GOBIERNO DE LA

SEGURIDAD
DE LA INFORMACIN

DEFINICION DE GOBIERNO DE SEGURIDAD

DEFINICION DE GOBIERNO DE SEGURIDAD DE LA
INFORMACIONDE LA INFORMACION
Conjunto de responsabilidades y practicas, ejercidas por el consejo y la
direccin ejecutiva con la finalidad de brindar una direccin estratgica,
garantizar que se logren los objetivos, determinar que los riesgos se
administraran en forma apropiada y verificar que los recursos de la
empresa se utilizan con responsabilidad
Informe sobre el gobierno de TI 2da edicin (ITGI)

INTRODUCCION AL GOBIERNO DE SEGURIDAD DE LA

INFORMACION
Informacin: datos con significado y propsito.
Es un componente indispensable para realizar negocios.
Es difcil encontrar una organizacin sin TI y que no dependa de la informacin que
procesa.
Los sistemas de informacin dominan la sociedad y los negocios con dependencia
absoluta sobre estos y los datos que manejan.
La informacin y los activos intangibles de una organizacin representan el 80% de
su valor de mercado (Segn el Instituto Brookins).
Los daos a la integridad de la informacin pueden ser devastadores para una
organizacin.

INTRODUCCION AL GOBIERNO DE SEGURIDAD DE LA

INFORMACION
Durante los ltimos 12 aos los delitos y el vandalismo informtico ha crecido
enormemente.
La complejidad, importancia y criticidad de la seguridad de la informacin y su
gobierno exigen un tratamiento y un respaldo por parte de los niveles mas altos de una
organizacin.

La proteccin se ha enfocado a las TI y no a la informacin en si misma , hoy

en da se busca un nivel de integracin, aseguramiento del proceso y seguridad genera
la tarea de brindar una proteccin adecuada a los recursos de informacin el tema
tiene que elevarse a una actividad a nivel de consejo como sucede con otras funciones
criticas de gobierno. La complejidad, importancia y criticidad de la seguridad de la
informacin y su gobierno exigen un tratamiento y un respaldo por parte de los niveles
mas altos de una organizacin.
La proteccin se ha enfocado a las TI y no a la informacin en si misma, hoy en da
se busca un nivel de integracin

INTRODUCCION AL GOBIERNO DE SEGURIDAD DE LA

INFORMACION
La seguridad de TI trata de la seguridad de la tecnologa y por lo general se
maneja desde el nivel del director de informacin (CIO). La seguridad de la
informacin trata la totalidad de riesgos, beneficios y procesos que estn
relacionados con la informacin y debe ser impulsada por la direccin ejecutiva y
respaldada por el consejo de administracin.
El avance de la TI y la capacidad para acceder, manipular y utilizar la
informacin han aportado enormes oportunidades y beneficios a la economa
global, esto tambin ha trado riesgos sin precedentes y un desconcertante
mosaico de leyes y regulaciones vigentes y pendientes.
Se ha generado una dependencia de la informacin y de los sistemas que la
soportan.
El gobierno de la seguridad de la informacin es responsabilidad del consejo de
administracin y la direccin ejecutiva. Debe ser parte integral y transparente del
gobierno de la empresa. Consiste en el liderazgo, las estructuras y los procesos
organizacionales que salvaguardan la informacin.

IMPORTANCIA DEL GOBIERNO DE SEGURIDAD DE LA

INFORMACIN

Informacin es la esencia del conocimiento.

El conocimiento se capta, transporta y almacena como informacin organizada.
El conocimiento se esta volviendo rpidamente en el nico factor de la
productividad, dejando de lado al capital y a la mano de obra. (Peter Druker)
Muchas organizaciones consideran a la informacin y el conocimiento activos tan
importantes sin los cuales seria imposible dirigir el negocio.
Como las TI promueven una mejora radical en el desempeo del negocio, la
seguridad de la informacin eficaz, puede aadir valor significativo a la
organizacin, al reducir perdidas derivadas de eventos relacionados con la
seguridad brindando confianza, seguridad.

RESULTADOS DEL GOBIERNO DE LA SEGURIDAD

Para proporcionar confianza sobre una adecuada y efectiva seguridad de la
informacin a la alta direccin hay que tener en cuenta:

GOBIERNO EFICAZ DE LA SEGURIDAD DE INFORMACION

Gobernar para la seguridad de una empresa significa ver una seguridad
adecuada como un requerimiento no negociable de estar en el negocio. Si la
gerencia de una organizacin, incluso su consejo de administracin, directores
y todos los gerentes, no establece, ni fortalece la necesidad del negocio de
contar con una seguridad efectiva para la empresa, no ser posible estructurar,
alcanzar ni mantener el estado deseable de seguridad de la organizacin.
Para lograr una capacidad sustentable, las organizaciones deben hacer que la
seguridad de la empresa sea responsabilidad de los lideres a un nivel de
gobierno, no de los roles de la organizacin que no tienen autoridad,
responsabilidad ni recursos para actuar ni exigir el cumplimiento
Julia Allen (Carnegie Mellon University)

METAS Y OBJETIVOS DEL NEGOCIO

El gobierno corporativo es un conjunto de responsabilidades y practicas, ejercidas por el
consejo y direccin ejecutiva, con la finalidad de brindar una direccin estratgica,
garantizar que se logran los objetivos, determinar que los riesgos se administran en forma
apropiada y verificar que los recursos de la empresa se utiliza con responsabilidad.
El gobierno de la seguridad de la informacin, es un subconjunto del gobierno corporativo,
que proporciona una direccin estratgica a las actividades de la seguridad y garantiza que
se alcancen los objetivos. Garantiza tambin que los riesgos relacionados con la seguridad
de informacin se administren de forma apropiada y que los recursos de informacin de la
empresa se utilicen con responsabilidad.

MARCO DE GOBIERNO PARA ALCANZAR LA SEGURIDAD DE LA

INFORMACIN
1. Una estrategia integral de seguridad que est vinculada de manera intrnseca
con los objetivos del negocio.
2. Polticas de seguridad de gobierno que traten cada aspecto de la estrategia, los
controles y la regulacin.
3. Una serie completa de normas para cada poltica que garantice que los
procedimientos y lineamientos cumplan con dicha poltica.
4. Una estructura organizacional de seguridad efectiva libre de conflictos de
inters que tengan suficiente autoridad y recursos adecuados.
5. Mtricas y procesos de monitoreo institucionalizados que garanticen el
cumplimiento y proporciones retroalimentacin sobre la efectividad.
. El gran objetivo es:
DESARROLLAR
INFORMACION!!!

UN

PROGRAMA

DE

SEGURIDAD

DE

LA

RELACIONES DE LOS RESULTADOS DEL

GOBIERNO DE SEGURIDAD CON LAS
RESPONSABILIDADES GERENCIALES

RELACIONES DE LOS RESULTADOS DEL

GOBIERNO DE SEGURIDAD CON LAS
RESPONSABILIDADES GERENCIALES

CONCEPTO DE SEGURIDAD DE LA INFORMACION

Entre los principales conceptos de seguridad que un gerente de seguridad
de la informacin debe conocer a profundidad son:

E
T

CONFIDENCIALIDAD: Prevencin de divulgacin accidental

INTEGRIDAD: Aseguramiento de que los datos no han sido modificados
sin autorizacin.
DISPONIBILIDAD: Accesible y utilizable cuando se requiera

IM

O
P

N
A
T
R

Pero tambin requiere conocer conceptos como.

CONCEPTOS DE SEGURIDAD DE LA INFORMACION

AUDITABILIDAD: Permitir la reconstruccin, revisin y anlisis de la
secuencia de acontecimientos
IDENTIFICACION: Verificacin de una persona o cosa, reconocimiento.
AUTENTICACION: Proporcionar una prueba de identidad, puede ser algo que
se sabe, es o tiene.
AUTORIZACION: Lo que se permite cuando se ha otorgado acceso.
NO REPUDIO: No se puede negar un evento o una transaccin.
SEGURIDAD ESTRATIFICADA: Defensa profunda que contemple el
riesgo al dao.
CONTROL DE ACCESO: Garantizar solo acceso autorizado a entidades
autenticadas.
METRICAS DE SEGURIDAD, MONITOREO: Medicin de actividades de
seguridad.

CONCEPTOS DE SEGURIDAD DE LA INFORMACION

GOBIERNO: Proporcionar control y direccin a las actividades.
ESTRATEGIA: Los pasos que se requieren para alcanzar un objetivo.
ARQUITECTURA: El diseo de la estructura y las relaciones de estos elementos.
GERENCIA: Vigilar las actividades para garantizar que se alcancen los objetivos
RIESGO: La explotacin de una vulnerabilidad por parte de una amenaza.
EXPOSICIONES: reas que son vulnerables a impacto por parte de una
amenaza.
VULNERABILIDADES: Deficiencias que pueden ser explotadas por amenazas.
AMENAZAS: Cualquier accin o evento que puede ocasionar consecuencias
adversas.

CONCEPTOS DE SEGURIDAD DE LA INFORMACION

RIESGO RESIDUAL: El riesgo que permanece despus de que se han
implementado contramedidas y controles.
IMPACTO: Los resultados y consecuencias de que se materialice un riesgo.
CRITICIDAD: La importancia que tiene un recurso para un negocio.
SENSIBILIDAD: El nivel de impacto que tendra una divulgacin no
autorizada.
ANALISIS DEL IMPACTO DEL NEGOCIO: Evaluar los resultados y las
consecuencias del riesgo al dao.
ANALISIS DE DEPENDENCIA DEL NEGOCIO: El grado al cual el
negocio depende de un recurso.
ANALISIS DIFERENCIAL: La diferencia entre la realidad y el objetivo.

CONCEPTO DE SEGURIDAD DE LA INFORMACION

CONTROLES: Cualquier accin o proceso que se utiliza para mitigar el
riesgo.
CONTRAMEDIDAS: Cualquier accin o proceso que reduce la
vulnerabilidad.
POLITICAS: Declaracin de alto nivel sobre el empeo y la direccin de
la gerencia.
NORMAS: Establece los limites permisibles de acciones y procesos para
cumplir con la poltica.
ATAQUES: Tipos y naturaleza de los riesgos de dao a la seguridad.
CLASIFICACION DE DATOS: El proceso de determinar la sensibilidad
y criticidad de la informacin.

Tecnologas de seguridad que se deben conocer:

Firewalls
Administracin de cuentas de usuario
Deteccin y prevencin de intrusos
Antivirus
Infraestructura de llave publica
Acceso remoto
Firma digital
Intercambio electrnico de datos (EDI) y Transferencia electrnica de fondos (EFT)
Capa de socket segura (SSL)
Conexin nica single-sign-on (SSO)
Biometra
Encriptacin
Cumplimiento de privacidad
Redes privadas virtuales (VPNs)
Transferencia electrnica segura (SET)
Forense
Tecnologa de monitoreo

DESARROLLO DE UNA ESTRATEGIA DE SEGURIDAD

DIFICULTADES COMUNES
Exceso de confianza, sobre la capacidad para hacer clculos exactos.
Optimismo, en los pronsticos.
Anclaje (resultados futuros ancladas a experiencias pasadas)
La tendencia del status quo, apego a enfoques familiares y conocidos aun
cuando estos sean ineficaces o inadecuados.
Contabilidad mental inclinacin a categorizar y tratar el dinero de
manera mental, diferente dependiendo de donde viene, donde se mantiene
y como se gasta.
El instinto gregario, caracterstica humana que busca conformar y buscar
la validacin mediante acciones de otras personas.
Falso consenso:
Tendencia a la confirmacin
Recuerdos selectivos
Evaluacin subjetiva
Pensamiento de grupo

OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LA

INFORMACION
Es necesario definir de manera especifica los objetivos de la seguridad de la
informacin. Supone el conocimiento de dos factores:
Los activos de informacin se conocen con algn grado de precisin.
Exista un entendimiento asumido de lo que significa Proteger. Es difcil
establecer que activos necesitan proteccin y contra que..
Utilizar un enfoque basado en niveles para determinar que tan critico es un
activo de informacin (cero significa que no tiene valor, cinco significa que tiene
una valor critico) se vera en el anlisis de riesgos..
Tambin las organizaciones debe utilizar clasificaciones de sensibilidad como:
confidencial, de uso interno y publico.

OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LA

INFORMACION
No ser posible desarrollar una estrategia rentable de seguridad de la
informacin que sea congruente con los requerimientos de negocio si
antes no se:
Determinan los objetivos de la seguridad de la informacin.
Localizan e identifican los recursos de informacin.
Valan los activos y recursos de informacin.
Clasifican los activos de informacin con base a su criticidad y
sensibilidad

DEFINICIN DE OBJETIVOS
Una estrategia de informacin es la base para un plan de accin, que
permita alcanzar los objetivos de seguridad.
Es preciso definir los objetivos en trminos de un Estado deseado de
seguridad.
Si no se cuenta con una estrategia, es imposible desarrollar un plan de
accin.
Muchos objetivos se establecen en trminos de mitigacin o
administracin de riesgos.
Es probable que una revisin de los planes de negocio estratgicos de la
organizacin revele oportunidades para que las actividades de seguridad
de informacin apoyen mas o permitan una nueva posibilidad de negocio
particular.

.. Un ejemplo
La implementacin de una infraestructura de llave publica (PKI)
puede permitir la realizacin de transacciones de alto valor entre
socios comerciales o clientes confiables. Utilizar VPNs puede darle
a la fuerza de ventas una conectividad remota segura que le
permita un mejor desempeo En otras palabras la seguridad de la
informacin puede facilitar que se lleven a cabo actividades de
negocio que de otro modo serian demasiado riesgosas o como
sucede con mucha frecuencia, se realizan con la esperanza de que
nada falle.

EL ESTADO DESEADO
Se utiliza para denotar una visin general de todas las condiciones
relevantes en un momento particular, incluye personas, procesos y
tecnologa.
Definir un estado deseado de seguridad en trminos cuantitativos es
imposible, por lo que debe definirse en trminos cualitativos de atributos,
caractersticas y resultados.
Existen diversos enfoques disponibles que permiten proporcionar un
marco a fin de alcanzar un estado deseado de seguridad bien definido, los
de mas aceptacin son: COBIT, CMM, CUADRO DE MANDO, ISO/IEC
17799/ISO 27001

COBIT
Objetivos de control para la Informacin y tecnologas relacionadas
(COBIT) se enfoca a los controles de TI desde la perspectiva del gobierno
de TI, gerencia y control.
Es un marco poderoso y bien desarrollado que puede servir a los
objetivos de seguridad de la informacin.
Los controles se definen como las polticas, procedimientos, practicas y
estructuras organizacionales que estn diseados para brindar una
confianza razonable de que se alcanzaran los objetivos del negocio y que se
evitaran o detectaran los incidentes no deseados.
Los objetivos de control se definen como una declaracin del resultado
deseado o propsito que se va a lograr mediante la implementacin de
procedimientos de control en un proceso en particular.

COBIT
Defina al gobierno corporativo como un conjunto de responsabilidades y
prcticas que ejerce el consejo de administracin y la direccin ejecutiva
con el propsito de brindar una direccin estratgica, garantizar que se
alcancen los objetivos, determinar que los riesgos se administran en forma
apropiada y verificar que los recursos de la empresa se utilizan en forma
responsable.
COBIT, establece 34 objetivos, donde los procesos se agrupan en cuatro
dominios:

Planear y organizar
Adquirir e implementar
Entregar y soportar
Monitorear y evaluar

CMM
El estado de seguridad tambin puede definirse como alcanzar un nivel
especifico en el Modelo de capacidad de madurez (CMM).

CUADRO DE MANDO INTEGRAL

Es un sistema de gerencia (no solo un sistema de medicin) que permite a
las organizaciones aclarar su visin y estrategia y llevarlas a cabo.
Ofrece retroalimentacin tanto sobre los procesos internos de negocio y los
resultados externos para continuar mejorando el desempeo estratgico y los
resultados.
Cuando se utiliza en su totalidad, el cuadro de mando integral, transforma
los planes estratgicos de un ejercicio acadmico en el centro neurlgico de
una empresa.

ISO /IEC 27001 ISO/IEC 27002

Las reas que se definen en este estndar pueden brindar un marco til
para alcanzar un buen entendimiento de la seguridad organizacional. De
igual forma, se deben crear normas y polticas que permitan monitorear
directamente cada uno de los elementos de la norma.
Principales divisiones de ISO/IEC 27001:2005
Poltica de seguridad
Organizacin de la seguridad de la informacin
Administracin de activos
Seguridad de los recursos humanos
Seguridad fsica y ambiental
Manejo de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de la seguridad de
informacin
Manejo de incidentes relacionados con la seguridad de informacin
Manejo de la continuidad del negocio
Cumplimiento

DETERMINACION DEL ESTADO ACTUAL DE LA SEGURIDAD

Es preciso determinar el estado actual de la seguridad de informacin
utilizando las mismas metodologas o la combinacin de las que se aplicaron
para definir los objetivos de la estrategia o el estado deseado.
Esto proporcionara una comparacin equitativa entre el estado deseado y lo
actual para as, realizar un anlisis diferencial, que determinara lo que se
necesita para alcanzar los objetivos.
RIESGO ACTUAL: se determina mediante una evaluacin integral de
riesgos, incluye un anlisis de amenazas y vulnerabilidades.
EVALUACION/ANALISIS DEL IMPACTO DEL NEGOCIO: Tambin
se debe incluir un BIA exhaustivo para ayudar a terminar de conformar la
imagen del estado actual.
La estrategia debe resolver la diferencia entre niveles aceptables de
impacto y el nivel actual del posible impacto.

ESTRATEGIA DE SEGURIDAD DE INFORMACION

Ahora ya es posible desarrollar una estrategia significativa, que permita ir
del estado actual al deseado.
Un conjunto de objetivos de seguridad de informacin junto con procesos,
mtodos, herramientas y tcnicas disponibles proporcionan los medios para
elaborar la estrategia de seguridad.
No solo hay que pensar en controles, aun cuando son importantes, no son
el nico elemento con el que cuenta la estrategia.
La meta de la seguridad es el aseguramiento del proceso del negocio
independientemente del que se trate.
Algunos argumentan que la meta principal es proteger los activos de
informacin, sin embargo, es solo un activo en la medida que apoya el
propsito principal del negocio, generando ganancias (o servicios rentables)
mediante procesos de valor agregado.

ELEMENTOS DE UNA ESTRATEGIA

Que debe incluir una estrategia de seguridad?
Una vez definido el punto de partida y el punto de destino, ahora hay
que considerar:
Que recursos estn disponibles y
Cuales son las limitaciones que deben considerarse al desarrollarse una
directriz.
La directriz para alcanzar un estado deseado seguro y definido incluye:
Gente
Procesos
Tecnologas
Entre otros recursos.
Es prudente, entonces desarrollar una arquitectura de seguridad.

Recursos y limitaciones de la estrategia

Recursos
Polticas
Normas
Procedimientos
Lineamientos
Arquitectura(s)
Controles fsicos, tcnicos y de
procedimientos
Capacitacin
Concientizacin y formacin
Auditorias
Exigencia de cumplimiento
Anlisis de amenazas
Anlisis de vulnerabilidad
Evaluacin de riesgos
Contramedidas

Defensas estratificadas
Tecnologas
Seguridad del personal
Estructura organizacional
Roles y responsabilidades
Habilidades
Evaluacin del impacto del negocio
Anlisis de dependencia de recursos
Proveedores externos de seguridad
Otros proveedores de soporte y
aseguramiento organizacional
Instalaciones
Seguridad ambiental

Recursos y limitaciones de la estrategia

Limitaciones:
Leyes: requerimientos legales y regulatorios
Fsicas: limitaciones en capacidad, espacio y ambiente
tica: apropiadas, razonables y habituales
Cultura: tanto dentro como fuera de la organizacin
Costos: tiempo, dinero
Personal: resistencia al cambio y resentimiento contra nuevas
limitantes
Estructura organizacional
Recursos: de capital, tecnolgicos y humanos
Capacidades: conocimiento, capacitacin, habilidades y
conocimientos especializados.
Tiempo: de oportunidad y cumplimiento forzoso
Tolerancia al riesgo: amenazas, vulnerabilidades e impactos.

RECURSOS DE LA ESTRATEGIA
POLITICAS Y NORMAS
Polticas: son declaraciones de alto nivel de la intencin, las expectativas
y la direccin de la gerencia.
La poltica se considera como la constitucin del gobierno de la seguridad
de la informacin.
Normas: son mtricas, limites permisibles o el proceso que se utiliza para
determinar si los procedimientos cumplen con los requerimientos que
establecen las polticas.
Procedimientos: deben ser claros e incluir todos los pasos necesarios para
cumplir con las tareas especificas. Deben incluir los pasos que se
requieren cuando ocurren resultados inesperados.
Lineamientos: contiene informacin que ayuda a ejecutar los
procedimientos. Pueden incluir dependencias, sugerencias y ejemplos,
notas aclaratorias de los procedimientos, antecedentes, herramientas,
etc.

RECURSOS DE LA ESTRATEGIA
ARQUITECTURA(s)
La arquitectura de la seguridad de la informacin es anloga a la
arquitectura de edificios. Comienza con un concepto, una serie de objetivos
de diseo que deben cumplirse (ej. La funcin que tendr si ser un
hospital, escuela, etc.).
Despus se transforma en un modelo una aproximacin en modelo,
borrador de la visin creada a partir de materia prima . A esto sigue la
preparacin de programas detallados o herramientas que se utilizaran par
transformar la visin/modelo en un producto real y terminado. Por ltimo,
esta el edificio en si mismo, la realizacin o resultado de las etapas previas.

RECURSOS DE LA ESTRATEGIA
CONTROLES
Se definen como polticas, procedimientos, practicas y estructuras
organizacionales que estn diseadas para brindar confianza
razonable de que se alcanzaran los objetivos del negocio y que se
evitaran, o bien detectaran y corregirn los incidentes no deseados.
Pueden ser fsicos tcnicos o de procedimientos y su eleccin puede,
basarse en factores como la garanta de su efectividad, que no sean
costosos o restrictivos para las actividades del negocio.
Controles de TI
Controles que no se relacionan con TI
Defensas estratificadas o defensa profunda: Considerar el anlisis de
la dependencia excesiva en un nico control.

RECURSOS DE LA ESTRATEGIA
CONTRAMEDIDAS
Son las medidas de proteccin que reducen el nivel de vulnerabilidad a
las amenazas.
En muchos casos llegan a ser mas efectivas y menos restrictivas que los
controles.
TECNOLOGIAS
Permiten contrarrestar las amenazas a las que estn expuestos los
recursos de informacin.
La tecnologa no compensara por las deficiencias gerenciales, culturales u
operativas, por lo que no hay que depender demasiado de ellas.
Para alcanzar defensas efectivas es preciso conjugar la tecnologa con una
combinacin de polticas, normas y procedimientos.

RECURSOS DE LA ESTRATEGIA
DEFENSA PROFUNDA POR ACCION

RECURSOS DE LA ESTRATEGIA
PERSONAL
Puesto que las exposiciones al dao mas costosas y perjudiciales son casi
siempre el resultado de actividades iniciadas desde el interior, la primera
lnea de defensa es intentar garantizar la confianza y la integridad del
personal.
Ej. Cuando es poltica organizacional que el correo electrnico no sea
privado y que puede ser inspeccionado por la compaa y los empleados
tienen pleno conocimiento de dicha poltica.
Debe ser prudente desarrollar una poltica y normas de investigacin de
antecedentes que debern ser revisadas por el departamento de personal y
legal.

RECURSOS DE LA ESTRATEGIA
ESTRUCTURA ORGANIZACIONAL
Las estructuras jerrquicas de los gerentes de seguridad de la
informacin son sumamente variables.
La composicin cultural de una organizacin es un factor determinante
para saber si la organizacin de la seguridad es mas efectiva si se utiliza
un enfoque centralizado o descentralizado.
ROLES Y RESPONSABILIDADES
Los roles, responsabilidades y las capacidades que se requieren para
cada puesto de trabajo deben estar definidos y documentados (MOF,
ROF)

RECURSOS DE LA ESTRATEGIA
CAPACIDADES
Tener un inventario de capacidades ayuda a determinar los recursos que
estn disponibles par desarrollar la estrategia de seguridad.
CONCIENTIZACION Y FORMACION
Considerar la necesidad de desarrollar mtodos y procesos que
permitan que las polticas, normas y procedimientos sean mas fciles de
seguir, implementar y monitorear. Reforzar la importancia de la
seguridad ante los usuarios a travs de un programa de concientizacin.
Esta demostrado que en casi todas las organizaciones la mayor parte del
personal no conoce las polticas y normas de seguridad, ni siquiera
cuando estas existen.

RECURSOS DE LA ESTRATEGIA
AUDITORIAS
Las auditorias internas y/o externas son procesos principales que
permiten identificar deficiencias en la seguridad de la informacin
desde la perspectiva de controles y cumplimiento.
La ley Sarbanex-Oxley, indica que es necesario hacer pruebas a los
controles cada ao.
EXIGENCIA DE CUMPLIMIENTO
Los procedimientos de seguridad deben estar aprobados y respaldados
por la alta direccin, sobretodo en lo que respecta a exigir su
cumplimiento.
El enfoque mas efectivo para alcanzar el cumplimiento es un sistema de
auto informe y cumplimiento voluntario, con base en que la seguridad
es claramente un beneficio para todos.

RECURSOS DE LA ESTRATEGIA
ANALISIS DE AMENAZAS
Es un componente del anlisis de riesgo y el resultado es un
elemento crucial de la estrategia.
La estrategia debe tener en cuenta los tipos, naturaleza y magnitud
de las amenazas cuando se desarrollen contramedidas y controles, as
como los atributos de una arquitectura de seguridad
ANALISIS DE VULNERABILIDAD
Realizar una evaluacin exhaustiva de las vulnerabilidades en los
procesos, tecnologas y equipos. Por lo general, los procesos y
equipos son los mas vulnerables, sin embargo con frecuencia son los
menos evaluados, por la complejidad que implica aplicarles
evaluaciones.

RECURSOS DE LA ESTRATEGIA
EVALUACION DE RIESGOS
Aun cuando la evaluacin de amenazas y vulnerabilidades se considere
importante, es necesario evaluar el riesgo al que est expuesta la
organizacin., aun cuando estas no representen ningn riesgo para la
organizacin.
Ejemplo. 11 de setiembre..
Existen varias formas de tratar el riesgo:
Aceptar el riesgo
Mitigar el riesgo
Transferir el riesgo (ej. contrato de seguros)
Cesar la actividad que da origen al riesgo
Nota. Se puede transferir el riesgo,.. Pero no la responsabilidad legal

RECURSOS DE LA ESTRATEGIA
EVALUACION DEL IMPACTO DEL NEGOCIO
Es lo esencial del riesgo, los riesgos que no pueden resultar en un
impacto que no se pueda apreciar obviamente, no son
importantes.
ANALSIS DE LA DEPENDENCIA DE LOS RECURSOS
Es otra perspectiva en la criticidad de los recursos de
informacin. Se utiliza para garantizar que la estrategia incluye
los recursos que son cruciales para las operaciones.
PROVEEDORES EXTERNOS DE SEGURIDAD
Los proveedores pueden operar con diferentes criterios y puede
ser difcil controlarlos.

PLAN DE ACCION PARA IMPLEMENTAR LA ESTRATEGIA

ANALISIS DIFERENCIAL (base para un plan de accin)
Para implementar una estrategia sern necesarios uno o mas planes de
accin.
Un anlisis diferencial que existe entre el estado actual y el estado
deseado de cada mtrica definida identifica los requerimientos y
prioridades para un plan de accin.
Es necesario realizar un anlisis diferencial para los diversos
componentes de la estrategia como niveles de madurez, cada objetivo de
control y cada objetivo de riesgo e impacto.
Podra ser necesario repetir este ejercicio anualmente para definir
mtricas de desempeo y de metas.
Un enfoque tpico del anlisis diferencial es trabajar en sentido inverso
desde el punto final hasta el estado actual y determinar los pasos
intermedios que se requieren para alcanzar los objetivos.

PLAN DE ACCION PARA IMPLEMENTAR LA ESTRATEGIA

ELABORACION DE POLITICAS
Uno de los aspectos mas importantes del plan de accin ser crear o
modificar polticas y normas.
Las polticas son la constitucin del gobierno, las normas son la ley.
Las polticas deben capturar la intensin, expectativas y direccin de la
gerencia.
Si el objetivo es dar cumplimiento al ISO 27001, cada uno de los 11
dominios respectivos y principales divisiones tienes que ser el tema de
una poltica.
Las polticas deben estar debidamente elaboradas y contar con la
aprobacin del consejo y direccin ejecutiva, y su difusin en toda la
organizacin.

PLAN DE ACCION PARA IMPLEMENTAR LA ESTRATEGIA

ELABORACION DE POLITICAS
Existe un gran numero de atributos de polticas recomendables
deben tenerse en cuenta:

que

Las polticas de seguridad deben ser una articulacin de una

estrategia
de seguridad de informacin bien definida y captar la intencin, las
expectativas y la direccin de la gerencia
Cada poltica debe establecer solo un mandato general de seguridad.
Las polticas deben ser claras y de fcil compresin para todas las
partes interesadas.
Las polticas rara vez deben tener una extensin que exceda unas
cuantas oraciones.
Rara vez habr una razn para tener mas de una veintena de
polticas.

PLAN DE ACCION PARA IMPLEMENTAR LA ESTRATEGIA

ELABORACION DE NORMAS
Las normas establecen los limites permisibles para procedimientos y
practicas de tecnologa y sistemas y para personas e incidentes.
Las normas son la herramienta predominante para la implementacin de
un gobierno efectivo de seguridad y deben ser propiedad del gerente de
seguridad de la informacin.
Proporciona la vara que mide el cumplimiento de la poltica y una base
solida para realizar auditorias.
Deben darse a conocer a aquellos que se regirn o se vern afectados.

PLAN DE ACCION PARA IMPLEMENTAR LA ESTRATEGIA

CAPACITACION Y CONCIENTIZACION
Un plan de accin debe considerar un programa continuo de
concientizacin y capacitacin sobre seguridad.
En la mayora de organizaciones, la evidencia indica que la mayor parte
del personal no conoce las polticas ni las normas de seguridad, ni siquiera
cuando existen.
METRICAS DEL PLAN DE ACCION
Un enfoque comnmente usado es el CMM, utilizado ampliamente por
COBIT, el CMM ofrece una base para llevar a cabo un anlisis diferencial
continuo para determinar los avances realizados para alcanzar las metas.

PREGUNTAS Y RESPUESTAS