©Copyright 2013 ISACA. Todos los derechos reservados Personal El gerente de seguridad también debe considerar los riesgos relativos al personal: —La primera línea de defensa es intentar garantizar la confianza y la integridad del personal tanto existente como de nuevo ingreso. —Las verificaciones tradicionales de antecedentes son muy comunes, pero la extensión de este tipo de verificaciones puede estar limitado por privacidad u otras leyes. Las medidas relativas al personal deben ser proporcionales a la sensibilidad y criticidad de los requerimientos de la posición que se tiene. Es necesario desarrollar métodos para el seguimiento de casos de hurto o robo. También se deben desarrollar políticas y normas de investigación de antecedentes.

©Copyright 2013 ISACA. Todos los derechos reservados Estructura organizacional De acuerdo a una encuesta, el 23 por ciento de todos los ISMs tiene una línea de dependencia directa o indirectamente al CIO: —Podría no ser la estructura ideal y la alta dirección debe evaluarla como parte de sus responsabilidades de gobierno ¿Debe estar la seguridad centralizada y estandarizada? —La centralización/estandarización depende de la estructura de la organización. —Un proceso de seguridad descentralizado permite a los administradores de seguridad estar más cerca de los usuarios y a comprender mejor sus problemas locales.

©Copyright 2013 ISACA. Todos los derechos reservados Roles y responsabilidades de los empleados La estrategia debe incluir un mecanismo que defina todos los roles y responsabilidades de seguridad y que los incluya en las descripciones de cargo de los empleados. Las mediciones relacionadas con la seguridad se pueden incluir en el desempeño laboral y los objetivos anuales del empleado. El ISM debe coordinarse con Recursos Humanos para definir los roles y las responsabilidades de seguridad.

©Copyright 2013 ISACA. Todos los derechos reservados Habilidades Elegir una estrategia que utilice las habilidades con las que ya se cuenta aparece como una opción más rentable. Tener un inventario de las habilidades o competencias ayudaría a determinar los recursos que están disponibles para desarrollar una estrategia de seguridad. Las pruebas de competencias pueden servir para determinar si se cuenta con las habilidades requeridas o si se pueden alcanzar mediante capacitación.

©Copyright 2013 ISACA. Todos los derechos reservados Concientización y formación La capacitación, la formación y la concienciación son elementos fundamentales para la estrategia en su conjunto porque: —La seguridad con frecuencia es más débil al nivel del usuario final. —La seguridad depende en gran medida del cumplimiento individual. Un programa recurrente de concienciación sobre la seguridad dirigido a usuarios finales refuerza la importancia de la seguridad de la información y en la actualidad incluso se exige por ley. Los programas de concienciación y capacitación pueden lograr que se reconozca de un modo generalizado que la seguridad es importante. Existen evidencias que indican que la mayoría de los usuarios finales no son conscientes de las políticas y estándares de seguridad existentes.

©Copyright 2013 ISACA. Todos los derechos reservados Concientización y formación La concienciación y capacitación en seguridad a menudo produce las mejoras más rentables sobre seguridad. Ampliar y profundizar las habilidades apropiadas del personal de seguridad mediante capacitación pueden mejorar en gran medida la eficiencia de la seguridad en una organización. —Capacitar a personal de seguridad de nuevo ingreso o ya existente para dotarlos de las habilidades que se necesitan para satisfacer los requerimientos de seguridad específicos tanto existentes como emergentes puede ser una opción más rentable que contratar nuevo personal con las habilidades apropiadas. La capacitación efectiva tiene que estar dirigida a: —Sistemas específicos —Procesos y políticas —A la forma única y específica de la organización para hacer negocio —Al contexto de seguridad particular de la organización

©Copyright 2013 ISACA. Todos los derechos reservados Auditorías Las auditorías, tanto internas como externas, son uno de los procesos principales que se utilizan para identificar deficiencias en la seguridad de la información. Las auditorías internas en la mayor parte de grandes organizaciones las lleva a cabo un departamento de auditoría interna que, por lo general, informa al director de riesgo (CRO) o a un comité de auditoría del consejo de dirección. Las auditorias externas son generalmente iniciadas por el departamento de finanzas. (Los resultados a menudo no se ofrecen a seguridad de la información, pero el ISM debe ayudar a garantizar que se encuentren.)

©Copyright 2013 ISACA. Todos los derechos reservados Exigencia de cumplimiento Es importante que el ISM desarrolle procedimientos para manejar las violaciones de cumplimiento. Es preferible un sistema de auto informe y cumplimiento voluntario.

©Copyright 2013 ISACA. Todos los derechos reservados Evaluación de Amenazas Evaluación de amenazas Es una tarea de Evaluación de Riesgos, pero tiene un componente estratégico Debe considerar los tipos, naturaleza y extensión de las amenazas Ayuda a optimizar la respuesta al riesgo Facilita el desarrollo de políticas

©Copyright 2013 ISACA. Todos los derechos reservados Evaluación de vulnerabilidades La utilización de evaluaciones técnicas de vulnerabilidades empleando escaneos automáticos, pero en sí pueden tener un valor limitado para el desarrollo de la estrategia de seguridad. Evaluaciones exhaustivas de la vulnerabilidad deberá incluir las vulnerabilidades en: —Procesos —Tecnologías —Instalaciones

©Copyright 2013 ISACA. Todos los derechos reservados Evaluación y Gestión de Riesgos Aún cuando las evaluaciones tanto de amenazas como de vulnerabilidades puede ser útiles por sí mismas, también es necesario evaluar el riesgo global al que está expuesta la organización.