La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1.8.8 Integración del proceso de aseguramiento

Publicada porJosé Ignacio Lozano Morales Modificado hace 10 años

Presentaciones similares

Presentación del tema: "1.8.8 Integración del proceso de aseguramiento"— Transcripción de la presentación:

1 1.8.8 Integración del proceso de aseguramiento
Los Indicadores Clave de Meta (KGI) para la integración del proceso de aseguramiento pueden incluir: No existen fallas en la protección de los activos de información Se eliminan superposiciones innecesarias en la seguridad Las actividades de aseguramiento están perfectamente integradas Los roles y las responsabilidades están bien definidos Los encargados de proporcionar el aseguramiento entienden la relación con otras áreas de aseguramiento Todas las funciones de aseguramiento están identificadas e incluidas en la estrategia Directivas para el instructor: Con respecto a la administración del riesgo inherente a un negocio, Booz Allen Hamilton (en su publicación Convergence of Enterprise Security Organizations, Convergencia de organizaciones de seguridad empresarial), indica que: En el pasado, la gestión del riesgo inherente en un negocio era una función que estaba integrada dentro de los roles individuales del "Conjunto C". El enfoque tradicional era tratar cada riesgo por separado y asignar la responsabilidad a una persona o grupo reducido. Gestionar un único tipo de riesgo se volvió un trabajo definido, y llevarlo a cabo significaba enfocarse exclusivamente en esa área particular. El problema con este enfoque independiente es que no sólo ignora la interdependencia de muchos riesgos de negocio sino también suboptimiza el financiamiento del riesgo total de una empresa. Romper con ese enfoque independiente y tratar la suboptimización de las inversiones requiere de una nueva forma de pensar acerca del problema. Este nuevo pensamiento agrupa a las diversas partes involucradas en el conjunto problema para que trabajen de manera cercana y conjunta. Uno de los principales objetivos de este estudio es saber cómo las organizaciones líderes conjuntan diversos elementos y hacen que se orienten hacia un objetivo común. Páginas de Referencia del Manual de Preparación al Examen: Pg. 47

2 1.9 Visión General de la Seguridad de la Información
¿Qué es estrategia? Kenneth Andrews define estrategia corporativa como: “El patrón de decisiones en una compañía que determina y revela sus objetivos, propósitos o metas, produce las principales políticas y planes para conseguir las metas y define el rango de negocios que la compañía seguirá, el tipo de organización económica y humana que es o intenta ser, y la naturaleza de la contribución económica o no-económica que busca entregar a sus accionistas, empleados, clientes y comunidades” Directivas para el instructor: Si tomamos esta definición y agregamos seguridad en los puntos apropiados, el resultado es una buena definición de la estrategía de seguridad de la información. Páginas de Referencia del Manual de Preparación al Examen: Págs

3 1.9 Visión General de la Seguridad de la Información
Una estrategia de seguridad de la información: Declara objetivos/propósitos/metas Delinea las políticas y planes principales para asegurar objetivos/propósitos/metas Define: El rango de negocios Estado deseado para los negocios Entrega la base para un plan de acción Los planes de acción deben ser formulados basándose en los recursos y obligaciones disponibles. Los planes de acción deben contener provisiones para el monitoreo y métricas para determinar el nivel de éxito Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Págs

4 1.9 Visión General de la Seguridad de la Información
Directivas para el instructor: El flujo de este modelo sirve para promover el alineamiento de la seguridad de la información con los objetivos de negocios. El equilibrio de las contribuciones radica en determinar el estado deseado de la seguridad en comparación con el estado actual o existente. Los procesos del negocio se deben considerar al igual que el riesgo organizacional clave, incluyendo los requisitos regulatorios y el análisis de impacto correspondiente para determinar niveles de protección y prioridades. Páginas de Referencia del Manual de Preparación al Examen: 48

5 1.10.1 Dificultades comunes Exceso de Confianza Optimismo Anclaje
Tendencia al “status quo” Contabilidad Mental Instinto Gregario Falso Consenso Directivas para el instructor: • Exceso de confianza.La investigación muestra una tendencia de la gente a tener un exceso de confianza en su capacidad para hacer cálculos exactos. La mayoría de la gente se muestra renuente a calcular una amplia variedad de posibles resultados y prefiere estar precisamente en un error que vagamente en lo correcto. La mayoría también tiende a confiar demasiado en sus propias capacidades. Para las estrategias organizacionales que se basan en evaluaciones de capacidades principales, esto puede resultar en particular problemático. • Optimismo.La gente tiende a ser optimista en sus pronósticos. Una combinación de confianza y optimismo excesivos puede tener un impacto desastroso en las estrategias que se basan en los cálculos de lo que podría suceder. Por lo general dichas proyecciones son precisas a un grado no realista y demasiado optimistas. • Anclaje.La investigación demuestra que una vez que se presenta un resultado a alguien, una estimación posterior, incluso de un tema totalmente ajeno estará “anclado” al primer número. Aun cuando podría resultar útil para efectos de mercadotecnia, el anclaje puede tener consecuencias graves en el desarrollo de estrategias cuando resultados futuros se anclan a experiencias pasadas. • La tendencia al status quo.La mayoría de las personas muestra una fuerte tendencia a apegarse a enfoques familiares y conocidos incluso cuando se haya comprobado que son inadecuados o ineficaces. La investigación también indica que la preocupación por las pérdidas es por lo general mayor que la emoción de una posible ganancia. El “efecto de legado” es una tendencia similar en la cual la gente prefiere conservar lo que es suyo o lo que conocen, y el simple hecho de poseer algo lo hace más valioso para el dueño. • Contabilidad mental.Se define como “la inclinación a categorizar y tratar al dinero de manera diferente dependiendo de dónde viene, dónde se guarda y cómo se gasta”. La contabilidad mental es común incluso en salas de juntas de corporaciones conservadoras y racionales. Algunos ejemplos incluyen: - Estar menos interesado en los gastos derivados de los cargos por reestructuración que del estado de resultados. - Imponer límites de costos a un negocio central mientras se gasta libremente al inicio. - Crear nuevas categorías de gastos, tales como “inversiones de los ingresos” o “inversiones estratégicas”. • El instinto gregario.Es una característica humana fundamental conformar y buscar la validación de otros. Esto puede observarse por la “manía” en la seguridad (así como todos los demás aspectos de la actividad humana) cuando, por ejemplo, de pronto alguien se involucra en la administración de claves o la detección de intrusos. En ocasiones, explicado en términos de “una idea cuya hora ha llegado”, se describe con mayor precisión como el instinto gregario detrás de los líderes del pensamiento. Las implicaciones que tiene para el desarrollo de la estrategia deben quedar claras. Queda demostrado de manera acertada cuando se dice que “para los altos directivos lo único peor que cometer un enorme error estratégico es ser la única persona en la industria que lo comete.” • Falso consenso.Existe una tendencia bien documentada en la gente de sobreestimar el grado al cual los demás comparten sus puntos de vista, creencias y experiencias. Algunas investigaciones tales como el estudio realizado por C.E. Camerer y G. Loewenstein, han revelado varias causas, entre otras: - Tendencia a la confirmación.Buscar opiniones o hechos que respalden nuestras propias creencias. - Recuerdos selectivos.Recordar sólo hechos o experiencias que refuerzan las suposiciones actuales. - Evaluación subjetiva.Fácil aceptación de evidencia que sustenta nuestras hipótesis al mismo tiempo que se cuestiona la evidencia contradictoria y, casi invariablemente, se rechaza. A menudo a los críticos se les ataca con motivos hostiles o se pone en tela de juicio su competencia. • Pensamiento de grupo.La presión para llegar a un acuerdo en culturas orientadas a formar equipos. Páginas de Referencia del Manual de Preparación al Examen: Págs

6 1.11 Objetivos de la Estrategia de Seguridad de la Información
El objetivo de desarrollar una estrategia de seguridad de la información: Se deben definir Deben estar acompañados por el desarrollo de métricas para determinar si los objetivos serán alcanzados. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 50 Páginas de Referencia del Manual de Preparación al Examen: Págs.

7 1.11 Objetivos de la Estrategia de Seguridad de la Información
Las seis metas del gobierno son: Alineación estratégica Gestión efectiva de riesgos Entrega de valor Gestión de recursos Gestión del desempeño Integración de Procesos de Aseguramiento Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pg. 50

8 1.11.1 La meta La meta de la seguridad de la información es:
Proteger los activos de información de la organización. Para asegurar esta meta, la información relevante debe ser: Localizada Clasificada Etiquetada Protegida de acuerdo a su etiquetado Directivas para el instructor: Muchas organizaciones no entienden que significa proteger. Páginas de Referencia del Manual de Preparación al Examen: Págs

9 1.11.2 Definición de objetivos
La estrategia de seguridad de la información es la base de un plan de acción para asegurar el logro de los objetivos de seguridad. Los objetivos de largo plazo deben ser en términos de un “Estado Deseado”. Deben reflejar la visión bien articulada de los resultados deseados de un programa de seguridad. Los objetivos de la estrategia de seguridad de la información también deben establecerse en términos de metas específicas para apoyar mejor las actividades de negocio. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag

10 1.11.2 Definición de objetivos
Vínculos de Negocios: Pueden iniciar desde la perspectiva de los objetivos específicos de una determinada línea de negocio. Deben tomar en consideración todos los flujos de información que son críticos para asegurar la continuidad de operaciones. Pueden descubrir los problemas de seguridad de la información a nivel operativo. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag

11 El estado deseado El estado deseado comprende una “fotografía” de todas las condiciones relevantes en un punto del tiempo en el futuro: Incluyendo personas, procesos y tecnologías. Un “Estado deseado de seguridad” debe ser definido en términos de atributos, características y resultados: El desarrollo de la estrategia tendrá límites sobre los tipos de métodos de aplicación a considerar. Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 53

12 1.11.3 El estado deseado El estado deseado de acuerdo a COBIT:
"La protección de los intereses de aquellos que confían en la información, procesos, sistemas y comunicaciones que manipulan, almacenan y entregan la información, de cualquier daño resultante de fallas de disponibilidad, confidencialidad e integridad“ Focalizada en los procesos relacionados con TI desde las perspectivas de Gobierno TI, gestión y control. Directivas para el instructor: Definir un "estado de seguridad" en términos puramente cuantitativos es imposible. En consecuencia, un “estado deseado de seguridad” tiene que definirse hasta cierto punto en términos cualitativos de atributos, características y resultados. De acuerdo con Cobit, puede incluir objetivos de alto nivel tales como: "La protección de los intereses de aquellos que confían en la información, procesos, sistemas y comunicaciones que manipulan, almacenan y entregan la información, de cualquier daño resultante de fallas de disponibilidad, confidencialidad e integridad“. Resulta evidente que aun cuando la aseveración anterior es útil para declarar la intención y el alcance, no ofrece la claridad suficiente para definir los procesos u objetivos. Páginas de Referencia del Manual de Preparación al Examen: Pag

13 El estado deseado El estado deseado de la seguridad puede ser definido como el logro de algún nivel específico de Capability Maturity Model (CMM): 0. Inexistente-No hay reconocimiento de la organización de necesidad de seguridad 1. Provisional—Los riesgos se consideran de modo provisional 2. Repetible pero intuitivo—Entendimiento emergente del riesgo y la necesidad de la seguridad 3. Proceso definido—Política de gestión de riesgos/conciencia sobre la seguridad en toda la empresa 4. Administrado pero cuantificable—Procedimiento establecido de gestión de riesgos, roles y responsabilidades asignados; se cuenta con políticas y normas 5. Optimizado—Procesos implementados, monitoreados y administrados en toda la organización Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag

14 El estado deseado El Cuadro de Mandos Balanceados usa cuatro perspectivas Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag

Descargar ppt "1.8.8 Integración del proceso de aseguramiento"

Presentaciones similares

El ciclo de vida de un proyecto

El ciclo de vida de un proyecto
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
Planeación de los Recusrsos Humanos............. Cuando se inicia el proceso: Con las metas organizacionales, mediante las Reglas y politicas establecidas.

Planeación de los Recusrsos Humanos Cuando se inicia el proceso: Con las metas organizacionales, mediante las Reglas y politicas establecidas.
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Las finanzas y su relación con la Administración

Las finanzas y su relación con la Administración
LOS PROCESOS DE GESTIÓN SON UN MEDIO Y NO EL FINAL El Trabajo En Conjunto Que Producen Las Características Del Servicio Que Definen Valor.

LOS PROCESOS DE GESTIÓN SON UN MEDIO Y NO EL FINAL El Trabajo En Conjunto Que Producen Las Características Del Servicio Que Definen Valor.
“8 Principios de la Gestión Administrativa”

“8 Principios de la Gestión Administrativa”
Cuadro de Mando Integral

Cuadro de Mando Integral
GOBERNABILIDAD DE PROYECTOS

GOBERNABILIDAD DE PROYECTOS
Estrategia Conceptos iniciales Equipo de Gestión e Innovación.

Estrategia Conceptos iniciales Equipo de Gestión e Innovación.
Verificando el cumplimiento de los objetivos

Verificando el cumplimiento de los objetivos
Juan Antonio Siqueiros Pérez

Juan Antonio Siqueiros Pérez
Las necesidades actuales de las empresas

Las necesidades actuales de las empresas
Enfoque basado en procesos

Enfoque basado en procesos
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
PLANEACIÓN ESTRATÉGICA.

PLANEACIÓN ESTRATÉGICA.
Por favor dar doble Click al siguiente Video

Por favor dar doble Click al siguiente Video
CMI, Cuadro de Mando Integral

CMI, Cuadro de Mando Integral

Presentaciones similares

Anuncios Google