La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1.17 Implementación del gobierno de la seguridad—Ejemplo

Publicada porCristóbal Agustín Duarte Alarcón Modificado hace 8 años

Presentaciones similares

Presentación del tema: "1.17 Implementación del gobierno de la seguridad—Ejemplo"— Transcripción de la presentación:

1 1.17 Implementación del gobierno de la seguridad—Ejemplo
La lista continúa: Se lleva a cabo de manera consistente el análisis de impacto y riesgo de seguridad de la información. Las políticas y las prácticas de seguridad se completan con niveles mínimos específicos de seguridad. Las sesiones de concienciación sobre la seguridad se han vuelto obligatorias. La identificación, autenticación y autorización de usuarios se han homologado. Se ha establecido la certificación de seguridad del personal. Las pruebas de intrusos son un proceso establecido y formalizado que conduce a mejoras. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag 1

2 1.17 Implementación del gobierno de la seguridad—Ejemplo
La lista continúa: El análisis de costo-beneficio, como apoyo a la implementación de las medidas de seguridad, se está utilizando cada vez con mayor frecuencia. Los procesos de seguridad de la información se coordinan con el área de seguridad de toda la organización. La presentación de información relativa a la seguridad de la información está vinculada con los objetivos de negocio. Se exige el cumplimiento de las responsabilidades y los estándares para un servicio continuo. Las prácticas de redundancia de sistemas, incluyendo el uso de componentes de alta disponibilidad, se utilizan de manera consistente. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag 2

3 1.17 Implementación del gobierno de la seguridad—Ejemplo
Dependiendo de la estructura organizacional, será necesario evaluar cada área o proceso significativo de la organización por separado. En la mayoría de las organizaciones, los típicos resultados para cada una de las 15 características definidas anteriormente oscilarán entre los niveles de madurez en una escala de 1 a 4. Será necesario revisar las políticas para determinar si cubren también cada uno de los elementos de CMM. Uno de los objetivos es alcanzar niveles consistentes de madurez a lo largo de dominios de seguridad específicos: Todos los procesos críticos deben estar a un nivel de madurez similar. Directivas para el instructor: Dependiendo de la estructura organizacional, será necesario evaluar cada área o proceso significativo de la organización por separado. Por ejemplo, contabilidad, recursos humanos, operaciones, TI, las unidades de negocio o filiales deben ser evaluados para determinar si el estado actual cumple con los requisitos de los 15 (o más) elementos enumerados anteriormente. En la mayoría de las organizaciones, los típicos resultados para cada una de las 15 características definidas anteriormente oscilarán entre los niveles de madurez en una escala de 1 a 4. Será necesario revisar las políticas para determinar si cubren también cada uno de los elementos. En la medida en que no lo hacen, en la sección siguiente se ofrecen sugerencias de políticas que abordan cada uno de los requisitos de CMM 4. Un objetivo que debería establecerse es: “alcanzar niveles de madurez consistentes entre dominios de seguridad específicos”, teniendo conciencia de la noción de que “la seguridad es sólo tan buena como el eslabón más débil”. Por ejemplo, el nivel de madurez de todos los procesos críticos debe ser el mismo. Páginas de Referencia del Manual de Preparación al Examen: Pag

4 1.17.1 Muestras adicionales de políticas
Ejemplos de políticas que podrían crearse para abordar algunos aspectos de CMM 4 son las siguientes: Un método establecido para asegurar alineación continua con las metas y objetivos del negocio: Los roles y las responsabilidades de la Compañía XYZ deben definirse claramente y deben asignarse formalmente todas las áreas de seguridad necesarias para garantizar la determinación de responsabilidad. Un desempeño aceptable deberá asegurarse mediante un monitoreo y métricas apropiados. Activos de información que han sido identificados y clasificados por su criticidad y sensibilidad: Todos los activos de información deben tener a su dueño debidamente identificado y deberán ser catalogados. Asimismo, deberá determinarse su valor y deberán clasificarse con base en su criticidad y sensibilidad a lo largo de su ciclo vital. Directivas para el instructor: Esta sección incluye a conjunto de ejemplos de políticas Páginas de Referencia del Manual de Preparación al Examen: Pag. 76

5 1.18 Metas intermedias del plan de acción
Las metas a corto plazo del plan de acción deberían ser: Definidas una vez que se ha concluido la estrategia total Con base en la determinación del BIA de los recursos de negocio críticos Determinar el estado de seguridad según se haya establecido a partir del análisis de brechas del CMM anterior Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

6 1.18 Metas intermedias del plan de acción
Si los objetivos de la estrategia de seguridad son alcanzar cumplimiento o certificación CMM 4, entonces un ejemplo de un plan de acción (o táctico) a un plazo cercano podría establecer que durante los siguientes 12 meses: Cada unidad de negocio tiene que identificar las aplicaciones actuales en uso Tiene que revisarse el 25 por ciento de toda la información almacenada para determinar su propiedad, criticidad y sensibilidad Cada unidad de negocio llevará a cabo un BIA de los recursos de información a fin de identificar los recursos críticos Las unidades de negocio tienen que dar cumplimiento a las regulaciones Deben definirse todos los roles y las responsabilidades de seguridad Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

7 1.18 Metas intermedias del plan de acción
Se desarrollará un proceso para verificar los vínculos a los procesos de negocio Se debe realizar una evaluación de riesgo exhaustiva para cada unidad de negocio Todos los usuarios deben recibir formación sobre una política de uso aceptable Todas las políticas deben revisarse y modificarse según sea necesario para la consistencia con los objetivos de la estrategia de seguridad. Deben existir estándares para todas las políticas Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

8 1.19 Objetivos del programa de seguridad de la información
Los fundamentos de un programa de seguridad de la información son: La estrategia de seguridad El plan de acción El programa es, en esencia, el plan de proyecto para implementar y establecer gestión en curso de alguna parte o partes de la estrategia. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

9 1.19 Objetivos del programa de seguridad de la información
El objetivo del programa de seguridad de la información es proteger tanto los intereses de aquellos que dependen de la información como los procesos, sistemas y comunicaciones que la manejan, almacenan y entregan de sufrir algún daño que sea consecuencia de fallas en: Disponibilidad Confidencialidad Integridad Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

10 1.19 Objetivos del programa de seguridad de la información
Para la mayoría de las organizaciones, el objetivo de la seguridad se cumple cuando: La información está disponible y se puede utilizar cuando se le requiere, y los sistemas que la proporcionan pueden resistir ataques en forma apropiada (disponibilidad) La información se divulga sólo a aquellos que tengan derecho a conocerla y sólo puede ser observada por ellos (confidencialidad) La información está protegida contra modificaciones no autorizadas (integridad) Se puede confiar en las transacciones de negocio y en el intercambio de información entre locaciones de la empresa o con socios (autenticidad y no repudio) Directivas para el Instructor: La cantidad necesaria de Confidencialidad, Integridad y Disponibilidad (CID) y No Repudio varía de una organización a otra, dependiendo del contexto del negocio. Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

Descargar ppt "1.17 Implementación del gobierno de la seguridad—Ejemplo"

Presentaciones similares

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aclaraciones de la Realización del Producto

Aclaraciones de la Realización del Producto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Edward Rivera Maldonado Subcomisionado de Seguros de Puerto Rico La Importancia de la Divulgación de Información Financiera: Rol y Herramientas del Supervisor.

Edward Rivera Maldonado Subcomisionado de Seguros de Puerto Rico La Importancia de la Divulgación de Información Financiera: Rol y Herramientas del Supervisor.
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Sistema de Control de Gestión.

Sistema de Control de Gestión.
Enfoque basado en procesos

Enfoque basado en procesos
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS

NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS
Gung Ho! Gung Ho! Gestión de los Stakeholders

Gung Ho! Gung Ho! Gestión de los Stakeholders
ADMINISTRACIÓN DE REQUERIMIENTOS

ADMINISTRACIÓN DE REQUERIMIENTOS
“Adopción de SGSI en el Sector Gobierno del PERÚ”

“Adopción de SGSI en el Sector Gobierno del PERÚ”
Gestión de Proyectos Informáticos Sesión N° 5 Ciclo de Vida de un Proyecto Roberto Jijena I.

Gestión de Proyectos Informáticos Sesión N° 5 Ciclo de Vida de un Proyecto Roberto Jijena I.
Procedimiento para el establecimiento de indicadores de gestión

Procedimiento para el establecimiento de indicadores de gestión
DIRECTRICES PARA LA MEJORA DEL DESEMPEÑO

DIRECTRICES PARA LA MEJORA DEL DESEMPEÑO
Administración Proyectos Jorge Baracaldo Robin Ochoa.

Administración Proyectos Jorge Baracaldo Robin Ochoa.
Gestión de la Continuidad del negocio BS BCI

Gestión de la Continuidad del negocio BS BCI

Presentaciones similares

Anuncios Google