CISM 15e Domain1 Spanish PDF
CISM 15e Domain1 Spanish PDF
CISM 15e Domain1 Spanish PDF
Capítulo 1: Gobierno de
Seguridad de la Información
Fotografía del Pablo Caneo
Expositor
26 Y 27 AGOSTO - Santiago CHILE
PREPARACIÓN PARA
EL EXAMEN CISM
Pablo Caneo
Pregunta previa al curso - 1
Gobierno de la seguridad de la
información
Dominio 1
Dominio 3: Desarrollo
y gestión del Dominio 2: Gestión
programa de de riesgos de
seguridad de la seguridad de la
información (27%) información (30%)
Gobierno vs. Gestión
Gobierno Gestión
– El propósito es – El propósito es
establecer metas planificar, construir,
– “Hacer lo correcto” ejecutar y monitorear
las actividades para
alcanzar los objetivos
– “Hacer las cosas
bien”
¿Por qué es importante el gobierno?
Un programa de seguridad de la
información efectiva:
Apoya lo que la organización
está intentando hacer
Mantiene el riesgo dentro de
los niveles aceptables
Rastrea el éxito y las áreas de
mejora
Cambios en la organización
Generalidades del Dominio 1
K1.12 Los programas solo son tan buenos como ellos se ven; un programa bien
diseñado que es pobremente comunicado no despegará del suelo.
Términos clave RH1
GRC es un proceso de
aseguramiento integrado
Convergencia puede
Gobierno existir de manera
independiente a través
de las diferentes
funciones de negocio
La seguridad de la
Riesgo Cumplimiento información es a
menudo parte del GRC
Errores en el desarrollo de la
estrategia
• Exceso de confianza/Optimismo
• Anclaje
• Sesgo de status quo
• Contabilidad mental
• Instinto de reunión
• Falso consenso
– Confirmación del sesgo
– Pensamiento en grupo
Empieza con la Metas
• ¿Cuál es la meta?
– Típicamente asegurar la fiabilidad de la
información relacionada con los procesos de
negocio
• A menudo se desconoce qué información
existe dentro de la empresa, criticidad, etc.
– Impacto costo-efectividad
• Las metas ayudan a establecer los objetivos,
los que conducen a las estrategias.
– Deberían atarse a las metas empresariales
Clasificación de los activos
• La clasificación inicial
puede consumir mucho
tiempo
– No se vuelve más fácil
con el tiempo
• El mejor enfoque es
iniciar lo más pronto
posible
– Clasificar nuevos activos
cuando ellos son
creados
– Monitorear los cambios
Enfocarse en los datos
• La seguridad de la información
tradicionalmente se ha enfocado en los
sistemas de TI.
• Los dueños de procesos de negocio
consideran los sistemas de TI como
herramientas, mientras los datos producidos
tienen valor
• La integración con el gobierno corporativo se
vuelve más fácil con un enfoque a datos
Valoración de los datos
• Legal
• Físico
• Ética
• Cultura
• Costos
• Personal
• Estructura organizacional
• Recursos
• Capacidades
• Tiempo
• Apetito de riesgo
Requerimientos legales y regulatorios
Seguridad de la información
está vinculada con la
privacidad, propiedad
intelectual y ley
Es posible que se requieran
estrategias de seguridad para
diferentes regiones
Requerimientos de retención
Descubrimiento electrónico
(E-Discovery)
Tratar como cualquier otro
riesgo
Limitaciones físicas
• Ética
– Percepción del comportamiento de la empresa
– Influenciado por la localidad y cultura
• Cultura
– Cultura interna
– Cultura local
Costos
• Personal
– La resistencia a los cambios puede impactar el
éxito de la implementación de la estrategia
• Estructura organizacional
– Impacta como una estrategia de gobierno puede
ser implementada
– La cooperación es necesaria
– El apoyo de la alta dirección ayuda a asegurar la
cooperación
Recursos, Capacidades y
Tiempo
• Recursos
– Considerar los presupuestos disponibles, TCO y
requerimientos del personal
• Capacidades
– Experiencia y habilidades
• Tiempo
– Plazos/Ventanas de oportunidad
Apetito de riesgo
La estrategia de seguridad de
la información necesita ser
dinámica.
Actualizar las evaluaciones
regularmente.
Pregunta de discusión
Fuente: The Open Group; TOGAF, Versión 9.1, Reino Unido, 2011
Construyendo consistencia
¿Preguntas?
La “foto completa"
• La estrategia de seguridad de la
información es como la
Sección Uno organización administra el riesgo
Diseño de una estrategia y un marco de asociado con los activos de
referencia del gobierno información y asegura que ellos
están disponibles para soportar
el logro de las metas del negocio.
Sección Uno
El respaldo de la alta
dirección es esencial para el
éxito
La seguridad de la
información podría necesitar
educar a la alta gerencia para
mantenerlos interesados
Utiliza lenguaje de negocio,
no jerga técnica
Vender la estrategia
• El comité de dirección
– Compuesto por altos representantes de grupos afectados por la
seguridad de la información
– Asegurar alineamiento del programa de seguridad con los objetivos
del negocio
• Temas comunes:
– La estrategia de seguridad y los esfuerzos de integración
– Acciones y avances específicos relacionados con el apoyo a las
unidades de negocio con respecto a las funciones del programa de
seguridad de la información
– Riesgos emergentes, prácticas de seguridad en las unidades de
negocio y temas de cumplimiento
Roles y responsabilidades
• Director de riesgo
– Generalmente responsable de todo el riesgo que
no sea de información y ERM en general
• Director de información
– Responsable de la planificación, presupuesto y
desempeño de TI
• Director de seguridad de la información
– Funciones similares como gerente de seguridad de
la información con más elementos estratégicos y
de gestión
Es bueno saber que
Llevar a cabo R A R
un análisis de
brechas.
Definir el plan C A C
estratégico y
mapa de ruta.
Comunicar la I I R R I
dirección y
estrategia de
TI.
El caso de negocio
• Provee una propuesta formal
para un proyecto
– Costos probables
– Beneficios
• Debería tener suficiente
detalle para explicar el
porqué del proyecto y que es
lo que entregaría de regreso
Preparar un caso de negocio
• Seguridad de la
información podría ser
afectada por los
contratos.
Presentar la estrategia
• Puede ser utilizada para
educar y comunicar
• Factores comunes para su
aceptación:
– Alineamiento de la
seguridad con los objetivos
del negocio
– Identificar consecuencias
potenciales
– Identificación de partidas
presupuestarias
– Utilizar modelos comunes
de riesgo / beneficio o
financieros
– Definir medidas de
monitoreo y auditoria
Presentar la estrategia
¿Preguntas?
La “foto completa"
• La estrategia de seguridad de la
información apoya los objetivos
y la estrategia empresarial de la
organización.
A. La complejidad de la tecnología
B. Limitaciones presupuestarias
C. Prioridades del negocio en conflicto
D. Falta de patrocinio de alto nivel
Sección Tres
Implementación de la estrategia de
seguridad
Declaraciones de tareas
Declaración de Conexión
¿Cómo se relaciona la Sección Tres con cada una
conocimiento de las
siguientes
K1.15 declaraciones
La seguridad de
de la conocimientos?
información puede requerir la participación en
prácticamente cualquier nivel de una organización, desde equipos
funcionales hasta el consejo de dirección. Es crítico saber cómo fluye la
información y quién aprueba cada nivel de escalamiento.
K1.17 Las organizaciones cambian con el tiempo, y los cambios en las relaciones y
estructuras de reporte fuera de la función de seguridad de la información no
siempre pueden ser ampliamente comunicados. Desarrollar una manera de
monitorear estos cambios a medida que ocurren e incorporarlos en el
proceso de gobierno.
Declaraciones de
conocimientos
Declaración de Conexión
¿Cómo se relaciona
conocimiento la Sección Tres con cada una de las
siguientes
K1.18 declaraciones
Evitede
crearconocimientos?
nuevos métodos de comunicación siempre que los
métodos existentes puedan ser adaptados o expandidos para
incluir la seguridad de la información. Cuando se necesiten
nuevos canales, entienda cómo su organización espera que sean
evaluados y aprobados antes de que se establezcan.
K1.19 La seguridad de la información cubre una enorme variedad de
procesos, tecnologías y preocupaciones que pueden ser
monitoreadas individual o colectivamente. La identificación de
los indicadores clave para el riesgo, el desempeño y otras
consideraciones ayuda a hacer más efectiva la presentación de
informes.
Términos clave RH3
Directamente rastreable a
elementos de estrategia
Lo suficientemente amplia
como para no requerir una
revisión periódica, pero debe
revisarse periódicamente
Aprobada al nivel más alto
Preparar el camino para una
implementación efectiva
Políticas
¿Preguntas?
La “foto completa"
A. la gestión de riesgos.
B. el cumplimiento.
C. la gestión de TI.
D. el gobierno.
Pregunta de preparación
Resumen
Resumen