©Copyright 2013 ISACA. Todos los derechos reservados Capacidades Las capacidades son habilitadores fundamentales del gobierno. Las capacidades incluyen recursos de la empresa, tales como capacidades de servicio (infraestructura, aplicaciones, etc.), personas e información. El ISM debe evaluar y utilizar: —Capacidades conocidas de la organización —Conocimientos especializados y habilidades —Capacidades demostradas

©Copyright 2013 ISACA. Todos los derechos reservados Tiempo El tiempo es una limitación significativa en el desarrollo de una estrategia – algunos ejemplos: —Fechas límite de cumplimiento —Plazos para la implementación de determinadas estrategias

©Copyright 2013 ISACA. Todos los derechos reservados Aceptación y tolerancia del riesgo La tolerancia al riesgo desempeñará una función importante en el desarrollo de una estrategia de seguridad de la información. Dificultades para medir: —Desarrollar RTOs* para sistemas críticos. —El punto óptimo se alcanza cuando el costo de reducir los RTOs es igual al valor que se deriva de operar los recursos. * RTOs están basados en BIAs o Análisis de Dependencia del Negocio.

©Copyright 2013 ISACA. Todos los derechos reservados Plan de acción para implementar la estrategia Implementar una estrategia de la información requiera de uno o más proyectos o iniciativas. El análisis de brecha entre el estado actual y el estado deseado para cada métrica definida identifica los requerimientos y prioridades para los planes generales u hojas de ruta para asegurar los objetivos y cerrar las brechas.

©Copyright 2013 ISACA. Todos los derechos reservados Análisis de brechas – Base para un plan de acción Necesario para diversos componentes de la estrategia: —Niveles de madurez (CMM) —Objetivo de control —Objetivo de riesgo e impacto Podría ser necesario repetir este ejercicio cada año o con mayor frecuencia a fin de proporcionar métricas de desempeño y de metas.

©Copyright 2013 ISACA. Todos los derechos reservados Análisis de brechas – Base para un plan de acción El estado deseado incluye (continuación) —La estrategia de seguridad cuente con la aceptación y respaldo de la alta dirección —La estrategia de seguridad tenga un vínculo intrínseco con los objetivos de negocio —Las políticas de seguridad estén completas y sean congruentes con la estrategia —Se mantengan de manera consistente normas completas para todas las políticas aplicables —Se tengan procedimientos completos y precisos para todas las operaciones importantes

©Copyright 2013 ISACA. Todos los derechos reservados Análisis de brechas – Base para un plan de acción El estado deseado incluye (continuación) —Un método establecido para asegurar alineación continua con las metas y objetivos del negocio —Se cuente con una estructura organizacional que otorgue una autoridad apropiada a la gestión de seguridad de la información sin que existan conflictos de interés inherentes —Los activos de información han sido identificados y clasificados según su criticidad y sensibilidad —Controles efectivos han sido diseñados, implementados y mantenidos. —Métricas de seguridad y procesos de monitoreo efectivos se encuentran en operación.

©Copyright 2013 ISACA. Todos los derechos reservados Análisis de brechas – Base para un plan de acción El estado deseado incluye (continuación) —Procesos de cumplimiento y ejecución efectivos. —Capacidades de respuesta a incidentes y emergencias probadas y funcionales —Planes de continuidad de negocios y recuperación ante desastres probados. —Aprobaciones de seguridad apropiadas en los procesos de gestión de cambios. —Los riesgos son apropiadamente identificados, evaluados, comunicados y gestionados.

©Copyright 2013 ISACA. Todos los derechos reservados Análisis de brechas – Base para un plan de acción El estado deseado incluye (continuación) —Capacitación y entrenamiento en seguridad apropiado para todos los usuarios. —Exista un desarrollo y entrega de actividades que puedan promover la seguridad de manera positiva en la cultura y comportamiento del personal —Aspectos regulatorios y legales son conocidos y abordados —Abordar aspectos de seguridad con los proveedores de servicios externos —La resolución oportuna de los problemas de incumplimiento y otras variaciones

©Copyright 2013 ISACA. Todos los derechos reservados Elaboración de políticas Uno de los aspectos más importantes del plan de acción para ejecutar una estrategia será crear o modificar políticas y estándares, según sea necesario. La creación de políticas y normas es una parte crítica del plan de acción: —Las políticas deben capturar la intención, expectativas y dirección de la gerencia. —A medida que evoluciona una estrategia, es fundamental que se desarrollen políticas de apoyo y en muchos casos modificadas para articular la estrategia. —Las políticas de seguridad en general deben estar relacionadas con la estrategia de seguridad.

©Copyright 2013 ISACA. Todos los derechos reservados. Algunos atributos de las buenas políticas: —Las políticas de seguridad deben ser una articulación de una estrategia de seguridad de la información bien definida y captar la intención, las expectativas y la dirección de la gerencia. —Cada política debe establecer solo un mandato general de seguridad. —Las políticas deben ser claras y de fácil comprensión para todas las partes interesadas. —Las políticas rara vez deben tener una extensión que exceda unas cuantas oraciones. —Rara vez habrá una razón para tener más de una veintena de políticas Elaboración de políticas

©Copyright 2013 ISACA. Todos los derechos reservados Elaboración de normas Los estándares son poderosas herramientas de la gestión de seguridad. Ellos: —Establecen los límites permisibles para procedimientos y prácticas, de tecnología y sistemas, y para personas e incidentes —Son “la ley” desarrollada a partir de la política —Proporcionan la vara que mide el cumplimiento de la política y una base sólida para realizar auditorías —Regulan la elaboración de procedimientos y lineamientos

©Copyright 2013 ISACA. Todos los derechos reservados Capacitación y concientización Un plan de acción eficaz para implementar una estrategia de seguridad debe considerar un programa continuo de sensibilización y capacitación sobre seguridad.

©Copyright 2013 ISACA. Todos los derechos reservados Métricas del plan de acción El plan de acción para implementar la estrategia requerirá de métodos para monitorear y medir el progreso y el logro de las etapas importantes: —La alta dirección casi nunca muestra interés por las métricas técnicas detalladas. Se deben monitorear el progreso realizado y los costos incurridos de manera continua. Se deben llevar a cabo correcciones a mitad del camino de manera oportuna.

©Copyright 2013 ISACA. Todos los derechos reservados Métricas del plan de acción El plan de acción debe incluir el uso de: —KPIs: Resultados de las pruebas aplicadas a la eficacia del control Planes de pruebas a la eficacia del control —KGIs: Alcanzar mandatos de cumplimiento sobre pruebas de controles de Sarbanes-Oxley Elaborar la declaración requerida sobre la eficacia del control —CSFs (factores críticos de éxito): Identificar y definir los controles Definir pruebas adecuadas para determinar su eficacia

©Copyright 2013 ISACA. Todos los derechos reservados Métricas del plan de acción La alta dirección quiere un resumen con la información importante desde un punto de vista de la gerencia: —Avances de acuerdo al plan y presupuesto —Cambios significativos en el riesgo y posibles impactos a los objetivos del negocio —Resultados de las pruebas al plan de recuperación ante desastres —Resultados de auditorías —Estado del cumplimiento regulatorio El ISM deseará recibir información más detallada (ej., métricas del cumplimiento de políticas y estado de la aplicación de parches).

©Copyright 2013 ISACA. Todos los derechos reservados Métricas del plan de acción Las actividades de diseño y monitoreo de métricas deben tener en consideración: —Lo que es importante para las operaciones de seguridad de la información —Los requerimientos de la gestión de seguridad de la información —Las necesidades de los dueños del proceso de negocio —Lo que desea saber la alta dirección El ISM también debe crear procesos de reporte.

©Copyright 2013 ISACA. Todos los derechos reservados. Implementando gobierno de seguridad utilizando CMM: —Para definir objetivos (KGIs) —Para determinar una estrategia —Como métrica del progreso —Alcanzar un CMM de nivel 4 es un estado deseado organizacional típico 1.17 Implementación del gobierno de la seguridad—Ejemplo

©Copyright 2013 ISACA. Todos los derechos reservados. De forma alternativa, COBIT: —Debería producir una lista de atributos y características. —Podría no servir para delinear todos los atributos y las características del estado deseado de seguridad de información, sin embargo – podría ser necesario añadir otros elementos Implementación del gobierno de la seguridad—Ejemplo

©Copyright 2013 ISACA. Todos los derechos reservados Implementación del gobierno de la seguridad—Ejemplo Después de desglosar los elementos individuales del CMM 4 se obtiene la siguiente lista: 1.La evaluación del riesgo es un procedimiento estándar y la gerencia de TI debería estar en capacidad de detectar cualquier desviación en la ejecución de este procedimiento. 2.La gestión de TI es una función gerencial definida bajo la responsabilidad del nivel superior. 3.La alta dirección y la gerencia de TI han determinado los niveles de riesgo que tolerará la organización y tendrá medidas establecidas para las proporciones de riesgo/beneficio. 4.Las responsabilidades en lo que respecta a la seguridad de la información se asignan, se gestionan y se exige su cumplimiento de forma clara.