Gestin de Seguridad de la Informacin

Profesor: Mgtr. Gonzalo Martin Valdivia Benites

CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS, CRISC(t)

Maestra ISC : Direccin Estratgica de TI - USAT

 La Asignatura

El curso busca desarrollar competencias en el estudiante

que le permita gestionar de manera segura la
informacin en las organizaciones. Brinda a los
participantes los conceptos y buenas prcticas de gestin
de seguridad para proteger a la organizacin de los
diferentes aspectos que puedan alterar o daar el sus
recursos de TI por medio de la implementacin de
polticas y procedimientos y diversos mecanismos de
seguridad siguiendo las mejores prcticas de la industria
relacionadas con seguridad de la informacin.

2
 Syllabus
1. Gestin
de
2. Marcos Normativos
Seguridad
de Seguridad
de la
informacin

4. Controles
3. Programa de
de
Seguridad
Seguridad

5. Gestin 6. Sistema de Gestin de

de Seguridad de la
Incidentes Informacin (SGSI)
El reto de las Organizaciones

https://www.yout
ube.com/watch?v
=RRy_73ivcms
La informacin es un activo estratgico
de la empresa.
Tiene valor para una organizacin y por
consiguiente debe ser debidamente
protegida.
 Valor de la Informacin
Mas importante que el valor tangible de la
tecnologa, es el valor de la informacin del
negocio.
El valor de la informacin se puede medir
desde el punto de vista de negocio de varias
formas, por ejemplo:
El valor de mercado de la informacin
El valor de oportunidad:
que se puede medir por el costo financiero, costo
oportunidad, prdida de mercado, costos directos.
 Enfoque Integral de la Seguridad

Imagen propiedad de Warner bros

 Qu es la Seguridad?

La situacin estado de algo,

que se adquiere al estar libre de
riesgo o peligro.
Seg. Informtica y de Informacin

Seg. de la
Informacin

Seg. Informtica
 Principios de Seguridad
Confidencialidad

Integridad Disponibilidad
Confidencialidad

La informacin es accedida
slo por las personas
autorizadas.
Integridad
Exactitud y totalidad de la informacin.
DISPONIBILIDAD
Acceso a la
informacin cuando se
necesita.
Funcionalidad vs. Proteccin
 Desafios
Todo el tiempo aparecen vulnerabilidades
Contextos cambiantes
Presupuestos limitados
Riesgos desconocidos
Ataques sofisticados de hackers
Problemas para encontrar profesionales
especializados
Dificultad en implementar Normativas
 Potenciales enemigos
Crackers.
Vndalos.
Usuarios del sistema.
Competencia.
Ex-empleados.
Personal insatisfecho o desleal
Delincuentes
Millones de adolescentes
 Sistema Seguro?
"El nico sistema seguro es aquel que est
apagado y desconectado, enterrado en un
refugio de concreto, rodeado por gas
venenoso y custodiado por guardianes bien
pagados y muy bien armados. Aun as, yo no
apostara mi vida por l".

Gene Spafford
 Por qu tanta inseguridad ?
Huecos de Seguridad Fsicos
Huecos de Seguridad en el Software
Fallas de los equipos y servicios
Falta de Experiencia
Pobre administracin de la infraestructura
Desconocimiento del valor de la informacin
Alta motivacin e inters por atacar un sistema
Ausencia de un Esquema de Seguridad.
 El nivel de efectividad
El nivel de seguridad esta determinado por el
punto mas dbil.
Si un activo es tratado de manera menos
segura por una parte, esto implica la
destruccin de la inversin en seguridad
hecha por las otras partes
La sincronizacin de esfuerzos permite
obtener economas de escala e incrementar la
eficiencia operacional
 La realidad de la seguridad
La definicin y la practica de la seguridad de la
informacin no es homognea ni integral en las
empresas e instituciones del pas.

Existen conocimientos tcnico avanzado en

controles tcnicos.

No existe personal entrenado en gerenciar la

seguridad de manera integral.
Seguridad en
profundidad
Mltiples capas de
seguridad.
Las capas tienen
vulnerabilidades
Seguridad por
obscuridad
No decir nada
de la seguridad
me hace mas
seguro.
 El CISO
Gartner indica que:

El rol del CISO se esta convirtiendo en estratgico a

medida que la seguridad madura y las funciones de
seguridad se estandarizan y comoditizan.
La mayora de los CISO siguen reportando a TI, pero
una minora significativa ahora reportan en niveles
"corporativos" ms altos fuera de TI.
Las competencias clave de un CISO son cada vez ms la
gestin, colaboracin y comunicacin, en lugar de
competencias tcnicas.

Fuente: Gartner for IT Leaders Overview: The Chief Information Security Officer. Julio 2013
 El CISO
La posicin de CISO ha ido ganando popularidad.
Porcentaje de los entrevistados que dicen que sus
empresas ahora cuentan con un ejecutivo de
seguridad:
En 2011, > 80%
En 2006, 22%
23% de los CISOs reportan a los CIOs
36% de los CISOs reportan a los CEOs
32% de los CISOs reportan al comit de directorio

24
 Responsabilidades del CISO

Definir y gestionar el programa de seguridad de la

informacin.
Proporcionar formacin y orientacin al equipo
ejecutivo
Presentar opciones e informacin para permitir la
toma de decisiones
Acte como un asesor de seguridad de la
informacin.

25
 Certificaciones
CISSP: Certified Information System Security Professional
CCISO: Certified Chief Information Security Officer
CISM: Certified Information Security Manager
CRISC: Certified in Risk and Information Systems Control
CEH: Certified Ethical Hacker (v8)
GSEC: GIAC Security Essentials Certificate
GCIH: GIAC Certified Incident Handler
GCIA: GIAC Certified Intrusion Analyst
GPEN: GIAC Penetration Tester
CompTIA Security +
CASP: CompTIA Advanced Security Practitioner
CISA Certified Information System Auditor
CGEIT: Certified Governance of Enterprise IT
CCNP Security : Cisco Certified Network Professional Security
CCIE Security: Cisco Certified Internetwork Expert Security
 Gobierno de TI
Subconjunto de la disciplina de Gobierno Corporativo con foco en la
tecnologa de la informacin (TI), su desempeo y manejo de
riesgo.

Tomado de: Gobierno y Control de TI Jess Ariel Moreno Camacho

 Gobierno de Seguridad de la
Informacin

Debe ser tratado por los niveles ms altos de

la organizacin
Es parte del gobierno corporativo
La alta direccin y el consejo de direccin son
responsables y deben proporcionar:
Liderazgo
Estructura Organizacional
Procesos
 Resultados del Gobierno de SI

Alineacin estratgica: Gestin de recursos:

Alineada con la estrategia Utilizar el conocimiento y la
de negocio para respaldar infraestructura de seguridad
los objetivos de la informacin con
Gestin de riesgos: eficiencia y eficacia
Mitigar los riesgos y Medicin de desempeo:
reducir el impacto a un Monitorear y reportar para
nivel aceptable garantizar que se alcancen
Entrega de valor: los objetivos
Optimizar las inversiones Integracin:
en seguridad para apoyar Integrar todos los factores
los objetivos del negocio. de aseguramiento
relevantes para garantizar
que los procesos operan de
acuerdo con lo planeado de
extremo a extremo
29
Estrategia de Seguridad de la
Informacin
 Que desea proteger?
De quien desea proteger?
Qu vulnerabilidades tiene?
Cules son los riesgos?
Qu medidas se deben implementar?
Cunto se debe invertir?
Lo hecho, ser suficiente?
 Cual es el porcentaje de Presupuesto
de Seguridad IT en relacin al gasto
total de IT?
 Gestin de Riesgos y Cumplimiento

GRC Enfoque adoptado por muchas

organizaciones para combinar procesos de
aseguramiento que incluyen:
Auditora interna
Programas de cumplimiento (SOX)
Gestin de riesgos empresariales (ERM)
Gestin de incidentes
Modelo de negocios para la
seguridad de la informacin
Visin General de la Estrategia de SI

35
 Normas Internacionales

ISO 31000
NIST SP-800
PCI
HIPAA
SOX
ISO 27000
CobiT 5
Gestin de riesgos - ISO 31000
 Special Publications SP 800-*

Publicaciones especializadad en Seguridad.

http://csrc.nist.gov/publications/PubsSPs.html
 Payment Card Industry Data Security Standard
Versin 3.0 Nov. 2013
Norma orientada a las empresas que procesan,
guardan o trasmiten datos de tarjetas
12 requisitos de control
 HIPAA
Health Insurance Portability And Accountabilty
Act of 1996
Derecho a la confidencialidad de la
informacin de salud
 SOX
Respuesta a los escndalos financieros de
Enron, Tyco, WorldCom y Peregrine.
Sarbanex-Oxley Act of 2002
Monitorea a las empresas de la Bolsa
Estndares para los consejos de
administracin y direccin, as como
mecanismos contables.
Introduce responsabilidades penales
Familia ISO
27000
 Familia ISO 27000
27001 Sistema de
27000 Overview y Gestin de
Vocabulario Seguridad de la
Informacin

27002 Cdigo de 27003 Guia de

prctica (requisitos) Implementacin

27005 Gestin de
riesgos de
27004 Metricas
Seguridad de la
informacin
ISO 27002
 Estructura de la Norma ISO 27002 o
Anexo A de la ISO 27001

14 Dominios

39 Objetivos

114 Controles
ISO 27002
Fuente: Deloitte
Fuente: Deloitte
Fuente: Deloitte
Control OBjectives for
Information and
related Technology
CobiT

COBIT, lanzado en 1996, es una herramienta

de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de TI.
Vinculando tecnologa informtica y prcticas
de control, COBIT consolida y armoniza
estndares de fuentes globales prominentes
en un recurso crtico para la gerencia, los
profesionales de control y los auditores.
 Ubicacin
Gobierno
Corporativo

ISO 9000
Gobierno de Gobierno de Gobierno de
TI Finanzas Marketing

CobiT

ISO 27002 BS15000 CMM ISO9126

ISO 27001 ITIL ISO15504 ISO 12207

ISO 20000 TickIT Plus

 Gobierno y Gestin

Capacidad para Capacidad de

establecer usar los recursos
objetivos necesarios para
alcanzar los
objetivos

Gobierno Gestin
Familia CobiT 5

Fuente: COBIT 5, 2012 ISACA All rights reserved.

Areas clave de Gobierno y Gestin

Fuente: COBIT 5, 2012 ISACA All rights reserved.

Modelo de Procesos

Fuente: COBIT 5, 2012 ISACA All rights reserved.

 Marco Normativo Peruano
Cdigo Civil
Cdigo Procesal Civil
Ley General de Salud
Ley General del Sistema Financiero
Ley de Transparencia
Ley de Telecomunicaciones
Ley Antispam
Ley de Delitos Informticos
Ley centrales Privadas de riesgo
Ley registros Publicos
Normas SBS
Ley de proteccin de Datos
Personales
 Cdigo Civil de 1984

La intimidad de la vida personal y familiar no

puede ser puesta de manifiesto sin el
asentimiento de la persona o si sta ha muerto,
sin el de su cnyuge, descendientes,
ascendientes o hermanos, excluyentemente y en
este orden
 Cdigo Procesal Civil Artculo 647
A
Secuestro conservativo sobre bienes
informticos.- En caso de que se dicte
secuestro conservativo o embargo, sobre
soportes magnticos, pticos o similares, el
afectado con la medida tendr derecho a
retirar la informacin contenida en ellos.
 Ley General de Salud

Artculo 15.Toda persona, usuaria de los

servicios de salud, tiene derecho:
a) Al respeto de su personalidad, dignidad
e intimidad;
b) A exigir la reserva de la informacin
relacionada con el acto mdico y su
historia clnica, con las excepciones que la
ley establece;
 Ley General del Sistema Financiero -
26702 Cap II Secreto Bancario.
Art. 140 Alcance de la prohibicin. Est prohibido a
las empresas del sistema financiero, as como a sus
directores y trabajadores, suministrar cualquier
informacin sobre las operaciones pasivas con sus
clientes

Art. 141 Falta Grave de quienes violen el secreto

bancario. Sin perjuicio de la responsabilidad penal
que seala el artculo 165 del Cdigo de la materia,
la infraccin a las disposiciones de este captulo se
considera falta grave para efectos laborales y, cuando
ello no fuere el caso, se sanciona con multa.
 Ley 27806 de Transparencia y Acceso a
la Informacin Pblica

Toda informacin que posea el Estado se presume

pblica, salvo las excepciones expresamente
previstas por el Artculo 15 de la presente Ley.

Art. 15. Excepciones al ejercicio del derecho:

Informacin Confidencial (militares, planes de
inteligencia).
 Ley 26096 Telecomunicaciones
Art. 52. las empresas concesionarias deben
dar garanta para asegurar el secreto de las
comunicaciones.

Resolucin Ministerial N 622-96-MTC-IS,

aprueba procedimientos de inspeccin y de
requerimientos de informacin relacionados
al secreto de las telecomunicaciones y
proteccin de datos. Artculos: 1, 4 y 5 .1
Ley 28493 - Ley Antispam Peruana
Modificada por Ley N 29246 y el D.S. 031-05-MTC.
Todo correo electrnico comercial no solicitado,
deben contener en el asunto la palabra: "Publicidad"
y otros requisitos.
Quien recibe estos correos ilegales tiene derecho a
solicitar por la va judicial, contra el remitente y el
beneficiario o anunciante, una indemnizacin que
ser equivalente al 1% de la UIT por cada mensaje
con un mximo de 2% de la UIT.
 Ley 27269- Ley Firmas y Certificados
digitales

Tiene por objeto regular la utilizacin de la firma

electrnica otorgndole la misma validez y eficacia
jurdica que el uso de una firma manuscrita u otra
anloga que conlleve manifestacin de voluntad.
 Ley 30096 de Delitos Informticos

Promulgada 22/10/2013. Modificada por Ley

30171
Objetivo: Prevenir y sancionar las conductas
ilcitas que afectan los sistemas y datos
informticos
Regula el uso de Internet
Incorpora al Cdigo penal el Grooming.
 Ley de Centrales Privadas de Riesgo

1.- Objeto de la ley

9.- Lineamientos generales de recoleccin y
tratamiento de informacin
10.- Informacin Excluida
12.- Deber de Seguridad
13.- Derechos de los Titulares: acceso (14),
Modificacin y Cancelacin (15) y Rectificacin
(16).
 Reglamento Registros Pblicos
Resolucin N 195-2001-SUNARP/SN
Artculo 128.- Acceso a informacin que afecta el derecho
a la intimidad
La persona responsable del registro no podr mantener en
reserva la informacin contenida en el archivo registral, con
excepcin de las prohibiciones expresamente establecidas
en otras disposiciones.
Cuando la informacin solicitada afecte el derecho a la
intimidad, sta solo podr otorgarse a quienes acrediten
legtimo inters, conforme a las disposiciones que
establezca la Superintendencia Nacional de los Registros
Pblicos.
 Circular SBS N G-139-2009

Establece criterios mnimos para la gestin de la

continuidad del negocio financiero, que forma parte de
una adecuada gestin del riesgo operacional que
enfrentan las empresas supervisadas por la SBS.

La circular contiene disposiciones, que toman como

referencia estndares internacionales.

71
 Circular SBS N G-140-2009
Establece criterios mnimos para una adecuada gestin de la
seguridad de la informacin, tomando como referencia
estndares internacionales como el ISO 17799 e ISO 27001.

Sistema de Gestin de Seguridad de la Informacin (SGSI)

El objetivo de implementar el SGSI es proteger los activos de
informacin ms importantes de las instituciones financieras
como resultado del anlisis de riesgo y sobre todo cumpliendo
con las expectativas de todos los interesados del sistema,
clientes, comunidad, estado, proveedores, y la misma entidad
financiera, entre otros.

72
Privacidad
 Privacidad

Ambito de la vida personal de un

individuo que se desarrolla en un
espacio reservado y debe
mantenerse de manera confidencial.
Declaracin Universal de los DDHH

Art. 12: Nadie ser objeto de injerencias

arbitrarias en su vida privada, su familia, su
domicilio o su correspondencia, ni de ataques
a su honra o a su reputacin. Toda persona
tiene derecho a la proteccin de la ley contra
tales injerencias o ataques."
 APDP

https://www.youtube.com/watch?v=1c4YMd_YaRs
 Datos Personales
Toda informacin sobre una persona natural
que la identifica o la hace identificable a
travs de medios que pueden ser
razonablemente utilizados.
Ejm : Nombres, Apellidos, DNI, telfonos,
direccin domicilio, correo electrnico, fecha
de nacimiento, sexo, Nro identificacin
tributaria, Razon Social,nro. de cuenta
bancaria.
 Datos Sensibles
Datos personales constituidos por los datos
biomtricos que por s mismos pueden identificar al
titular; datos referidos al origen racial y tnico;
ingresos econmicos, opiniones o convicciones
polticas, religiosas, filosficas o morales; afiliacin
sindical; e informacin relacionada a la salud o a la
vida sexual.
Ejm.: Sueldos de los trabajadores
Informacin personal manejada por
las Organizaciones

Clientes

Visitantes
Bancos de Personal
Datos

Proveedores
(personas
naturales)
 Ley 29733

Promulgada 03/07/11

22/03/13 Reglamentada

Directiva de
16/10/13
Seguridad

08/05/15 Plena Vigencia

Afecta La ley implica

Organizativos

Legales

Tecnologicos

Cumplimiento
Afecta Derechos ARCO

Acceso Rectificacin

Cancelacin Oposicin
 Programa de
Seguridad de la
Informacin (SI)
 El Programa de SI

El programa es el plan a seguir en SI

Requiere disear, implementar, gestionar y
monitorear
El programa de seguridad transforma la
estrategia en realidad.
Provee las capacidades para cumplir los objetivos
de seguridad.
Adaptarse a cambios en requerimientos de
seguridad.
 Factores Crticos de xito

Compromiso de parte de la gerencia;

Normatividad de seguridad;
Una estrategia de implementacin alineada a
la cultura organizacional;
Un claro entendimiento de los
requerimientos de seguridad, la evaluacin
de riesgos y la administracin de los mismos;
Comunicacin eficaz a todos los gerentes y
empleados;
 Factores Crticos de xito

Instruccin y entrenamiento adecuados;

Gestin efectiva de incidentes;
Un sistema integral y equilibrado de
medicin.
 Objetivos del programa de SI

Ejecutar la estrategia de seguridad de la

informacin de la manera mas costo-efectiva
Maximizar el soporte de las funciones de negocio
Minimizar las interrupciones del negocio

La gestin del programa de seguridad de la

informacin usa una agrupacin estructurada de
proyectos para producir valor para el negocio
claramente identificable.
 Implementacin del programa de SI

Se debe obtener una comprensin de:

Objetivos Organizacionales
Apetito al riesgo y tolerancia
Principios, Polticas , Marcos de Referencia
Procesos,
Estructuras organizacionales
Cultura, tica y comportamientos
Informacin
Servicios, Infraestructura y aplicaciones
Personas, habilidades y competencias.
 Implementacin del programa de SI

La implementacin de un programa de
seguridad deber incluir una serie de objetivos
de control especficos:
Tcnicos
Procedimentales
Fsicos
 Actividades Operativas

Son actividades continuas que deben ser

completadas para garantizar el
aseguramiento de la seguridad de la
informacin.
Procedimientos de operacin
Prcticas de seguridad de la operacin del negocio
Mantenimiento y administracin de tecnologas de
seguridad (e.g., administracin de identidad,
administracin de control de acceso, y anlisis y
monitoreo de eventos de seguridad)
 Actividades Operativas

Se requiere coordinar con las unidades de TI,

unidades de negocio y otras unidades
organizacionales la ejecucin de las
actividades operativas que no son ejecutadas
por Seguridad de la Informacin.
 Actividades de Gestin

Establecer las etapas del programa de

seguridad de la informacin
Responsabilidad del gerente y de la Alta
direccin
Incluye:
Desarrollo o modificacin de estndares
Revisiones de polticas
Supervisin de iniciativas o ejecucin de programas
 Actividades de Gestin

El anlisis continuo o peridico de los activos,

amenazas, riesgos e impactos en la
organizacin debe seguir siendo la base para
modificar las polticas de seguridad y
desarrollar o modificar los estndares.
 Actividades Administrativas

Asegurar la administracin efectiva del programa

de seguridad de la informacin incluyendo temas
relacionados con:
Finanzas
RR.HH.
Funciones de soporte
Las buenas relaciones de trabajo con los
departamentos de Recursos Humanos y
Financiero ayudar a facilitar una efectiva
ejecucin del programa de seguridad de la
informacin.
 Actividades Administrativas

Balancear los esfuerzos del proyecto y la

sobrecarga operativa continua con:
Cantidad de Personal
Niveles de utilizacin
Recursos externos

El balanceo de las cargas de trabajo y los

recursos externos ayuda a abordar picos de
actividades planeadas y no planeadas.
 Actividades Administrativas

Asegurar que la Alta Direccin entienda

los riesgos que implica comenzar una
iniciativa sin la adecuada diligencia en
seguridad
Concientizacin, Capacitacin y Formacin

Es considerada una medida preventiva

Educar a los empleados sobre:

Amenazas y riesgos
Obligaciones y Prcticas adecuadas
Repercusiones del incumplimiento

Incluye:
Polticas y procedimientos organizacionales
Monitoreo de empleados

Generalmente comunicadas y administradas por el rea de

Recursos Humanos.
Concientizacin, Capacitacin y Formacin

Son necesarios conocimientos y

entrenamiento para la ejecucin de las tareas.
Las clases de entrenamiento deberan ser
adecuadas para aquellos con
responsabilidades de seguridad.
Un programa de concienciacin en seguridad
de la informacin tambin debera incluir
entrenamiento para usuarios finales.
Concientizacin, Capacitacin y Formacin

Los temas de un entrenamiento en

concienciacin incluyen:
Elegir adecuadamente las contraseas y no exponerlas
Evitar malware propagados va Web y correo electrnico
Reconocer ataques de ingeniera social
Reportar incidentes de seguridad
Proteger de robo y exposicin a medios electrnicos y
fsicos
Detectar malware que podra provocar robos de identidad
y espionaje sobre puestos de trabajo
Respaldar los archivos relacionados con el trabajo
 Plan de Accin

Una hoja de ruta (roadmap) ayuda a definir lo

que significa para cada organizacin.
Analisis de Brechas base para Plan de Accin

Identificar donde los objetivos de control no son

adecuadamente soportados por las actividades de
control
Establecer procedimientos para monitorear de
manera continua el logro de los objetivos de
control.
Disear un programa de seguridad de la
informacin flexible para evolucionar y madurar.
 Gestin de Proyectos

Un anlisis de brechas (Gap analysis) identificara

una serie de proyectos que mejorarn el programa
de seguridad de la informacin
Cada proyecto debe:
Tener un tiempo definido, presupuesto y objetivos medibles.
Hacer el ambiente ms seguro sin que de otro modo se
ocasionen deficiencias de control en otras reas.

Priorizacin del portafolio de proyectos de modo

que:
La interdependencia de los proyectos no retrasa unos a otros.
Los recursos son colocados de la forma mas ptima.
Los resultados son integrados suavemente dentro de la
operacin existente.
 Gestin de Proyectos

Empleo de tcnicas de gestin de proyectos

generalmente aceptadas, como:
Establecimiento de objetivos
Monitoreo de progreso
Seguimiento de plazos
Asignacin de responsabilidades
 Infraestructura de Seguridad

Infraestructurala base o sistema inicial sobre el

cual se despliegan los sistemas de informacin.
Infraestructura de seguridadel cimiento que
permite hacer funcionar a los recursos de
seguridad.

Cuando la infraestructura est diseada e

implementada para soportar las polticas y
estndares, se dice que la infraestructura es segura.
Arquitectura de Seguridad
La arquitectura incluye una
serie de capas, que van de
lo contextual a lo fsico.

El diseo est fuertemente

alineado con el propsito
una buena arquitectura es
una articulacin de la
poltica.
 Implementacin de la Arquitectura

Se ha desarrollado un nmero de marcos

arquitectnicos para atender la necesidad de
disponer de un modelo global exhaustivo para
los sistemas de informacin:
COBIT
ITIL
ISO/IEC 27001:2013
SABSA
Otros
 Documentacin

Polticas
Estandares / Normas
Procedimientos
Instructivos
 Documentacin

Algunas de las documentaciones necesarias generalmente incluyen:

Objetivos del programa KGIs, KPIs, factores crticos
Planes de accin de xito, otras mtricas
Casos de negocio Requerimientos de
Recursos necesarios capacitacin y
Documentacin concientizacin
Controles
Presupuestos Anlisis de riesgo e
Diseos/arquitecturas de impacto del negocio
sistemas Acuerdos de niveles de
Polticas, estndares, servicio (SLA)
procedimientos, directrices
Criterios de gravedad
Hitos de planes de proyectos y
cronogramas Criterios de declaracin
 Gestin de Riesgos

Virtualmente todos los aspectos del programa

para administracin de la seguridad de
informacin apunta a reducir los riesgos a un
nivel aceptable.

Un aspecto de la administracin de riesgos es

un programa de administracin de incidentes
 Gestin de Riesgos

Conocimiento y habilidades para administrar riesgos como parte

del programa podra incluir:
Desarrollo del programa de
riesgos del ciclo de vida
Programa de gestin de
riesgo
Riesgo del proyecto
Mtodos de evaluacin de
vulnerabilidad
Amenazas especificas de la
administracin de la
seguridad de informacin en
las organizaciones
Enfoque de anlisis de riesgos
Opciones de respuesta a
riesgos
Capacidad para comprender y
evaluar el impacto posible si
se materializan los riesgos
Monitoreo y reporte de
riesgos
Anlisis de amenazas
 Caso de Negocio

El propsito de un caso de negocio

Obtener soporte las personas que toman decisiones y los
que influencian
Requiere que los proyectos propuestos suministren una
clara propuesta de valor
Habilitar:
Comparacin entre diferentes proyectos y propuestas
Objetivos para la toma de decisiones
Medicin del xito del proyecto frente a lo proyectado

114
Presupuesto del programa

Empleados
Contratista y consultores
Equipos
Requerimientos de espacio
Recursos para pruebas
Documentacin de soporte
Mantenimiento en curso
Contingencias por costes
inesperados

115
 Otras Actividades del Programa de SI

Requerimientos legales y regulatorios

Factores fsicos y ambientales
tica
Diferencias culturales/regionales
Logstica

116
Controles y Contramedidas
 Controles

Cualquier cosa que minimiza el riesgo.

Las categoras de control incluyen:
Controles preventivos
Controles detectivos
Controles correctivos
Controles compensatorios
Controles disuasivos

118
 Mtrica y Monitoreo del Programa de SI
Las siguientes son utilizadas para rastrear y guiar un programa :
Desarrollo de mtricas
Enfoques de monitoreo
Medicin del desempeo de la gerencia de seguridad de la informacin
Medicin del riesgo y la prdida relacionados con la seguridad de la
informacin
Medicin del apoyo de los objetivos organizacionales
Medicin del cumplimiento
Medicin de la productividad operativa
Medicin de la rentabilidad de la seguridad
Medicin de la conciencia organizacional
Medicin de la efectividad de la arquitectura de seguridad tcnica
Medicin de la efectividad del marco y los recursos de gestin
Medicin del desempeo operativo
Monitoreo y comunicacin

119