©Copyright 2013 ISACA. Todos los derechos reservados. 1.5 Gobierno Efectivo de la Seguridad de la Información BMIS - Una clara estrategia organizacional para la preservación es igualmente importante y debe acompañar a la estrategia para el progreso. CMU - Ver una seguridad adecuada como un requerimiento no negociable para estar en el negocio.

©Copyright 2013 ISACA. Todos los derechos reservados Metas y objetivos del negocio El gobierno corporativo es el conjunto de responsabilidades y prácticas ejercidas por el directorio y el equipo ejecutivo. Sus metas pueden incluir: – Entregar dirección estratégica – Asegurar el logro de los objetivos – Asegurar que los riesgos son gestionados apropiadamente – Verificar que los recursos de la compañía son utilizados responsablemente

©Copyright 2013 ISACA. Todos los derechos reservados Metas y objetivos del negocio ¿Qué es Gobierno de seguridad de la información? − Es un subconjunto del Gobierno Corporativo − Entrega dirección estratégica a las actividades de seguridad y asegura el logro de los objetivos − Asegura que el riesgo de seguridad de la información se gestione apropiadamente − También ayuda a asegurar que los recursos de información son utilizados responsablemente.

©Copyright 2013 ISACA. Todos los derechos reservados Metas y objetivos del negocio En orden a asegurar la efectividad del Gobierno de seguridad de la información, la gerencia debe establecer y mantener un marco de trabajo − Este marco de trabajo deberá guiar el desarrollo y gestión de un programa de seguridad de la información consistente que apoye los objetivos de negocios

©Copyright 2013 ISACA. Todos los derechos reservados Metas y objetivos del negocio El marco de trabajo de gobierno generalmente consistirá en: —Una estrategia de seguridad completa vinculada con los objetivos del negocio —Las políticas de Seguridad deben ocuparse de cada aspecto estratégico, controles y regulaciones —Un conjunto completo de estándares para cada política —Una estructura organizacional libre de conflictos de intereses con la suficiente autoridad y recursos —Métricas y procesos de monitoreo para garantizar el cumplimiento y entregar retroalimentación

©Copyright 2013 ISACA. Todos los derechos reservados Alcance y estatutos del gobierno de la seguridad de la información Seguridad de la Información se ocupa de todos los aspectos de la información. Seguridad de TI es concerniente a la seguridad de la información en los límites del dominio de la tecnología.

©Copyright 2013 ISACA. Todos los derechos reservados Alcance y estatutos del gobierno de la seguridad de la información La Corporate Government Task Force (Grupo de Trabajo de gobierno corporativo) de la National Security Partnership [Sociedad de seguridad nacional], un grupo de trabajo especial conformado por líderes corporativos y del gobierno, ha identificado un conjunto básico de principios para ayudar a dirigir la implementación de un gobierno efectivo de seguridad de la información: —Los CEO deben asegurarse de que se lleve a cabo una evaluación anual de la seguridad de la información, deben revisar los resultados de la evaluación con el personal y presentar ante el consejo de dirección información sobre el desempeño. —Las organizaciones deben llevar a cabo evaluaciones periódicas de riesgos con respecto a los activos de información como parte de un programa de gestión de riesgos. —Las organizaciones deben implementar políticas y procedimientos basados en las evaluaciones de riesgos para proteger los activos de información. —Las organizaciones deben establecer una estructura de gestión de la seguridad para asignar roles, deberes, facultades y responsabilidades individuales explícitas.

©Copyright 2013 ISACA. Todos los derechos reservados Alcance y estatutos del gobierno de la seguridad de la información La Corporate Government Task Force (Grupo de Trabajo de gobierno corporativo) de la National Security Partnership [Sociedad de seguridad nacional], un grupo de trabajo especial conformado por líderes corporativos y del gobierno, ha identificado un conjunto básico de principios para ayudar a dirigir la implementación de un gobierno efectivo de seguridad de la información: —Las organizaciones deben desarrollar planes y tomar acciones para brindar una seguridad de la información apropiada para las redes, equipos, sistemas e información. —Las organizaciones deben tratar la seguridad de la información como una parte integral del ciclo vital del sistema. —Las organizaciones deben proporcionar concienciación, capacitación y formación en seguridad de la información al personal. —Las organizaciones deben realizar pruebas y evaluaciones periódicas de la efectividad de las políticas y procedimientos de seguridad de la información. —Las organizaciones deben desarrollar y ejecutar un plan para tomar acciones correctivas para resolver cualquier deficiencia en la seguridad de la información. —Las organizaciones deben desarrollar e implementar procedimientos de respuestas a incidentes. —Las organizaciones deben establecer planes, procedimientos y pruebas para brindar continuidad a las operaciones. —Las organizaciones deben aplicar las mejores prácticas en seguridad, tales como ISO 27001, para medir el desempeño de la seguridad de la información.

©Copyright 2013 ISACA. Todos los derechos reservados Roles y responsabilidades de la alta dirección Consejo de dirección/Alta dirección: —Gobierno de seguridad de la información Dirección ejecutiva: —Implementar un gobierno efectivo de seguridad y definir los objetivos estratégicos de seguridad Comité directivo: —Asegurar que todas las partes interesadas impactadas por consideraciones de seguridad estén involucradas. CISO: —Las responsabilidades van desde el CISO (quien reporta al CEO) hasta los administradores de sistemas que tiene una responsabilidad de medio tiempo por la gerencia de la seguridad

©Copyright 2013 ISACA. Todos los derechos reservados Roles y responsabilidades de la seguridad de la información Gerente de seguridad de la información: Desarrolla la estrategia de seguridad con la colaboración de unidades clave del negocio y la aprobación de la estrategia por parte de la alta dirección. Educar a la gerencia La seguridad de la información requiere: Liderazgo y respaldo continuo por parte de la alta dirección Integración con las gerencias de la unidad de negocio y organizacional, así como de su cooperación Establecimiento de los canales de reporte y comunicación

©Copyright 2013 ISACA. Todos los derechos reservados Gobierno, gestión de riesgos y cumplimiento GRC – Enfoque adoptado por muchas organizaciones para combinar procesos de aseguramiento que incluyen: Auditoría interna Programas de cumplimiento (SOX) Gestión de riesgos empresariales (ERM) Gestión de incidentes

©Copyright 2013 ISACA. Todos los derechos reservados Gobierno, gestión de riesgos y cumplimiento Gobierno: Es responsabilidad de _______________ Su foco está en _____________________ Gestión de riesgos: Es un _____________________________ Desarrolla e implementa _____________ Cumplimiento: Es el _______ que _________________

©Copyright 2013 ISACA. Todos los derechos reservados Gobierno, gestión de riesgos y cumplimiento Un programa de GRC de TI generalmente incluye: Controles y librerías de políticas Distribución de políticas y respuesta Autoevaluación de controles de TI y medición Repositorio de activos de TI Recopilación automatizada de control de computadoras general Gestión de correcciones y excepciones Reporte Evaluación avanzada de riesgos de TI y tableros de cumplimiento

©Copyright 2013 ISACA. Todos los derechos reservados Modelo de negocios para la seguridad de la información Modelo creado por el Institute for Critical Information Infrastructure Protection. Un enfoque orientado a negocios para gestionar la seguridad de la información. Se ve mejor como un sistema flexible, en 3-D, la estructura piramidal compuesta por cuatro elementos unidos por seis interacciones dinámicas.

©Copyright 2013 ISACA. Todos los derechos reservados Modelo de negocios para la seguridad de la información

©Copyright 2013 ISACA. Todos los derechos reservados Modelo de negocios para la seguridad de la información Diseño y Estrategia de la Organización Una organización es una red e personas, activos y procesos interactuando entre sí con roles definidos y trabajando para alcanzar una meta común. La estrategia de la empresa especifica sus metas de negocio y los objetivos que e deben alcanzar, así como los valores y las misiones que se deben perseguir. El diseño define la manera en que la organización implementa su estrategia. Los procesos, la cultura y la arquitectura son importantes para determinar el diseño. ARQUITECTURAARQUITECTURA CULTURACULTURA Diseño/ Estrategia ORGANIZACION SOPORTE DAR SOPORTE SURGIMIEN TO FACTORES HUMANOS TECNOLOGÍA RECURSO HUMANO PROCESOS DE NEGOCIO

©Copyright 2013 ISACA. Todos los derechos reservados Modelo de negocios para la seguridad de la información ARQUITECTURAARQUITECTURA CULTURACULTURA Diseño/ Estrategia ORGANIZACION SOPORTE DAR SOPORTE SURGIMIEN TO FACTORES HUMANOS TECNOLOGÍA RECURSO HUMANO PROCESOS DE NEGOCIO Personas: Los recursos humanos y los aspectos de seguridad que los rodean. Define quién implementa cada parte de la estrategia. Estrategias de reclutamiento Acceso, verificaciones de antecedentes, entrevistas, roles y responsabilidades Aspectos relacionados con el empleo Ubicación de la oficina, acceso a herramientas y datos, capacitación y concientización, movimiento dentro de la empresa Término de relaciones laborales Razones de la desvinculación, momento de la salida, acceso a los sistemas, acceso a otros empleados

©Copyright 2013 ISACA. Todos los derechos reservados Modelo de negocios para la seguridad de la información ARQUITECTURAARQUITECTURA CULTURACULTURA Diseño/ Estrategia ORGANIZACION SOPORTE DAR SOPORTE SURGIMIEN TO FACTORES HUMANOS TECNOLOGÍA RECURSO HUMANO PROCESOS DE NEGOCIO Procesos Incluye mecanismos formales e informales para realizar las tareas. Identifican, miden, gestionan y controlan el riesgo, la disponibilidad, la integridad y la confidencialidad, además de asegurar la responsabilidad.

©Copyright 2013 ISACA. Todos los derechos reservados Modelo de negocios para la seguridad de la información ARQUITECTURAARQUITECTURA CULTURACULTURA Diseño/ Estrategia ORGANIZACION SOPORTE DAR SOPORTE SURGIMIEN TO FACTORES HUMANOS TECNOLOGÍA RECURSO HUMANO PROCESOS DE NEGOCIO Tecnología Conformada por todas las herramientas, aplicaciones y la infraestructura que incrementa la eficiencia de los procesos. Como elemento en evolución que experimenta cambios frecuentes, tiene sus propios riesgos dinámicos. Dada la típica dependencia de la tecnología que exhiben las organizaciones, la tecnología constituye una parte esencial de la infraestructura de la empresa y un factor crítico para alcanzar la estrategia.