas para el instructor: Exceso de confianza.La
investigacin muestra una tendencia de la gente a tener un exceso de
confianza en su capacidad para hacer clculos exactos. La mayora de
la gente se muestra renuente a calcular una amplia variedad de
posibles resultados y prefiere estar precisamente en un error que
vagamente en lo correcto. La mayora tambin tiende a confiar
demasiado en sus propias capacidades. Para las estrategias
organizacionales que se basan en evaluaciones de capacidades
principales, esto puede resultar en particular problemtico.
Optimismo.La gente tiende a ser optimista en sus pronsticos. Una
combinacin de confianza y optimismo excesivos puede tener un
impacto desastroso en las estrategias que se basan en los clculos
de lo que podra suceder. Por lo general dichas proyecciones son
precisas a un grado no realista y demasiado optimistas. Anclaje.La
investigacin demuestra que una vez que se presenta un resultado a
alguien, una estimacin posterior, incluso de un tema totalmente
ajeno estar anclado al primer nmero. Aun cuando podra resultar til
para efectos de mercadotecnia, el anclaje puede tener consecuencias
graves en el desarrollo de estrategias cuando resultados futuros se
anclan a experiencias pasadas. La tendencia al status quo.La mayora
de las personas muestra una fuerte tendencia a apegarse a enfoques
familiares y conocidos incluso cuando se haya comprobado que son
inadecuados o ineficaces. La investigacin tambin indica que la
preocupacin por las prdidas es por lo general mayor que la emocin
de una posible ganancia. El efecto de legado es una tendencia
similar en la cual la gente prefiere conservar lo que es suyo o lo
que conocen, y el simple hecho de poseer algo lo hace ms valioso
para el dueo.
Contabilidad mental.Se define como la inclinacin a categorizar y
tratar al dinero de manera diferente dependiendo de dnde viene,
dnde se guarda y cmo se gasta. La contabilidad mental es comn
incluso en salas de juntas de corporaciones conservadoras y
racionales. Algunos ejemplos incluyen:- Estar menos interesado en
los gastos derivados de los cargos por reestructuracin que del
estado de resultados.- Imponer lmites de costos a un negocio
central mientras se gasta libremente al inicio.- Crear nuevas
categoras de gastos, tales como inversiones de los ingresos o
inversiones estratgicas.
El instinto gregario.Es una caracterstica humana fundamental
conformar y buscar la validacin de otros. Esto puede observarse por
la mana en la seguridad (as como todos los dems aspectos de la
actividad humana) cuando, por ejemplo, de pronto alguien se
involucra en la administracin de claves o la deteccin de intrusos.
En ocasiones, explicado en trminos de una idea cuya hora ha
llegado, se describe con mayor precisin como el instinto gregario
detrs de los lderes del pensamiento. Las implicaciones que tiene
para el desarrollo de la estrategia deben quedar claras. Queda
demostrado de manera acertada cuando se dice que para los altos
directivos lo nico peor que cometer un enorme error estratgico es
ser la nica persona en la industria que lo comete.
Falso consenso.Existe una tendencia bien documentada en la gente
de sobreestimar el grado al cual los dems comparten sus puntos de
vista, creencias y experiencias. Algunas investigaciones tales como
el estudio realizado por C.E. Camerer y G. Loewenstein, han
revelado varias causas, entre otras:- Tendencia a la
confirmacin.Buscar opiniones o hechos que respalden nuestras
propias creencias.- Recuerdos selectivos.Recordar slo hechos o
experiencias que refuerzan las suposiciones actuales.- Evaluacin
subjetiva.Fcil aceptacin de evidencia que sustenta nuestras
hiptesis al mismo tiempo que se cuestiona la evidencia
contradictoria y, casi invariablemente, se rechaza. A menudo a los
crticos se les ataca con motivos hostiles o se pone en tela de
juicio su competencia. Pensamiento de grupo.La presin para llegar a
un acuerdo en culturas orientadas a formar equipos.
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
49-50El objetivo de desarrollar una estrategia de seguridad de la
informacin:Se deben definirDeben estar acompaados por el desarrollo
de mtricas para determinar si los objetivos sern alcanzados.1.11
Objetivos de la Estrategiade Seguridad de la Informacin Copyright
2013 ISACA. Todos los derechos reservados.6Directivas para el
instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
50Pginas de Referencia del Manual de Preparacin al Examen:Pgs.1.11
Objetivos de la Estrategiade Seguridad de la Informacin Las seis
metas del gobierno son:Alineacin estratgicaGestin efectiva de
riesgosEntrega de valorGestin de recursosGestin del
desempeoIntegracin de Procesos de AseguramientoCopyright 2013
ISACA. Todos los derechos reservados.7Directivas para el
instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
501.11.1 La metaLa meta de la seguridad de la informacin
es:Proteger los activos de informacin de la organizacin. Para
asegurar esta meta, la informacin relevante debe
ser:LocalizadaClasificadaEtiquetadaProtegida de acuerdo a su
etiquetadoCopyright 2013 ISACA. Todos los derechos
reservados.8Directivas para el instructor:Muchas organizaciones no
entienden que significa proteger.
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
50-511.11.2 Definicin de objetivosLa estrategia de seguridad de la
informacin es la base de un plan de accin para asegurar el logro de
los objetivos de seguridad. Los objetivos de largo plazo deben ser
en trminos de un Estado Deseado. Deben reflejar la visin bien
articulada de los resultados deseados de un programa de
seguridad.Los objetivos de la estrategia de seguridad de la
informacin tambin deben establecerse en trminos de metas especficas
para apoyar mejor las actividades de negocio. Copyright 2013 ISACA.
Todos los derechos reservados.9Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
52-531.11.2 Definicin de objetivos Vnculos de Negocios:Pueden
iniciar desde la perspectiva de los objetivos especficos de una
determinada lnea de negocio.Deben tomar en consideracin todos los
flujos de informacin que son crticos para asegurar la continuidad
de operaciones.Pueden descubrir los problemas de seguridad de la
informacin a nivel operativo.Copyright 2013 ISACA. Todos los
derechos reservados.10Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
52-53
1.11.3 El estado deseadoEl estado deseado comprende una
fotografa de todas las condiciones relevantes en un punto del
tiempo en el futuro: Incluyendo personas, procesos y tecnologas.Un
Estado deseado de seguridad debe ser definido en trminos de
atributos, caractersticas y resultados:El desarrollo de la
estrategia tendr lmites sobre los tipos de mtodos de aplicacin a
considerar.Copyright 2013 ISACA. Todos los derechos
reservados.11Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
53
1.11.3 El estado deseado El estado deseado de acuerdo a
COBIT:"La proteccin de los intereses de aquellos que confan en la
informacin, procesos, sistemas y comunicaciones que manipulan,
almacenan y entregan la informacin, de cualquier dao resultante de
fallas de disponibilidad, confidencialidad e integridadFocalizada
en los procesos relacionados con TI desde las perspectivas de
Gobierno TI, gestin y control.
Copyright 2013 ISACA. Todos los derechos reservados.12Directivas
para el instructor:Definir un "estado de seguridad" en trminos
puramente cuantitativos es imposible. En consecuencia, un estado
deseado de seguridad tiene que definirse hasta cierto punto en
trminos cualitativos de atributos, caractersticas y resultados. De
acuerdo con Cobit, puede incluir objetivos de alto nivel tales
como: "La proteccin de los intereses de aquellos que confan en la
informacin, procesos, sistemas y comunicaciones que manipulan,
almacenan y entregan la informacin, de cualquier dao resultante de
fallas de disponibilidad, confidencialidad e integridad. Resulta
evidente que aun cuando la aseveracin anterior es til para declarar
la intencin y el alcance, no ofrece la claridad suficiente para
definir los procesos u objetivos.
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
53-56
1.11.3 El estado deseado El estado deseado de la seguridad puede
ser definido como el logro de algn nivel especfico de Capability
Maturity Model (CMM):0. Inexistente-No hay reconocimiento de la
organizacin de necesidad de seguridad1. ProvisionalLos riesgos se
consideran de modo provisional2. Repetible pero
intuitivoEntendimiento emergente del riesgo y la necesidad de la
seguridad3. Proceso definidoPoltica de gestin de riesgos/conciencia
sobre la seguridad en toda la empresa4. Administrado pero
cuantificableProcedimiento establecido de gestin de riesgos, roles
y responsabilidades asignados; se cuenta con polticas y normas5.
OptimizadoProcesos implementados, monitoreados y administrados en
toda la organizacin
Copyright 2013 ISACA. Todos los derechos reservados.13Directivas
para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
53-56
1.11.3 El estado deseado El Cuadro de Mandos Balanceados usa
cuatro perspectivasCopyright 2013 ISACA. Todos los derechos
reservados.14Directivas para el instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pag.
53-56
