1.17 Implementación del gobierno de la seguridad—Ejemplo La lista continúa: Se lleva a cabo de manera consistente el análisis de impacto y riesgo de seguridad de la información. Las políticas y las prácticas de seguridad se completan con niveles mínimos específicos de seguridad. Las sesiones de concienciación sobre la seguridad se han vuelto obligatorias. La identificación, autenticación y autorización de usuarios se han homologado. Se ha establecido la certificación de seguridad del personal. Las pruebas de intrusos son un proceso establecido y formalizado que conduce a mejoras. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 74-75 1

1.17 Implementación del gobierno de la seguridad—Ejemplo La lista continúa: El análisis de costo-beneficio, como apoyo a la implementación de las medidas de seguridad, se está utilizando cada vez con mayor frecuencia. Los procesos de seguridad de la información se coordinan con el área de seguridad de toda la organización. La presentación de información relativa a la seguridad de la información está vinculada con los objetivos de negocio. Se exige el cumplimiento de las responsabilidades y los estándares para un servicio continuo. Las prácticas de redundancia de sistemas, incluyendo el uso de componentes de alta disponibilidad, se utilizan de manera consistente. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 74-75 2

1.17 Implementación del gobierno de la seguridad—Ejemplo Dependiendo de la estructura organizacional, será necesario evaluar cada área o proceso significativo de la organización por separado. En la mayoría de las organizaciones, los típicos resultados para cada una de las 15 características definidas anteriormente oscilarán entre los niveles de madurez en una escala de 1 a 4. Será necesario revisar las políticas para determinar si cubren también cada uno de los elementos de CMM. Uno de los objetivos es alcanzar niveles consistentes de madurez a lo largo de dominios de seguridad específicos: Todos los procesos críticos deben estar a un nivel de madurez similar. Directivas para el instructor: Dependiendo de la estructura organizacional, será necesario evaluar cada área o proceso significativo de la organización por separado. Por ejemplo, contabilidad, recursos humanos, operaciones, TI, las unidades de negocio o filiales deben ser evaluados para determinar si el estado actual cumple con los requisitos de los 15 (o más) elementos enumerados anteriormente. En la mayoría de las organizaciones, los típicos resultados para cada una de las 15 características definidas anteriormente oscilarán entre los niveles de madurez en una escala de 1 a 4. Será necesario revisar las políticas para determinar si cubren también cada uno de los elementos. En la medida en que no lo hacen, en la sección siguiente se ofrecen sugerencias de políticas que abordan cada uno de los requisitos de CMM 4. Un objetivo que debería establecerse es: “alcanzar niveles de madurez consistentes entre dominios de seguridad específicos”, teniendo conciencia de la noción de que “la seguridad es sólo tan buena como el eslabón más débil”. Por ejemplo, el nivel de madurez de todos los procesos críticos debe ser el mismo. Páginas de Referencia del Manual de Preparación al Examen: Pag. 74-75

1.17.1 Muestras adicionales de políticas Ejemplos de políticas que podrían crearse para abordar algunos aspectos de CMM 4 son las siguientes: Un método establecido para asegurar alineación continua con las metas y objetivos del negocio: Los roles y las responsabilidades de la Compañía XYZ deben definirse claramente y deben asignarse formalmente todas las áreas de seguridad necesarias para garantizar la determinación de responsabilidad. Un desempeño aceptable deberá asegurarse mediante un monitoreo y métricas apropiados. Activos de información que han sido identificados y clasificados por su criticidad y sensibilidad: Todos los activos de información deben tener a su dueño debidamente identificado y deberán ser catalogados. Asimismo, deberá determinarse su valor y deberán clasificarse con base en su criticidad y sensibilidad a lo largo de su ciclo vital. Directivas para el instructor: Esta sección incluye a conjunto de ejemplos de políticas Páginas de Referencia del Manual de Preparación al Examen: Pag. 76

1.18 Metas intermedias del plan de acción Las metas a corto plazo del plan de acción deberían ser: Definidas una vez que se ha concluido la estrategia total Con base en la determinación del BIA de los recursos de negocio críticos Determinar el estado de seguridad según se haya establecido a partir del análisis de brechas del CMM anterior Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

1.18 Metas intermedias del plan de acción Si los objetivos de la estrategia de seguridad son alcanzar cumplimiento o certificación CMM 4, entonces un ejemplo de un plan de acción (o táctico) a un plazo cercano podría establecer que durante los siguientes 12 meses: Cada unidad de negocio tiene que identificar las aplicaciones actuales en uso Tiene que revisarse el 25 por ciento de toda la información almacenada para determinar su propiedad, criticidad y sensibilidad Cada unidad de negocio llevará a cabo un BIA de los recursos de información a fin de identificar los recursos críticos Las unidades de negocio tienen que dar cumplimiento a las regulaciones Deben definirse todos los roles y las responsabilidades de seguridad Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

1.18 Metas intermedias del plan de acción Se desarrollará un proceso para verificar los vínculos a los procesos de negocio Se debe realizar una evaluación de riesgo exhaustiva para cada unidad de negocio Todos los usuarios deben recibir formación sobre una política de uso aceptable Todas las políticas deben revisarse y modificarse según sea necesario para la consistencia con los objetivos de la estrategia de seguridad. Deben existir estándares para todas las políticas Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

1.19 Objetivos del programa de seguridad de la información Los fundamentos de un programa de seguridad de la información son: La estrategia de seguridad El plan de acción El programa es, en esencia, el plan de proyecto para implementar y establecer gestión en curso de alguna parte o partes de la estrategia. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

1.19 Objetivos del programa de seguridad de la información El objetivo del programa de seguridad de la información es proteger tanto los intereses de aquellos que dependen de la información como los procesos, sistemas y comunicaciones que la manejan, almacenan y entregan de sufrir algún daño que sea consecuencia de fallas en: Disponibilidad Confidencialidad Integridad Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 77

1.19 Objetivos del programa de seguridad de la información Para la mayoría de las organizaciones, el objetivo de la seguridad se cumple cuando: La información está disponible y se puede utilizar cuando se le requiere, y los sistemas que la proporcionan pueden resistir ataques en forma apropiada (disponibilidad) La información se divulga sólo a aquellos que tengan derecho a conocerla y sólo puede ser observada por ellos (confidencialidad) La información está protegida contra modificaciones no autorizadas (integridad) Se puede confiar en las transacciones de negocio y en el intercambio de información entre locaciones de la empresa o con socios (autenticidad y no repudio) Directivas para el Instructor: La cantidad necesaria de Confidencialidad, Integridad y Disponibilidad (CID) y No Repudio varía de una organización a otra, dependiendo del contexto del negocio. Páginas de Referencia del Manual de Preparación al Examen: Pag. 77