La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.5 Personal El gerente de seguridad también debe considerar los riesgos relativos al personal:

Publicada porLorenzo Río Cruz Modificado hace 9 años

Presentaciones similares

Presentación del tema: "©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.5 Personal El gerente de seguridad también debe considerar los riesgos relativos al personal:"— Transcripción de la presentación:

1

2 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.5 Personal El gerente de seguridad también debe considerar los riesgos relativos al personal: —La primera línea de defensa es intentar garantizar la confianza y la integridad del personal tanto existente como de nuevo ingreso. —Las verificaciones tradicionales de antecedentes son muy comunes, pero la extensión de este tipo de verificaciones puede estar limitado por privacidad u otras leyes. Las medidas relativas al personal deben ser proporcionales a la sensibilidad y criticidad de los requerimientos de la posición que se tiene. Es necesario desarrollar métodos para el seguimiento de casos de hurto o robo. También se deben desarrollar políticas y normas de investigación de antecedentes.

3 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.6 Estructura organizacional De acuerdo a una encuesta, el 23 por ciento de todos los ISMs tiene una línea de dependencia directa o indirectamente al CIO: —Podría no ser la estructura ideal y la alta dirección debe evaluarla como parte de sus responsabilidades de gobierno ¿Debe estar la seguridad centralizada y estandarizada? —La centralización/estandarización depende de la estructura de la organización. —Un proceso de seguridad descentralizado permite a los administradores de seguridad estar más cerca de los usuarios y a comprender mejor sus problemas locales.

4 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.7 Roles y responsabilidades de los empleados La estrategia debe incluir un mecanismo que defina todos los roles y responsabilidades de seguridad y que los incluya en las descripciones de cargo de los empleados. Las mediciones relacionadas con la seguridad se pueden incluir en el desempeño laboral y los objetivos anuales del empleado. El ISM debe coordinarse con Recursos Humanos para definir los roles y las responsabilidades de seguridad.

5 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.8 Habilidades Elegir una estrategia que utilice las habilidades con las que ya se cuenta aparece como una opción más rentable. Tener un inventario de las habilidades o competencias ayudaría a determinar los recursos que están disponibles para desarrollar una estrategia de seguridad. Las pruebas de competencias pueden servir para determinar si se cuenta con las habilidades requeridas o si se pueden alcanzar mediante capacitación.

6 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.9 Concientización y formación La capacitación, la formación y la concienciación son elementos fundamentales para la estrategia en su conjunto porque: —La seguridad con frecuencia es más débil al nivel del usuario final. —La seguridad depende en gran medida del cumplimiento individual. Un programa recurrente de concienciación sobre la seguridad dirigido a usuarios finales refuerza la importancia de la seguridad de la información y en la actualidad incluso se exige por ley. Los programas de concienciación y capacitación pueden lograr que se reconozca de un modo generalizado que la seguridad es importante. Existen evidencias que indican que la mayoría de los usuarios finales no son conscientes de las políticas y estándares de seguridad existentes.

7 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.9 Concientización y formación La concienciación y capacitación en seguridad a menudo produce las mejoras más rentables sobre seguridad. Ampliar y profundizar las habilidades apropiadas del personal de seguridad mediante capacitación pueden mejorar en gran medida la eficiencia de la seguridad en una organización. —Capacitar a personal de seguridad de nuevo ingreso o ya existente para dotarlos de las habilidades que se necesitan para satisfacer los requerimientos de seguridad específicos tanto existentes como emergentes puede ser una opción más rentable que contratar nuevo personal con las habilidades apropiadas. La capacitación efectiva tiene que estar dirigida a: —Sistemas específicos —Procesos y políticas —A la forma única y específica de la organización para hacer negocio —Al contexto de seguridad particular de la organización

8 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.10 Auditorías Las auditorías, tanto internas como externas, son uno de los procesos principales que se utilizan para identificar deficiencias en la seguridad de la información. Las auditorías internas en la mayor parte de grandes organizaciones las lleva a cabo un departamento de auditoría interna que, por lo general, informa al director de riesgo (CRO) o a un comité de auditoría del consejo de dirección. Las auditorias externas son generalmente iniciadas por el departamento de finanzas. (Los resultados a menudo no se ofrecen a seguridad de la información, pero el ISM debe ayudar a garantizar que se encuentren.)

9 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.11 Exigencia de cumplimiento Es importante que el ISM desarrolle procedimientos para manejar las violaciones de cumplimiento. Es preferible un sistema de auto informe y cumplimiento voluntario.

10 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.12 Evaluación de Amenazas Evaluación de amenazas Es una tarea de Evaluación de Riesgos, pero tiene un componente estratégico Debe considerar los tipos, naturaleza y extensión de las amenazas Ayuda a optimizar la respuesta al riesgo Facilita el desarrollo de políticas

11 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.13 Evaluación de vulnerabilidades La utilización de evaluaciones técnicas de vulnerabilidades empleando escaneos automáticos, pero en sí pueden tener un valor limitado para el desarrollo de la estrategia de seguridad. Evaluaciones exhaustivas de la vulnerabilidad deberá incluir las vulnerabilidades en: —Procesos —Tecnologías —Instalaciones

12 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.14 Evaluación y Gestión de Riesgos Aún cuando las evaluaciones tanto de amenazas como de vulnerabilidades puede ser útiles por sí mismas, también es necesario evaluar el riesgo global al que está expuesta la organización.

Descargar ppt "©Copyright 2013 ISACA. Todos los derechos reservados. 1.14.5 Personal El gerente de seguridad también debe considerar los riesgos relativos al personal:"

Presentaciones similares

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
PLANEACIÓN ESTRATÉGICA

PLANEACIÓN ESTRATÉGICA
Control Interno Informático. Concepto

Control Interno Informático. Concepto
CNAP Centro Nacional de Acreditación Profesional.

CNAP Centro Nacional de Acreditación Profesional.
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
Administración de los riesgos desde la perspectiva del Control Interno

Administración de los riesgos desde la perspectiva del Control Interno
Versión 2. 12.03.12. Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.

Versión Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
SISTEMA DE GESTION.

SISTEMA DE GESTION.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Sistema de Control de Evaluación.

Sistema de Control de Evaluación.
Sistema de Control de Gestión.

Sistema de Control de Gestión.
DISPONIBILIDAD Y CALIFICACIÓN DEL RECURSO HUMANO

DISPONIBILIDAD Y CALIFICACIÓN DEL RECURSO HUMANO
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS

NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS
CUADRO COMPARATIVO CONTROL ADMINISTRATIVO Y CONTROL FINANCIERO.

CUADRO COMPARATIVO CONTROL ADMINISTRATIVO Y CONTROL FINANCIERO.
EL ROL DEL DIRECTOR EN LA ORGANIZACIÓN. Prof. Maria Celia Illa Prof. Raquel González Concepto: Rasgos que la caracterizan: Objetivos Recursos División.

EL ROL DEL DIRECTOR EN LA ORGANIZACIÓN. Prof. Maria Celia Illa Prof. Raquel González Concepto: Rasgos que la caracterizan: Objetivos Recursos División.
Modelo Estándar de Control Interno Actualización Decreto 943 de 2014

Modelo Estándar de Control Interno Actualización Decreto 943 de 2014
MODELO ESTANDAR DE CONTROL INTERNO

MODELO ESTANDAR DE CONTROL INTERNO

Presentaciones similares

Anuncios Google