CISM - Gu A para La Certificaci N - 2013 - Docto de Apoyo-4

Machine Translated by Google
Capítulo 3—Programa de seguridad de la información

Desarrollo y Gestión Sección Dos: Contenido
En muchos casos, un gerente anterior habrá asumido una variedad de funciones La figura 3.2 muestra un resumen de los pasos para desarrollar un programa
y asumirá responsabilidades que no estaban definidas ni documentadas de seguridad de la información.
formalmente. Dichos gerentes pueden haber sido efectivos al ser particularmente
persuasivos e influyentes en lugar de a través de procesos y estructuras definidos y El alcance de un programa de seguridad de la información se establece
documentados. Si el gerente anterior está disponible para orientación, sería prudente mediante el desarrollo de una estrategia como se analiza en el capítulo 1, en
utilizar cualquier tiempo disponible para obtener información sobre la situación combinación con las responsabilidades de gestión de riesgos cubiertas en el
existente. Si el gerente anterior no está disponible, puede ser necesaria una capítulo 2. La medida en que la administración apoya la implementación de la
investigación exhaustiva para determinar cuáles eran las responsabilidades del estrategia y las actividades de gestión de riesgos determina el estatuto. .
gerente y cómo se realizaron las tareas.
La implementación de un programa de seguridad invariablemente afecta la

La capacidad de ser eficaz en una organización en particular se verá muy forma establecida de hacer las cosas de una organización. Dentro de una estructura
afectada por la cultura y la comprensión que el gerente de seguridad de la existente de personas, procesos y tecnología, el gerente de seguridad de la
información tenga de ella. La seguridad a menudo tiene una carga política, información debe esforzarse por integrar los cambios a estos procesos y políticas
y el éxito puede depender más del desarrollo de las relaciones correctas que establecidos. Inevitablemente, esto dará como resultado cierto grado de resistencia
de cualquier experiencia en particular. En diversa medida, las organizaciones al cambio que debe anticiparse y planificarse.
no operan de la manera definida por los organigramas, sino por relaciones e
influencias no documentadas. Así como el motor de búsqueda de Google™
determina la importancia relativa por el número de enlaces a un sitio en En ausencia de una estrategia de seguridad de la información adoptada y
particular, la influencia de individuos particulares en una organización puede ser cuando no se documente un estatuto formal, un gerente de seguridad de la
registrada por su número de enlaces. información puede recurrir a los estándares de la industria, como una versión
personalizada de la descripción de ISACA de un programa maduro de seguridad
de la información que podría decir:
También es esencial obtener una comprensión profunda del estado actual de las
funciones de seguridad en la organización. Esto puede incluir todos o muchos de “La seguridad de la información es una responsabilidad
los elementos de evaluación discutidos en capítulos anteriores, como las evaluaciones conjunta del negocio, la seguridad de la información y la gestión
de riesgo e impacto comercial. Será necesario determinar el estado de la gobernanza de TI, y está integrada con los objetivos comerciales corporativos.
y la estrategia, así como la condición de las políticas y estándares, el cumplimiento, Los requisitos de seguridad de la información están claramente
etc. Las revisiones de auditorías recientes y otros informes pertinentes también definidos, optimizados e incluidos en un plan de seguridad verificado.
serán útiles. Las funciones de seguridad se integran con las aplicaciones en la etapa
Una vez completado, se puede considerar el equilibrio de los elementos de diseño y los usuarios finales son cada vez más responsables de
identificados en el capítulo 1 sobre gobernanza, y el gerente de seguridad de la administrar la seguridad. Los informes de seguridad de la información
información tendrá una base para avanzar en la implementación de un marco de brindan una alerta temprana de riesgos cambiantes y emergentes,
gestión de seguridad de la información. utilizando enfoques de monitoreo activo automatizado para
Figura 3.2—Pasos en el desarrollo del programa de seguridad de la información
Determinar
deseado
resultados para
seguridad
Definir
seguridad
objetivos Llevar a cabo Administrar la seguridad
(estado deseado) Desarrollar Crear hoja de ruta
análisis de las deficiencias Desarrollar programa programa para conocer
entre corriente estrategia para para navegar para implementar objetivos y
estado y deseado cerrar brechas estrategia estrategia lograr lo deseado
estado resultados
Determinar
Actual
estado
Gestión de riesgos
actividades evaluar
riesgo actual,
estrategia de información,
desarrollo del programa
y gestión de la seguridad
Manual de revisión CISM 2013 ISACA. 147

Reservados todos los derechos.
sistemas críticos. Los incidentes se abordan de inmediato con • El conocimiento y las capacidades de seguridad de la información están creciendo a medida que
procedimientos formales de respuesta a incidentes respaldados por un resultado del programa.
herramientas automatizadas. Las evaluaciones de seguridad periódicas • El programa fomenta la cooperación y la buena voluntad entre
evalúan la efectividad de la implementación del plan de seguridad. La unidades organizativas.
información sobre nuevas amenazas y vulnerabilidades se recopila y analiza • Hay facilitación de las partes interesadas en la seguridad de la información
sistemáticamente, y los controles de mitigación adecuados se comunican e comprensión de sus funciones, responsabilidades y expectativas.
implementan de inmediato. Las pruebas de intrusión, el análisis de la causa
raíz de los incidentes de seguridad y la identificación proactiva del riesgo Estos objetivos blandos giran en torno a demostrar directa e indirectamente
son la base para las mejoras continuas. a los comités directivos de seguridad, la alta gerencia y las juntas
directivas que el programa de seguridad de la información está dando resultados y que
Los procesos y tecnologías de seguridad están integrados en toda el gerente de seguridad de la información está administrando el programa de manera
la organización”. efectiva.
Este enfoque, junto con COBIT o el Sistema de gestión de seguridad de la Hay una serie de marcos diferentes que puede utilizar el gerente de seguridad de la
información (ISMS) ISO/IEC 27001, puede servir como base para una estrategia y información para desarrollar el programa de seguridad de la información. Dos de los
ayudar a definir el alcance y la carta del programa de seguridad de la información. enfoques reconocidos internacionalmente más comunes (COBIT e ISO/IEC 27001) se
describen en las siguientes secciones.
Si bien los enfoques se correlacionan entre sí, COBIT es mucho más detallado y
proporciona una serie de herramientas y métricas.
3.8 LA SEGURIDAD DE LA INFORMACIÓN
MARCO DE GESTIÓN 3.8.1 COBIT 5
COBIT 5 proporciona un marco integral que ayuda a las empresas a lograr sus
El marco de gestión de la seguridad de la información es una representación conceptual
objetivos para el gobierno y la gestión de la TI empresarial. En pocas palabras,
de una estructura de gestión de la seguridad de la información.
ayuda a las empresas a crear un valor óptimo a partir de TI al mantener un equilibrio
Debe definir los componentes técnico, operativo, administrativo y gerencial del
entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de
programa; las unidades organizativas y el liderazgo responsable de cada componente;
recursos.
el objetivo de control o gestión que debe cumplir cada componente; las interfaces y el
COBIT 5 permite que la TI se gobierne y gestione de manera holística para toda la
flujo de información entre los componentes; y los productos tangibles de cada
empresa, abarcando todas las áreas de responsabilidad funcional de TI y de
componente. Aunque los formatos y los niveles de detalle varían, el marco debe
negocio de punta a punta, considerando los intereses relacionados con TI de las
describir fundamentalmente los componentes de gestión de la seguridad de la
partes interesadas internas y externas.
información (p. ej., funciones, políticas, procedimientos operativos estándar [SOP],
COBIT 5 es genérico y útil para empresas de todos los tamaños, ya sean comerciales,
procedimientos de gestión, arquitecturas de seguridad) y sus interacciones a grandes
sin fines de lucro o del sector público.
rasgos. Esta es, en esencia, una arquitectura operativa como se describe en la sección
3.12.
Figura 3.3—Principios de COBIT 5
Otros resultados de un marco de gestión de la seguridad eficaz se centran en las 1. Reunión

Interesado
necesidades a más corto plazo. Por ejemplo, los responsables de la toma de decisiones
Necesidades
de la organización necesitan conocer los riesgos y las opciones de mitigación para

respaldar las iniciativas corporativas, como el alojamiento externo de los sistemas de
información. Los implementadores de soluciones a menudo requieren los servicios de
5. Separación
expertos en la materia de seguridad técnica, que el gerente de seguridad de la Gobernancia 2. Cubrir el
Empresa
información debe facilitar a través de recursos internos o externos. Garantizar que las De
De extremo a extremo
administración
iniciativas y las operaciones existentes cumplan con las políticas y los estándares COBIT 5
también es un área que se espera que gestionen el gerente de seguridad de la Principios
información y el departamento de seguridad.
Por lo general, se espera que el gerente de seguridad de la información elabore

3. Aplicar un
opciones de gestión de seguridad de la información que brinden resultados menos 4. Habilitar un
holístico Único
directos, pero no menos importantes, para lograr los objetivos de seguridad. Estos Integrado
Acercarse
Estructura
objetivos incluyen demostrar, tanto directa como indirectamente, que:
• El programa agrega valor táctico y estratégico a la organización.

Fuente: ISACA, COBIT 5, EE. UU., 2012, figura 2
• El programa está siendo operado eficientemente y con preocupación por

cuestiones de costos.
• La gerencia tiene una comprensión clara de la seguridad de la información

impulsores, actividades, beneficios y necesidades.
148 Manual de revisión del CISM 2013

ISACA. Reservados todos los derechos.
COBIT 5 se basa en cinco principios clave (que se muestran en la figura 1.6) En la mayoría de las empresas, el gobierno general es responsabilidad de
para el gobierno y la gestión de la TI empresarial: la junta directiva bajo el liderazgo del presidente.
• Principio 1: Satisfacer las necesidades de las partes interesadas: las Las responsabilidades de gobierno específicas pueden delegarse a
empresas existen para crear valor para sus partes interesadas, manteniendo estructuras organizacionales especiales en un nivel apropiado,
un equilibrio entre la obtención de beneficios y la optimización del riesgo y particularmente en empresas más grandes y complejas.
el uso de los recursos. COBIT 5 proporciona todos los procesos requeridos - Administración
y otros habilitadores para respaldar la creación de valor comercial mediante
el uso de TI. Debido a que cada empresa tiene diferentes objetivos, una La gerencia planifica, construye, ejecuta y supervisa las actividades
empresa puede personalizar COBIT 5 para adaptarlo a su propio contexto a en consonancia con la dirección establecida por el órgano de
través de la cascada de objetivos, traduciendo los objetivos empresariales gobierno para lograr los objetivos de la empresa.
de alto nivel en objetivos manejables, específicos y relacionados con TI y
asignándolos a procesos y prácticas específicos. En la mayoría de las empresas, la gestión es responsabilidad de la
• Principio 2: Cubrir la empresa de extremo a extremo— dirección ejecutiva bajo la dirección del director ejecutivo (CEO). Juntos,
COBIT 5 integra el gobierno de la TI empresarial en la empresa estos cinco principios permiten que la empresa construya un marco de
gobernancia: gobierno y gestión eficaz que optimice la inversión y el uso de la
– Cubre todas las funciones y procesos dentro de la empresa; información y la tecnología en beneficio de las partes interesadas.
COBIT 5 no se enfoca solo en la "función de TI", sino que trata la
información y las tecnologías relacionadas como activos que deben ser
tratados como cualquier otro activo por todos en la empresa. COBIT 5 PARA LA SEGURIDAD DE LA INFORMACIÓN
COBIT® 5 para Seguridad de la Información aprovecha la visión integral de
– Considera todo el gobierno y la gestión relacionados con TI COBIT 5 mientras se enfoca en brindar orientación a los profesionales
habilitadores que sean de toda la empresa y de un extremo a otro, es involucrados en mantener la confidencialidad, disponibilidad e integridad de la
decir, que incluyan todo y todos, internos y externos, que sean información empresarial. El marco proporciona herramientas para ayudar a
relevantes para el gobierno y la gestión de la información empresarial y comprender, utilizar, implementar y dirigir actividades relacionadas con la
la TI relacionada. seguridad de la información central y tomar decisiones más informadas.
• Principio 3: Aplicación de un marco único e integrado: existen Permite a los profesionales de la seguridad de la información comunicarse de
muchos estándares y mejores prácticas relacionados con TI, cada uno manera eficaz con los líderes empresariales y de TI y administrar los riesgos
de los cuales brinda orientación sobre un subconjunto de actividades de TI. asociados con la información, incluidos los relacionados con el cumplimiento,
COBIT 5 se alinea con otros estándares y marcos relevantes a un alto nivel la continuidad, la seguridad y la privacidad.
y, por lo tanto, puede servir como marco general para el gobierno y la gestión
de TI empresarial.
3.8.2 ISO/CEI 27001
• Principio 4: Permitir un enfoque holístico: el gobierno y la gestión
El estándar de seguridad ISO/IEC 27001 Sistema de gestión de la
eficientes y eficaces de la TI empresarial requieren un enfoque holístico
seguridad de la información (SGSI) y el código de prácticas 27002 que lo
que tenga en cuenta varios componentes que interactúan. COBIT 5 define
acompaña proporcionan un marco y un enfoque ampliamente aceptados
un conjunto de habilitadores para respaldar la implementación de un
para la gestión de la seguridad de la información. Los 134 objetivos de
sistema integral de gobierno y gestión para TI empresarial. Los habilitadores
control en los 11 dominios de 27001 generalmente se pueden asignar a
se definen ampliamente como cualquier cosa que pueda ayudar a lograr los
COBIT, pero están menos orientados a los negocios, son menos completos y
objetivos de la empresa. El marco COBIT 5 define siete categorías de
no proporcionan conjuntos completos de herramientas. Estos estándares
habilitadores:
proporcionan requisitos integrales de alto nivel para los programas de seguridad
– Principios, Políticas y Marcos
– Procesos de la información. Basado en el Estándar Británico (BS), este estándar se ha
ampliado ligeramente para incluir 11 amplias áreas de control:
- Estructuras organizacionales
• Política de seguridad : proporciona dirección de gestión y
– Cultura, Ética y Comportamiento
- Información soporte para la seguridad de la información de acuerdo con los requisitos
comerciales y las leyes y regulaciones relevantes
– Servicios, Infraestructura y Aplicaciones
• Organización de activos y recursos: facilita la gestión de la seguridad de la
– Personas, Habilidades y Competencias
información dentro de la organización
• Principio 5: Separar la Gobernanza de la Gestión— El marco COBIT 5
hace una clara distinción entre la gobernanza y la gestión. Estas dos • Clasificación y controles de activos—Medidas que identifican los activos y
establecen las medidas adecuadas de protección y manejo
disciplinas abarcan diferentes tipos de actividades, requieren diferentes
• Seguridad del personal : garantiza que los empleados, contratistas y
estructuras organizacionales y sirven para diferentes propósitos. La visión
usuarios externos entiendan sus responsabilidades y sean aptos para
de COBIT 5 sobre esta distinción clave entre gobierno y gestión es:
las funciones para las que son considerados, y reduce el riesgo de error
humano, robo, fraude o mal uso de la información y las instalaciones de
– Gobernanza
procesamiento de información.
• Seguridad física y ambiental : medidas que evitan el acceso no
La gobernanza garantiza que se evalúen las necesidades, las
autorizado, el daño y la interferencia en las instalaciones, el equipo, la
condiciones y las opciones de las partes interesadas para
información y otros activos de la organización.
determinar los objetivos empresariales acordados y equilibrados
• Gestión de operaciones y comunicaciones: medidas que garantizan el
que deben lograrse; establecer la dirección a través de la
funcionamiento correcto y seguro de las instalaciones de procesamiento
priorización y la toma de decisiones; y monitorear el desempeño
de información.
y el cumplimiento contra la dirección y los objetivos acordados.

• Control de acceso —Medidas que evitan el acceso no autorizado a los sistemas de 3.9.1 COMPONENTES OPERATIVOS
información
Los componentes operativos de un programa de seguridad son las actividades
• Adquisición, desarrollo y
administrativas y de gestión continuas que se deben realizar para proporcionar el
Mantenimiento: garantiza que la seguridad del software y la información del
nivel requerido de garantía de seguridad.
sistema de aplicaciones esté integrada en los sistemas de información.
Estos componentes operativos incluyen elementos tales como procedimientos
• Gestión de la continuidad del negocio: medidas que previenen, mitigan y
operativos estándar, prácticas de seguridad de operaciones comerciales y mantenimiento
minimizan el impacto de las interrupciones de las actividades comerciales; proteger
y administración de tecnologías de seguridad. Por lo general, se llevan a cabo en una
los procesos operativos críticos de fallas importantes de los sistemas de
línea de tiempo diaria o semanal.
información o desastres; y garantizar la restauración oportuna de la información y
las instalaciones de procesamiento en caso de interrupción
El gerente de seguridad de la información debe proporcionar una gestión
continua de los componentes operativos. Debido a que es común que muchos de
• Cumplimiento: medidas que evitan el incumplimiento de cualquier ley penal y civil,
estos componentes queden fuera del dominio de la seguridad de la información (p.
obligaciones legales, reglamentarias o contractuales, y cualquier requisito de
ej., los procedimientos de parcheo del sistema operativo), el gerente de seguridad de la
seguridad.
información debe trabajar con TI, las unidades comerciales y otras unidades
• Gestión de incidentes : procesos y capacidades que gestionan los incidentes mediante
organizacionales para garantizar que se cubran las necesidades operativas. Los ejemplos
la identificación temprana, la clasificación de la gravedad de los incidentes, la
de componentes operativos comunes incluyen:
clasificación eficaz, la contención y la respuesta para restaurar los servicios críticos del
• Gestión de identidad y administración de control de acceso
negocio.
• Monitoreo y análisis de eventos de seguridad
• Procedimientos de aplicación de parches del sistema y gestión de la configuración
ISO/IEC 27001 es la versión actualizada de BS 7799-2:2002.
• Control de cambios y/o procesos de gestión de versiones.
El principal cambio en el estándar es que ahora es internacional.
• Recopilación e informes de métricas de seguridad
Esto significa que, además del reconocimiento y la aceptación internacional del
• Mantenimiento de tecnologías de control suplementarias y tecnologías de soporte de
Estándar Británico, las organizaciones pueden desarrollar e implementar un marco global
programas • Respuesta, investigación y resolución de incidentes
para gestionar la seguridad de su información. La versión final de esta norma se publicó
el 15 de octubre de 2005.
Para cada componente operativo, el gerente de seguridad de la información deberá

identificar al propietario y colaborar para documentar la información clave necesaria
3.9 COMPONENTES DEL MARCO DE SEGURIDAD DE para la gestión de las funciones necesarias.
Esta información incluye los roles de ejecución y propiedad de los componentes, el
LA INFORMACIÓN
cronograma de actividades o desencadenantes, la información necesaria o las entradas
La mayoría de los marcos estándar para la seguridad de la información muestran
de datos, los pasos reales del procedimiento, los criterios de éxito, los procedimientos
que el desarrollo de un programa de seguridad de la información comienza con la
de escalamiento de fallas y los procesos de aprobación/revisión. También incluye
evaluación de riesgos y la identificación de objetivos de control y controles clave
procesos para proporcionar métricas de gestión adecuadas para la retroalimentación
definidos por estándares como COBIT e ISO/IEC 27001. Pero debe entenderse que los
necesaria para una gestión continua efectiva.
objetivos de control deben ser basados en objetivos organizacionales individuales y
adaptados para lograr los resultados deseados como se analiza en el capítulo 1. A
Además, el gerente de seguridad de la información debe asegurarse de que se
medida que el programa se desarrolla y madura, es posible que se requieran controles
desarrollen e implementen procedimientos para el mantenimiento del registro de
adicionales para cumplir con las condiciones cambiantes, las nuevas reglamentaciones
trabajo, la escalada de problemas, la supervisión de la gestión y las revisiones periódicas
y las obligaciones contractuales, como se describe en el cuadro 3.4.
de control de calidad. Es importante que el gerente de seguridad de la información
actualice la documentación de funciones y responsabilidades a medida que surgen
nuevas tareas en el desarrollo de componentes operativos. Por ejemplo, se debe agregar
Figura 3.4—Estrategia de implementación del programa de seguridad a las listas de tareas y cronogramas apropiados un nuevo procedimiento operativo que
requiere una revisión mensual por parte del director de operaciones (COO) de los
Retroalimentación
problemas de seguridad relacionados con las actividades comerciales.

Círculo
Seguridad 3.9.2 COMPONENTES DE GESTIÓN

Seguridad Seguridad Actuación
Metas Proceso Además de una variedad de tareas de seguridad operativas y técnicas en curso, el
Indicadores
gerente de seguridad de la información tendrá que considerar una serie de componentes
de gestión. Por lo general, incluirán actividades de implementación estratégica, como el
desarrollo o modificación de estándares, revisiones de políticas y supervisión de iniciativas
Información y
Sistemas o ejecución de programas. Estas son actividades que generalmente se llevan a cabo con
Ambiente
menos frecuencia que los componentes operativos, quizás en una línea de tiempo medida
en meses, trimestres o años.
Los diversos componentes que componen el marco de gestión se pueden

desglosar en sus elementos funcionales. Los objetivos, requisitos y políticas de gestión son clave para dar forma al resto del
Esto puede ser útil para garantizar que cada aspecto esté adecuadamente programa de seguridad de la información que, a su vez, define lo que se debe
representado en el marco. gestionar. El gerente de seguridad de la información debe asegurarse de que este
proceso se ejecute con

consideración adecuada a los problemas legales, regulatorios, de riesgo y de recursos, debe tener en cuenta el tiempo y los recursos necesarios para estas actividades,
así como un conjunto de métricas necesarias para el apoyo a la toma de decisiones. particularmente a medida que el personal del programa crece con el tiempo.
Los encargados de la gestión de programas de seguridad de la información más amplios
El análisis continuo o periódico de activos, amenazas, riesgos e impactos también deben abordar la necesidad de desarrollar una estructura organizativa eficiente
organizacionales debe seguir siendo la base para modificar las políticas de con niveles apropiados de personal de gestión y supervisión. En todos los temas
seguridad y desarrollar o modificar estándares. Debe tenerse en cuenta que las relacionados con la gestión de recursos humanos, es importante que el gerente de
primeras versiones suelen ser demasiado permisivas, demasiado restrictivas o desalineadas seguridad de la información trabaje en estrecha colaboración con el liderazgo de recursos
con las realidades operativas. humanos y se adhiera a los procedimientos establecidos para evitar responsabilidades legales
Como resultado, se aconseja al gerente de seguridad de la información que ejerza y otros tipos de riesgos.
flexibilidad al hacer ajustes a los estándares y la interpretación de políticas durante las etapas
iniciales de un programa de seguridad. Las funciones de gestión efectivas requieren que el gerente de seguridad de la información
equilibre los esfuerzos del proyecto y los gastos generales operativos continuos con el
La comunicación continua con las unidades operativas y de negocios es fundamental para número de empleados, los niveles de utilización y los recursos externos. Rara vez un
proporcionar la retroalimentación que puede brindar orientación a la gestión de la seguridad programa de seguridad de la información tiene una cantidad óptima de recursos, y siempre
de la información, garantizar su eficacia y mantener la alineación y el apoyo a los objetivos es necesario priorizar los esfuerzos. El gerente de seguridad de la información debe trabajar
de la organización. con el comité directivo y la gerencia ejecutiva para determinar las prioridades y establecer un
consenso sobre qué elementos del proyecto pueden retrasarse debido a las limitaciones de
recursos. Los picos en la actividad o los esfuerzos inesperados del proyecto a menudo se
Durante el desarrollo de los componentes de gestión operativa y técnica, es importante pueden abordar con recursos de terceros, como contratistas. El gerente de seguridad de la
que exista una supervisión de la gestión que garantice el cumplimiento de los requisitos y información debe mantener relaciones con los proveedores con mayor probabilidad de ser
la coherencia con la dirección estratégica. Esta supervisión a menudo ocurre en forma de llamados en tales casos.
revisiones de gestión de los componentes del programa, por ejemplo, el director de
información (CIO), el director ejecutivo (CEO), el comité directivo o el comité ejecutivo que
realiza una revisión trimestral de las operaciones de seguridad. Los temas de revisión
pueden incluir modificaciones a los componentes operativos o técnicos, la eficacia general de No es inusual que el gerente de seguridad de la información esté bajo presión para atajar
los componentes del programa, la revisión de las métricas y los indicadores clave de rendimiento la gestión de seguridad, el control de calidad (QA) y los procesos de desarrollo, o para
(KPI), el análisis de la causa principal de los eventos perjudiciales, como interrupciones o desviar recursos de las operaciones diarias para acelerar los esfuerzos del proyecto. El
compromisos, problemas que obstaculizan la eficacia de los componentes que requieren la rol del gerente de seguridad de la información es documentar y garantizar que la gerencia
atención de la gerencia. , y/ ejecutiva comprenda las implicaciones de riesgo de llevar adelante una iniciativa sin una
diligencia de seguridad total; depende de la dirección ejecutiva decidir si la iniciativa es lo
suficientemente importante como para justificar el riesgo. Si ocurre esta situación, el gerente
o revisión de elementos de acción y compromisos de sesiones de revisión anteriores. de seguridad de la información debe hacer todo lo posible para utilizar la primera oportunidad
disponible para revisar los sistemas o iniciativas no certificados.
3.9.3 COMPONENTES ADMINISTRATIVOS

A medida que crece el alcance y las responsabilidades de la función de gestión de la
Para garantizar que el entorno de seguridad existente funcione según sea necesario,
seguridad de la información, también lo hacen los recursos, el personal y los aspectos
los recursos operativos de seguridad solo deben desviarse a los esfuerzos del proyecto si no
financieros involucrados. Esto significa que la gestión de la seguridad de la información
se utilizan por completo. Incluso en esta situación, se debe comunicar claramente que los
debe abordar las mismas actividades de administración comercial que otras unidades
recursos de seguridad operativa se proporcionan ad hoc y que un pico en las actividades
comerciales. El gerente de seguridad de la información a cargo de dicha organización debe
operativas (por ejemplo, una intrusión) requiere la atención inmediata del personal operativo.
garantizar que las funciones de gestión financiera, de recursos humanos y de otro tipo sean
efectivas.
Las funciones de administración financiera generalmente consisten en elaboración de

presupuestos, planificación de cronogramas, análisis/gestión del costo total de propiedad 3.9.4 EDUCATIVO E INFORMATIVO
(TCO), análisis/gestión del retorno de la inversión (ROI), adquisición/compra y gestión de COMPONENTES
inventario. Estas funciones, en particular la elaboración de presupuestos y la planificación del
Las actividades de gestión de la seguridad de la información deben incluir la
cronograma, a menudo requieren actualizaciones a lo largo del año fiscal a medida que
educación y la concienciación de los empleados con respecto a los riesgos de seguridad.
cambian las realidades financieras y los objetivos de la organización. El gerente de seguridad
La capacitación en concientización sobre la seguridad de la información a menudo se
de la información debe establecer una relación de trabajo con el departamento de finanzas de
integra con la orientación de los empleados y la capacitación inicial. Las políticas y los
la organización para garantizar una sólida relación de trabajo, apoyo y cumplimiento de las
procedimientos generales de la organización, como las políticas de uso aceptable y las
políticas y los procedimientos financieros.
políticas de supervisión de los empleados, deben comunicarse y administrarse a nivel de
recursos humanos de la organización. Los problemas y responsabilidades que son
específicos de la función u organización de un empleado, por ejemplo, la autenticación de
clientes en el centro de atención telefónica, deben comunicarse y administrarse a nivel de
Las funciones de gestión de recursos humanos generalmente incluyen la gestión de la unidad de negocios.
descripción del trabajo, la planificación organizativa, el reclutamiento y la contratación,
Las técnicas de educación interactiva, como las pruebas en línea y los juegos de
la gestión del rendimiento, la administración de la nómina y el seguimiento del tiempo,
roles, suelen ser más eficaces que un enfoque puramente informativo. En todos los casos,
la educación y el desarrollo de los empleados y la gestión de despidos. El programa
el responsable de seguridad de la información debe
de seguridad de la información.

colaborar con recursos humanos y unidades comerciales para identificar las necesidades o diseño en uno físico. La construcción de proyectos e iniciativas específicas debe
de educación en seguridad de la información. Las métricas pertinentes (p. ej., puntajes planificarse junto con los presupuestos, cronogramas, personal y otros aspectos tácticos
promedio de las pruebas de los empleados, tiempo promedio transcurrido desde la última de la gestión del proyecto que resultarán colectivamente en el logro de los objetivos de la
capacitación de los empleados) se deben rastrear y comunicar al comité directivo ya la estrategia. Es similar a las diferencias entre la arquitectura de una casa y las tareas requeridas
gerencia ejecutiva. para construir la casa.
Sin embargo, si no se desarrolla una estrategia y no se definen objetivos de gestión

3.10 DEFINICIÓN DE SEGURIDAD DE LA INFORMACIÓN
de riesgos, se corre el riesgo de que no se integren o prioricen los diversos elementos que
HOJA DE RUTA DEL PROGRAMA se deben desarrollar para el programa de seguridad de la información. Además, habrá una
falta de métricas útiles y, con el tiempo, es probable que los resultados no sean óptimos.
Los objetivos clave de la alineación estratégica, la gestión de riesgos, la entrega de
valor, la gestión de recursos, la integración del proceso de aseguramiento y la medición
del desempeño son universales y se definen hasta cierto punto en el desarrollo de una
estrategia de seguridad. El proceso de desarrollo del programa requiere que cada uno de Gran parte del esfuerzo de desarrollo de un programa de seguridad de la información
los seis objetivos clave se considere en detalle y se aclare a la luz de la hoja de ruta en implicará diseñar controles que cumplan con los objetivos de control y luego desarrollar
evolución. proyectos para implementar, implementar y probar los controles. Un factor a considerar
A medida que se desarrollen los planes de proyecto específicos para varias partes de la es la capacidad de la organización para absorber nuevas actividades de seguridad. Estas
hoja de ruta, los enfoques para lograr mejor cada objetivo clave deberían volverse evidentes. actividades se iniciarían para abordar las debilidades de control y cumplir nuevos objetivos.
Estos pueden ser conceptos que no son bien entendidos por la gerencia y otras partes Se debe tener en cuenta la medida en que estas actividades interrumpen otras
interesadas, lo que podría conducir a expectativas poco realistas y resultados deficientes. actividades de la organización. Consulte la sección 3.15 Controles y contramedidas.
Para maximizar las posibilidades de éxito, puede ser más efectivo desarrollar una hoja de
ruta para el programa de seguridad de la información en etapas que comiencen con objetivos
relativamente simples diseñados para demostrar el valor del programa y brindar
3.10.2 DESARROLLO DE UNA SEGURIDAD DE LA INFORMACIÓN
retroalimentación sobre el logro de los objetivos clave.
HOJA DE RUTA DEL PROGRAMA
Una habilidad importante a tener en el desarrollo de una hoja de ruta del programa de
Como ejemplo: la primera etapa podría ser crear ese subcomponente del seguridad de la información es la capacidad de revisar minuciosamente el nivel de seguridad
programa necesario para demostrar la alineación estratégica. Para comenzar, de los datos, aplicaciones, sistemas, instalaciones y procesos existentes. Esto proporcionará
un gerente de seguridad de la información puede entrevistar a las partes información sobre los proyectos específicos necesarios para cumplir los objetivos
interesadas, como los jefes de departamento de recursos humanos, legales, financieros estratégicos. Los enfoques para realizar revisiones de seguridad y evaluar el programa de
y las principales unidades comerciales para determinar problemas e inquietudes seguridad se analizan en la sección 3.14.4.
organizacionales importantes. La información extraída de tales entrevistas señalará a

los candidatos para los miembros del comité directivo de seguridad de la información.
En la etapa 2, ese foro se puede utilizar para redactar políticas de seguridad básicas Una hoja de ruta de implementación puede ser esencialmente un plan de proyecto
para la implementación de un programa de seguridad de la información para su de alto nivel o un diseño arquitectónico que puede tener el mismo propósito. Cualquiera
aprobación por parte de la alta dirección. Debido a que los miembros del comité de los dos puede servir para definir los pasos necesarios para lograr un objetivo particular
directivo de seguridad de la información, por definición, representan intereses del programa. El propósito es tener una visión general de los pasos necesarios, así como la
comerciales, el foro se puede usar para enumerar objetivos comerciales específicos secuencia. En proyectos más complejos, puede ser una ventaja tener ambos. Una hoja de
para la seguridad con referencia a los procesos comerciales (y, por lo tanto, también a ruta debe incluir varios hitos que proporcionarán KGI, indicarán KPI y definirán los factores
los sistemas, como se muestra en la figura 3.5). críticos de éxito (CSF).
En la etapa 3, los miembros del comité directivo de seguridad de la información

tienen roles funcionales que pueden promover el conocimiento de la política y realizar 3.10.3 ANÁLISIS DE BRECHAS: BASE PARA UN PLAN DE ACCIÓN
revisiones internas de seguridad para ver si cumplen. En la etapa 4, las brechas de
Una vez que las funciones y responsabilidades de la organización parecen
cumplimiento identificadas en las revisiones de seguridad se pueden utilizar para efectuar
estar debidamente establecidas y se hace un inventario de la tecnología y los procesos
cambios y, simultáneamente, se podría desarrollar un enfoque para monitorear la
requeridos frente a los existentes, un gerente de seguridad de la información puede identificar
estrategia de cumplimiento de la política organizacional. A partir de esa base, el gerente
dónde los controles no respaldan adecuadamente los objetivos de control. El gerente de
de seguridad de la información puede comenzar el trabajo de crear consenso sobre roles
seguridad de la información debe hacer que esas personas sean responsables de identificar
y responsabilidades, procesos y procedimientos en apoyo de la política.
los puntos de control y ayudar en el desarrollo de procesos para monitorearlos. Aquellos que
ejecutan nuevos procesos y procedimientos deben concentrarse en KGI y KPI, validando
con frecuencia que se cumplan los objetivos de control y que el progreso hacia los objetivos
de control logre las metas del programa de seguridad de la información. Es más importante
3.10.1 ELEMENTOS DE UN MAPA DE RUTA que se establezca el procedimiento para monitorear el logro de los objetivos de control que
Una hoja de ruta para implementar la estrategia de seguridad de la información que todos los procesos sean correctos en el primer paso. Es este monitoreo el que, si es
debe considerar una serie de factores. Si existe una estrategia bien desarrollada, efectivo, proporcionará una base para que el programa de seguridad evolucione y madure.
entonces también debería existir una hoja de ruta de alto nivel. Se habrán definido
objetivos, recursos y limitaciones. El trabajo que queda es transformar la arquitectura
conceptual o lógica

Figura 3.5—Proceso de controles del sistema de gestión de seguridad de la información
AUDITORÍA SGSI
PROCESO DECLARACIÓN
SGSI ISO27K DE
Las estrategias de AUDITORÍA APLICABILIDAD
evaluación de riesgos incluyen: Estatutario,

Regulador
(1) REGISTRO SGSI
Autoevaluación del control Registro
ADMINISTRACIÓN
SÍ
(2) Evaluación
del impacto CONFORMIDAD
REGISTROS/
sobre la privacidad Contrato
EVIDENCIA
(3) Evaluación de Registro
riesgos de amenazas
NO
(4) OCTAVA NO
AUDITORÍA
AMENAZA/RIESGO
REPORTE
EVALUACIÓN
Comité
de revisión de la
gestión de InfoSec SÍ
ACTIVO
• Humano
RIESGO
INFORME RA INVENTARIO
recursos
EVALUACIÓN DATOS
gerente •
SENSIBILIDAD
VP de finanzas
• Gerente de
administración de
propiedades • VP COMPAÑERO/
de desarrollo de CLIENTE
productos • Director RETROALIMENTACIÓN
de operaciones
técnicas • Director NEGOCIO
GESTIÓN DEL SGSI
de desarrollo de PROCESO DE REVISIÓN
PLANES
productos • VP de
LEGISLATIVO
dispositivos de ADMINISTRACIÓN CAMBIOS
pago • Director de REVISIÓN
servicios bancarios Reunión SGSI EXTERNO
en línea • Director Minutos APORTE
de auditoría interna
NO
ACEPTAR, RIESGO
RECHAZAR O TRATAMIENTO
TRANSFERIR PLAN
RIESGO
A SÍ
CORRECTIVO
CONTINUO
O
MEJORA B
R: Integrado en los PREVENTIVO
PROGRAMA
procesos de gestión ACCIÓN
de incidentes y
B: Integrado en
problemas de ITIL,
los paneles de
mesa de servicio de
administración de
gestión de proyectos, proyectos
recursos humanos, PLAN DE ACCIÓN/
desarrollo de sistemas PROYECTO
PLANES
3.11 INFRAESTRUCTURA Y cosa. Cuando la infraestructura está diseñada e implementada y es

consistente con las políticas y estándares apropiados, la infraestructura
ARQUITECTURA DE LA SEGURIDAD DE LA INFORMACIÓN debe ser esencialmente segura.
La infraestructura se refiere a la base o base subyacente sobre la cual

3.11.1 ARQUITECTURA DE SEGURIDAD DE LA
se implementan los sistemas de información. En general, la infraestructura
INFORMACIÓN EMPRESARIAL Durante la última
comprende las plataformas informáticas, las redes y las capas de middleware,
y admite una amplia gama de aplicaciones. En secciones anteriores, el década se ha producido un desarrollo considerable de enfoques
programa de seguridad de la información se ha presentado como la base que arquitectónicos para la seguridad, como parte de la arquitectura
permite desplegar los recursos de seguridad. empresarial. Hay pocas cosas tan complejas como los sistemas de
Infraestructura e infraestructura de seguridad se refieren a lo mismo. información en una gran organización. Estos sistemas

a menudo se construyen sin una arquitectura integral o grandes esfuerzos de • AGATE Delegación General Francesa de Armamento Taller para la gestión de la
diseño. Los sistemas de información tradicionalmente han evolucionado arquitectura de los sistemas de información y comunicación
orgánicamente con partes y piezas agregadas según sea necesario.
El resultado ha sido una falta de integración, una estandarización de seguridad • Estructura arquitectónica del Departamento de Defensa de los Estados Unidos
aleatoria y una serie de otros males evidentes en la mayoría de los sistemas. (DoDAF)
• Entrega interoperable (de servicios gubernamentales europeos al público)
Las nociones contemporáneas de arquitectura de seguridad de la Administraciones, Empresas y Ciudadanos (IDABC)
información incluyen una serie de capas, desde contextual hasta física. Al igual • Oficina Federal de Administración y Presupuesto de los Estados Unidos
que la arquitectura de un edificio, el nivel más alto o contextual definido en la Arquitectura empresarial (FEA)
arquitectura de seguridad comercial aplicada de Sherwood (SABSA) y los marcos • Arquitectura Dirigida por Modelos (MDA) de la Gestión de Objetos
de trabajo de Zachman es la capa de "negocios" o de utilidad. Grupo
Es decir, ¿para qué se va a utilizar la estructura? Un teatro está diseñado de manera • Propiedad, procesos comerciales, aplicaciones, sistemas,
muy diferente a un edificio de oficinas porque los edificios se utilizan para diferentes Metodología y marco empresarial y de TI de hardware e infraestructura (OBASHI)
propósitos. El diseño, o arquitectura, está estrechamente alineado con el propósito,
es decir, vinculado al objetivo comercial. • Marco integral SABSA para la seguridad empresarial
La buena arquitectura es una articulación de la política. Arquitectura y Gestión de Servicios
• Marco Zachman de IBM (marco de la década de 1980)
La arquitectura contextual sirve para definir las relaciones entre varios atributos • SAP Enterprise Architecture Framework, una extensión de
comerciales requeridos. Estos incluyen quién, qué, cuándo, dónde y cómo, que se TOGAF, para brindar un mejor soporte a los programas comerciales listos para
analizarán con mayor detalle en la sección 3.12. Estas preguntas impulsan la usar y la Arquitectura Orientada a Servicios
siguiente capa, la capa conceptual, que integra los conceptos de diseño • Método para un Entorno de Conocimiento Integrado (MIKE2.0), que incluye un
arquitectónico con los requisitos comerciales. marco de arquitectura empresarial denominado Arquitectura Estratégica para la
Empresa Federada (SAFE)
La siguiente capa, la arquitectura lógica, describe los mismos elementos Si bien una discusión detallada de cada uno de estos enfoques está más
en términos de las relaciones de los elementos lógicos. A esto le sigue una capa allá del alcance de este manual, se debe tener en cuenta que estos enfoques
física, que identifica las relaciones entre varios "mecanismos" de seguridad que se dividen en dos categorías básicas: modelos de proceso y modelos de marco.
ejecutarán las relaciones lógicas y la arquitectura de componentes que consta de Marcos como Zachman, SABSA y TOGAF permiten una gran flexibilidad en la
los dispositivos reales y sus interconexiones. Finalmente, está la arquitectura forma en que se desarrolla cada elemento de la arquitectura. La esencia de los
operativa, que describe cómo se organiza la prestación del servicio de seguridad. marcos es describir los elementos de la arquitectura y cómo deben relacionarse
Los pasos necesarios para definir estos niveles se muestran en la figura 3.5. entre sí. Los modelos de proceso son más directivos en los procesos utilizados
para los diversos elementos. Si bien los objetivos de todos los modelos son
esencialmente los mismos, el enfoque varía ampliamente.
En el momento del desarrollo e implementación de un programa de

seguridad de la información, se debería haber preparado algún tipo de En algunos casos, una organización ya ha adoptado un enfoque arquitectónico
arquitectura o diseño de alto nivel. Este es particularmente el caso de estandarizado que debe utilizarse en la medida de lo posible. Si no se ha ideado un
implementaciones importantes compuestas de muchas partes y proyectos que enfoque estándar, los diversos métodos mencionados en este manual deben
deben integrarse bien para lograr los objetivos del programa. Muchas evaluarse para determinar la forma, el ajuste y la función más apropiados.
organizaciones no han desarrollado arquitecturas empresariales o de seguridad,
y la adopción de una apropiada puede ser esencial para desarrollar e
implementar un programa efectivo de seguridad de la información. En ausencia de 3.11.2 OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
una arquitectura integral general, las fases iniciales del desarrollo del programa
ARQUITECTURAS
requerirán algún nivel de arquitectura de seguridad, como mínimo, en los niveles
lógico, físico y operativo. Una de las funciones clave de la "arquitectura" como herramienta de los negocios
modernos es proporcionar un marco dentro del cual la complejidad se puede
gestionar con éxito. A medida que crece el tamaño y la complejidad de un proyecto,
Se han desarrollado varios enfoques arquitectónicos para la empresa que incluyen la muchos diseñadores e influencias del diseño deben trabajar en equipo para crear
seguridad y algunos que se ocupan exclusivamente de la seguridad, como se analiza algo que parezca creado por una única "autoridad de diseño".
en el capítulo 1, sección 1.14.2, que incluyen:
• Framework de Arquitectura Integrada de Capgemini A medida que crece la complejidad del entorno comercial, muchos procesos
• Marco de Arquitectura del Ministerio de Defensa (MOD) del Reino Unido comerciales y funciones de soporte deben integrarse sin problemas para
(MODAF) brindar servicios y administración efectivos a la empresa, sus clientes y sus
• Arquitectura empresarial de los Institutos Nacionales de Salud (NIH) socios. La arquitectura proporciona un medio para gestionar esa complejidad.
Estructura
• Arquitectura de seguridad abierta
• Marco de Modelado Orientado a Servicios (SOMF) Proporcionar un marco y una hoja de ruta
• El Marco de Arquitectura de Grupo Abierto (TOGAF) La arquitectura también actúa como una hoja de ruta para una colección de
proyectos y servicios más pequeños que deben integrarse en un solo

conjunto homogéneo. Proporciona un marco dentro del cual muchos miembros de donde el daño potencial de la exposición de datos justifica controles redundantes.
grandes equipos de diseño, entrega y soporte pueden trabajar en armonía y hacia el Algunos ejemplos de dominios de políticas de arquitectura son:
cual se pueden migrar proyectos tácticos. • Sistemas de gestión de bases de datos (para restringir el acceso a las aplicaciones)
• Telecomunicaciones (para mitigar amenazas de fraude telefónico) • Acceso
a aplicaciones web
Simplicidad y claridad a través de capas y modularización

De la misma manera que la arquitectura convencional define las reglas y normas para Por ejemplo, el acceso a la aplicación web a menudo está protegido contra el
el diseño y la construcción de edificios, la arquitectura de los sistemas de información acceso no autorizado a través de ID de usuario y contraseñas. Sin embargo, las
aborda estos mismos problemas para el diseño y la construcción de computadoras, vulnerabilidades inherentes a la comunicación en redes disponibles públicamente
redes de comunicaciones y los sistemas de negocios distribuidos que se requieren llevaron a los arquitectos de seguridad a exigir el uso de la seguridad de la capa de
para la entrega de negocios. servicios. Por lo tanto, la arquitectura de los sistemas de transporte (TLS) en los servidores web que albergaban aplicaciones que
información debe tener en cuenta: intercambiaban información confidencial con los clientes.
• Los objetivos que se van a lograr a través de los sistemas Esta configuración a menudo es obligatoria por política para garantizar que el
• El entorno en el que se construirán y utilizarán los sistemas tráfico entre el cliente y el servidor esté encriptado para evitar que el ID de
• Las capacidades técnicas de las personas para construir y operar usuario y la contraseña, y el flujo de datos subsiguiente, se observen en la red
los sistemas y sus subsistemas componentes pública. Sin embargo, dicha política no proporciona ninguna garantía de que el
cliente no se haya visto comprometido o que la contraseña del usuario no haya
Enfoque comercial más allá del dominio técnico sido robada.
La arquitectura de los sistemas de información se ocupa de mucho más que los La mitigación de esta amenaza de suplantación de identidad requiere un control
factores técnicos. Tiene que ver con lo que la empresa quiere lograr y con los factores tecnológico además de contraseñas y cifrado TLS básico.
ambientales que influirán en esos logros. La palabra “empresa” implica no solo una
gran organización, sino una en la que todas las partes de esa organización exhiben Existen múltiples alternativas que una aplicación puede emplear para lograr el
una cualidad “unida” y en la que la organización se ve al más alto nivel como una nivel de identificación del cliente necesario para mitigar el riesgo de suplantación.
sola entidad con una misión y un propósito integrados. . En aplicaciones financieras como la banca en línea, los reguladores ahora exigen
que los bancos utilicen alguna forma de autenticación multifactor para brindar una
garantía adicional de la identidad de la persona que inicia la solicitud del cliente.
Aplicar este requisito de manera uniforme en todas las aplicaciones (haciéndolo
En algunas organizaciones, esta visión amplia de la arquitectura de los sistemas de parte de la arquitectura de seguridad de la organización) permitirá a la organización
información no se comprende bien. Los factores técnicos suelen ser las principales mitigar la amenaza de suplantación de identidad de una manera uniforme y eficiente,
influencias en la arquitectura y, en estas condiciones, la arquitectura puede fallar en y por lo tanto soportable.
la entrega de lo que la empresa espera y necesita.
Existen varios enfoques de arquitectura para componentes de sistemas de

información (p. ej., arquitecturas para datos y bases de datos, servidores,
Arquitectura y objetivos de control
Cuando se consideran objetivos de control de seguridad, un arquitecto de infraestructuras técnicas, gestión de identidades, etc.). Sin embargo, pocas
sistemas puede usar combinaciones de tecnologías para proporcionar puntos de control organizaciones han desarrollado una infraestructura de seguridad empresarial global
en la infraestructura de un sistema. Combinados con las actividades de control y los e integral, su gestión y su relación con los objetivos empresariales. Esto es algo
procedimientos asociados, estos puntos de control pueden usarse para garantizar que análogo a una situación en la que existen diseños separados y no integrados para las
se mantenga el cumplimiento de la política a medida que se implementan nuevos sistemas alas, los motores, el equipo de navegación, los asientos de los pasajeros, etc., pero no
que utilizan la infraestructura. Por ejemplo, si una red está estructurada de tal manera hay diseños para el avión completo y cómo encajan los diversos componentes. Es poco
que solo hay una conexión a Internet, entonces todo el tráfico de red destinado a Internet probable que el resultado funcione bien, si es que lo hace, y pocos se inclinarían a
debe viajar a través de esa conexión. Esto permitiría implementar tecnología en un lugar confiarle sus vidas. Es cierto que los sistemas de información están diseñados para
que podría inspeccionar todos los documentos destinados a Internet para garantizar que operar de una manera mucho más débil pero, sin embargo, el punto es relevante.
la información contenida en el documento esté autorizada para enviarse a una entidad

externa. A menudo, la arquitectura no especificará ninguna tecnología; esto deja una
amplia gama de opciones de diseño para los puntos de control que inspeccionarían los
documentos que se envían a Internet.
Se han desarrollado varios marcos arquitectónicos durante la última década para
abordar este problema y ofrecen información y enfoques útiles para tratar muchos
problemas actuales de diseño, gestión, implementación y monitoreo. Algunos enfoques
específicos se enumeran en la sección 3.12.
3.12 IMPLEMENTACIÓN DE LA ARQUITECTURA
Algunas organizaciones tienen suficiente experiencia con combinaciones de
tecnologías utilizadas para un propósito específico que elevan las decisiones Los enfoques del marco ofrecen una gran flexibilidad al utilizar una variedad de
arquitectónicas al nivel de la política. Es decir, las elecciones de combinaciones de estándares y métodos como COBIT, ITIL e ISO/IEC 27001. Es cierto que muchos de los
tecnología usadas para un propósito dado son obligatorias por política, porque ciertas enfoques pueden ser más sofisticados y complejos de lo que muchas organizaciones
combinaciones permiten una fácil implementación de características de seguridad que están preparadas para manejar. . Sin embargo, con la creciente dependencia de
logran objetivos de control específicos. A menudo, las políticas arquitectónicas están sistemas cada vez más complejos junto con la escalada
justificadas

problemas de manejabilidad y seguridad, las organizaciones Para un análisis detallado de cada una de las seis capas, la matriz SABSA
eventualmente no tendrán otra opción que "organizarse". también usa las mismas seis preguntas que se usan en el marco de Zachman:
qué, por qué y cuándo, cómo, dónde y quién. Para cada capa horizontal hay
Para el gerente de seguridad de la información, el enfoque puede ser un análisis vertical de la siguiente manera:
útil para desarrollar objetivos a largo plazo o sugerir enfoques para • ¿Qué intenta hacer en esta capa? Los activos que su arquitectura de
abordar problemas actuales. Algunas organizaciones han adoptado seguridad protegerá. • ¿Por qué lo hace ?—La motivación para querer
elementos del enfoque arquitectónico, por partes, con el objetivo a largo postularse
plazo de una implementación completa con el tiempo. seguridad, expresada en los términos de esta capa.
• ¿Cómo intenta hacerlo ?: las funciones necesarias para lograr la seguridad
El siguiente resumen de la metodología SABSA para la arquitectura de en esta capa. • ¿Quién está involucrado?—Las personas y los aspectos
seguridad es ilustrativo de un enfoque de marco. organizacionales de la seguridad en esta capa. • ¿Dónde lo está haciendo ?:
las ubicaciones donde aplica su seguridad, relevantes para esta capa.
El Modelo SABSA comprende seis capas, cuyo resumen se muestra en el
Anexo 3.6. Sigue de cerca el trabajo realizado por John A. Zachman en el
desarrollo de un modelo para la arquitectura empresarial, aunque se ha • ¿Cuándo lo hace ?: los aspectos de seguridad relacionados con el tiempo
adaptado un poco a una visión de seguridad del mundo. Cada capa representa relevantes para esta capa.
la vista de un jugador diferente en el proceso de especificación, diseño,
construcción y uso del sistema empresarial. Estos seis elementos arquitectónicos verticales se resumen para las seis
capas horizontales en la figura 3.8. Esto da una matriz de celdas de 6x6,
que representa el modelo completo para la arquitectura de seguridad
empresarial. Si se puede abordar cada problema planteado por estas celdas,
Figura 3.6—El modelo SABSA para el desarrollo
habrá un alto nivel de confianza de que la arquitectura de seguridad está
de la arquitectura de seguridad
completa. El proceso de desarrollo de una arquitectura de seguridad empresarial
La vista empresarial Arquitectura de seguridad contextual es un proceso de llenar las 36 celdas.
La vista del arquitecto Arquitectura de seguridad conceptual
La vista del diseñador Arquitectura de seguridad lógica

Marco SABSA para la Gestión de Servicios de Seguridad
El área de gestión, administración y operaciones de los servicios de
La vista del constructor Arquitectura de seguridad física seguridad se aborda a través de la capa de arquitectura operativa de
La vista del comerciante Arquitectura de seguridad de componentes SABSA. Esta capa del marco (que se muestra en la figura 3.9) se aplica
verticalmente en los otros cinco, lo que brinda flexibilidad para garantizar
La vista del gerente de las instalaciones Arquitectura de seguridad operativa
una integración perfecta y holística con los estándares y los marcos
operativos seleccionados. Esto garantiza el cumplimiento de la seguridad
Hay otra configuración de estas seis capas que quizás sea más útil y
de la información y la integración en marcos como ITIL, BS15000/AS8018,
se muestra en la figura 3.7. En este diagrama, la "arquitectura de seguridad
ISO/IEC 27002 y COBIT. SABSA proporciona la hoja de ruta para determinar
operativa" se ha colocado verticalmente en las otras cinco capas. Esto se
cómo se pueden aplicar los requisitos de estos estándares en contextos
debe a que surgen problemas de seguridad operativa en cada una de las
comerciales individuales.
otras cinco capas. La seguridad operativa tiene un significado en el contexto
de cada una de estas otras capas.
Figura 3.7—El modelo SABSA para el desarrollo

de la arquitectura de seguridad desde la perspectiva de la
3.13 GESTIÓN DEL PROGRAMA DE SEGURIDAD
arquitectura de seguridad operativa Y ACTIVIDADES ADMINISTRATIVAS
La gestión del programa de seguridad de la información incluye la dirección,
supervisión y seguimiento de las actividades relacionadas con la seguridad
Arquitectura de seguridad contextual de la información en apoyo de los objetivos de la organización. La gestión
op
de
se
Ar Arquitectura de seguridad conceptual
Arquitectura de seguridad lógica
Arquitectura de seguridad física

es el proceso de lograr los objetivos de la organización empresarial
reuniendo los recursos humanos, físicos y financieros en una combinación
óptima con el proceso y la tecnología y tomando la mejor decisión para la
organización teniendo en cuenta su entorno operativo.
En la organización típica, la gestión del programa de seguridad de

la información incluirá la planificación a corto y largo plazo y la
administración diaria, además de dirigir varios proyectos e iniciativas. Por
lo general, también incluye una variedad de actividades de gestión de riesgos
Arquitectura de seguridad de componentes y funciones de gestión y respuesta a incidentes; por lo general incluirá también
una variedad de funciones de supervisión y seguimiento. La gestión del
programa generalmente incluye aspectos de gobernanza, ya sea en términos
de desarrollo de políticas y estándares o en términos de controles de
procedimiento.

Figura 3.8—La matriz SABSA para el desarrollo de la arquitectura de seguridad
Activos Motivación Proceso Gente Ubicación Tiempo
(Qué) (Por qué) (Cómo) (Quién) (Dónde) (Cuando)
Negocio Negocio Negocio Negocio

Contextual los Negocio
Riesgo Proceso Organización y Tiempo
Negocio Geografía
Modelo Modelo Relaciones dependencias
Seguridad
Entidad de seguridad Seguridad relacionado con la seguridad
Negocio Control Estrategias y
Conceptual modelo y Dominio vidas y
Atributos Objetivos Arquitectónico
Marco de confianza Modelo plazos
capas
Negocio Esquema de Dominio de seguridad Seguridad

Seguridad Seguridad
Lógico Información Políticas Servicios entidad y privilegio Definiciones y Procesando
Modelo Perfiles Asociaciones Ciclo
Negocio usuarios, Plataforma

Reglas de seguridad, Control
Físico Datos Prácticas y Seguridad Aplicaciones y y Red Estructura
Mecanismos el
Modelo Procedimientos Infraestructura Ejecución
Interfaz de usuario
identidades,
Detallado Funciones, Proceso,
Seguridad Paso de seguridad
Seguridad Productos y Acciones nodos,
Componente Datos
Estándares y Acceso Direcciones
Estructuras Herramientas
Control y Protocolos Temporización y secuenciación
Listas (ACL)
Garantía de Aplicación y
Operacional Servicio de seguridad Seguridad de Seguridad
Usuario
Operacional Operacional Riesgo Gestión y Sitios, Redes y Operaciones
Gestión y Plataformas Calendario
Continuidad administración Soporte
Soporte
Fuente: ©1995 a 2008, Sherwood Applied Business Security Architecture. Reservados todos los derechos. Usado con permiso.
Figura 3.9—El marco de SABSA para la gestión de la seguridad
Activos Motivación Proceso Gente Ubicación Tiempo
(Qué) (Por qué) (Cómo) (Quién) (Dónde) (Cuando)
Negocio Riesgo del negocio Negocio

Riesgo del negocio Negocio
Requisitos Negocio Calendario y
Evaluación;
Contextual Recopilación;
Evaluación;
Política corporativa
Seguridad
Operaciones de campo Calendario
Política corporativa Organización
Información Programa
Haciendo Haciendo administración
Clasificación administración
Auditoría de Seguridad;
Cambio de control Seguridad
Negocio Corporativo Incidente Capacitación;
Seguridad
Continuidad Cumplimiento; Administración; Conciencia; Dominio de seguridad Operaciones
Conceptual administración
Métricas, Medidas y Desastre Cultural administración Calendario
Benchmarks; administración
Recuperación Desarrollo
SLA
Detección de intrusos;
Seguridad detallada Monitoreo de eventos
elaboración de políticas; Proceso de seguridad Control de acceso; Aplicaciones
Información Aplicaciones
Política Desarrollo Seguridad
Lógico Privilegio y Fecha límite y corte
Seguridad; Cumplimiento Servicio de seguridad Perfil Administración y
Integridad del sistema administración
Vigilancia; Administración; Administración administración
Inteligencia Desarrollo del sistema
Reunión Control S; Configuración
administración
definición de regla;
Vulnerabilidad Gestión de claves La red Envejecimiento del aire
Base de datos
Evaluación; Mantenimiento de LCA Soporte al usuario; acondicionado del usuario;
Seguridad
Pruebas de
Físico Seguridad; Administrador de respaldo; Seguridad Administración;
Antigüedad de la contraseña;
Envejecimiento de claves
penetración; Informática forense; Mesa de ayuda
Integridad del sistema Seguridad del sitio
Amenaza criptográficas; Administración.
Administrador de registro de eventos
administración
Evaluación antivirus de Ventanas de Tiempo de Control de Acceso
Administrador
Amenaza Producto Se acabó el tiempo
Personal Plataforma
Investigar; Obtención; Configuración;
Producto y Herramienta Estación de trabajo y Detallado
Vulnerabilidad Proyecto investigación de
Componente Seguridad y Investigar; Administración; antecedentes; investigación de

Equipo Seguridad
Integridad certificado proveedores; Administrador de usuarios. Seguridad Operaciones
Operaciones
Notificaciones administración Secuenciación
administración
y normas generales de uso para usuarios finales. Al igual que con otros A medida que el alcance de las responsabilidades del gerente de
aspectos de la seguridad de la información, la gobernanza no puede seguridad de la información continúa ampliándose, existe el riesgo de que
permanecer estática en un entorno de riesgo cambiante y debe evolucionar para ser eficaz.se pasen por alto o se descuiden elementos de seguridad importantes. Puede ser
útil para el gerente de seguridad de la información considerar la siguiente lista de
El gerente de seguridad de la información tiene la responsabilidad de verificación para un programa de seguridad integral y bien administrado: • Una
administrar las actividades del programa de seguridad de la información para lograr estrategia de seguridad intrínsecamente vinculada con los objetivos comerciales
los resultados enumerados en la sección 3.4.2. Es responsabilidad de la alta que cuenta con la aceptación y el apoyo de la alta gerencia • Política de seguridad
dirección apoyar esos objetivos y proporcionar los recursos y la autoridad y estándares de respaldo que son completos y
adecuados para garantizar que se alcancen los objetivos.
Además, las funciones y responsabilidades de otros proveedores de coherente con la estrategia
aseguramiento deben estar claramente definidas para evitar brechas en la • Procedimientos de seguridad completos y precisos para todos los
protección entre ellos. operaciones

• Asignación clara de funciones y responsabilidades • Administración de RRHH y gestión de personal

• Método establecido para garantizar la alineación continua con las metas y objetivos • Gestión de proyectos y programas
comerciales, como un comité directivo de seguridad • Gestión de operaciones y prestación de servicios
• Activos de información que han sido identificados y clasificados por criticidad y • Implementación y administración de métricas y reportes
sensibilidad • Gestión del ciclo de vida del desarrollo de tecnologías de la información
• Arquitectura de seguridad completa y consistente con
estrategia y en línea con los objetivos del negocio. También puede haber una serie de requisitos técnicos, administrativos y
• Controles efectivos que han sido bien diseñados, implementados operativos. Estos pueden incluir:
y mantenido • Gestión de claves criptográficas
• Procesos de monitoreo efectivos establecidos • Revisión y seguimiento de registros
• Capacidades probadas y funcionales de respuesta a incidentes • Revisión y supervisión de solicitudes de cambio
y emergencias • Revisión y supervisión de la gestión de configuración, parches y otros ciclos de vida
• Planes probados de continuidad del negocio/recuperación ante desastres
• Participación adecuada de la seguridad de la información en los procesos • Escaneo de vulnerabilidades
de gestión de cambios, SDLC y gestión de proyectos • Monitoreo de amenazas
• Procesos establecidos para garantizar que el riesgo se identifique, evalúe, comunique • Seguimiento del cumplimiento
y gestione correctamente
• Capacitación de concientización sobre seguridad establecida para Un gerente de seguridad de la información eficaz debe estar familiarizado con los
todos los usuarios • Actividades establecidas que crean y mantienen una cultura marcos existentes y los principales estándares internacionales para la gestión de
corporativa que valora la seguridad de la información seguridad y TI (p. ej., COBIT, ISO/IEC 27001 y 27002) y ser capaz de extraer
• Procesos establecidos para mantener el conocimiento de los problemas legales elementos relevantes para utilizarlos en el enfoque de gestión que mejor se adapte a
y regulatorios actuales y emergentes la organización. . Algunos pueden resultar más adecuados que otros, según la estructura
• Integración efectiva con los procesos de gestión de compras y de terceros organizativa, la cultura, los recursos disponibles, el sector empresarial, etc.
• Resolución de problemas de incumplimiento y otras variaciones de manera

oportuna El gerente de seguridad de la información tiene muchas responsabilidades, y una puede
• Procesos para garantizar una interacción continua con el negocio ser un facilitador para ayudar a resolver objetivos contrapuestos entre la seguridad y el
propietarios de procesos desempeño. Como facilitador activo, el gerente de seguridad de la información obtiene
• Procesos respaldados por negocios para evaluaciones de riesgo e impacto el apoyo de la alta dirección y la aceptación y el cumplimiento organizacionales de las
comercial, desarrollo de estrategias de mitigación de riesgos y aplicación de políticas, normas y procedimientos del programa de seguridad de la información. A través
políticas y cumplimiento normativo. de un enfoque facilitador, el gerente de seguridad de la información puede trabajar con
• Métricas operativas, tácticas y estratégicas establecidas que monitorean la los diferentes departamentos para discutir el riesgo de seguridad de la información y
utilización y la efectividad de los recursos de seguridad sugerir soluciones que aborden los requisitos de seguridad y minimicen el impacto en las
• Métodos establecidos para la captura y difusión del conocimiento. actividades comerciales. A través de esta función consultiva, el gerente de seguridad de
• Comunicación e integración efectivas con otros proveedores de la información también debe asegurarse de que los procesos del ciclo de vida de la
aseguramiento organizacional organización incorporen la seguridad de la información. Al trabajar en una función
consultiva, el gerente de seguridad de la información puede facilitar el programa de
Tenga en cuenta que esta lista no es exhaustiva ni se ajustará a todas las seguridad de la información de la empresa mientras se mantiene informado sobre las
organizaciones. Simplemente pretende demostrar la gama de actividades y actividades de la organización que pueden afectar la seguridad de la información.
prácticas establecidas que constituirían un programa de seguridad maduro. Esta lista
debe adaptarse al tamaño y la naturaleza de cada organización.
3.13.1 PERSONAL, FUNCIONES, RESPONSABILIDADES Y

Administración del Programa HABILIDADES
La administración de un programa de seguridad generalmente involucrará una
El gerente de seguridad de la información debe planificar los recursos de
serie de funciones repetitivas similares a las requeridas en otras unidades
personal en torno a las habilidades técnicas y administrativas requeridas
organizacionales. Habrá diferencias en la administración de los proyectos de desarrollo
para operar el programa de manera efectiva. Los miembros del personal pueden
del programa y la administración continua de los aspectos operativos del programa que
incluir ingenieros de seguridad, especialistas en control de calidad y pruebas,
deben considerarse.
administradores de acceso, gerentes de proyectos, enlaces de cumplimiento,
arquitectos de seguridad, coordinadores de concienciación y especialistas en políticas.
La administración continua puede incluir tareas como:
El gerente de seguridad de la información debe desarrollar puestos de acuerdo
• Desempeño del personal, seguimiento del tiempo y otros registros
• Utilización de recursos con las necesidades específicas del programa, incluso fusionando
responsabilidades de múltiples roles en un solo puesto de personal para organizaciones
• Compras y/o adquisición
pequeñas.
• La gestión del inventario
• Seguimiento y seguimiento de proyectos
El gerente de seguridad de la información debe garantizar que el personal dentro
• Desarrollo de programas de concientización
de la organización de seguridad, así como otras organizaciones responsables,
• Elaboración de presupuestos, gestión financiera y control de activos
mantengan las habilidades adecuadas necesarias para llevar a cabo las funciones del
• Desarrollo de casos de negocio y análisis financiero
programa. Los requisitos de habilidades de cada organización varían,

girando generalmente en torno a los sistemas de información existentes y las Cultura

tecnologías de seguridad implementadas. La cultura representa el comportamiento organizacional, los métodos para
navegar e influir en las estructuras formales e informales de la organización para
Los requisitos de personal para el desarrollo del programa de seguridad realizar el trabajo, las actitudes, las normas, el nivel de trabajo en equipo, la existencia
de la información difieren después de que se implementa el programa. En o ausencia de problemas territoriales y la dispersión geográfica. La cultura se ve
otras palabras, es probable que los arquitectos, diseñadores, constructores, afectada por los antecedentes individuales, la ética laboral, los valores, las
desarrolladores, probadores y otras personas involucradas en la construcción de un experiencias pasadas, los filtros/puntos ciegos individuales y las percepciones de la
programa de seguridad sean diferentes del personal que administrará los sistemas vida que las personas aportan al lugar de trabajo. Toda organización tiene una
una vez que estén funcionando normalmente. Las habilidades que rara vez se cultura, ya sea que haya sido diseñada a propósito o que simplemente haya surgido
necesitan se adquieren mejor a través de la contratación de proveedores de con el tiempo como un reflejo del liderazgo.
servicios, como integradores o firmas de consultoría. Cuando se enfrenta a la
necesidad de una habilidad especializada, el gerente de seguridad de la información Si bien la seguridad de la información implica principalmente actividades
debe analizar las implicaciones de costo, tiempo y capital intelectual de contratar lógicas y analíticas, la construcción de relaciones, el trabajo en equipo y la
personal versus usar un proveedor de servicios externo. influencia en las actitudes organizacionales hacia una cultura de seguridad
positiva se basan más en buenas habilidades interpersonales. El administrador
La gestión de proyectos será una actividad normal en la gestión del desarrollo de programas de seguridad de la información astuto reconocerá la importancia de
de un programa de seguridad. Las organizaciones más grandes suelen tener una desarrollar ambos tipos de habilidades como esenciales para ser un administrador
oficina de gestión de proyectos (PMO), que puede estar disponible para el gerente eficaz.
de seguridad de la información para ayudar en los proyectos de desarrollo e
implementación. Las funciones existentes dentro de la organización deben usarse La construcción de una cultura consciente de la seguridad depende de
siempre que sea posible tanto para maximizar la participación de la organización en que las personas en sus respectivos roles realicen sus trabajos de una manera
el programa como para aprovechar las capacidades existentes. que proteja los activos de información. Cada persona, sin importar el nivel o rol
dentro de la organización, debe poder articular cómo la seguridad de la información
se relaciona con su rol. Para que esto suceda, el gerente de seguridad debe planificar
roles las comunicaciones, participar en comités y proyectos y brindar atención individual a
Los gráficos RACI (Responsable, Responsable, Consultado, Informado) se las necesidades de los usuarios finales o gerentes. El departamento de seguridad
pueden utilizar de manera efectiva para definir los diversos roles asociados con debería poder responder "¿Qué hay para mí?" o "¿Por qué debería importarme?"
los aspectos del desarrollo de un programa de seguridad de la información. Es para cada persona en la organización. Una vez que se hayan respondido estas
necesaria una clara designación de roles y responsabilidades para asegurar una preguntas, las comunicaciones efectivas se pueden adaptar a estos mensajes.
implementación efectiva.
Un rol es una designación asignada a un individuo en virtud de una función Algunos indicadores de una cultura de seguridad exitosa son: el
de trabajo u otra etiqueta. Una responsabilidad es una descripción de algún departamento de seguridad de la información participa en los proyectos en los
procedimiento o función relacionada con el rol que alguien es responsable de momentos apropiados, los usuarios finales saben cómo identificar y reportar
realizar. Los roles son importantes para la seguridad de la información porque incidentes, la organización puede identificar al gerente de seguridad y las personas
permiten asignar responsabilidades y/o derechos de acceso en función del hecho conocen su papel en la protección de los activos de información. de la organización
de que un individuo realiza una función en lugar de tener que asignarlos a e integrando la seguridad de la información en sus prácticas diarias.
personas individuales.
Por lo general, hay muchas funciones de trabajo en la organización que
respaldan las funciones de seguridad y la capacidad de asignar autorizaciones
3.13.2 SENSIBILIZACIÓN, CAPACITACIÓN Y
de acceso basadas en roles simplifica la administración.
EDUCACIÓN
El riesgo inherente al uso de sistemas informáticos no puede ser abordado
Habilidades
a través de mecanismos técnicos de seguridad. Un programa activo de
Las habilidades son la formación, los conocimientos y la experiencia que
concientización sobre seguridad puede reducir en gran medida el riesgo al abordar
posee el personal en una determinada función laboral. Es importante comprender
el elemento conductual de la seguridad a través de la educación y la aplicación
las competencias del personal disponible para garantizar que correspondan a las
constante de técnicas de concientización. Los programas de concientización sobre
competencias requeridas para la implementación del programa. Las habilidades
seguridad deben centrarse en las preocupaciones comunes de seguridad de los
específicas necesarias para la implementación del programa se pueden adquirir
usuarios, como la selección de contraseñas, el uso adecuado de los recursos
a través de la capacitación o utilizando recursos externos. Los recursos externos,
como los consultores, suelen ser una opción más rentable para las habilidades que informáticos, la seguridad del correo electrónico y la navegación web, y la ingeniería
social, y los programas deben adaptarse a grupos específicos. Además, los usuarios
se requieren solo por poco tiempo para proyectos específicos.
son la primera línea para la detección de amenazas que pueden no ser detectables
por medios automatizados, por ejemplo, actividad fraudulenta e ingeniería social. Se
Una vez que se ha acordado que cierto personal tendrá responsabilidades
debe educar a los empleados sobre cómo reconocer y escalar tales eventos para
específicas de seguridad de la información, se deben establecer acuerdos de
mejorar la prevención de pérdidas.
empleo formales que hagan referencia a esas responsabilidades, y se deben tener
en cuenta al evaluar a los solicitantes de empleo.
Un aspecto importante para garantizar el cumplimiento del programa de seguridad
de la información es la educación y conciencia de la organización sobre la importancia
del programa. Además de la necesidad de seguridad de la información, todo el
personal debe estar capacitado en sus responsabilidades específicas relacionadas
con la seguridad de la información.

Se debe prestar especial atención a aquellas funciones laborales que requieren un • Políticas y procedimientos de seguridad escritos (y actualizaciones)
acceso a datos virtualmente ilimitado. Las personas cuyo trabajo es transferir datos • Declaraciones de confidencialidad firmadas por el empleado
pueden tener acceso a los datos en la mayoría de los sistemas, y quienes realizan ajustes • Uso de diferentes medios para promulgar la seguridad (p. ej., boletín de la empresa, página
de rendimiento pueden cambiar la mayoría de las configuraciones del sistema operativo. web, videos, carteles, recordatorios de inicio de sesión)
Las personas cuyo trabajo consiste en programar trabajos por lotes tienen autoridad para • Cumplimiento visible de las reglas de seguridad
ejecutar la mayoría de las aplicaciones de trabajos del sistema. • Incidentes de seguridad simulados para mejorar la seguridad
Los programadores tienen acceso para cambiar el código de la aplicación. Estas funciones • Recompensar a los empleados que reportan eventos sospechosos
no suelen estar a cargo de un gerente de seguridad de la información. Si bien es posible • Revisiones periódicas
establecer controles de monitoreo elaborados, no es técnicamente factible ni económicamente • Descripciones de trabajo

prudente que un gerente de seguridad de la información brinde una supervisión adecuada • Revisiones de desempeño
para garantizar que todos los trabajos de transferencia de datos que transmiten informes los
envíen solo a los destinatarios debidamente autorizados. Aunque el gerente de seguridad de
3.13.3 DOCUMENTACIÓN
la información puede garantizar que exista una política clara, desarrollar estándares aplicables
La supervisión de la creación y el mantenimiento de la documentación relacionada con la
y ayudar en la coordinación de procesos, la gerencia en todas las áreas debe ayudar a brindar
seguridad es un componente administrativo importante de un programa eficaz de seguridad
supervisión.
de la información. Los documentos que comúnmente pertenecen al programa incluyen:
• Políticas, estándares, procedimientos y lineamientos

La concientización de los empleados debe comenzar desde el momento en que se unen a
• Diagramas técnicos de infraestructura y arquitecturas, aplicaciones y flujos de
la organización (por ejemplo, a través de la capacitación de inducción) y continuar con
datos
regularidad. Las técnicas de entrega deben variar para evitar que se vuelvan obsoletas o
• Documentación de capacitación y concientización
aburridas, y es posible que también deban incorporarse a otros programas de capacitación
• Análisis de riesgos, recomendaciones y documentación relacionada
organizacional.
• Diseños de sistemas de seguridad, políticas de configuración y documentación de mantenimiento
Los programas de concientización sobre seguridad deben consistir en capacitación, a

• Registros operativos, como informes de turnos e informes de seguimiento de
menudo administrada en línea; cuestionarios simples para medir la retención de conceptos
incidentes
de capacitación; recordatorios de concientización sobre seguridad, como carteles, boletines o
• Procedimientos operativos y flujos de procesos
protectores de pantalla; y un programa regular de capacitación de actualización. En
• Documentación organizacional como organigramas, objetivos de desempeño del personal y
organizaciones más grandes, puede haber una población lo suficientemente grande de mandos
modelos RACI
intermedios y superiores como para justificar una formación especial a nivel de gestión sobre
cuestiones de seguridad de la información y operaciones.
Cada documento debe tener asignado un propietario que sea responsable de actualizar la
documentación (o plantillas en el caso de registros operativos). Los cambios deben hacerse bajo
las recomendaciones de la gerencia o del comité directivo de seguridad; la persona o grupo
Todos los empleados de una organización y, cuando corresponda, los usuarios de terceros
también debe aprobar los cambios antes de su distribución. El titular también es responsable de
deben recibir capacitación adecuada y actualizaciones periódicas sobre la importancia de las
que el acceso a la documentación sea adecuado, controlado y auditable.
políticas, estándares y procedimientos de seguridad en la organización. Esto incluye requisitos
de seguridad, responsabilidades legales y controles comerciales, así como capacitación en el
uso correcto de las instalaciones de procesamiento de información, por ejemplo, procedimientos
de inicio de sesión, uso de paquetes de software. Para los nuevos empleados, esto debe ocurrir
antes de que se otorgue el acceso a la información o los servicios y ser parte de la orientación Figura 3.10—Habilitadores empresariales de COBIT 5
de los nuevos empleados.
3. Organizacional 4. Cultura, Ética

El gerente de seguridad de la información debe adoptar un enfoque metódico para 2. Procesos
Estructuras y Comportamiento
desarrollar e implementar el programa de educación y concientización, y considerar varios
aspectos que incluyen:
• ¿Quién es el público objetivo (gerentes senior, gerentes comerciales, personal de TI,
1. Principios, Políticas y Marcos
usuarios finales)?
• ¿Cuál es el mensaje previsto (políticas, procedimientos, eventos recientes)?
6. Servicios, 7. Personas,
• ¿Cuál es el resultado previsto (mejor cumplimiento de las políticas, cambio de
5. Información Infraestructura Habilidades y
comportamiento, mejores prácticas)?
y Aplicaciones Competencias
• Qué método de comunicación se utilizará (basado en computadora)
capacitación [CBT], reunión de todos, intranet, boletines, etc.)? Recursos
• ¿Cuál es la estructura y cultura organizacional?
Fuente: ISACA, COBIT 5, EE. UU., 2012, figura 12

Una serie de mecanismos diferentes disponibles para aumentar la concienciación
sobre la seguridad de la información incluyen: • Programas de formación y
concienciación sobre la seguridad informática.
• Recordatorios por correo electrónico y consejos de seguridad

El gerente de seguridad de la información debe asegurarse de que los Un proceso de propuestas de cambio puede basarse en revisiones de políticas o
habilitadores (principios, políticas y marcos; procesos; estructuras organizacionales; cuando las partes interesadas reconocen la necesidad de un cambio de política.
cultura, ética y comportamiento; información; servicios, infraestructura y El gerente de seguridad de la información debe rastrear los cambios propuestos a
aplicaciones; personas, habilidades y competencias) estén disponibles para abordar las políticas para su revisión en los foros apropiados.
la creación, aprobación, cambio, mantenimiento, distribución controlada y retiro de
documentación. En muchos casos, estos servicios se brindan como parte de un La modificación de estándares probablemente ocurrirá con más frecuencia que
sistema de administración de documentos de una empresa más grande, una situación la modificación de políticas. Estos cambios a menudo son impulsados por
ideal considerando que el administrador de seguridad de la información no cambios en la tecnología, como la disponibilidad de nuevas capacidades de
necesariamente mantiene la custodia de toda la documentación relacionada con la seguridad, cambios en el riesgo, evolución de la infraestructura técnica y requisitos
seguridad. de nuevas iniciativas comerciales. Los estándares propuestos deben ser revisados
El gerente de seguridad de la información también debe asegurarse de que por el comité directivo y/o por los departamentos afectados por ellos. También se debe
los documentos técnicos y operativos confidenciales estén protegidos por controles brindar la oportunidad de proporcionar aportes y modificaciones sugeridas para
y prácticas iguales o más estrictas que las implementadas para otros activos de optimizar la cooperación y el cumplimiento. Los estándares deben revisarse
información corporativos confidenciales. La documentación de seguridad también debe periódicamente o según lo justifiquen los cambios ambientales, el riesgo cambiante, la
seguir los estándares organizacionales para una clasificación y etiquetado apropiados. solicitud de las partes interesadas o la determinación de insuficiencia de la auditoría.
Los cambios en los estándares deben gestionarse de manera similar a los cambios de
política y también deben incluir un análisis de riesgo técnico u operativo en relación
Se requerirá una serie de documentos para diseñar, iniciar e implementar un con el cambio propuesto en los estándares.
programa de seguridad de la información. Los requisitos de documentación
cambiarán en varias etapas y es importante asegurarse de que estén
actualizados. Los estándares y los procedimientos deben cambiar según sea Las modificaciones a las políticas o estándares deben desencadenar
necesario para abordar los cambios en el riesgo, la tecnología, las actividades procedimientos para modificar las herramientas y los procesos de monitoreo del cumplimiento.
comerciales o las líneas de base, pero deben ser coherentes con las políticas Se sugiere que los cambios se compartan periódicamente con los auditores y el
publicadas, que normalmente cambian con mucha menos frecuencia. personal de cumplimiento que aún no están involucrados en el proceso de gestión
de cambios para garantizar el conocimiento y la aceptación de los cambios antes de
El control de versiones es esencial para garantizar que todas las partes operen a las actividades de auditoría.
partir de las mismas revisiones de documentos, y se requerirá un proceso confiable
de notificación y publicación. Los cambios en los estándares requerirán una revisión de los procedimientos que
pueden requerir modificaciones para cumplir. Otra documentación, como las políticas
Parte de la documentación requerida generalmente incluirá: de uso aceptable, las pautas, el control de calidad y los procesos de adquisición, entre
• Objetivos del programa otros, también pueden requerir modificaciones.
• Mapas de carreteras
• Casos de negocios
3.13.4 DESARROLLO DEL PROGRAMA Y
• Recursos requeridos
• Documentación GESTIÓN DE PROYECTOS
• Control S Los programas de seguridad de la información rara vez son estáticos y deben
• Presupuestos
experimentar un desarrollo continuo para cumplir con las condiciones y los riesgos
• Diseños/arquitecturas de sistemas cambiantes. La base para el desarrollo será la estrategia para alcanzar los objetivos
• Políticas, estándares, procedimientos, directrices definidos. Estos objetivos incluyen el logro de los niveles de madurez deseados y la
• Hitos del plan del proyecto, cronogramas gestión del riesgo a niveles aceptables mientras se respaldan de manera efectiva las
• KGI, KPI, CSF, otras métricas operaciones comerciales.
• Requisitos de formación y concienciación

El análisis de brechas de seguridad de la información descrito en la sección
3.10.3 generalmente identifica la necesidad de proyectos que resulten en
Mantenimiento de Documentos
mejoras al programa de seguridad de la información. Los procesos descritos en la
Por lo general, la documentación deberá actualizarse a medida que se implemente el
sección 3.14.11 también deben revisarse para identificar proyectos que puedan llenar
programa de seguridad de la información y la organización evolucione.
los vacíos entre la organización existente y el programa previsto. Muchos de estos
El gerente de seguridad de la información debe implementar procedimientos para
proyectos serán implementaciones o reconfiguraciones de tecnología que harán que
agregar; modificando; y, en algunos casos, retirar las políticas, estándares,
la tecnología existente sea más segura. Cada proyecto debe tener tiempo, presupuesto
procedimientos y otra documentación de seguridad de la información.
y resultado medible. Cada uno debe hacer que el entorno sea más seguro sin causar
debilidades de control en otras áreas.
Una consideración importante para todas las actividades de documentación es
garantizar que se implemente un proceso de control de versiones adecuado para
que todos los destinatarios utilicen la documentación actual. También se deben
Como lo haría cualquier gerente de proyecto profesional, un gerente de
desarrollar procesos para retirar la documentación que ha sido reemplazada por
seguridad de la información debe priorizar la cartera de proyectos de tal manera
versiones posteriores. Los sistemas automatizados que utilizan una sola fuente para
que los que se superponen no se retrasen entre sí, los recursos se asignen de
toda la documentación ayudarán a garantizar que solo se utilicen las políticas,
manera adecuada y los resultados se integren sin problemas o se transicionen desde
normas y procedimientos actuales. Además, toda la documentación debe tener
las operaciones existentes. El gerente de seguridad de la información debe emplear
marcas estandarizadas, incluida la fecha de lanzamiento efectiva, el propietario y la
técnicas de gestión de proyectos generalmente aceptadas, como el establecimiento
clasificación.
de objetivos, la medición del progreso, el seguimiento de los plazos y la asignación de
responsabilidades en

una manera controlada y repetible. Esto ayuda a garantizar que el diseño y la • Exigir a quienes proponen un proyecto que justifiquen su valor ante
implementación del programa de seguridad sean exitosos. la empresa y eliminar cualquier propuesta que no sea de valor demostrable.
• Permitir que la gerencia determine si el proyecto propuesto tiene valor para el negocio
3.13.5 GESTIÓN DE RIESGOS y es factible en comparación con los méritos relativos de las propuestas alternativas.
Prácticamente todos los aspectos de la gestión de programas sirven para gestionar
el riesgo a niveles aceptables. Dado que el panorama de riesgos cambia • Permitir a la gerencia medir objetivamente el logro posterior de los beneficios
continuamente, es esencial que la seguridad de la información cambie y se adapte del caso de negocios.
según sea necesario para garantizar que el negocio sea capaz de lidiar de manera
efectiva con las condiciones actuales. Si bien existen muchos formatos posibles para desarrollar un caso de negocios, es
probable que el uso de metodologías formales de gestión de proyectos sea el más
Independientemente de la efectividad de la seguridad de la información, pocas persuasivo. El caso debe incluir las opciones consideradas y las razones para
organizaciones escaparán al efecto de los incidentes de seguridad. Un aspecto rechazarlas. Las opciones presentadas deben incluir el caso de no iniciar un proyecto
esencial de la gestión de programas es garantizar que la organización pueda en particular. El caso de negocio debe incluir algunos o todos los siguientes:
responder de manera efectiva a los incidentes de seguridad que interrumpen las
operaciones comerciales. • Referencia: nombre del proyecto/referencia, orígenes/antecedentes/
estado actual
Responsabilidades de gestión de riesgos • Contexto: objetivos/oportunidades comerciales, alineación estratégica comercial

La gestión del riesgo de la información es una parte integral de las responsabilidades (prioridad)
continuas del gerente de seguridad de la información y un requisito principal tanto en • Propuesta de valor: resultados comerciales deseados, hoja de ruta de resultados,
el desarrollo como en la gestión del programa. El gerente de seguridad de la información beneficios comerciales (por resultado), valor de beneficios cuantificados, escenarios
debe tener una buena comprensión y desarrollar las habilidades necesarias con respecto financieros de costos/ROI, riesgo/costos de no proceder, riesgo del proyecto (para el
a la evaluación y gestión de riesgos. Esto debe incluir: proyecto, beneficios y negocio)
• Enfoque: alcance del problema/solución, suposiciones/restricciones, opciones
• Conocimiento del riesgo del ciclo de vida del desarrollo del programa identificadas/evaluadas, tamaño, escala y evaluación de la complejidad
• Conocimiento del riesgo de gestión del programa • Entregables—Resultados, entregables y beneficios planeados; áreas
• Conocimiento de métodos para evaluar las vulnerabilidades en entornos organizacionales impactadas (interna y externamente); partes interesadas clave
técnicos y operativos.
• Habilidad para analizar exposiciones, el entorno general de amenazas y • Dependencias: CSF
amenazas específicas a la organización del gerente de seguridad de la información • Métricas del proyecto: KGI, KPI
• Conocimiento de los enfoques de análisis de riesgos, incluidos los cuantitativos. • Carga de trabajo: definiciones de enfoque, fase/etapa (proyecto
y métodos cualitativos [cambiar] actividades, actividades de entrega técnica, estimación/desglose
• Conocimiento de los procesos de gestión de riesgos, incluida la mitigación, eliminación, de la carga de trabajo, plan y cronograma del proyecto, análisis de la ruta
transferencia y aceptación informada crítica)
• Habilidad para comprender y evaluar los impactos potenciales si se explota • Recursos necesarios: equipo de liderazgo del proyecto, equipo de
el riesgo gobierno del proyecto, recursos del equipo, financiación
• Conocimiento de métodos para rastrear, documentar y comunicar • Compromisos (requeridos) : controles del proyecto, programa de revisión, procesos
problemas de riesgo e impacto de informes, programa de entregas, presupuesto/programa financiero
3.13.6 DESARROLLO DE CASO DE NEGOCIO

Evaluación de caso de negocio
El propósito de un caso de negocios es capturar el razonamiento para iniciar un
La evaluación y revisión de un caso de negocio debe incluir la determinación
proyecto o tarea, y el caso de negocios debe incluir todos los factores que pueden
de que:
afectar materialmente el éxito o el fracaso del proyecto. El método de presentación
• La inversión tiene valor e importancia.
debe ser coherente con el enfoque habitual de la organización y puede ser electrónico,
• El proyecto se gestionará adecuadamente.
un documento escrito bien estructurado o una presentación de diapositivas. Debe
• La empresa tiene la capacidad de entregar los beneficios.
abarcar de manera persuasiva beneficios, costos y riesgos. Los beneficios deben ser
• Los recursos dedicados de la empresa están trabajando en las oportunidades de
tangibles, soportables y relevantes para la organización.
mayor valor.
• Los proyectos con interdependencias se emprenden en la secuencia
Debe prestarse especial atención a los aspectos financieros de la propuesta. El TCO
óptima.
y el riesgo deben representarse de manera realista durante todo el ciclo de vida del
proyecto. Es importante evitar el exceso de confianza, las proyecciones demasiado
optimistas y la precisión excesiva para lo que probablemente sean resultados un Objetivos del caso de negocio
tanto especulativos. El proceso de caso de negocio debe estar diseñado para ser:
(Consulte la sección 1.10.1 Errores comunes). • Adaptable: se adapta al tamaño y riesgo de la propuesta.
• Coherente: todos los proyectos abordan los mismos problemas comerciales básicos.
Los propósitos principales del proceso formal de caso de negocios son:

• Orientado a los negocios: se preocupa por el negocio
• Introducir una forma de pensar que haga que las personas con autoridad para
recomendar proyectos consideren su valor, riesgo y prioridad relativa como un capacidades e impacto, en lugar de tener un enfoque técnico.
elemento fundamental para presentar la propuesta de proyecto. • Integral: todos los factores relevantes para una evaluación completa
están incluidos.

• Comprensible—Los contenidos son claramente relevantes, lógicos y, aunque Finalmente, es importante tener en cuenta que algunos aspectos de un
exigentes, son fáciles de completar y evaluar programa de seguridad de la información no son completamente predecibles
• Medible: todos los aspectos clave se pueden cuantificar para que su logro y pueden incurrir en costos imprevistos, particularmente en el área de respuesta
se pueda rastrear y medir. a incidentes. Estos costos a menudo son el resultado de la necesidad de recursos
• Transparente: los elementos clave se pueden justificar directamente. externos para ayudar con un evento de seguridad que excede las habilidades o el
• Responsable: las responsabilidades y los compromisos para la entrega de ancho de banda del personal de la organización. Un enfoque para presupuestar
beneficios y la gestión de costos son claros. estas situaciones es usar datos históricos de incidentes y costos de reparación de
eventos de seguridad anteriores que requirieron recursos externos no presupuestados.
3.13.7 PRESUPUESTO DEL PROGRAMA
El presupuesto es una parte esencial de la gestión del programa de seguridad de

Incluso si la organización ha iniciado recientemente su programa de
la información y puede tener un impacto significativo en el éxito del programa. La
seguridad, puede haber eventos anteriores que requirieron recursos externos.
preparación y defensa efectiva de un presupuesto puede significar la diferencia entre
Si el programa planificado no prevé contar con estas habilidades en el personal,
tener o no tener suficiente personal y otros recursos para lograr los objetivos del
es probable que se necesiten nuevamente recursos externos en el futuro. Por
programa de seguridad de la información.
ejemplo, si durante los últimos tres años la organización ha contratado consultores
forenses externos para ayudar con los eventos de seguridad porque el conjunto de
habilidades requeridas no estaba en el personal, el gerente de seguridad debe
Al igual que con muchas actividades comerciales, la autoeducación y la
considerar agregar una partida en el presupuesto para dar cuenta de esta situación.
preparación previa son factores clave para navegar con éxito este proceso
Los costos se pueden estimar sobre la base de los costos promedio de los años
frecuentemente desafiante. Mucho antes de que comience el ciclo presupuestario,
anteriores como punto de partida. Si esta información no está disponible, las
el gerente de seguridad de la información debe asegurarse de estar familiarizado
estadísticas de la industria de organizaciones similares pueden ser útiles como
con el proceso de elaboración de presupuestos y los métodos utilizados por la
indicador del riesgo y los costos de remediación.
organización. También será importante considerar el calendario de las distintas
etapas del ciclo presupuestario de la organización.
Otra consideración clave antes de comenzar el proceso de elaboración del 3.13.8 NORMAS GENERALES DE USO/ACEPTABLES
presupuesto es la estrategia de seguridad de la información. Todos los POLÍTICA DE USO
gastos presupuestarios para la seguridad de la información deben derivarse y Si bien los procedimientos específicos brindan los pasos detallados requeridos para
respaldarse por la estrategia de seguridad de la información. Idealmente, los elementos muchas funciones a nivel operativo, todavía hay un gran grupo de usuarios que
de la estrategia de seguridad se presentan en una hoja de ruta de seguridad, como pueden beneficiarse de un resumen fácil de usar de lo que deben y no deben hacer
se analiza en la sección 3.10. Tener la estrategia comunicada y aprobada antes de para cumplir con la política. Una forma eficaz de ayudar a estos usuarios generales a
entrar en el proceso de presupuestación es un elemento clave en una propuesta de comprender las responsabilidades relacionadas con la seguridad es el desarrollo de
presupuesto exitosa. una política de uso aceptable. Esta política puede detallar, en términos cotidianos, las
obligaciones y responsabilidades de todos los usuarios de manera sencilla y concisa.
Elementos de un presupuesto del programa de seguridad de la información Entonces es necesario comunicar efectivamente la política de uso a todos los usuarios
Muchos costos asociados con un programa de seguridad de la información son y asegurarse de que se lea y entienda. La política de uso debe proporcionarse a todo
bastante sencillos. Gastos tales como personal (salarios, capacitación, etc.), el personal nuevo que tendrá acceso a los activos de información, independientemente
hardware y software básicos y servicios de suscripción entran en esta categoría. de su situación laboral.
Además de la puesta en marcha típica del programa y los costos operativos anuales,
es probable que haya proyectos a corto y largo plazo que representen varios objetivos
en la hoja de ruta de seguridad. Estos proyectos consumirán recursos en el transcurso Por lo general, estas reglas de uso para todo el personal incluyen la política y los
de meses (o años) y deben contabilizarse en el presupuesto con la mayor precisión estándares para el control de acceso, clasificación, marcado y manejo de
posible. El gerente de seguridad de la información debe colaborar con la PMO de la documentos e información, requisitos de informes y restricciones de divulgación.
organización y los expertos en la materia (SME) apropiados para ayudar a estimar También pueden incluir reglas sobre el correo electrónico y el uso de Internet, así
los costos de los proyectos que comenzarán dentro del año fiscal. Los elementos de como otros recursos y activos de información. Las reglas de uso proporcionan una
cada proyecto que se deben considerar incluyen: • Tiempo de los empleados línea base de seguridad general para toda la organización. A menudo es necesario
proporcionar información complementaria o adicional a grupos específicos de la
organización, en consonancia con sus responsabilidades.
• Honorarios de contratistas y consultores
• Costos de equipo (hardware, software)

3.13.9 PRÁCTICAS DE GESTIÓN DE PROBLEMAS DE
• Requisitos de espacio (espacio de rack del centro de datos, etc.)
SEGURIDAD DE LA INFORMACIÓN
• Recursos de prueba (personal, tiempo del sistema, etc.)
• Creación de documentación de respaldo Además de las prácticas de gestión de crisis o eventos, el gerente de seguridad de la
• Mantenimiento en proceso información debe comprender los diversos aspectos de un enfoque eficaz de gestión
• Contingencias por costos inesperados de problemas. La gestión de problemas generalmente requiere un enfoque sistemático
para comprender los diversos aspectos del problema, definir el problema y diseñar un
Si bien será imposible tener una precisión del 100 por ciento, involucrar a las PYME programa de acción junto con la asignación de responsabilidades y fechas de
adecuadas y a los gerentes de proyectos calificados puede ser invaluable para llegar vencimiento para la resolución. También se debe implementar un proceso de informes
a una estimación bastante precisa. para rastrear los resultados y garantizar que el problema se resuelva.

Dado que el entorno de los sistemas de información experimenta cambios para que el gerente de seguridad de la información reevalúe periódicamente la eficacia
continuos a través de actualizaciones y adiciones, no es inusual que los controles de del programa en relación con los cambios en las demandas, el entorno y las limitaciones
seguridad implementados desarrollen ocasionalmente un problema y no funcionen de la organización. Los resultados de dicho análisis deben compartirse con el comité
según lo previsto. Es en este punto que el gerente de seguridad de la información directivo de seguridad de la información u otras partes interesadas para la revisión y el
debe identificar el problema y asignarle una prioridad. desarrollo de estrategias para las modificaciones necesarias del programa.
El gerente de seguridad de la información también debe estar familiarizado Si bien el gerente de seguridad de la información debe determinar el alcance más
con los controles de mitigación que pueden tener que emplearse si falla el apropiado para evaluar el estado actual, la siguiente sección describe varias áreas críticas
control de seguridad principal. En lugar de permitir que la vulnerabilidad de para la evaluación.
seguridad ponga en riesgo a la organización, puede ser necesario que el gerente

de seguridad de la información tome medidas alternativas para proteger los recursos Objetivos del programa
de información hasta que se resuelva el problema. Por ejemplo, si falla un cortafuegos, El gerente de seguridad de la información debe evaluar los objetivos
el administrador de seguridad de la información puede optar por desconectar el sistema de seguridad documentados establecidos para el programa. Las consideraciones clave
del exterior hasta que se corrija el problema del cortafuegos. Si bien esto protegería los incluyen:
recursos de información de riesgos externos, probablemente afectaría la capacidad de • ¿Estaban las metas del programa alineadas con los objetivos de gobierno?
la organización para realizar negocios. Por lo tanto, es importante que la autoridad y los (si existen)?
límites específicos sean establecidos por la gerencia. • ¿Los objetivos son medibles, realistas y están asociados con
líneas de tiempo?
• ¿Se alinean los objetivos del programa con las metas organizacionales?
3.13.10 GESTIÓN DE VENDEDORES iniciativas, necesidades de cumplimiento y entorno operativo?

• ¿Hay consenso sobre los objetivos del programa? ¿Se desarrollaron los
Una responsabilidad administrativa y de gestión continua del gerente de seguridad
objetivos en colaboración?
de la información típico es la supervisión y el control de proveedores externos de
• ¿Se han implementado métricas para medir el objetivo del programa?
hardware y software, suministros generales y diversos servicios.
éxito y fracasos?
• ¿Hay revisiones periódicas de gestión de objetivos y logros?
Esto es para garantizar que el riesgo introducido en los procesos de adquisición,

implementación y prestación de servicios se gestione adecuadamente.
Requisitos de conformidad
La alineación y el cumplimiento de los requisitos de cumplimiento se encuentran
Los proveedores de servicios de seguridad son una característica común entre los indicadores más visibles del estado de la gestión de la seguridad. Debido a
de muchos programas de seguridad de la información y, a menudo, el enfoque que muchos estándares establecen requisitos de gestión de programas, el gerente
más rentable para diversas funciones administrativas y de supervisión. Pueden de seguridad de la información debe evaluar el programa de gestión en sí mismo
proporcionar al gerente de seguridad de la información habilidades especializadas (marco y componentes)
según sea necesario, aumento de personal a largo plazo mientras se contrata para frente a normas de cumplimiento obligatorio y/o voluntario. Las consideraciones clave
incluyen:
puestos vacantes e incluso se descarga de las tareas diarias de rutina. Los proveedores
de servicios de seguridad subcontratados pueden brindar una variedad de servicios, • ¿Se facilita una comunicación estrecha entre los grupos de cumplimiento y de seguridad
como evaluación y auditoría, ingeniería, soporte operativo, arquitectura y diseño de de la información? ¿Están claramente definidos los requisitos de cumplimiento de la
seguridad, servicios de asesoramiento y soporte forense. seguridad de la información?

• ¿El programa de seguridad de la información integra específicamente los requisitos
Los proveedores de servicios de seguridad pueden liberar recursos internos para de cumplimiento en políticas, estándares, procedimientos, operaciones y métricas
centrarse en proyectos u operaciones donde la preservación del capital intelectual es de éxito?
primordial. El uso de recursos de seguridad externos también puede proporcionar una • ¿Los componentes técnicos, operativos y gerenciales del programa se
perspectiva nueva y objetiva sobre el programa de seguridad de la información. Si el alinean con los componentes requeridos por las normas regulatorias?
gerente de seguridad de la información va a utilizar un proveedor de seguridad

subcontratado, las capacidades y los enfoques que adopte el proveedor deben alinearse • ¿Cuáles han sido los resultados de la auditoría y el cumplimiento recientes?
con el programa de seguridad de la información de la organización. revisiones del programa de seguridad de la información?
• ¿Se rastrean, informan y abordan oportunamente las deficiencias en el
cumplimiento del programa?
El uso de partes externas para proporcionar funciones relacionadas con la seguridad • ¿Se utilizan tecnologías de gestión del cumplimiento para aumentar la eficiencia en
generalmente crea un riesgo que debe ser administrado por el gerente de seguridad el cumplimiento de las demandas de cumplimiento de la seguridad?
de la información. Deben abordarse cuestiones tales como la viabilidad financiera, la

calidad del servicio, la dotación de personal adecuada, el cumplimiento de las políticas Gestión de programas
de seguridad de la organización y el derecho a la auditoría. La evaluación de los componentes de gestión del programa revelará el alcance del
apoyo de la gestión y la profundidad general del programa existente. Los programas
de seguridad muy técnicos e impulsados tácticamente tenderán a implementar menos
3.13.11 EVALUACIÓN DE LA GESTIÓN DEL PROGRAMA
componentes de gestión, mientras que los programas estratégicos impulsados por
Ciertas situaciones requieren que el gerente de seguridad de la información evalúe el
estándares, cumplimiento y gobernanza implementarán un conjunto más completo de
estado actual de un programa de seguridad de la información existente, por ejemplo, si
actividades de gestión que garantice que se establezcan y cumplan los requisitos.
es promovido o contratado para una función de OSC existente. también es importante

Las consideraciones de los componentes de gestión del programa incluyen: • ¿Existe Al evaluar el entorno técnico actual en sí, el gerente de seguridad de la
una documentación completa del programa en sí? ¿Se han reducido las políticas, normas y información debe considerar los siguientes temas relacionados con la gestión de las
procedimientos clave a pautas operativas accesibles y se han distribuido a las partes inquietudes de seguridad técnica: • ¿Existen estándares técnicos para la configuración
responsables? de seguridad de redes, sistemas, aplicaciones y otros componentes tecnológicos
• ¿Las personas responsables entienden sus roles y responsabilidades? • individuales? • ¿Existen estándares que aborden la seguridad arquitectónica?
¿Están definidas las funciones y responsabilidades de los miembros de la
alta dirección?
administración, directorios, etc.? ¿Estas organizaciones entienden y asumen sus cuestiones como la topología, los protocolos de comunicación y la
responsabilidades? compartimentación de los sistemas críticos? • ¿Los estándares apoyan y
• ¿Las responsabilidades por la seguridad de la información están representadas en hacen cumplir las políticas de alto nivel y
los objetivos individuales de los gerentes comerciales y son parte de su calificación requisitos? ¿Son los estándares un esfuerzo de colaboración entre el personal de
de desempeño individual? tecnología, operaciones y seguridad?
• ¿Están definidas, formalmente aprobadas y distribuidas las políticas y normas? • ¿Se aplican uniformemente las normas técnicas? hacer trámites
existen para evaluar periódicamente e informar sobre el cumplimiento de las normas
• ¿Están los gerentes de las unidades de negocios involucrados en la orientación y el apoyo técnicas? ¿Existe un proceso formal para gestionar las excepciones?
de las actividades del programa de seguridad de la información? ¿Existe un comité • ¿Se aplica la separación de los entornos de desarrollo, prueba y
directivo formal? producción?
• ¿Cómo se posiciona el programa dentro de la organización? A • ¿Los sistemas imponen la separación de funciones, especialmente cuando se trata de
¿A quién es responsable el programa? ¿Este posicionamiento imparte un nivel adecuado altos niveles de acceso administrativo?
de autoridad y visibilidad para los objetivos que debe cumplir el programa? • ¿Existe una visibilidad (registro) confiable y completa de las actividades del
sistema, las configuraciones, la accesibilidad y los eventos relacionados con
• ¿Implementa el programa funciones administrativas eficaces, por ejemplo, elaboración de la seguridad? ¿Es esta visibilidad continua o intermitente?
presupuestos, gestión financiera, gestión de recursos humanos, gestión del conocimiento?
Niveles de recursos
• ¿Se utilizan métricas significativas para evaluar el desempeño del programa? El gerente de seguridad de la información debe evaluar el nivel de recursos
¿Estas métricas se recopilan y reportan regularmente? financieros, humanos y técnicos asignados al programa. Las áreas de deficiencia
• ¿Existen foros y mecanismos para la gestión periódica? deben identificarse y escalarse a la alta gerencia y/o al comité directivo. Las consideraciones
supervisión de las actividades del programa? ¿La dirección vuelve a evaluar incluyen las siguientes áreas:
periódicamente la eficacia del programa?
• Asignaciones de recursos financieros
Gestión de Operaciones de Seguridad – ¿Cuál es el nivel de financiación actual del programa?

El gerente de seguridad de la información debe evaluar la efectividad con la cual el programa – ¿Se mantiene un presupuesto integral de capital y operativo?
de seguridad de la información implementa las actividades operativas de seguridad, tanto – ¿Se alinean las asignaciones financieras con las expectativas
dentro de la organización de seguridad como en otras unidades organizacionales. Algunas del presupuesto del programa?
consideraciones clave incluyen: – ¿Existen vínculos entre la asignación de recursos y los objetivos
• ¿Se incluyen los requisitos y procesos de seguridad en los procedimientos operativos comerciales?
estándar de las unidades de seguridad, tecnología y negocios? – ¿Se priorizan las funciones dentro del programa en términos de
• ¿Proporcionan los procedimientos operativos estándar (SOP) relacionados con la asignación financiera?
seguridad la rendición de cuentas, la visibilidad del proceso y la supervisión de la – ¿Qué funciones es probable que sufran de financiación insuficiente?
gestión? • RRHH
• ¿Existen SOP documentados para actividades relacionadas con la seguridad, como – ¿El programa implementa una metodología de gestión de la carga de trabajo?
gestión de acceso, mantenimiento de sistemas de seguridad, análisis de eventos y
respuesta a incidentes? – ¿Cuál es el nivel actual de personal para el programa?
• ¿Existe un cronograma de procedimientos que se realizan con regularidad, p. ej., – ¿Se utilizan plenamente los recursos existentes en términos de tiempo y
revisión de la configuración técnica? ¿El programa proporciona registros de las habilidades?
actividades programadas? – ¿Los recursos existentes están adecuadamente calificados para los roles
• ¿Existe una separación de funciones entre los implementadores del sistema, los que desempeñan?
administradores de seguridad y el personal de cumplimiento? • ¿Proporciona el – ¿Hay tareas de poco valor para las que se podrían aprovechar otros recursos?
programa métricas operativas efectivas?

informes que proporcionen a la gerencia la información necesaria para la supervisión? – ¿De qué otros recursos humanos (p. ej., personal de tecnología de la información)
¿Existen otros mecanismos de supervisión establecidos? depende el programa para funcionar con eficacia?
• ¿La gerencia revisa regularmente las operaciones de seguridad? ¿Existe un foro para ¿Es la seguridad de la información una parte formal de las descripciones de trabajo
escalar los problemas operativos a la gerencia para su resolución? y los planes de actividad de estos recursos?
• Recursos técnicos
– ¿Qué tecnologías soportan actualmente la seguridad de la información?
Gestión de Seguridad Técnica objetivos del programa?
La gestión del entorno de seguridad técnica es fundamental para garantizar que los – ¿La capacidad de las tecnologías de apoyo es suficiente para soportar las demandas
sistemas de procesamiento de información y los mecanismos de seguridad se actuales? ¿Se escalarán estas tecnologías para satisfacer las necesidades futuras?
implementen de manera efectiva. Además de

– ¿El programa tiene en cuenta el mantenimiento, la administración y el eventual 3.13.14 FACTORES FÍSICOS Y AMBIENTALES
reemplazo de las tecnologías de apoyo?
La confidencialidad, integridad y disponibilidad de la información pueden verse
– ¿Existen otras tecnologías que podrían hacer que el programa sea más
comprometidas por el acceso físico no autorizado y el daño o destrucción de
eficiente o eficaz?
los componentes físicos. El nivel de seguridad que rodea a cualquier hardware y
software de TI, o cualquier activo de información física, como documentos u otros
3.13.12 PLAN-HACER-VERIFICAR-ACTUAR medios, debe depender de la criticidad de los sistemas, la sensibilidad de la
El programa de seguridad de la información se basa en la gestión eficaz y eficiente de información a la que se puede acceder, la importancia de las aplicaciones procesadas,
los controles diseñados e implementados para tratar o mitigar amenazas, riesgos y el costo de el equipo y la disponibilidad de equipo de respaldo. Una amplia gama de
vulnerabilidades. La dependencia única de la gestión eficaz y eficiente de un proceso controles de seguridad física, como cerraduras electrónicas, detectores de movimiento,
comercial como la seguridad de la información se presta a los conceptos y metodologías cámaras, jaulas de alambre de acero y dispositivos de rastreo por radiofrecuencia, están
incluidos en el sistema de gestión de calidad total (TQM). disponibles para que el gerente de seguridad de la información implemente la seguridad
física.
TQM se basa en cuatro procesos principales, Plan-Do-Check-Act (PDCA), como
se muestra en la figura 3.11.
Además de los procesos de control, se deben establecer políticas y estándares
El enfoque TQM, combinado con una metodología de gobierno que se enfoca en la de seguridad física. El control físico del acceso a los recursos informáticos debe
alineación del programa estratégico con los objetivos organizacionales, proporcionará aplicarse en función de la sensibilidad de la información a la que se acceda, procese y
al gerente de seguridad de la información herramientas que puede usar para almacene allí. El acceso debe proporcionarse según sea necesario.
implementar y mantener un programa altamente efectivo y eficiente. Como se
describe en el capítulo 1, los elementos básicos de una metodología de gobernanza
La ubicación dentro de las instalaciones y los factores ambientales también son
incluyen una visión estratégica, objetivos, KGI, CSF, KPI y acciones clave o planes de
acción tácticos y anuales. Estos elementos se definen de la siguiente manera y se motivo de preocupación. Debe evitarse la ubicación de sistemas críticos en
representan en la figura 3.12. áreas con entornos inestables o cerca de tuberías de agua u otros peligros
potenciales. Los entornos informáticos deben incorporar sistemas para monitorear
y controlar factores ambientales como la temperatura, la humedad y la calidad de la
• La visión es una declaración ampliamente definida, clara y convincente sobre energía eléctrica.
el propósito de la organización. Esto debe incluir los resultados deseados del
programa de seguridad de la información. Las computadoras personales a menudo se usan en áreas de usuarios menos
• Los objetivos estratégicos son un conjunto de metas que son necesarias y seguras y pueden requerir una consideración especial para garantizar niveles
suficientes para llevar a la organización hacia su visión. Estos objetivos deben adecuados de seguridad. Si una estación de trabajo tiene una función particularmente
reflejarse en los KGI. delicada o se requiere que almacene información confidencial, puede ser deseable
• Los CSF son un conjunto de circunstancias o eventos que son necesarios para aislarla. Otros controles físicos de la estación de trabajo pueden incluir la protección
alcanzar los objetivos estratégicos. física del dispositivo para evitar robos, el bloqueo del chasis para evitar la
• Los KPI son métricas concretas que se rastrean para garantizar que los CSF se manipulación, la eliminación o la desactivación de interfaces de dispositivos externos
siendo alcanzado. (p. ej., bus serie universal [USB], puertos serie) y la aplicación de la red de área
• Las acciones clave, incluidos los planes de acción tácticos y anuales, son las local (LAN) almacenamiento basado en para minimizar los datos confidenciales en
los discos de la estación de trabajo.
iniciativas que se entregarán para lograr los objetivos estratégicos y los KGI.
Las computadoras portátiles y los dispositivos portátiles también requieren una

consideración especial, particularmente dado el riesgo significativo de robo o
3.13.13 REQUISITOS LEGALES Y NORMATIVOS
pérdida. El gerente de seguridad de la información debe considerar el uso de cifrado
Los departamentos legales corporativos a menudo se centran principalmente
de disco completo para proteger la información confidencial en caso de pérdida.
en contratos y valores, o en asuntos relacionados con las acciones de la empresa.
El resultado es que, en muchos casos, no conocen los requisitos reglamentarios y
También debe protegerse la seguridad de los medios electrónicos e impresos.
el gerente de seguridad de la información no debe depender del departamento legal
La divulgación de información confidencial en papel, microfilm, cinta, CD-ROM u
para identificarlos. Por lo general, el departamento afectado será el que tenga más
otros medios físicos es un riesgo tan grande para la organización como un
conocimientos sobre cuestiones legales y reglamentarias. Sin embargo, es prudente
compromiso en línea y debe almacenarse en ubicaciones seguras. El transporte
que el gerente de seguridad de la información solicite una revisión e interpretación
y almacenamiento de cintas de copia de seguridad, si no están encriptadas,
legal de los requisitos legales que tienen implicaciones de seguridad para garantizar
también pueden presentar un riesgo significativo, especialmente cuando se almacenan
la claridad de la posición oficial de la organización al respecto.
fuera del sitio. El gerente de seguridad de la información también debe considerar una
política de escritorio limpio para evitar el acceso no autorizado a información
confidencial en áreas de oficina menos seguras.
Además, es posible que se requiera que el gerente de seguridad de la información
respalde los estándares legales relacionados con la privacidad de la información y
También se deben considerar las preocupaciones geográficas, particularmente
las transacciones, la recopilación y el manejo de registros de auditoría, las políticas
cuando se trata de instalaciones organizacionales y sitios de recuperación de
de retención de correo electrónico, los procedimientos de investigación de incidentes
desastres. Las regiones con riesgo de terremotos, huracanes, inundaciones u otros
y la cooperación con las autoridades legales. Las cuestiones legales también deben
desastres naturales deben evitarse al seleccionar los sitios para las instalaciones. Se
tenerse muy en cuenta cada vez que se investigue o controle a un empleado de la
debe considerar la proximidad a instalaciones que presenten un riesgo especial (p. ej.,
organización, o cuando se tomen medidas disciplinarias por conducta inapropiada.
plantas de energía nuclear, instalaciones de producción química, aeropuertos). Por
último, las instalaciones de procesamiento primario,

Figura 3.11—Metodología PDCA
La Metodología PDCA es un modelo de proceso iterativo
PLAN
Partes interesadas Partes interesadas
Diseñar y planificar el
programa de seguridad de
la información.
HACER
ACTUAR
Liderar planes de Mantener y mejorar el programa

acción correctivos, de seguridad de la información.
preventivos y de mejora continua.
CONTROLAR
Información
Administrado
Seguridad Supervisar, auditar, Información
Requisitos y revisar el programa de
Seguridad
Expectativas seguridad de la información
Diseñar, planificar e iniciar el programa de seguridad de la información. Estas actividades incluyen la creación de una
PLAN
estrategia, la socialización de conceptos, la creación de políticas, metas, objetivos y prácticas necesarias para gestionar el riesgo.
HACER Ejecutar y controlar la estrategia de seguridad de la información, incluida la integración en las prácticas organizacionales.
Facilitar auditorías semestrales para determinar la conformidad con la declaración de aplicabilidad e identificar
CONTROLAR oportunidades de mejora. Cuando sea apropiado, desarrolle e integre matrices de desempeño que respalden las metas y
objetivos del programa de seguridad de la información.
Ante el descubrimiento de no conformidades y/u oportunidades, crear y dar seguimiento a planes de acción correctivos,
preventivos y de mejora continua. Presentar los resultados de la auditoría interna/externa y las evaluaciones de riesgos al Comité
ACTUAR
de revisión de la gestión para tomar decisiones sobre la aceptación, el rechazo o la transferencia de riesgos y el compromiso de
recursos y capital para facilitar los esfuerzos posteriores.
Figura 3.12—Objetivos estratégicos, CSF, KPI, acciones clave
Objetivos Acciones
CSF KPI/objetivos
estratégicos clave/cambios comerciales
Visión

Los sitios de recuperación de desastres y las instalaciones de almacenamiento de El gerente de seguridad de la información debe desarrollar habilidades de gestión
datos fuera del sitio deben estar lo suficientemente lejos entre sí para garantizar logística ya sea a través de capacitación, autoaprendizaje o tutoría.
que un evento de desastre no afecte a más de un sitio.
3.13.15 ÉTICA 3.14 SERVICIOS DEL PROGRAMA DE SEGURIDAD Y

Muchas organizaciones han implementado capacitación en ética para brindar
ACTIVIDADES OPERACIONALES
orientación sobre lo que la organización considera un comportamiento legal y apropiado.
Este enfoque es más común cuando se requiere que las personas participen en
El programa típico de seguridad de la información tiene una serie de
actividades de naturaleza particularmente confidencial, como monitorear las actividades
responsabilidades operativas además de proporcionar varios servicios
de los usuarios, realizar pruebas de penetración y acceder a datos personales
relacionados con la seguridad. Si bien la naturaleza de estas operaciones y servicios
confidenciales. El personal de seguridad de la información debe ser sensible a los
varía considerablemente entre diferentes organizaciones, la siguiente sección describe
posibles conflictos de intereses o actividades que puedan percibirse como perjudiciales
los que se encuentran más típicamente en organizaciones más grandes.
para la organización.
El código de ética debe revisarse con cada empleado involucrado en la

gestión de la seguridad de la información y la aceptación firmada del código 3.14.1 ENLACE DE SEGURIDAD DE LA INFORMACIÓN
debe mantenerse en los registros de los empleados. RESPONSABILIDADES
Además de los roles discutidos en la sección anterior, es esencial para un
3.13.16 CULTURA Y VARIACIONES REGIONALES gerente de seguridad de la información eficaz mantener relaciones continuas
El gerente de seguridad de la información debe ser consciente de las diferencias en con otros grupos y departamentos de la organización. Estas otras funciones
las percepciones, las costumbres y el comportamiento apropiado entre las diferentes organizacionales tendrán un gran impacto en la capacidad del gerente de seguridad
regiones y culturas y que lo que se considera razonable en una cultura puede no ser de la información para ser efectivo en la implementación y administración del
aceptable en otra. El gerente de seguridad de la información necesita identificar la programa de seguridad. Si bien los nombres de estos departamentos pueden variar,
audiencia y aquellos que se verán afectados por las actividades de seguridad de la la mayoría de las organizaciones tendrán la mayoría de estas funciones.
información.
Además, las leyes de diferentes países restringen cierto intercambio de información

personal. El gerente de seguridad de la información debe ser consciente de estas Si bien el programa de seguridad de la información logrará un mayor éxito al integrar
complicaciones y trabajar para desarrollar un programa de seguridad de la las actividades de aseguramiento con los siguientes departamentos en la medida de lo
información que satisfaga las necesidades individuales de la organización. posible, la integración efectiva con TI es esencial.
La integración con TI se trata con mayor detalle en la sección 3.14.11.
Se deben desarrollar e implementar políticas, controles y procedimientos con Seguridad Física/Corporativa
respecto a estas diferencias. Deben evitarse los elementos que puedan ser La mayoría de las organizaciones tendrán un departamento de seguridad
culturalmente ofensivos para los demás, particularmente si hay elementos corporativa encargado de las responsabilidades de seguridad física. Estos
alternativos disponibles que cumplan con los requisitos de control. En caso de departamentos generalmente son administrados por personas de las fuerzas del orden
duda, el gerente de seguridad de la información debe trabajar con el departamento público y, a menudo, tendrán una exposición limitada a la seguridad de la información.
legal y de recursos humanos para desarrollar estrategias apropiadas para abordar Sin embargo, los problemas de seguridad física invariablemente impactan
las diferencias entre las regiones y culturas representadas dentro de la organización la seguridad de la información y es esencial que exista una estrecha relación
para identificar posibles conflictos y trabajar para encontrar soluciones. de trabajo con este departamento.
Auditoría TI
TI o la auditoría interna generalmente se encargan de garantizar el cumplimiento
3.13.17 LOGÍSTICA
de la política e identificar el riesgo. A menudo, especialmente en ausencia de
El gerente de seguridad de la información debe abordar los problemas logísticos de
políticas y estándares completos, estos auditores tendrán hallazgos sobre la seguridad
manera efectiva, particularmente dada la cantidad significativa de interacción con otras
de la información basados en lo que consideran prácticas buenas o aceptables.
unidades de negocios e individuos que requiere un programa efectivo de seguridad de
Dependiendo de la experiencia de los auditores, estos hallazgos pueden o no estar
la información. Algunos de los problemas logísticos que el gerente de seguridad de la
de acuerdo con la perspectiva del gerente de seguridad de la información, y esto
información debe poder administrar incluyen:
subraya la necesidad de una documentación de gobierno completa. Dado que las
actividades de auditoría interna invariablemente impactan el programa de seguridad
• Planificación y ejecución estratégica entre organizaciones
de la información, es esencial que el gerente de seguridad de la información desarrolle
• Gestión de proyectos y tareas
y mantenga una buena relación de trabajo con auditoría interna. Una buena relación
• Coordinación de reuniones y actividades del comité
con la auditoría interna también puede brindar un apoyo considerable para lograr los
• Desarrollo de cronogramas de procedimientos realizados regularmente •
objetivos de seguridad de la información.
Priorización de recursos y gestión de la carga de trabajo
• Coordinación de recursos y actividades de seguridad con proyectos y
operaciones más grandes
Unidad de Tecnología de la Información
Como implementadores y operadores prácticos de los sistemas de
Los recursos corporativos existentes, como la programación en línea y los sistemas de
procesamiento de información, la unidad de tecnología de la información de una
administración de recursos, pueden ayudar con estas inquietudes. además, el
organización tiene un papel fundamental en el desarrollo del programa de seguridad de la información.

y gestión. Es importante que el gerente de seguridad de la información desarrolle tal iniciativa. La unidad de negocios de desarrollo de productos debe utilizar una base
una sólida relación de trabajo con la unidad de tecnología de la información y se establecida de requisitos de seguridad permanentes (por ejemplo, controles de
esfuerce por fomentar un ambiente de simpatía, confianza y comunicación. Esto puede ser autenticación, registro de actividad) para cualquier nuevo proyecto de desarrollo y trabajar
un desafío ya que TI a menudo percibe la seguridad como un impedimento para sus con el gerente de seguridad de la información para desarrollar controles adicionales para
esfuerzos. protegerse contra el riesgo específico de la aplicación.
La participación temprana en el ciclo de desarrollo del producto y los requisitos de
TI a menudo tiene requisitos en conflicto para garantizar que las políticas y los seguridad de la información de referencia estándar ayudan al gerente de seguridad de
estándares se cumplan al mismo tiempo que se abordan los requisitos de la información a garantizar que se asignen recursos y tiempo para la implementación
rendimiento y eficiencia. Este conflicto entre la seguridad y el desempeño puede de controles efectivos. Si el grupo de seguridad de la información tiene un equipo de
resultar en el sacrificio de la seguridad para cumplir con los objetivos operativos. arquitectura de seguridad, esta es un área apropiada para su participación.
Por lo general, los requisitos de seguridad abarcan la implementación de mecanismos Recursos humanos
de control en la red, los sistemas y los entornos de aplicaciones, además de garantizar El departamento de recursos humanos dentro de la mayoría de las organizaciones
que las operaciones tecnológicas aborden los requisitos de seguridad. Esta puede ser tiene importantes responsabilidades de seguridad de la información con respecto a la
una tarea desafiante para la unidad de tecnología de la información, ya que debe distribución, educación y aplicación de políticas de los empleados. El gerente de seguridad
cumplir con las necesidades de seguridad y, al mismo tiempo, abordar problemas de la información debe trabajar con el liderazgo de recursos humanos para establecer los
como la funcionalidad, la accesibilidad, el rendimiento, la capacidad y la escalabilidad. mejores medios para administrar la educación de los empleados y de acuerdo con las
El gerente de seguridad de la información debe trabajar con la unidad de tecnología de políticas y procedimientos de uso de recursos informáticos.
la información para determinar soluciones que cumplan con los requisitos de seguridad
y aún cumplan con los requisitos de rendimiento. El gerente de seguridad de la información debe asegurarse de que los departamentos
de recursos humanos y legal estén íntimamente involucrados en cualquier acción que
involucre el monitoreo de las acciones de un empleado o sospecha de abuso de los
Además de configurar la seguridad dentro del entorno técnico real, muchas recursos informáticos. Debido a las implicaciones legales involucradas con las acciones
organizaciones utilizan la unidad de tecnología de la información para diseñar, implementar de personal en la mayoría de las localidades, esta cooperación es crucial. El gerente de
y operar sistemas de seguridad como firewalls, sistemas de administración de identidad y seguridad de la información debe establecer procedimientos y escalamiento como parte
tecnologías de encriptación (por ejemplo, VPN, aceleradores de capa de conexión segura de los procedimientos de gestión de incidentes para que todas las partes involucradas
[SSL]) . comprendan sus funciones y responsabilidades y estén preparadas para la acción
inmediata cuando ocurra un evento. Se debe asignar un representante senior del
La separación de responsabilidades operativas entre el departamento de departamento de recursos humanos al comité directivo de seguridad de la información.
seguridad de la información y la unidad de tecnología de la información a menudo se
basa en el impacto que tiene un sistema de seguridad en particular en el entorno de
tecnología de producción. Si bien es poco probable que la falla de un control pasivo,
como un NIDS, genere una interrupción en todo el sistema, la falla de un sistema en
Departamento legal
línea, como un firewall, podría causar que Internet o las conexiones críticas de los socios Los problemas de seguridad de la información suelen estar relacionados con el
comerciales se caigan. cumplimiento, la responsabilidad, la responsabilidad corporativa y la diligencia debida.
En la mayoría de las organizaciones, todas estas áreas son dominio del departamento
legal. El gerente de seguridad de la información debe comunicarse con un representante
Gerentes de Unidades de Negocios del departamento legal, quien también debe estar en el comité directivo de seguridad.
Es importante que el gerente de seguridad de la información involucre a la Al asegurarse de que el departamento legal tenga conocimiento continuo de los
gerencia de la unidad de negocios al desarrollar el programa de seguridad de la información problemas de seguridad de la información y actúe con su consenso, el gerente de
y que continúe desarrollando esas relaciones en las actividades de gestión de seguridad seguridad de la información puede ayudar a proteger a la organización de la responsabilidad
en curso. La responsabilidad del gerente de la unidad comercial para las operaciones legal.
comerciales de primera línea es garantizar que las operaciones comerciales cumplan con
los requisitos de seguridad, así como también identificar y escalar los incidentes de
Empleados
seguridad y otras preocupaciones de riesgo. Los empleados sirven como la primera línea de defensa en la seguridad de la
Es esencial que el gerente de seguridad de la información se asegure de que los información. Una vez capacitados, es responsabilidad de todos los empleados seguir las
gerentes de las unidades de negocios reconozcan y asuman sus responsabilidades políticas, normas y procedimientos. Los empleados deben estar capacitados para informar
para garantizar la seguridad operativa diaria. Los gerentes de las unidades de negocios amenazas e incidentes potenciales, así como ofrecer sugerencias para mejorar el
deben ser miembros del comité directivo de seguridad de la información, y el gerente programa de seguridad de la información, en función de su participación diaria en el
de seguridad de la información debe establecer vínculos estrechos con los gerentes de programa.
las unidades de negocios predispuestas al riesgo relacionado con la información (por
ejemplo, centros de atención telefónica, mesas de soporte).
Obtención
La mayoría de las organizaciones emplearán un proceso de adquisición formal que
Además de las unidades comerciales operativas diarias, la mayoría de las puede tener consecuencias para la seguridad de la información en términos de
organizaciones tienen unidades comerciales responsables del desarrollo de nuevos adquisición de productos. Es importante que el gerente de seguridad de la información
productos o servicios dirigidos a usuarios internos, un mercado externo o ambos. Es tenga visibilidad del proceso y aporte a las prácticas de adquisición. Las organizaciones
importante que el gerente de seguridad de la información participe en el proceso de maduras tendrán una lista de equipos aprobados que han sido evaluados para el
desarrollo de cualquier producto o servicio relacionado con los recursos de información de cumplimiento de políticas y estándares para administrar y minimizar las vulnerabilidades
la organización, lo que incluye prácticamente cualquier introducidas como resultado de

adquisiciones de nuevos equipos. En ausencia de tal proceso, es importante que el Oficina de Gestión de Proyectos La
gerente de seguridad de la información sea informado sobre las adquisiciones propuestas organización de seguridad de la información debe mantener una fuerte relación con
y se le brinde la oportunidad de determinar qué riesgo puede introducirse como resultado. cualquier PMO dentro de la empresa. Es importante que el gerente o los representantes
de seguridad de la información conozcan todos los proyectos, en particular los
proyectos de TI, en toda la organización. Mantener una relación no solo con los grupos
Cumplimiento comerciales y de TI, sino también con cualquier PMO de la organización, brinda otra
Como consecuencia del panorama legal y regulatorio cada vez más capa de protección de que ningún proyecto se completará sin al menos ser revisado
complejo por el que deben navegar las organizaciones, muchas organizaciones por el equipo de seguridad de la información en busca de riesgos potenciales o
han implementado una oficina de cumplimiento que puede ser un departamento medidas de seguridad requeridas.
independiente o parte del departamento legal.
Dado que puede ser necesario que existan políticas, estándares y reconocimiento
de procedimientos de los requisitos legales y reglamentarios aplicables, es 3.14.2 RESPONSABILIDADES INTERNACIONALES
necesario que el gerente de seguridad de la información establezca una relación de
El gerente de seguridad de la información es directamente responsable de
trabajo con la oficina de cumplimiento.
muchos aspectos críticos del programa de seguridad de la información. Es
importante tener en cuenta que puede haber problemas de separación de tareas
Privacidad si el mismo gerente es responsable de la superposición de aspectos de política,
Las regulaciones de privacidad se han vuelto cada vez más comunes y más implementación y monitoreo. Por lo general, corresponde al gerente de seguridad
restrictivas en muchas partes del mundo. En respuesta, muchas organizaciones de la información garantizar que estas áreas de responsabilidad se asignen
han instituido una oficina de privacidad o un oficial de privacidad. adecuadamente entre los gerentes senior dentro de la organización para evitar
En algunos casos, esto es parte de la oficina de cumplimiento o puede ser una función posibles conflictos de intereses.
separada. En cualquier caso, los requisitos de privacidad en algunas jurisdicciones se
aplican enérgicamente y el cumplimiento debe ser un enfoque principal de la seguridad A medida que se desarrolla cada fase de un programa de seguridad, la gerencia
de la información. Para garantizar que se cumplan los requisitos, el gerente de ejecutiva, los gerentes con responsabilidades de gestión de riesgos y la gerencia
seguridad de la información debe mantener la coordinación con la oficina de privacidad del departamento deben conocer el contenido del programa de seguridad de la
para evitar sanciones que se han vuelto cada vez más severas. información para que se puedan coordinar las actividades y confirmar las áreas
específicas de responsabilidad.
Los programas de seguridad de la información generalmente cruzan
Capacitación numerosos límites departamentales; por lo tanto, es importante fomentar la
Muchas organizaciones más grandes tienen un departamento de capacitación y concientización y lograr un consenso temprano en el proceso. El rol del gerente de
educación separado. El gerente de seguridad de la información debe tener contacto seguridad de la información a menudo se convierte en el de “embajador” del
con esta función para obtener asistencia en la capacitación y educación de conciencia programa de seguridad de la información.
de seguridad en las habilidades de seguridad necesarias.
El gerente de seguridad de la información debe trabajar en estrecha

Seguro de calidad colaboración con la gerencia para garantizar que los miembros de varios
El aseguramiento de la calidad debe incluir niveles aceptables de controles relacionados departamentos y unidades de negocios entiendan, acepten y tengan los recursos
con la seguridad. Comprender el proceso de control de calidad y asegurarse de que necesarios para implementar su parte del programa de seguridad de la información.
incluya pruebas de aspectos relacionados con la seguridad es una consideración
importante para la seguridad de la información. El gerente de seguridad de la información Una estrategia para incorporar las ideas y el apoyo de la dirección de la
debe mantener una relación con el departamento de control de calidad para garantizar organización puede incluir la formación de un comité directivo de seguridad
que el riesgo se aborde como una parte estándar del proceso. de la información o un consejo ejecutivo de seguridad, como se analiza en el
capítulo 1. Estos comités también pueden servir para coordinar actividades entre
Seguro grupos involucrados en otros aspectos de la gestión de riesgos. y funciones de
La mayoría de las organizaciones mantienen varias pólizas de seguro, como la aseguramiento, ayudando así a lograr la integración del proceso de aseguramiento.
cobertura de interrupción del negocio, que tiene relevancia para las actividades de Los miembros de estos comités se seleccionan por su capacidad para respaldar
seguridad de la información en cuanto a la respuesta a incidentes, la continuidad del el programa de seguridad de la información y representar los intereses de la
negocio y la recuperación ante desastres. Corresponde al gerente de seguridad de la organización. Ayudarán a garantizar que se identifiquen los requisitos de seguridad
información comprender los tipos y el alcance de los seguros que tiene la organización de la información y que se logre el apoyo de toda la organización. Por lo general,
para incluirlos en la gestión de riesgos y la planificación de la recuperación. el comité directivo será el propietario de la estrategia de seguridad de la información y,
por lo general, se designa como el grupo facultado para aprobar cambios en la política
o los estándares.
Gestión de terceros
La gestión de terceros incluye funciones y servicios subcontratados. Algunos
servicios pueden estar bajo el control directo de la seguridad de la información, Una parte importante del desarrollo del programa es la revisión, modificación
como el monitoreo de IDS subcontratado, pero es probable que la mayoría estén y/o creación de políticas requeridas para establecer un marco para el desarrollo de
administrados por otros departamentos. Corresponde al gerente de seguridad de la estándares organizacionales con respecto a la seguridad. Los documentos que
información comprender qué funciones o servicios brindan las partes externas y reflejan las decisiones establecidas por la estrategia de seguridad deben establecerse
comprender el riesgo asociado. Administrar el riesgo a niveles aceptables puede claramente en forma de mandatos de política. Los documentos de política identifican
representar un desafío y puede requerir una variedad de controles preventivos, de la intención y dirección de la gerencia y forman la base para los estándares
detección y compensatorios. organizacionales que

Cumplir con los objetivos regulatorios y de gestión para la confidencialidad, equipos de telecomunicaciones. Por esta razón, la mayoría de los gerentes y
integridad y disponibilidad de los datos. ejecutivos tendrán algún aspecto de implementación de seguridad dentro del
alcance de sus responsabilidades.
Luego, se requiere concienciación para educar a aquellos afectados por la política
de seguridad sobre sus roles y responsabilidades. Todas las áreas comerciales Aquellos con responsabilidad de monitoreo deben establecer procesos que
responsables de mantener los procesos de conformidad con la política de seguridad creen y mantengan alertas, registros y métricas sobre la configuración y actividad
deben realizar actividades de concientización. de seguridad del sistema. El gerente de seguridad de la información suele ser el
Estas no siempre tienen que ser clases de capacitación formales, pero deben encajar punto de escalamiento de los problemas de seguridad identificados por los procesos
con la cultura de la organización y el método de comunicación preferido por la de monitoreo, así como el contacto principal para los incidentes que pueden requerir
gerencia. Dependiendo de la organización, los ejecutivos pueden cumplir con sus investigación. El monitoreo de la seguridad debe implementarse de manera que
responsabilidades de concientización con una variedad de alternativas, incluidos asegure la separación de funciones. Esto es importante porque para que sean
videos, memorandos, recordatorios por correo electrónico, carteles, seminarios y efectivas, las funciones regulatorias como la seguridad, la auditoría y el control de
clases formales de capacitación en seguridad. calidad no pueden estar bajo el control de quienes están siendo monitoreados. Esto
Lo más probable es que una variedad de enfoques paralelos sean efectivos. también es cierto para el cumplimiento y la aplicación.
Las consideraciones para la implementación de medidas de seguridad rara Finalmente, el cumplimiento incluirá cualquier actividad que rastree problemas de
vez se limitan a unos pocos proyectos de arquitectura de seguridad central o seguridad y ayude a garantizar que los recursos faciliten la resolución de
iniciativas importantes que el gerente de seguridad de la información administra problemas de seguridad. Los ejecutivos responsables del cumplimiento de la
personalmente. Las responsabilidades de implementación de seguridad pueden seguridad deben establecer programas que rastreen las tendencias en las métricas
variar desde proteger una computadora portátil personal contra robo hasta configurar e investiguen las anomalías y las infracciones de seguridad conocidas. A
Figura 3.13—Roles y responsabilidades de seguridad de la información
Role Responsabilidad del proceso de seguridad de la información asociada Ejemplo de indicador clave de rendimiento
Dirección ejecutiva Supervisión y alineación de la estrategia de seguridad Se asigna la responsabilidad organizativa de ejecutar todos los elementos
del programa de seguridad.
Gestión de riesgos Evaluación de riesgos de TI Se mantiene y actualiza periódicamente una lista priorizada de riesgos de TI
empresariales que deben abordarse.
Gestión de Aprobación de requisitos de seguridad y pruebas de aceptación Se aprueban formalmente las características de seguridad que se
departamentos incorporarán a la aplicación.
Autorización de acceso Los individuos o grupos para tener acceso a los datos están formalmente
aprobados.
Asesor legal de la abogado de proteccion de informacion Las políticas de protección de la información son consistentes con las leyes y
dirección ejecutiva reglamentos aplicables, están formalmente aprobadas y los afectados las conocen.
gestión de Monitoreo de seguridad Los incidentes de seguridad se identifican antes de que causen daños.
operaciones de TI
Respuesta al incidente Las respuestas apropiadas a los incidentes de seguridad están integradas en los
procedimientos operativos.
Gestión de crisis Los procedimientos de recuperación se prueban periódicamente y con éxito.
Inventario del sitio Todos los dispositivos informáticos comprados se contabilizan y se

correlacionan con un propósito comercial.
Gerente de Calidad Participación en revisión de seguridad Los sistemas que cumplen con la política de seguridad están configurados.
Los requisitos comerciales de confidencialidad, integridad y disponibilidad

Captura de requisitos de seguridad
están documentados.
Se establecen planes de implementación técnica para cumplir con los

Diseño de seguridad de aplicaciones
requisitos de seguridad de los procesos comerciales.
Se establecen planes seguros de archivo, recuperación y compilación

Cambio de control
de código fuente mantenido por la organización y personalizaciones
de productos.
Gestión de actualizaciones de seguridad Garantizar las pruebas y la aplicación de correcciones de software de seguridad.
Adquisitivo Captura de requisitos de seguridad Requisitos formales de seguridad en todas las solicitudes de
Se establecen propuestas e información de productos.
Se establecen los requisitos comerciales de confidencialidad, integridad y

Requisitos del contrato
disponibilidad en los contratos de proveedores de servicios de información y
mantenimiento de tecnología.
Manual de revisión CISM 2013 ISACA. Reservados 171

todos los derechos.
Un sólido programa de cumplimiento garantizará aún más que las conclusiones de La restricción es la situación dentro de la cual opera un revisor que puede afectar
estas investigaciones se informen a otros miembros de la dirección ejecutiva de tal aspectos de la realización de la revisión. Puede o no obstaculizar su capacidad para
manera que se comprenda bien el riesgo. Estos informes deben, si es posible, ir revisar todo el alcance y completar el objetivo de la revisión. En el ejemplo, una
acompañados de recomendaciones de cambios necesarios para lograr niveles de restricción puede ser la prohibición de acceder a la aplicación durante el horario
cumplimiento satisfactorios. comercial.
El gerente de seguridad de la información a menudo será una PYME dentro de este Un gerente de seguridad de la información debe evaluar su capacidad para cumplir
proceso o puede liderar el programa. con el objetivo de la revisión en el contexto de las restricciones.
El enfoque es un conjunto de actividades que cubren el alcance de una manera que
3.14.3 Respuesta a INCIDENCIA cumple con el objetivo de la revisión, dadas las limitaciones. Por lo general, existen
conjuntos alternativos de actividades que pueden cubrir el alcance y el objetivo. La
La respuesta a incidentes suele ser un requisito operativo para el departamento de
idea es identificar el conjunto que se ve obstaculizado por la menor cantidad de
seguridad de la información. La capacidad de respuesta a incidentes discutida en el
restricciones. En el ejemplo anterior, una restricción podría ser que el administrador
capítulo 4 proporciona primeros respondedores a los incidentes de seguridad inevitables
de seguridad de la información no tuviera las credenciales necesarias para crear una
experimentados en prácticamente todas las organizaciones. El objetivo es identificar y
sesión web como usuario autorizado de la aplicación en revisión. Recuerde que el
contener rápidamente los incidentes para evitar interrupciones significativas en las
objetivo requiere que el revisor proporcione una determinación sobre si el acceso a
actividades comerciales; restaurar los servicios afectados y determinar las causas raíz
Internet de la aplicación puede explotarse para obtener acceso a los sistemas internos.
para que se puedan implementar mejoras para evitar la recurrencia.
Para cumplir con este objetivo, la revisión debe tener "acceso a Internet de la aplicación"
como parte del alcance. Un gerente de seguridad de la información, en esta situación,
debe identificar la falta de autorización para el acceso a la aplicación como una restricción
3.14.4 REVISIONES Y AUDITORÍAS DE SEGURIDAD
y encontrar alguna otra forma de lograr el mismo objetivo.
Durante el desarrollo y la gestión de un programa de seguridad de la información,
es esencial que el gerente tenga un enfoque estandarizado consistente para Un enfoque podría ser configurar el sistema en un entorno de prueba donde la
evaluar y evaluar el estado de varios aspectos del programa. El uso de un enfoque autorización de acceso no sea un problema.
coherente proporcionará información de tendencias a lo largo del tiempo y puede
servir como métrica para mejorar varios aspectos del programa de seguridad de la El resultado es una evaluación de si se cumplió el objetivo de la revisión.
información. Esto se puede lograr mediante un proceso de revisión de seguridad similar Es una respuesta a la pregunta: "¿Es esto seguro?" Si no es posible responder la
a una auditoría. Al igual que con los enfoques estándar de auditoría, las revisiones de pregunta con algún nivel de seguridad, la revisión debe declararse incompleta. Esto
seguridad tendrán: ocurriría en el caso anterior si no se lograra el acceso a la aplicación requerido para
cubrir el alcance.
• Un objetivo
• Un alcance
• Restricciones La figura 3.14 muestra algunos tipos comunes de revisiones y los resultados de
• Un acercamiento cada objetivo, alcance, restricción y enfoque.
• Un resultado
En el curso de la realización de revisiones de seguridad, un gerente de seguridad

Un objetivo de revisión es una declaración de lo que se determinará en el curso de de la información puede recopilar datos no solo sobre políticas y procesos en
una revisión. Por ejemplo, el objetivo de una revisión puede ser determinar si una varios niveles de la organización, sino también datos sobre debilidades de control
aplicación de banca por Internet puede explotarse para obtener acceso a los sistemas específicas que pueden poner en riesgo la información. Estos datos se pueden utilizar
internos. para ayudar a priorizar los esfuerzos de desarrollo del programa.
El objetivo define lo que el gerente de seguridad de la información quiere obtener de la Auditorias

revisión. Por lo general, es para determinar si un entorno de sistemas determinado Al igual que las revisiones de seguridad, las auditorías tienen objetivos, alcance,
cumple o no algún estándar de seguridad. En el ejemplo anterior, el objetivo de la revisión restricciones, enfoque y resultados. La práctica profesional de la auditoría de sistemas
es el de un estudio de penetración externo típico, es decir, asegurarse de que los de información se basa en un enfoque en el que los auditores identifican, evalúan,
usuarios de los servicios web no puedan explotar las vulnerabilidades del sistema para prueban y valoran la eficacia de los controles.
obtener acceso a los sistemas que alojan esos servicios. La eficacia se juzga sobre la base de si los controles cumplen con un conjunto
determinado de objetivos de control, como el cumplimiento de políticas y normas. Al
realizar una auditoría, un equipo de auditoría reúne la documentación 1) que asigna
El alcance se refiere al mapeo del objetivo al aspecto que se va a revisar. Por lo los controles a los objetivos de control, 2) establece lo que hicieron para probar esos
tanto, el objetivo de la revisión dicta el alcance. controles y 3) vincula los resultados de esas pruebas con su evaluación final. Esta
Por ejemplo, el objetivo de revisión en el ejemplo anterior dicta que el alcance documentación, denominada “papeles de trabajo”, puede o no ser entregada con el
incluye los puntos de acceso a Internet de la aplicación y toda la tecnología informe final.
subyacente que permite ese acceso. Si el alcance es difícil de describir, el objetivo
de la revisión debe aclararse para garantizar que el resultado de la revisión esté bien
definido y, por lo tanto, sea procesable.

Figura 3.14—Alternativas de revisión de seguridad
Arquitectura de seguridad o
Tipo de revisión Control Autoevaluación Revisión de diseño Comprobación de puntos de seguridad
Objetivo Establecer que los controles Para establecer que un sistema es Para decidir si un valor determinado
implementadas para mantener la seguridad son capaz de proteger los datos, y el proceso esta funcionando
suficiente para hacerlo en el entorno de identificar los parámetros de configuración

sistemas requerido para efectuar la seguridad
Alcance El entorno de sistemas que alberga el Red y sistema operativo Descripción del proceso, parámetros de
datos que se cargan a una organización diagramas de colocación, así como seguridad del sistema del sistema que respalda
para asegurar documentos en los diseño técnico detallado directamente el proceso
mecanismos de seguridad del sistema
Restricción • Desconocidos o falta de experiencia en • Desconocidos o falta de experiencia en Confianza en suposiciones con respecto a las
mecanismos de seguridad en productos de mecanismos de seguridad en productos de interfaces de los sistemas y los sistemas de soporte
terceros terceros (p. ej., fuentes de datos, red, sistema operativo)
• Tiempo • Tiempo
• El posible sesgo de los participantes que

también son responsables del mantenimiento
del sistema
Acercarse • Identificar riesgos, exposiciones y perpetradores Compare los parámetros configurables de • Revisar todos los procedimientos y configuraciones de
potenciales. todos los componentes del sistema con seguridad del sistema.
• Evaluar la capacidad de los controles para • Identificar la comunidad de usuarios esperada.

configuraciones seguras y/o políticas de seguridad conocidas.
proteger, detectar o recuperarse de exploits. • Evaluar si existen los controles previstos.
Resultado Lista de debilidades de control Lista de problemas a abordar, proceso iterativo Sí o no
Cuando un programa de seguridad de la información ha establecido políticas y Auditores

estándares, una auditoría es extremadamente útil para identificar si esas políticas y Las auditorías son una parte esencial de cualquier programa de seguridad y es
estándares se han implementado por completo. fundamental que el gerente de seguridad de la información desarrolle una buena
Sin embargo, cuando se está desarrollando un programa de seguridad de la relación de trabajo con los auditores. Si bien no es inusual que los auditores sean
información, es posible que aún no se hayan establecido esas políticas y estándares. vistos de manera negativa por el personal de TI y seguridad de la información y otros
En esta situación, un gerente de seguridad de la información puede seleccionar un en la organización, los gerentes de seguridad de la información efectivos entienden que
estándar publicado externamente y contratar un equipo de auditoría para determinar las auditorías son un proceso de aseguramiento esencial y un aliado crítico e influyente
hasta qué punto la organización cumple. para lograr un buen gobierno de la seguridad. y cumplimiento. Pueden ser fundamentales
Un marco o estándar externo, como COBIT o ISO/IEC 27001, 27002, en la implementación de estándares de seguridad al proporcionar retroalimentación a la
proporciona una estructura para los objetivos de control que permite que un equipo de alta gerencia a través de hallazgos de auditoría que pueden servir para influir en el "tono
auditoría organice su examen de los controles existentes. Los documentos de trabajo de en la parte superior" y crear un apoyo de alto nivel para las actividades de seguridad.
dicha auditoría a menudo pueden ser más útiles que el informe final. El valor del análisis Involucrar a los auditores en la gestión general de la seguridad puede ser una herramienta
de los controles existentes y su asignación a un conjunto de estándares externos es más poderosa para mejorar la cultura de seguridad de una organización.
útil si el conjunto de estándares externos se parece mucho a los que el gerente de
seguridad de la información pretende implementar como parte del programa de seguridad
de la información.
El programa de seguridad de la información debe integrarse con las actividades de
auditoría interna y/o externa. Algunas auditorías son obligatorias, como las requeridas
Diferentes estándares se enfocan en diferentes aspectos de los controles. para establecer el cumplimiento de alguna norma regulatoria. Otros son voluntarios,
Los siguientes ejemplos comienzan con el alcance más completo, seguido de como cuando un auditor independiente certifica el cumplimiento de un estándar de la
aquellos cuyo alcance se reduce a dominios tecnológicos específicos: industria.
• COBIT enumera los objetivos de control y, para cada objetivo de control, una lista de El gerente de seguridad de la información debe coordinarse con los
prácticas de control. • El Estándar de Buenas Prácticas para la Seguridad de la coordinadores de auditoría de la organización para garantizar que se asignen tiempo y
Información recursos para abordar las actividades de auditoría. Los procedimientos deben establecerse
cataloga las prácticas de gestión de la seguridad de la información y enumera los con anticipación para la programación, la observación de las actividades de los empleados
requisitos correspondientes de recursos y responsabilidades. y el suministro de datos de configuración de los sistemas técnicos.
• ISO/IEC 27001 y 27002 enumera las prácticas de control en el dominio de la seguridad
de TI, seguido de un apéndice que enumera los objetivos de control relacionados con
la seguridad y, para cada objetivo de control, una lista de prácticas de control. En algunos casos, una deficiencia identificada por un auditor puede no ser
aplicable a la organización específica del gerente de seguridad de la información.
Si se identifican inquietudes durante una auditoría, el gerente de seguridad de la
información debe trabajar con los auditores para acordar el riesgo asociado, los
factores mitigantes y la implementación satisfactoria.

todos los derechos.
objetivos de control. Con esta información en la mano, el gerente de seguridad de la arreglos en consecuencia. Los gerentes de seguridad de la información que
información puede diseñar una o más soluciones potenciales que se ajusten al entorno operan a un nivel superior, por ejemplo, como CISO, pueden no requerir habilidades
operativo, financiero y técnico de la organización. Cualquier combinación de controles de técnicas prácticas, pero deben conocer las tecnologías de la información implementadas
mitigación o compensación que hagan cumplir los objetivos de control acordados debería por su organización desde la perspectiva de la arquitectura y el flujo de datos.
satisfacer el problema. Independientemente del nivel operativo, todos los administradores de sistemas de
información deben tener un conocimiento profundo de la arquitectura de seguridad, los
principios de implementación de control y los procesos y mecanismos de seguridad
Los hallazgos de la auditoría brindan una retroalimentación sólida e independiente comúnmente implementados. Esta comprensión debe incluir las fortalezas, limitaciones,
para que el comité directivo y/o la gerencia los utilicen para evaluar la efectividad del oportunidades y riesgos de los controles de seguridad comunes, además de las
programa de seguridad de la información. implicaciones financieras y operativas del despliegue.
3.14.5 GESTIÓN DE TECNOLOGÍA DE SEGURIDAD

El programa de seguridad típico emplea una serie de tecnologías que requieren una
Es importante que los gerentes de seguridad de la información tengan en cuenta
gestión y un funcionamiento eficaces si se quiere lograr una entrega de valor y una
todos los niveles de tecnología al planificar el desarrollo de habilidades, tanto
gestión de recursos óptimas. Si bien una organización más nueva puede utilizar tecnologías
personalmente como para el programa general de seguridad de la información. Si
contemporáneas, las organizaciones más maduras a menudo se ven limitadas por la
bien la seguridad tradicional del perímetro, la red y los sistemas sigue siendo crucial
arquitectura heredada de la organización. Sin embargo, estas restricciones se pueden
para un entorno de seguridad técnica fuerte, se espera cada vez más que los
minimizar porque generalmente hay una amplia gama de alternativas tecnológicas
gerentes de seguridad de la información aborden los problemas de seguridad de las
disponibles para abordar un objetivo de control dado. Las funciones que están disponibles
aplicaciones (p. ej., prácticas de codificación, mecanismos de seguridad de aplicaciones
dentro de un conjunto determinado de dispositivos heredados diferirán según la huella
funcionales, mecanismos de control de acceso a datos), seguridad de bases de datos
técnica de la organización. Sin embargo, a través de décadas de desarrollo de controles
( ej., métodos de control de acceso a datos, integración de aplicaciones, protección de
preventivos, de detección y de recuperación alternativos, por lo general se dispone de
contenido) y, cada vez más, elementos de seguridad física, operativa y ambiental. Los
herramientas y técnicas sólidas para lograr los objetivos de seguridad de la información.
sistemas altamente integrados y estrechamente acoplados, como las implementaciones de
planificación de recursos empresariales (ERP), pueden crear un desafío adicional; todo el
sistema debe considerarse desde una perspectiva de seguridad porque el compromiso de
un elemento puede interrumpir las operaciones de toda la empresa. Es importante que el
Competencias tecnológicas
gerente de seguridad de la información comprenda y planifique el posible "efecto dominó"
Aunque la seguridad de la información abarca dominios técnicos, operativos y
del riesgo en cascada.
administrativos, es probable que una parte significativa de la implementación real
del programa de seguridad de la información sea técnica. El gerente de seguridad
de la información y el personal del departamento de seguridad a menudo se
consideran la fuente principal de experiencia técnica en el tema de seguridad dentro de
una organización. 3.14.6 DEBIDA DILIGENCIA
Es importante que el gerente de seguridad de la información trabaje con el comité La diligencia debida es esencialmente un término relacionado con la noción de
directivo de seguridad, la alta gerencia y otras partes interesadas en la seguridad "estándar de diligencia debida". Es la idea de que hay pasos que debe tomar una
para establecer el alcance y el enfoque de la entrega de habilidades técnicas en el que persona razonable de competencia similar en circunstancias similares. En el caso de
se espera que participen el gerente de seguridad de la información y la organización un gerente de seguridad de la información, esto significa garantizar que se implementen
de seguridad. los componentes básicos de un programa de seguridad razonable. Algunos de estos

componentes pueden incluir:
Las organizaciones difieren en cuanto al alcance técnico del departamento de

seguridad de la información. En un extremo del espectro se encuentra el enfoque en • Apoyo de la alta dirección
el que el programa de seguridad de la información opera a nivel corporativo y • Políticas, estándares y procedimientos integrales
principalmente establece estándares de seguridad de alto nivel. Otro enfoque común • Educación, capacitación y concientización sobre seguridad adecuada en
es utilizar al personal de seguridad de la información como PYMES técnicas, toda la organización
brindando servicios de consultoría a los administradores de sistemas y otros • Evaluaciones periódicas de riesgos
tecnólogos de la información que, a su vez, implementan controles técnicos y • Procesos efectivos de copia de seguridad y recuperación
sistemas de seguridad. En el otro extremo del espectro están las organizaciones en las que • Implementación de controles de seguridad adecuados
el grupo de seguridad de la información se hace cargo de piezas específicas de • Monitoreo efectivo y métricas del programa de seguridad
infraestructura, como sistemas de control de acceso, sistemas de detección y monitoreo de • Esfuerzos efectivos de cumplimiento
intrusos, y herramientas de automatización de evaluación de vulnerabilidad y cumplimiento. • Planes probados de continuidad del negocio y recuperación ante desastres
También es importante tener en cuenta que los terceros que utiliza la organización y en los
que confía pueden presentar un riesgo para los recursos de información. También debe
Para el gerente de seguridad de la información individual, las habilidades tecnológicas llevarse a cabo la diligencia debida con respecto a la colocación del lenguaje de seguridad
que se necesitan varían según su rol operativo, la estructura organizacional y el alcance apropiado en los contratos y acuerdos con terceros, así como el desempeño posterior de
técnico. Los gerentes de seguridad de la información más técnicamente enfocados, por terceros en relación con los requisitos de seguridad. La información de una organización
ejemplo, aquellos en roles de administración de sistemas, obviamente necesitarán un debe estar protegida según lo especificado por sus políticas, independientemente de su
conocimiento técnico más profundo y deben hacer capacitación y educación. ubicación.

Las revisiones periódicas de la infraestructura, preferiblemente por parte 3.14.7 SEGUIMIENTO DEL CUMPLIMIENTO Y
de un tercero independiente con conocimientos, también pueden ser un requisito
APLICACIÓN
razonable. La infraestructura es un componente crítico en el que se basa la
Los procesos de aplicación del cumplimiento deben tenerse en cuenta durante el
organización para cumplir sus objetivos comerciales. El riesgo debe identificarse y abordarse
desarrollo del programa para garantizar la eficacia y la capacidad de gestión posteriores
razonablemente.
una vez que se implemente el programa. La aplicación del cumplimiento se refiere a
cualquier actividad dentro del programa de seguridad de la información que está
Administrar y controlar el acceso a los recursos
diseñada para garantizar el cumplimiento de las políticas, normas y procedimientos de
de información
seguridad de la organización.
El gerente de seguridad de la información debe conocer los diversos estándares para
administrar y controlar el acceso a los recursos de información. También se debe
El cumplimiento, especialmente con los controles de procedimiento, puede representar
considerar que, según el sector industrial de la organización, los organismos reguladores
uno de los principales desafíos para administrar un programa de seguridad y debe
específicos pueden tener estándares definidos que deben abordarse.
prestarse especial atención al diseñar controles durante el desarrollo del programa. La
facilidad de monitoreo y aplicación a menudo serán los factores más importantes en la
selección del control. Los procesos de control complejos que no se pueden hacer cumplir
Cada vez más, la gestión de la seguridad de la información se define por la necesidad
fácilmente, o que son difíciles de monitorear para el cumplimiento, generalmente son de
de satisfacer los requisitos reglamentarios. Si bien estos requisitos reglamentarios
poco valor y pueden representar un riesgo considerable en sí mismos.
establecen medidas de protección específicas que deben implementarse, no son
integrales en su enfoque.
Diversos organismos de normalización y organizaciones sin fines de lucro cuyos miembros
Los procedimientos de aplicación deben estar diseñados para asumir que las
están involucrados en la gobernanza, el aseguramiento o la protección de la información
actividades de control están en marcha en apoyo de los objetivos de control.
proporcionan una guía definida de manera más amplia para el desarrollo y la administración
Estos procedimientos son una capa adicional de control que verifica que los
de programas de seguridad de la información.
procedimientos establecidos por la gerencia se sigan realmente.
La siguiente lista, aunque no pretende ser completa, identifica algunas de las
Por ejemplo, en un procedimiento de restablecimiento de contraseña, un
organizaciones más reconocidas que brindan materiales de referencia de interés para
procedimiento de cumplimiento puede consistir en que un supervisor escuche
los gerentes de seguridad de la información:
llamadas de la mesa de ayuda seleccionadas al azar y enumere a cualquier
• Instituto Americano de Contadores Públicos Certificados (AICPA)
miembro del personal de la mesa de ayuda que no pida a un usuario un código de
• Instituto Canadiense de Contadores Públicos (CICA)
identificación de seguridad antes de restablecer las contraseñas. El procedimiento de
• El Comité de Organizaciones Patrocinadoras del Treadway
cumplimiento sería utilizar la lista para advertir primero y, luego, disciplinar al personal de
Comisión (COSO)
la mesa de ayuda que no siguió el procedimiento de restablecimiento de contraseña.
• Oficina Federal Alemana para la Seguridad de la Información (BSI)
• Organización Internacional de Normalización (ISO)
Cumplimiento de la política
• ISACA
Las políticas forman la base de toda responsabilidad con respecto a las responsabilidades
• Instituto de Gobernanza de TI
de seguridad en toda la organización. Las políticas deben ser lo suficientemente completas
• Asociación Nacional de Protección contra Incendios (NFPA)
para cubrir todas las situaciones en las que se maneja la información, pero lo suficientemente
• Organización para la cooperación económica y el desarrollo
flexibles para permitir que diferentes procesos y procedimientos evolucionen para diferentes
(OCDE)
tecnologías y aún así cumplir. Excepto en organizaciones muy pequeñas, un gerente de
• Comisión Federal Reguladora de Energía de EE. UU. (FERC)
seguridad de la información no tendrá control directo sobre las actividades SDLC de todos
• Consejo Federal de Examen de Instituciones Financieras de EE. UU. (FFIEC)
los sistemas de información de la organización. En consecuencia, es necesario designar
• Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST)
roles de seguridad formales que establezcan qué jefe de departamento es responsable de
• Oficina del Contralor de la Moneda de EE. UU. (OCC)
implementar procesos que mantengan el cumplimiento de la política de seguridad y cumplan
con los estándares apropiados para un conjunto determinado de sistemas de información.
Fuentes de informes de vulnerabilidad Hoy en
día, las amenazas a los sistemas de información son globales. Los requisitos para un
rápido tiempo de comercialización y otros problemas han resultado en una variedad de
vulnerabilidades tanto en el hardware como en el software. Estas vulnerabilidades son
Es responsabilidad del gerente de seguridad de la información asegurar que, en el
constantemente descubiertas e informadas por una variedad de organizaciones. Es una
proceso de asignación, no existan sistemas “huérfanos” o sistemas sin dueños de
parte importante de cualquier programa de seguridad eficaz mantener un control diario
cumplimiento de políticas. También es responsabilidad del gerente de seguridad de
de las entidades relevantes que publican esta información, que incluye CERT, la base de
la información brindar supervisión y garantizar que los procesos de cumplimiento de
datos de vulnerabilidades y exposiciones comunes de MITRE, la lista de correo BUGTRAQ
políticas estén diseñados adecuadamente. Un gerente de seguridad de la información
de Security Focus, SANS Institute, OEMS y numerosos proveedores de software. Tener la
puede lograr esta supervisión a través de una combinación de revisión de seguridad,
información de vulnerabilidades más actualizada posible hace posible que el gerente de
recopilación de métricas y procesos de informes.
seguridad de la información responda rápidamente con las medidas de mitigación,
compensación o eliminación adecuadas para abordar las fallas del software y del sistema
descubiertas recientemente.
La literatura sobre gestión de la seguridad de la información a menudo se refiere a un
proceso de excepción de políticas. Este es un método mediante el cual las unidades o
departamentos comerciales pueden revisar la política y decidir no seguirla en función de
varios factores. Pueden existir varias justificaciones para las excepciones de política.
Puede basarse en una decisión de riesgo/beneficio donde el beneficio de no seguir la
política justifica el riesgo. Puede ser financiera o técnicamente inviable cumplir con
requisitos específicos.

políticas o normas. Tales compensaciones deben considerarse en el proceso de desarrollo Las responsabilidades de aplicación del cumplimiento generalmente se comparten
de políticas cuando sea posible para minimizar la necesidad de excepciones posteriores. entre las unidades organizacionales, y los resultados se comparten comúnmente con
Como parte del desarrollo del programa, se debe implementar un proceso de exención la gerencia ejecutiva y los comités de auditoría o cumplimiento de la junta. Los
formal para administrar el ciclo de vida de estas excepciones para garantizar que se revisen departamentos legal y de auditoría interna a menudo tienen la responsabilidad de evaluar las
periódicamente y, cuando sea posible, se cierren. estrategias y operaciones comerciales, respectivamente. La unidad de seguridad de la
información suele ser responsable de implementar una evaluación independiente de los
estándares técnicos, preferiblemente utilizando herramientas automatizadas. En organizaciones
Cumplimiento de estándares más grandes e industrias fuertemente reguladas, se puede establecer una organización de
Los estándares proporcionan los límites de opciones para sistemas, procesos y acciones que cumplimiento independiente para manejar y coordinar estas actividades.
aún cumplirán con la política. Los estándares deben diseñarse para garantizar que todos los
sistemas del mismo tipo dentro del mismo dominio de seguridad se configuren y operen de la
misma manera en función de la criticidad y la sensibilidad de los recursos. Estos permitirán
que se desarrollen procedimientos de administración de la plataforma utilizando documentos El programa de seguridad de la información en sí también es un objetivo de la
estándar como referencia para garantizar que se mantenga el cumplimiento de la política. Los evaluación y el desempeño del cumplimiento. El gerente de seguridad de la información debe
estándares también proporcionan economía de escala; el mapeo de la configuración a la estar preparado para trabajar de cerca con el personal de cumplimiento y/o auditoría interna
política debe realizarse solo una vez para cada dominio de seguridad, y los esfuerzos de para demostrar el cumplimiento del programa de seguridad de la información con los estándares
tecnología e ingeniería de procesos se reutilizan para sistemas del mismo tipo. y regulaciones pertinentes. Al igual que con una auditoría formal, los problemas identificados
deben definirse en términos de riesgo, factores mitigantes y objetivos de control aceptables.
Dependiendo de la magnitud del problema, el gerente de seguridad de la información puede
abordar la inquietud de forma independiente o puede colaborar con la gerencia ejecutiva y/o el
En la medida de lo posible, el cumplimiento de los estándares debe automatizarse comité directivo de seguridad para lograr una solución.
para garantizar que las configuraciones del sistema no se desvíen del cumplimiento de
la política, ya sea por actividad intencional o no. Sin embargo, dado que la política debe
establecer solo la intención, la dirección y las expectativas de la administración para
permitir la flexibilidad para que se desarrollen diferentes estándares y brindar muchas 3.14.8 EVALUACIÓN DE RIESGO E IMPACTO
opciones para cumplir con la política, las excepciones a los estándares siempre deben
Una responsabilidad operativa principal del gerente de seguridad de la información y el
revisarse para ver si se desvían de la intención de la política. También puede ser que una
propósito fundamental del programa es administrar el riesgo a niveles aceptables. El objetivo
situación comercial justifique una desviación de los estándares existentes pero, sin
es minimizar las interrupciones en las actividades de la organización en equilibrio con un
embargo, se puede determinar que se encuentra dentro de la intención de la política.
costo aceptable. Se requiere una serie de tareas en curso para lograr este objetivo. Si bien el
tema se cubre en profundidad en el capítulo 2, la siguiente sección resume las actividades en
curso requeridas en un programa típico de seguridad de la información.
Resolución de Problemas de Incumplimiento
Los problemas de incumplimiento generalmente resultan en un riesgo para la organización,
por lo que es importante desarrollar procesos específicos para tratar estos problemas de
manera efectiva y oportuna. Dependiendo de cuán significativo sea el riesgo, se pueden Evaluación de vulnerabilidad
tomar varios enfoques para abordarlo. Si un evento de incumplimiento en particular es un
El entorno de los sistemas de información de la organización debe monitorearse
riesgo grave, entonces la resolución debe ocurrir rápidamente. El administrador de seguridad
constantemente para detectar el desarrollo de vulnerabilidades que puedan amenazar la
se beneficia de un método para determinar la criticidad y luego tener un proceso de respuesta
confidencialidad, la integridad o la disponibilidad. Además de buscar vulnerabilidades
basado en el riesgo.
conocidas, este proceso también debería detectar cambios inesperados en los sistemas
técnicos. Este proceso se implementa mejor utilizando herramientas automatizadas, basadas
en la red o basadas en host que entregan informes concisos a la gestión de seguridad de la
Por lo general, se desarrolla un cronograma para documentar cada elemento
información, incluidas alertas inmediatas si se detectan vulnerabilidades graves.
de incumplimiento y se asigna y registra la responsabilidad de abordarlo. El
seguimiento regular es importante para garantizar que el problema de incumplimiento y otras
variaciones se aborden satisfactoriamente de manera oportuna. Los problemas de incumplimiento
Además del escaneo programado regularmente, el gerente de seguridad de la
y otras variaciones se pueden identificar a través de una serie de mecanismos diferentes, que
información debe asegurarse de que los cambios programados en los entornos técnicos
incluyen:
existentes (p. ej., instalación de un nuevo servicio, reubicación de hosts, actualizaciones de
firewall) no creen inadvertidamente vulnerabilidades arquitectónicas. Los errores humanos y los
• Monitoreo normal
comportamientos inesperados del sistema pueden hacer que cambien las políticas de aplicación
• Informes de auditoría
de los mecanismos de control de seguridad técnica, creando oportunidades para la explotación
• Revisiones de seguridad
y el impacto en los sistemas de información de la organización.
• Análisis de vulnerabilidades
• Trabajo de diligencia debida
Evaluación de amenazas
Aplicación de Cumplimiento
Las amenazas técnicas y de comportamiento para una organización evolucionan como
La aplicación del cumplimiento es un conjunto continuo de actividades que se
resultado de varios factores internos y externos. La implementación de nuevas tecnologías,
esfuerzan por garantizar el cumplimiento de la seguridad de la información y otros
la concesión de un acceso más amplio a la red y las aplicaciones a socios y clientes, y las
estándares. Las auditorías son una instantánea del cumplimiento en el tiempo; la
capacidades cada vez mayores de los atacantes justifican una reevaluación periódica del
aplicación del cumplimiento es un proceso continuo que ayuda a reducir el riesgo, así como
panorama de amenazas que enfrenta una organización. esta actividad es
a garantizar opiniones de auditoría positivas.

particularmente importante para las organizaciones demasiado riesgo a niveles aceptables, el efecto agregado de una serie de tipos de riesgo
pequeñas o con recursos limitados para adoptar un enfoque de aceptable puede no ser aceptable y puede representar una amenaza grave para la
evaluación continua para la gestión de amenazas. organización.
El gerente de seguridad de la información debe realizar este análisis al menos Numerosos estudios muestran que los desastres no suelen ser un evento
una vez al año mediante la evaluación de los cambios en los entornos técnicos y calamitoso único, sino el resultado de una serie de pequeños incidentes y errores
operativos de la organización, en particular cuando se otorga acceso a los que, en conjunto, contribuyen a un evento importante. La lección es que, si bien,
recursos de la organización a entidades externas. individualmente, los tipos de riesgos residuales pueden ser bajos, en conjunto,
Factores internos tales como nuevas unidades de negocios, tecnologías pueden ser desastrosos.
nuevas o mejoradas, cambios en productos y servicios, y cambios en roles y
responsabilidades representan áreas donde las nuevas amenazas A medida que surgen amenazas y vulnerabilidades, el gerente de seguridad de
puede surgir. la información debe tomar medidas para analizar y comunicar el impacto en la
postura de riesgo de la organización. Este proceso es fundamental para garantizar
A medida que se identifican y priorizan nuevas amenazas en términos de impacto, que las partes interesadas en la seguridad sean conscientes del impacto comercial
el gerente de seguridad de la información debe evaluar la capacidad de los potencial y puedan tomar medidas para mitigar el riesgo en consecuencia. Todo este
controles existentes para mitigar el riesgo asociado con las nuevas amenazas. En proceso debe completarse anualmente, o el gerente de seguridad de la información
algunos casos, es posible que sea necesario modificar la arquitectura de seguridad puede optar por adoptar un enfoque incremental, analizando partes de la empresa
técnica, implementar una contramedida específica para la amenaza o implementar mensual o trimestralmente.
un mecanismo o proceso de compensación hasta que se desarrollen los controles
de mitigación. El gerente de seguridad de la información también debe reconocer que los
valores de los activos y las características de riesgo también pueden cambiar,
Existen numerosas amenazas que pueden afectar los esfuerzos y objetivos lo que requiere un nuevo análisis de la postura de riesgo. Por ejemplo, una
de desarrollo del programa de seguridad. Se debe evaluar la gama de posibles empresa puede crecer cada vez más dependiendo de los ingresos de una
amenazas para determinar si son viables, la probabilidad de que se materialicen, aplicación que inicialmente no se consideró crítica para la empresa. El valor de los
su magnitud potencial y el impacto potencial en los sistemas u operaciones, en el activos puede aumentar o disminuir con el tiempo en términos de valor monetario
personal o en las instalaciones. real o valor estratégico para la organización. Además, el riesgo asociado con un
activo puede crecer. Una pequeña base de datos puede contener inicialmente solo
Evaluación de riesgos e impacto comercial unas pocas docenas de registros de información personal; la misma base de datos
La evaluación de riesgos es un proceso utilizado para identificar y evaluar el cinco años más tarde podría contener 10.000, lo que representa un impacto mucho
riesgo y su impacto potencial en una organización en términos cuantitativos o mayor si se ve comprometida.
cualitativos. Un análisis de impacto comercial (BIA) es un ejercicio que determina el
impacto de perder la disponibilidad de cualquier recurso para una organización, Los resultados periódicos de la evaluación de riesgos deben proporcionarse
establece la escalada de esa pérdida a lo largo del tiempo, identifica los recursos al comité directivo y/oa la alta dirección para que los utilicen en la orientación de
mínimos necesarios para recuperar y prioriza la recuperación de procesos y soporte. las prioridades y actividades de seguridad de la información. El gerente de seguridad
sistemas de la información debe administrar este proceso y guiar al comité a través de la
Si bien a menudo se piensa en un BIA en el contexto de la continuidad del toma de decisiones apropiadas con base en los resultados del análisis de riesgos.
negocio y la recuperación ante desastres, no es importante si el impacto Más detalles sobre la evaluación de riesgos se encuentran en el capítulo 2, sección
potencial está determinado por este proceso u otro proceso. 2.10 Evaluación de riesgos.
El impacto es el resultado final del riesgo y se debe determinar el rango de gravedad

en términos de la organización para proporcionar la información necesaria y guiar las Evaluación de la dependencia de los recursos Si
actividades de gestión de riesgos. Obviamente, incluso el alto riesgo con poco o los recursos u otras restricciones no permiten realizar evaluaciones integrales del
ningún impacto no es motivo de preocupación. impacto empresarial, una evaluación de la dependencia empresarial puede ser una
alternativa menos costosa para proporcionar la base para asignar los recursos
Al desarrollar los KGI necesarios para lograr los objetivos de control, un gerente disponibles en función de la criticidad de la función.
de seguridad de la información debe tomar decisiones sobre el impacto que Una evaluación de dependencia empresarial revisa los recursos que se
tendrá el logro de los objetivos de control en la confidencialidad, integridad y utilizan para realizar negocios, es decir, servidores, bases de datos, etc.
disponibilidad de los recursos de información. Sin embargo, incluso si se ha Según la criticidad de la función comercial, se identifican los activos y recursos
desarrollado un proceso de gestión de riesgos como se describe en el capítulo 2, necesarios para esa función, lo que proporciona una base para priorizar los
mapear los beneficios de control y el impacto en los objetivos comerciales clave esfuerzos de protección. En otras palabras, una evaluación de la dependencia
para la seguridad no es necesariamente un proceso sencillo. La relación entre el empresarial se basa en la determinación de las diversas aplicaciones y la
desarrollo y la implementación de controles de seguridad para lograr los objetivos infraestructura que utiliza una empresa para las operaciones diarias. Si bien también
de la organización generalmente requerirá un caso comercial bien desarrollado debe identificar las interdependencias y otros recursos necesarios para realizar las
(consulte la sección 3.13.6) para lograr el nivel de aceptación necesario para lograr funciones requeridas, no captura el impacto financiero y operativo de las posibles
interrupciones y no reemplaza a un BIA.
éxito.
El caso comercial debe abordar el hecho de que, independientemente del nivel de 3.14.9 SUBSOURCING Y PROVEEDORES DE SERVICIOS
control, el riesgo residual siempre permanecerá y debe abordar el hecho de que el
Los dos tipos de subcontratación con los que un gerente de seguridad de
riesgo puede acumularse en niveles que son inaceptables.
la información puede estar obligado a lidiar incluyen proveedores externos
En otras palabras, incluso con controles efectivos que aparentemente gestionan
de servicios de seguridad y servicios de TI o de negocios subcontratados.

procesos que deben integrarse en el programa general de seguridad de la en función del alcance, tipo y riesgo asociado a la iniciativa.
información. La mayoría de los requisitos de seguridad son similares, dependiendo de Algunos problemas comunes a considerar incluyen:
la criticidad y la sensibilidad de los activos y la extensión de los servicios involucrados, • Aislamiento del acceso de terceros a los recursos
pero la propiedad será diferente, es decir, el gerente de seguridad de la información • Integridad y autenticidad de datos y transacciones
normalmente será el propietario del proceso para los servicios de seguridad • Protección contra código o contenido malicioso
subcontratados, mientras que otros servicios subcontratados suelen serlo. • Acuerdos y procedimientos de privacidad/confidencialidad
responsabilidad del propietario del proceso. El riesgo que representan los terceros • Normas de seguridad para los sistemas de transacciones
conectados a la red interna de la organización puede ser sustancial y debe ser • Confidencialidad de transmisión de datos
considerado cuidadosamente. • Gestión de identidad y acceso del tercero
• Procedimientos de escalamiento y contacto de incidentes
La economía es el principal impulsor de la subcontratación. Como resultado, la
participación temprana del gerente de seguridad de la información es esencial Contratos de externalización
para garantizar que quienes toman las decisiones no comprometan indebidamente la El propósito fundamental de los contratos es asegurar que las partes del
seguridad en aras del costo. Se debe considerar una variedad de riesgos como contrato sean conscientes de sus responsabilidades y derechos dentro de la
resultado de la subcontratación. Algunos de los problemas comunes experimentados relación y proporcionar los medios para abordar los desacuerdos una vez que el
incluyen: contrato esté en vigor. Dentro de ese marco, existen ciertas disposiciones para
• Pérdida de habilidades esenciales
la seguridad y protección de la información con las que el gerente de seguridad
• Falta de visibilidad de los procesos de seguridad de la información debe estar familiarizado.
• Nuevo acceso y otros riesgos de control
• Viabilidad del proveedor externo
• Complejidad de la gestión de incidentes La disposición de seguridad más común aborda la confidencialidad o no divulgación.
• Diferencias culturales y éticas Por lo general, cada parte acordará que cualquier información confidencial o delicada
• Costos imprevistos e insuficiencias del servicio que reciba como parte del acuerdo, o sobre la otra parte, se mantendrá confidencial
a través de las medidas apropiadas. Esto también puede incluir el requisito de
La idoneidad de los controles del proveedor debe ser auditada y monitoreada devolver o destruir cualquier información de propiedad exclusiva o confidencial al
durante la vigencia del contrato para asegurar que las medidas de seguridad no finalizar el contrato o después de un período de tiempo específico. El gerente de
queden marginadas con el tiempo como resultado de presiones de costos. seguridad de la información deberá determinar el nivel específico de destrucción que
Esto se puede lograr mediante una auditoría independiente o visitas in situ en las se requerirá (por ejemplo, trituración de documentos, desmagnetización de discos y
instalaciones de terceros para garantizar que se implementen los controles adecuados. cintas, etc.).
También se debe considerar la existencia y el cumplimiento de las leyes de

privacidad para proteger los datos de una empresa. Esto es particularmente cierto ya El contrato también puede estipular que una o ambas partes deben mantener
que las personas de diferentes culturas pueden tratar la información de manera controles de seguridad apropiados para garantizar que los sistemas y la información
diferente (es decir, lo que su empresa considera información confidencial puede no utilizados en virtud del acuerdo estén protegidos por los medios apropiados. El contrato
serlo en otro país). debe definir explícitamente qué se entiende por “apropiado” y los requisitos para
demostrar la eficacia de esas protecciones. Ya sea a través de la producción de un
Si bien los controles técnicos para el componente de TI de los procesos informe de auditoría de terceros actual (por ejemplo, un SAS 70) o el cumplimiento de
subcontratados pueden parecer obvios, los arreglos que se ocupan de los un marco de seguridad estándar de la industria (como ISO/IEC 27001, 27002 o COBIT),
procesos comerciales requieren que se implementen capacitación, concienciación, los estándares por los cuales el programa ser juzgado debe ser definido en el contrato.
controles manuales y monitoreo para garantizar que los empleados en las instalaciones
de terceros estén tratando los procesos y los recursos físicos y físicos. datos electrónicos
a estándares aceptables. Además, si el producto o servicio contratado incluye conectividad de red entre el
comprador y el vendedor, el contrato debe abordar la responsabilidad por la seguridad de
Los proveedores de seguridad de terceros son una estrategia viable que el esa conexión.
gerente de seguridad de la información puede utilizar para ayudar en el diseño y También deben abordarse las especificaciones sobre el nivel de seguridad esperado
operación del programa de seguridad de la información de la organización o para (p. ej., firewalls, detección/prevención de intrusiones, monitoreo, etc.) o los requisitos
proporcionar otros servicios de TI. Una de las principales preocupaciones en materia de técnicos específicos.
seguridad es hasta qué punto el proveedor externo puede y cumplirá las políticas y
estándares de seguridad de la organización de forma continua y verificable. Dado que Un contrato con un proveedor de servicios que se ha determinado (a través de
un estudio de 2006 realizado por PGP-Vontu muestra que alrededor de una quinta parte una evaluación de riesgos) que está más allá de un umbral de riesgo predeterminado
de todas las infracciones de seguridad son causadas por proveedores de servicios siempre debe contener una disposición de derecho a auditoría. Por lo general, esto
externos, este es un tema crítico a considerar. sería para cualquier tercero que acceda, almacene o procese cualquier información
confidencial o crítica para el negocio, que brinde servicios de misión crítica o que se
La madurez del programa de seguridad de un proveedor y su garantía de cumplimiento conecte a la infraestructura de red de la organización contratante. La cláusula del derecho
con las políticas de seguridad de la organización contratante deben ocupar un lugar a la auditoría debe otorgar al cliente, previa notificación adecuada, el derecho a realizar
destacado en la lista de factores de decisión al seleccionar un proveedor. Este proceso una auditoría exhaustiva del programa y los procesos de seguridad del tercero para
de propuesta y evaluación se usa a menudo cuando se evalúa si usar la división verificar la eficacia de todos los controles asociados. Si esta disposición está incluida en
autónoma o subsidiaria de una organización para ciertos servicios de seguridad. el contrato, los parámetros para una auditoría, tales como criterios de cumplimiento,
notificación,
Los temas que requieren atención son amplios y deben ser enumerados

las limitaciones de alcance, la frecuencia y la responsabilidad por los costos incurridos El administrador de seguridad debe registrar y revisar el uso del acceso en forma regular.
deben ser explícitos. La frecuencia de revisión debe decidirse en función de factores tales como:
En el caso de que ocurra una violación de seguridad en cualquiera de las partes, • Criticidad de la información a la que se otorgan derechos de acceso
el contrato debe especificar los roles que desempeñará cada parte en el proceso • Criticidad de los privilegios otorgados
de investigación y remediación. Deben abordarse cuestiones tales como qué parte • Duración del contrato
dirigirá la investigación, los procedimientos de notificación y las responsabilidades

(incluidas las notificaciones reglamentarias o de aplicación de la ley) y el momento. Las anomalías detectadas deben informarse de inmediato al propietario del activo y
Durante un incidente activo, la presión es alta, los ánimos pueden alterarse y la justicia escalarse cuando sea necesario. Los derechos de acceso otorgados a terceros deben
y la equidad son mucho más difíciles de lograr, por lo que abordar estos problemas en eliminarse inmediatamente después de la expiración del contrato.
el contrato es más fácil y se puede hacer de manera mucho más equitativa.
Finalmente, el contrato debe contener cláusulas de indemnización que aseguren la El acceso a la red ya la información no debe otorgarse a un tercero hasta que se haya
compensación por los impactos causados por el proveedor del servicio. firmado el contrato. El contrato debe definir los términos para el acceso, los requisitos
de control y hacer concesiones para garantizar que las salvaguardas apropiadas estén
El contrato entre las partes es un elemento clave para establecer un nivel adecuado de en su lugar y permanezcan durante la duración del contrato.
control de las instalaciones de procesamiento de información (IPF) de la organización.
Dependiendo de los procesos comerciales y las necesidades operativas de la
organización que requiera los servicios de un proveedor externo externo, es posible que
3.14.10 COMPUTACIÓN EN LA NUBE
los contratos deban abordar una serie de cuestiones de seguridad complejas. Los puntos
La computación en la nube es la evolución de un concepto que se remonta a la década
que deben cubrirse en el contrato (desde la perspectiva del gerente de seguridad de la
de 1960, cuando se sugirió por primera vez la noción de “utility computing”.
información) pueden incluir, entre otros:
La idea se basó en la noción de un proveedor de servicios públicos o telefónicos. Las
décadas intermedias han proporcionado la base tecnológica para hacer que el
• Especificación detallada del servicio subcontratado
concepto sea práctico a través de un mayor ancho de banda y una disponibilidad casi
• Requisitos de seguridad específicos
universal de Internet.
• Restricciones sobre la copia de información y la protección de activos
• Prohibir el acceso sin autorización explícita y mantener una lista de
Si bien las ofertas actuales varían considerablemente en alcance y capacidades, existe
personas que tienen acceso
un consenso cada vez mayor sobre la definición. El Instituto Nacional de Ciencia y
• Derecho a auditar y/o inspeccionar
Tecnología de EE. UU. (NIST, por sus siglas en inglés) define la computación en la
• Cláusulas de indemnización para mitigar los impactos causados por el
nube como “un modelo que permite un acceso de red conveniente y bajo demanda a un
proveedor del servicio
conjunto compartido de recursos informáticos configurables (por ejemplo, redes,
• Requisitos para la respuesta a incidentes y BCP
servidores, almacenamiento, aplicaciones y servicios) que se puede aprovisionar y liberar
• Nivel de calidad del servicio
rápidamente con un mínimo esfuerzo de gestión o interacción con el proveedor de
• Integridad y confidencialidad de los activos comerciales
servicios”.
• Acuerdos de no divulgación a ser firmados por los empleados/agentes de terceros
La característica definitoria de la computación en la nube es que el procesamiento y

• Protección de la propiedad intelectual
los datos están en algún lugar de "la nube" en lugar de estar en una ubicación
• Propiedad de la información
conocida específica. La computación en la nube se puede proporcionar como
• Requisito de que los requisitos legales y reglamentarios aplicables
alojamiento público para varias entidades no relacionadas o como alojamiento
se cumplan
privado, en el caso de grandes organizaciones que deseen un mayor control sobre el
• Asegurar la devolución y/o destrucción de información/activos al final del
medio ambiente. El tema se cubre extensamente en el libro blanco de ISACA “Cloud
contrato
Computing: Business Benefits With Security, Governance and Assurance Perspectives”
• Duración hasta la cual se mantendrá la confidencialidad
del 28 de octubre de 2009 (www.isaca.org/ Knowledge-Center/ Research/
• Empleados o agentes de terceros obligados a cumplir con
ResearchDeliverables/
políticas de seguridad de la organización
Pages/ Cloud-Computing-Business-Benefits-With-Security Governance-and-
• Procesos de escalamiento
Assurance-Perspective.aspx).
Acceso de terceros Al igual que con cualquier tecnología emergente, la computación en la nube ofrece
El acceso de terceros a las instalaciones de procesamiento de la organización
la posibilidad de una gran recompensa en términos de contención de costos y
del gerente de seguridad de la información bajo cualquier circunstancia debe
características como la agilidad y la velocidad de aprovisionamiento. Sin embargo,
controlarse en función de la evaluación de riesgos y debe estar claramente
como una iniciativa "nueva", también puede traer el potencial de alto riesgo. La
definido en un acuerdo de nivel de servicio (SLA). El acceso debe otorgarse en
computación en la nube introduce un nivel de abstracción entre la infraestructura física y
función de los principios de "privilegio mínimo", "necesidad de saber" y "necesidad
el propietario de la información que se almacena y procesa. Tradicionalmente, el titular de
de hacer". Es importante tener en cuenta que los terceros pueden tener un conjunto
los datos ha tenido el control directo o indirecto del entorno físico que afecta a sus datos.
diferente de ética y cultura empresarial que debe ser considerado en términos de
En la nube, este ya no es el caso. Debido a esta abstracción, ya existe una demanda
riesgo.
generalizada de una mayor transparencia y un enfoque de aseguramiento sólido del
entorno de control y seguridad del proveedor de computación en la nube.
Proporcionar acceso a terceros debe basarse en métodos de acceso, derechos de
acceso y nivel de funcionalidad claramente definidos, y el acceso debe requerir la
aprobación del propietario del activo.

Una vez que se ha determinado que los servicios en la nube son una solución plausible una función separada que debe integrarse con las actividades de respuesta a incidentes
para una empresa, es importante identificar los objetivos comerciales y el riesgo que del departamento de seguridad de la información.
acompañan a la nube. Esto ayudará a las empresas a determinar qué tipos de datos se
deben confiar en la nube, así como qué aplicaciones y servicios pueden brindar el mayor
Integración
beneficio. El gerente de seguridad de la información debe asegurarse de que el programa
de seguridad de la información interactúe de manera efectiva con otras funciones de
aseguramiento de la organización. Estas interfaces suelen ser bidireccionales; es decir,
Ventajas la información relacionada con la seguridad se recibe de estos departamentos y, a su

Los defensores de la computación en la nube citan una serie de beneficios que incluyen: vez, la seguridad de la información debe proporcionar información relevante a estas
• Costo: la informática se convierte en un costo operativo en lugar de un gasto de capital, unidades. Las funciones de aseguramiento brindan información, requisitos y retroalimentación
ya que el proveedor de la nube generalmente proporciona la infraestructura según sea al programa de seguridad de la información que, a su vez, proporciona métricas y datos de
necesario. Además, se necesita mucha menos experiencia interna, lo que reduce los evaluación para la evaluación del aseguramiento. Es importante que las unidades de
requisitos de personal técnico. aseguramiento de la organización formen parte del comité directivo para garantizar una mayor
La centralización de los recursos informáticos por parte del proveedor da como resultado conciencia de los problemas de seguridad. La amplia participación continua también ayuda a
economías de escala que también reducen los costos. prevenir el efecto de silo no integrado creado cuando las funciones de aseguramiento operan
• Escalabilidad: proporciona aprovisionamiento de recursos según demanda, lo que de forma aislada.
reduce o elimina los requisitos para la planificación de la capacidad.
• Confiabilidad: los grandes proveedores de computación en la nube tienen sitios
redundantes que pueden abordar la mayoría de los problemas de recuperación ante Para ser eficaz, la seguridad de la información debe ser generalizada y afectar a todos los
desastres y continuidad del negocio. aspectos de la empresa. Como consecuencia, la gama de responsabilidades para una
• Desempeño: desempeño mejorado como resultado del monitoreo constante y gestión eficaz de la seguridad es amplia y, en la mayoría de los casos, excede la autoridad
continuo del proveedor. directa del gerente de seguridad de la información. Como resultado, es más probable que el
• Agilidad: agilidad mejorada como resultado del rápido reaprovisionamiento de los recursos gerente de seguridad de la información tenga éxito operando de manera colaborativa, siendo
de infraestructura según sea necesario. un buen comunicador y desarrollando un caso de negocios persuasivo para las iniciativas de
seguridad.
Se puede pensar que el modelo de nube está compuesto por tres modelos de servicio
(gráfico 3.15) y cuatro modelos de implementación (gráfico 3.16). El riesgo y los
beneficios generales diferirán según el modelo, y es importante tener en cuenta que al
Procesos del ciclo de vida del sistema
considerar diferentes tipos de servicios y modelos de implementación, las empresas deben Lograr una seguridad eficaz de los sistemas de información es más fácil cuando se incluyen
considerar el riesgo que los acompaña. consideraciones de riesgo y protección en el SDLC.
Dado que estas actividades suelen ser responsabilidad de otros departamentos
pero tienen un impacto significativo en la seguridad, es esencial que el gerente de seguridad
Consideraciones de seguridad Para de la información desarrolle enfoques para integrar estas funciones con las actividades de
las organizaciones en las que la seguridad no se considera una alta prioridad, la seguridad de la información.
seguridad proporcionada por un proveedor de nube de confianza puede ser una
mejora significativa. Sin embargo, para el gerente de seguridad de la información, las Los diversos procesos SDLC generalmente consisten en:
consideraciones de seguridad son un tema que debe evaluarse cuidadosamente. Se debe • Establecimiento de requisitos
considerar la pérdida de control sobre los datos confidenciales. La ubicación de los datos • Factibilidad
también puede ser un problema. En organizaciones que almacenan y transmiten datos a • Arquitectura y Diseño
través de fronteras estatales o nacionales, es posible que el gerente de seguridad de la • Prueba de concepto
información deba considerar innumerables leyes, regulaciones y requisitos de cumplimiento • Desarrollo completo
de diversas jurisdicciones. Los requisitos para el manejo de incidentes pueden variar de una • Pruebas de integración
jurisdicción a otra, por ejemplo, las leyes de notificación de incumplimiento. La disponibilidad • Pruebas de calidad y aceptación •
de los registros de auditoría también puede ser limitada o inexistente por parte del proveedor Implementación
de la nube, y el nivel real de seguridad puede ser difícil de determinar. • Mantenimiento
• Fin de la vida útil del sistema
Gestión del cambio

Al igual que con la subcontratación de TI, la falla del proveedor o de las Prácticamente todas las organizaciones emplean algún tipo de proceso de
interconexiones puede dejar a la organización sin recursos informáticos y, aunque es gestión del cambio. En algunos casos, puede no ser formal.
poco probable que ocurra, también se debe considerar. La seguridad debe ser una parte integral del proceso de gestión de cambios porque
pueden introducirse nuevas vulnerabilidades como resultado de cambios en el sistema o en
el proceso. El gerente de seguridad de la información debe identificar todos los procesos de
3.14.11 INTEGRACIÓN CON PROCESOS TI gestión de cambios utilizados por la organización para notificar que se están produciendo
cambios que pueden afectar la seguridad. El gerente de seguridad de la información debe
Es importante proporcionar interfaces definidas entre las funciones relacionadas
implementar procesos para garantizar que las implicaciones de seguridad se consideren una
con la seguridad de la organización y garantizar que haya canales claros de
práctica estándar. A medida que se realizan cambios en los sistemas y procesos a lo largo
comunicación. Por ejemplo, las actividades de gestión de riesgos de seguridad de la
del tiempo, a menudo existe una tendencia a que los controles de seguridad existentes se
información deben integrarse bien con las actividades de un administrador de riesgos
vuelvan menos efectivos. Por lo tanto
organizacionales para garantizar la continuidad y eficiencia de los esfuerzos. La planificación
de la continuidad del negocio es a menudo

Figura 3.15—Modelos de servicio de computación en la nube
Modelo de servicio Definición Para ser considerado
Infraestructura como servicio (IaaS) Capacidad para aprovisionar procesamiento, Opciones para minimizar el impacto si el proveedor de la
almacenamiento, redes y otros recursos informáticos nube tiene una interrupción del servicio
fundamentales, ofreciendo al cliente la capacidad de
implementar y ejecutar software arbitrario, que puede incluir
sistemas operativos y aplicaciones. IaaS pone estas operaciones
de TI en manos de un tercero.
Plataforma como servicio (PaaS) Capacidad para implementar en la infraestructura de la nube • Disponibilidad
aplicaciones creadas o adquiridas por el cliente creadas con • Confidencialidad •
lenguajes de programación y herramientas compatibles con el Privacidad y responsabilidad legal en caso de una
proveedor violación de la seguridad (ya que las bases de datos
que albergan información confidencial ahora se
alojarán fuera del sitio)

• Propiedad de los datos •
Inquietudes sobre el descubrimiento electrónico
Software como servicio (SaaS) Capacidad para utilizar las aplicaciones del proveedor que • ¿Quién es el propietario de las aplicaciones?
se ejecutan en la infraestructura de la nube. Se puede acceder a • ¿Dónde residen las aplicaciones?

las aplicaciones desde varios dispositivos cliente a través de una
interfaz de cliente ligero, como un navegador web (por ejemplo,

correo electrónico basado en la web).
ISACA, Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives, EE. UU., 2009, fig. 1, pág. 5, www.isaca.org/
Knowledge Center/ Research/ ResearchDeliverables/ Pages/ Cloud-Computing-Business-Benefits-With-Security-Governance-and-Assurance-Perspective.aspx
Figura 3.16—Modelos de implementación de computación en la nube
Modelo de implementación Descripción de la infraestructura de la nube Para ser considerado
Nube privada • Operado únicamente para una organización • Servicios en la nube con riesgo mínimo
• Puede ser administrado por la organización o por un tercero • Es posible que no proporcione la escalabilidad y la agilidad de
fiesta los servicios de nube pública
• Puede existir en las instalaciones o fuera de las instalaciones
Nube comunitaria • Compartido por varias organizaciones • • Igual que la nube privada, más:
Apoya a una comunidad específica que tiene una misión o interés • Los datos pueden almacenarse con los datos de
compartido. los competidores.
• Puede ser administrado por las organizaciones o por un
tercero • Puede residir en las instalaciones o fuera de las
instalaciones
Nube pública • Disponible para el público en general o un gran grupo industrial • Igual que la nube comunitaria, más:
• Propiedad de una organización que vende servicios en la • Los datos pueden almacenarse en ubicaciones desconocidas y es
nube posible que no se puedan recuperar fácilmente.
Nube híbrida Una composición de dos o más nubes (privada, comunitaria • Riesgo agregado de fusionar diferentes implementaciones
o pública) que siguen siendo entidades únicas pero que están modelos
unidas por tecnología patentada o estandarizada que permite la • La clasificación y el etiquetado de los datos serán
portabilidad de datos y aplicaciones (p. ej., explosión de la nube beneficiosos para el administrador de seguridad para
para equilibrar la carga entre nubes) garantizar que los datos se asignen al tipo de nube correcto.
ISACA, Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives, EE. UU., 2009, fig. 2, pág. 5, www.isaca.org/
Knowledge Center/ Research/ ResearchDeliverables/ Pages/ Cloud-Computing-Business-Benefits-With-Security-Governance-and-Assurance-Perspective.aspx
Es fundamental que el gerente de seguridad garantice que los controles de comprender la estructura organizativa durante el desarrollo y la implementación de
seguridad y las contramedidas se actualicen regularmente y se adapten a los un programa de seguridad para desarrollar un enfoque eficaz.
cambios organizacionales.
Las organizaciones descentralizadas pueden representar un desafío especial Para mantener la responsabilidad por el cumplimiento de la política a
para el administrador de seguridad. A menudo, muchas de estas divisiones través de cambios frecuentes, un programa de seguridad de la información debe
son altamente autónomas y puede ser difícil monitorear y garantizar el identificar en qué parte de la organización se inician, financian e implementan
cumplimiento de las políticas y procedimientos corporativos. Es importante los cambios de TI. El gerente de seguridad de la información debe negociar ganchos

todos los derechos.
en estos procesos para que aquellos en funciones laborales que especifican, actividades de apoyo al negocio protección de los recursos de información resto.
compran e implementan nuevos sistemas tengan cumplimiento de políticas como Cuando el procesamiento de información de negocios específico y no centralizado
parte de sus funciones laborales. Esto le da tiempo al gerente de seguridad de la está respaldado por tecnología, las actividades de control sobre esa tecnología a
información para identificar vulnerabilidades en nuevos sistemas, identificar nuevas menudo se denominan controles de nivel de aplicación.
amenazas presentadas por los sistemas y ayudar al equipo de implementación a
desarrollar estándares que cumplan con las políticas que se pueden entregar a un En la mayoría de las organizaciones, los controles generales y los controles de
gerente de lanzamiento como aprobación previa para la implementación de producción. aplicaciones son administrados por diferentes grupos. Con la ayuda de la gerencia, el
Este es un elemento clave para integrar el programa de seguridad en el trabajo diario gerente de seguridad de la información debe identificar y definir los roles y
de la organización, asegurando así su adopción a largo plazo. responsabilidades con respecto a la seguridad para estos y todos los demás grupos.
Por lo tanto, un elemento vital de cualquier programa de seguridad de la información
es una matriz de roles y responsabilidades como la que se muestra en la figura 1.3
Gestión de la configuración del capítulo 1. El gerente de seguridad de la información debe diseñar el programa de
Los estudios han demostrado que la configuración incorrecta es la causa seguridad de la información para facilitar las actividades de control a nivel de
principal de las brechas de seguridad en los sistemas de información. Como departamento y de toda la empresa que se basan en responsabilidad organizativa de
consecuencia, es esencial que se implementen fuertes controles de procedimiento y/o los controles generales y de aplicación. Además, el gerente de seguridad de la
técnicos para gestionar eficazmente este riesgo. información debe tener en cuenta las interfaces de la organización con proveedores
de servicios externos, reguladores y otras entidades con las que la organización debe
Las causas subyacentes típicas de la falla en la configuración adecuada de los cooperar para cumplir con sus requisitos de protección de datos.
sistemas son la falta de estándares o procedimientos claros para la configuración
o la escasez de personal que no sigue correctamente los procedimientos o toma
atajos inadecuados. El gerente de seguridad de la información debe asegurarse de Dentro de las limitaciones de las asignaciones de roles y
que exista la documentación adecuada sobre la configuración correcta y que el responsabilidades, un gerente de seguridad de la información puede identificar
personal de TI tenga suficiente capacitación para realizar estas actividades. Si existe los elementos tecnológicos clave que facilitan el logro de los objetivos de control. El
la documentación adecuada, se debe examinar la carga de trabajo de los responsables gerente de seguridad de la información debe involucrar a las partes interesadas clave
para ver si el tiempo es el problema o si se requiere alguna forma de cumplimiento con roles y responsabilidades que correspondan a los objetivos de control en el
para garantizar la configuración correcta. diseño de los controles de tecnología correspondientes. El gerente de seguridad de
la información debe asegurarse de que se vea que estos objetivos tecnológicos
contribuyen a los objetivos de las partes interesadas para garantizar que se adopten y
respalden. Idealmente, la tecnología debe ser fácil de usar, reutilizable y promover la
Gestión de la liberación
Cuando se implementa correctamente, la gestión de versiones reduce las eficiencia operativa.
posibilidades de fallas operativas al garantizar que se hayan realizado las pruebas Estos elementos tecnológicos, cuando se respaldan centralmente y son utilizados
adecuadas y que existan las condiciones necesarias para el correcto funcionamiento por varias partes de la organización, se convierten en parte de la arquitectura de
de los nuevos software o sistemas. Corresponde al gerente de seguridad de la seguridad de la información, y los procesos y procedimientos que los respaldan se
información garantizar que existan los estándares y procedimientos adecuados para convierten en controles generales. Básicamente, se convierten en los componentes
que los productos no se implementen en producción prematuramente. Además, es básicos sobre los que descansa todo el programa. Debido a que la tecnología en sí
importante proporcionar un seguimiento y una supervisión adecuados para garantizar misma es inadecuada para implementar controles generales, la adopción de una
que se sigan los procedimientos para evitar fallas inesperadas en el sistema de arquitectura de seguridad y la capacidad de delegar formalmente la responsabilidad
producción. de operar dentro de ella de acuerdo con la política son criterios clave para seleccionar
los elementos técnicos de una hoja de ruta de seguridad de la información.
3.15 CONTROLES Y CONTRAMEDIDAS Sin embargo, es raro que los controles generales o de toda la empresa sean
Al diseñar el programa de seguridad de la información, el enfoque de un gerente
suficientes para protegerse contra todas las situaciones en las que los datos
de seguridad de la información deberá cambiar entre controles generales y de nivel podrían estar en riesgo debido al acceso y uso no autorizados. Como la información
de aplicación. En el curso de la realización de revisiones de seguridad, el desglose
debe distribuirse a través de la organización para ser utilizada por los procesos
paso a paso de la actividad interrelacionada se segmenta en actividades de control
comerciales, el gerente de seguridad de la información debe estar al tanto de
que cubren la infraestructura y el entorno operativo (controles generales) y medidas
aquellas situaciones en las que los controles generales son inadecuados para
de seguridad más allá de las necesarias para ejecutar el software comercial de forma
proteger contra el uso indebido de la información. Por lo tanto, un elemento crítico
segura (controles de aplicaciones). control S).
de la hoja de ruta de seguridad de la información es el proceso SDLC que
proporciona revisiones de seguridad en las primeras etapas de los proyectos para
determinar si los controles a nivel de aplicación son necesarios.
Los controles generales son actividades de control que dan soporte a toda la
Esto permite que un gerente de seguridad de la información identifique y
organización de forma centralizada. Debido a que la infraestructura a menudo
recomiende métodos para implementar controles de acceso u otros en el nivel
se comparte entre diferentes departamentos de la misma organización, el
de la aplicación. La elección de los "puntos de contacto" de seguridad que se
término "controles generales" se usa a menudo para describir todos los controles establecerán para garantizar que los controles de acceso sean efectivos, como se ilustra en
sobre la infraestructura. Por lo general, se trata de actividades de control en apoyo de figura 3.17.
un sistema operativo, una red y la seguridad de las instalaciones. También pueden
incluir procedimientos centralizados de administración de usuarios. Al determinar
Una parte importante de la gestión de la seguridad es el diseño, la
cómo proteger los datos críticos para un proceso comercial, es importante que un
implementación, el seguimiento, las pruebas y el mantenimiento de los controles.
gerente de seguridad de la información pueda confiar en la existencia de controles
Los controles se definen como las políticas, procedimientos, prácticas,
generales adecuados. Estos son los cimientos sobre los que se basa el control
tecnologías y estructuras organizativas diseñadas para proporcionar
específico

seguridad razonable de que se logran los objetivos comerciales y de que se Hay una serie de estándares y guías disponibles para la gestión de la
previenen o detectan y corrigen los eventos no deseados. seguridad de la información que el gerente de seguridad de la información
debería conocer. Dos de las referencias más aceptadas para la seguridad de
Los controles son esencialmente cualquier proceso regulatorio, ya sea físico, técnico la información son COBIT e ISO/IEC ISO 27001 y 27002. Hay muchas otras
o de procedimiento. La elección de los controles puede basarse en una serie de fuentes de orientación disponibles, como la Publicación 200 de los Estándares
consideraciones, incluida su eficacia, costo o restricciones a las actividades federales de procesamiento de información (FIPS) de EE. UU., NIST 800-53 y
comerciales, y cuál es la forma óptima de control. el Estándar de Buena Práctica para la Seguridad de la Información publicada
por el Foro de Seguridad de la Información.
Los controles son uno de los métodos principales para gestionar el riesgo de seguridad
de la información y una de las principales responsabilidades de la gestión de la 3.15.1 CATEGORÍAS DE CONTROL • Preventivo:
seguridad de la información. Es importante comprender que los controles de los los controles preventivos inhiben los intentos de violar la política de seguridad e
elementos físicos, como los procesos y procedimientos administrativos, son tan críticos incluyen controles tales como la aplicación del control de acceso, el cifrado y
como los controles aplicados a la tecnología. la autenticación.
En última instancia, la mayoría de las fallas de seguridad se pueden atribuir a • Detective: los controles de detección advierten sobre infracciones o intentos de
fallas de administración, y debe recordarse que los problemas de administración infracciones de la política de seguridad e incluyen controles tales como pistas de
generalmente no tienen soluciones técnicas. Inevitablemente, existen personas y auditoría, métodos de detección de intrusos y sumas de verificación.
procesos físicos en cada extremo de los procesos técnicos y constituyen el mayor • Correctivo: los controles correctivos reparan las vulnerabilidades.
riesgo para la seguridad de la información. Los procedimientos de restauración de copias de seguridad son una medida correctiva
Como consecuencia, el gerente de seguridad de la información debe tener permiten recuperar un sistema si el daño es tan extenso que el procesamiento
cuidado de no enfocarse ni depender excesivamente de la tecnología. no puede continuar sin recurrir a medidas correctivas.
El gerente de seguridad de la información debe ser consciente de que es probable • Compensatorio—Los controles compensatorios compensan
que se eludan los estándares o procedimientos que son demasiado restrictivos o mayor riesgo al agregar pasos de control que mitigan un riesgo; por ejemplo,
impiden que la organización cumpla con sus objetivos comerciales. agregar un componente de respuesta de desafío a los controles de acceso
El objetivo es equilibrar la necesidad de controles con los requisitos del débiles puede compensar la deficiencia.
negocio. Por lo tanto, el gerente de seguridad de la información debe tener una buena • Disuasión: los controles de disuasión brindan advertencias que pueden disuadir
perspectiva de negocios, comprender el riesgo de los recursos de información de la posibles compromisos; por ejemplo, pancartas de advertencia en las pantallas de
organización, interpretar las políticas de seguridad de la información e implementar inicio de sesión u ofreciendo recompensas por la detención de piratas informáticos.
controles de seguridad que consideren todos estos aspectos. Una perspectiva Los controles y su efecto se muestran en la figura 3.18.
importante es utilizar el enfoque que sea menos restrictivo y disruptivo para el negocio
que, sin embargo, cumpla con los criterios de riesgo aceptable. Las ventajas y Tenga en cuenta que los controles compensatorios y correctivos a
desventajas entre la mayor seguridad y el menor impacto en las actividades comerciales menudo se combinan.
es la delgada línea que el gerente eficaz de seguridad de la información debe esforzarse
por alcanzar.
3.15.2 CONSIDERACIONES DE DISEÑO DE CONTROL
Según el entorno regulatorio actual, los controles y las contramedidas
Los controles de seguridad de la información deben desarrollarse tanto se abordan de manera más eficiente con un enfoque de arriba hacia abajo y basado
para los procesos de información relacionados con TI como para los que no en el riesgo. Después de aplicar marcos reconocidos por la industria como COBIT o
lo están. Esto incluye requisitos seguros de marcado, manejo, transporte y ISO 27001, el diseño de los controles implementados debe incluir la mensurabilidad.
almacenamiento de información física, así como consideraciones para el manejo y la La efectividad de los controles no puede evaluarse a menos que puedan probarse y
prevención de la ingeniería social. También se deben tener en cuenta los controles medirse. Además, los niveles de confianza y los tamaños de muestra para probar la
ambientales, de modo que los sistemas seguros no estén sujetos a ser simplemente eficacia de estos controles reflejan fielmente los objetivos de auditoría y cumplimiento
robados, como ha ocurrido en algunos casos muy publicitados. normativo. Por ejemplo, al diseñar un control para revisiones diarias de registros de
IDS en una organización sujeta a la
Figura 3.17—Puntos de contacto para peajes de seguridad
basado en el riesgo
Seguridad Riesgo
Seguridad Externo
Requisitos Análisis
Pruebas Revisar
Abuso Riesgo Penetración

Casos Código Seguridad
Análisis Pruebas
Revisar Operación
Requisitos Arquitectura Prueba Pruebas y Comentarios de

Código
y casos de uso y diseño planes Resultados de la prueba el campo
Fuente: Adaptado con autorización del libro “Software Security: Building Security In” de Gary McGraw (Addison-Wesley, EE. UU., 2006) www.swsec.com

Ley Sarbanes-Oxley de EE. UU., es lógico crear un proceso que muestre El cortafuegos también puede tener una función que permita a las operaciones
revisiones afirmativas diarias (notas de revisión, aprobaciones, aprobaciones, desviar el tráfico entrante a un sitio de respaldo (aunque esto generalmente
etc.) y que los tamaños de muestra sigan la ley Sarbanes-Oxley de EE. UU. se logra mediante cambios en el enrutador de Internet) si, al responder a la
requisitos de prueba basados en la frecuencia del control, es decir, 25 muestras alerta de virus, descubren que un virus ha reducido la capacidad. en el sitio
por día, 10 por semana y tres por mes. primario. Ese es un control de recuperación, o correctivo, porque permite que
los sistemas reanuden sus operaciones normales. El servicio de proxy que se
Controles como recursos de implementación de la estrategia ejecuta en el cortafuegos puede mostrar un cartel de advertencia como control
Los controles son cualquier dispositivo, sistema, procedimiento o proceso disuasorio contra el acceso no autorizado.
regulatorio que regula o controla alguna actividad operativa. Los controles de
seguridad deben abordar las personas, la tecnología y los procesos. Los controles
necesariamente deben resultar en acciones correctivas o preventivas, allanando el Tenga en cuenta que las funciones de control disuasorio, preventivo, de
camino para la mejora de las medidas de seguridad de la información. detección o correctivo (o compensatorio) del cortafuegos son
completamente descriptibles, técnicamente, sin usar la palabra "cortafuegos".
Por ejemplo, el control de acceso es un control preventivo que evita El punto es que el gerente de seguridad de la información debe reconocer el valor
el acceso no autorizado que puede resultar en daños a los sistemas. de seguridad de las características del producto tecnológico independientemente
La detección de intrusos es un control de detección porque permite de la etiqueta que el proveedor del producto le dé a un producto. Son las
detectar accesos no autorizados. Los procedimientos de respaldo y características y cómo se utilizan las que permiten establecer los puntos de control,
restauración son un control correctivo que permite recuperar un sistema si no la elección del producto o su nombre.
el daño es tan extenso que los datos se pierden o se dañan de manera
irreparable. A veces se mencionan controles compensatorios, que son similares En la medida de lo posible, los controles deben automatizarse de modo que
a los controles correctivos pero compensan algunas debilidades de seguridad. sea técnicamente inviable eludirlos. (Consulte la sección 3.15.6,
Contramedidas). Algunas prácticas de control comunes que dificultan que los
usuarios eludan los controles son mecanismos que incorporan estos principios:
Los productos de seguridad a menudo proporcionan varias combinaciones de
estos diferentes tipos de controles. Un control típico es un firewall, que es un • Control de acceso (lógico): los usuarios de la información deben
producto que filtra el tráfico de la red para limitar qué protocolos (o puertos) se identificarse, autenticarse y autorizarse antes de acceder a la información.
pueden usar para ingresar o salir de una red interna, así como qué dirección o Hay una variedad de formas de implementar el control de acceso. La mayoría
rango de direcciones se permite como origen y destino. Este es un control de los modelos de control de acceso se dividen en uno de dos tipos: control de
preventivo porque impide el acceso a determinados puertos de red, protocolos o acceso obligatorio (MAC) o control de acceso discrecional (DAC). MAC se refiere
destinos no permitidos específicamente. El mismo firewall puede tener funciones a un medio para restringir el acceso a los datos en función de los requisitos de
más avanzadas que le permitan examinar el tráfico de red entrante en busca de seguridad de la información contenida en los datos y la autorización de seguridad
malware y enviar alertas a un centro de operaciones si pasan por el dispositivo. correspondiente de los usuarios. MAC se usa típicamente para aplicaciones
Este es un control detectivesco. militares donde, por ejemplo, se requiere una autorización secreta para acceder
a datos clasificados como "secretos".
Figura 3.18—Tipos de control y efecto
Amenaza compensando
Control
crea reduce
disuaden Probabilidad Correctivo
reduce
Control Probabilidad
de Control
de
ATAQUE
Descubre hazañas
detective Vulnerabilidad
Control
protege
Resultados en
disparadores
Preventivo
Impacto Disminuye
Control reduce

En general, también existe un segundo requisito de "necesidad de saber" para la 3.15.3 FUERZA DE CONTROL
autorización de acceso. DAC se refiere a los medios para restringir el acceso a
La fuerza de los controles se puede medir por el tipo de control que se
los objetos en función de la identidad de los sujetos y/o grupos a los que
evalúa (preventivo, detectivo, manual, automatizado, etc.) y los resultados de las
pertenecen. Los controles son discrecionales en el sentido de que las reglas
pruebas de cumplimiento cuantitativo y cualitativo.
pueden permitir que un sujeto con cierto permiso de acceso pase ese permiso a
Como tal, aunque un control automatizado suele ser preferible al control manual,
otro sujeto. La elección de los mecanismos de control de acceso apropiados en
un análisis detallado puede revelar que un control manual es mejor. Un diseño
una situación dada depende de los requisitos organizacionales para la protección
de control automatizado puede crear alertas y generar informes automáticos. Sin
de datos.
embargo, una evaluación cuidadosa del proceso puede determinar que no se
• Falla segura: se refiere a un dispositivo diseñado para apagar
pueda producir evidencia de revisión y que no se puedan medir las acciones de
inhabilitar y dejar de tratar la información cuando detecte un mal
respuesta subsiguientes hasta la resolución inclusive. En este escenario, el
funcionamiento que pueda afectar a sus mecanismos de control de acceso. control falla.
La falla segura como política de control debe considerarse cuidadosamente ya Por otro lado, si las notas escritas a mano se registraran en los informes de
que obviamente afecta la disponibilidad. También puede representar un peligro
registro del IDS diariamente con iniciales y fechas, y las mismas notas
obvio cuando el acceso físico controlado eléctricamente falla en una condición
contuvieran análisis, planes de acción, números de tickets y resolución, entonces
bloqueada, impidiendo la salida en caso de incendio u otro desastre. el control manual es mucho más efectivo que el automatizado. . Por supuesto, no
se puede llegar a ninguna conclusión sobre la fuerza del control hasta que se haya
• Principio de privilegio mínimo: se refiere a una estrategia de diseño de
probado adecuadamente.
acceso a recursos que brinda capacidad administrativa para dividir el acceso
a recursos de modo que aquellos que requieren menos recursos que otros tengan
La fuerza de un control se puede medir en términos de su fuerza inherente o de
los privilegios de sistema mínimos que requieren para cumplir con sus
diseño, y la probabilidad de su efectividad. Un ejemplo de un control intrínsecamente
responsabilidades.
fuerte es equilibrar los libros para dar cuenta de todo el efectivo y/o segregar las
• Compartimentar para minimizar el daño—Esto se refiere
responsabilidades contables entre varios empleados. Un ejemplo de un control
a la capacidad de la arquitectura del sistema para contener el acceso a
intrínsecamente fuerte por diseño es requerir un control dual para acceder a áreas o
subconjuntos de recursos del sistema al requerir un conjunto separado
materiales sensibles.
de controles de autorización por subconjunto. Por ejemplo, un sistema en
el que no se otorgan privilegios administrativos cuando se solicitan en
ciertas interfaces de red puede combinarse con restricciones de puertos de
Para demostrar el valor y la alineación con los objetivos comerciales, la
red para bloquear a los usuarios de Internet de las funciones administrativas.
mitigación de riesgos debe estar vinculada a las funciones comerciales
respaldadas. Esto garantiza que las iniciativas de gobierno de TI y seguridad de la
• Segregación de funciones: se refiere a la capacidad del software para
información se sigan inherentemente, y que la justificación de costos para el proceso
impedir que un usuario tenga dos funciones destinadas a proporcionar
de tratamiento esté fácilmente disponible y se explique por sí misma.
características de supervisión o vigilancia. Por ejemplo, el software debe evitar que
una persona que tiene la capacidad de imprimir cheques pueda cambiar el nombre
del destinatario del cheque antes y después de que se imprima.
3.15.4 MÉTODOS DE CONTROL
Los controles de seguridad abarcan el uso de métodos técnicos y no técnicos. Los
• Transparencia—Esto se refiere a la habilidad del promedio controles técnicos son medidas de seguridad que se incorporan al hardware, software
laico para comprender cómo se supone que funciona la seguridad del o firmware de la computadora (p. ej., mecanismos de control de acceso, mecanismos
sistema para que todas las partes interesadas puedan ver fácilmente qué de identificación y autenticación, métodos de encriptación, software de detección de
efecto tienen sus actividades en la seguridad de los sistemas. Los usuarios, intrusos).
administradores, ingenieros y arquitectos deben poder conversar sobre los Los controles no técnicos son controles operativos y de gestión, como las políticas
controles del sistema de manera que todos puedan verificar que funcionan como de seguridad; procedimientos operacionales; y seguridad personal, física y
se espera. La transparencia a menudo se logra manteniendo el diseño de la ambiental.
tecnología lo más simple posible para evitar confusiones en cuanto a la

funcionalidad del sistema. Los elementos de los controles que se deben considerar al evaluar la fuerza del
• Confianza: se refiere a una estrategia de diseño que incluye la existencia de un control incluyen si los controles son preventivos o de detección, manuales o
mecanismo de seguridad mediante el cual la identidad de un usuario puede automatizados, y formales (documentados en manuales de procedimientos y se
determinarse por su relación con un "proveedor de identidad" en el que una "parte mantiene evidencia de su operación) o ad hoc. Los controles, como la autenticación
de confianza" "confía". La parte que confía tiene algún mecanismo para determinar de dos factores requerida para situaciones de alta seguridad, pueden incluir procesos
la autenticidad de una conexión del proveedor de identidad y confía en esa tanto técnicos como manuales, por ejemplo, tarjetas inteligentes que requieren un
información para permitir que el proveedor de identidad le pase la identidad del PIN.
usuario. Una aplicación típica es el uso de un tercero de confianza en la

arquitectura PKI conocido como autoridad certificadora (CA), que certifica la 3.15.5 RECOMENDACIONES DE CONTROL
identidad de una entidad mediante la emisión de un certificado. Los elementos de los controles que se deben considerar al evaluar la fuerza del
control incluyen si los controles son preventivos o de detección, manuales o
• No confíe en nadie : se refiere a una estrategia de diseño que incluye automatizados, y formales (documentados en manuales de procedimientos y se
controles de supervisión como parte del diseño del sistema de información mantiene evidencia de su operación) o ad hoc. Durante este paso del proceso, se
en lugar de designar a personas confiables para administrar el sistema y proporcionan controles que podrían mitigar o eliminar el riesgo identificado (según
esperar que sigan el procedimiento o confiar en una auditoría posterior para corresponda a las operaciones de la organización). El objetivo de los controles
verificar si lo hicieron. Una aplicación típica es el uso de circuito cerrado de recomendados es reducir el nivel de riesgo para la información.
televisión (CCTV) para monitorear actividades.

recursos a un nivel aceptable. Se deben considerar los siguientes factores al Un programa de seguridad de la información debe ser lo suficientemente flexible
recomendar controles y soluciones alternativas para minimizar o eliminar el riesgo para poder implementar una contramedida con muy poco aviso.
identificado: Es posible que los cambios de emergencia deban eludir los procesos de control
• Eficacia de las opciones recomendadas de cambios estándar, pero deben emplearse con precaución y documentarse
• Compatibilidad con otros sistemas, procesos y controles afectados minuciosamente, y deben pasar por el proceso de gestión de cambios, incluso si
• Legislación y regulación relevante es posterior al hecho.
• Normas y políticas de la organización
• Estructura y cultura organizacional Las contramedidas con frecuencia no son de naturaleza técnica. Se implementa
• Impacto operativo una contramedida muy común en respuesta a las amenazas de suplantación
• Seguridad y fiabilidad de identidad. Cuando se haya informado que un ingeniero social ha llamado a un
usuario final, haciéndose pasar por administrador y pidiéndole sus contraseñas,
Las recomendaciones de control son los resultados del proceso de evaluación y una contramedida puede ser en forma de actividad de concientización, como una
análisis de riesgos y proporcionan información para el proceso de mitigación de transmisión a todos los usuarios finales indicándoles que no divulgar sus
riesgos. Durante el proceso de mitigación de riesgos se evalúan, priorizan e contraseñas a cualquier persona, bajo ninguna circunstancia, y reportar
implementan los controles de seguridad técnicos y de procedimiento recomendados. inmediatamente dicha actividad sospechosa a seguridad.
Para determinar cuáles son necesarios y apropiados para una organización
específica, se debe realizar un análisis de costo-beneficio para los controles
propuestos para demostrar que los costos de implementar los controles pueden
3.15.7 CONTROLES FÍSICOS Y AMBIENTALES
justificarse por la reducción en el nivel de riesgo. Además, el impacto operativo (p.
Al implementar un programa de seguridad de la información, es fundamental
ej., efecto sobre el rendimiento del sistema o del personal) y la viabilidad (p. ej.,
comprender que todos los esfuerzos para proteger la información tienen como base
requisitos técnicos, aceptación del usuario) de introducir las opciones recomendadas
una fuerte barrera física que protege los medios físicos en los que reside la
deben evaluarse cuidadosamente durante el proceso de mitigación de riesgos.
información. En muchas organizaciones, la seguridad física es un servicio
proporcionado como parte de la gestión de instalaciones.
La organización de seguridad física puede establecer requisitos edificio por
edificio y hacer cumplir estos requisitos mediante una combinación de medidas de
3.15.6 CONTRAMEDIDAS tecnología de seguridad física y procedimientos manuales. Un gerente de
Además de la protección general que brindan los controles estándar, el seguridad de la información debe validar las opciones de tecnología en apoyo de
gerente de seguridad de la información puede requerir ocasionalmente un los procesos de seguridad física y debe garantizar que se desarrollen políticas y
control contra una amenaza específica. Tal control se denomina estándares para garantizar una seguridad física adecuada.
“contramedida”. Una contramedida puede considerarse un control dirigido. Las
contramedidas a menudo brindan protección específica, lo que las hace menos
eficientes que las salvaguardas más amplias y generales, aunque no necesariamente Los controles físicos y ambientales son un conjunto especializado de controles
menos rentables según la expectativa de pérdida anual (ALE) original y residual generales de los que dependen todas las instalaciones informáticas y el personal.
asociada con la amenaza contrarrestada. Además, algunas tecnologías tienen funciones que permiten que los mecanismos
físicos anulen los controles lógicos. Por ejemplo, el acceso físico no autorizado a
los dispositivos tecnológicos puede permitir el acceso no autorizado a la
Las contramedidas son controles que se implementan en respuesta a una información. Si bien el gerente de seguridad de la información a menudo no es
amenaza y/o vulnerabilidad específica que se sabe que existe. Pueden ser responsable de los controles de acceso físico, es importante que se asignen roles y
preventivos, detectivos o correctivos, o cualquier combinación de los tres. Las responsabilidades con respecto a estos controles y que el gerente de seguridad de
contramedidas no están reconocidas en ISO/IEC 27001 y simplemente pueden la información tenga una ruta de escalamiento para garantizar que se cumplan los
considerarse una forma de control dirigido. requisitos. Es importante asegurarse de que una persona no autorizada no pueda
conectar físicamente el equipo a la red y que el equipo y los medios extraíbles
(incluidos los documentos y los elementos desechados, como los medios extraíbles)
Las contramedidas implementadas para abordar amenazas o vulnerabilidades estén protegidos contra robos.
específicas suelen ser costosas, tanto desde el punto de vista operativo como
financiero, y pueden convertirse en una distracción de las operaciones de
seguridad centrales. Su despliegue debe comenzar solo con una justificación Los métodos para evitar que personas no autorizadas obtengan acceso a
clara, con la debida cautela y solo cuando un control existente o más general no recursos de información tangible incluyen tarjetas de identificación y dispositivos
pueda mitigar adecuadamente la amenaza. de autenticación, como tarjetas inteligentes o controles de acceso basados en
datos biométricos, cámaras de seguridad, guardias de seguridad, vallas,
Las contramedidas se pueden utilizar como cualquier otro control. Pero iluminación, cerraduras y sensores. Hay disponible una variedad de sensores de
debido a que son en respuesta a una amenaza o vulnerabilidad específica, a intrusión, incluidos sensores de vibración, detectores de movimiento y muchos otros.
menudo se aplican como mejoras incrementales a los controles existentes. Por
ejemplo, una organización que escanea todo el correo electrónico para bloquear Los controles físicos también están destinados a prevenir o mitigar el daño a las
los virus entrantes puede encontrar una amenaza para su infraestructura de instalaciones y otros recursos tangibles que pueden ser causados por eventos
correo electrónico debido a la entrada de spam. La organización puede naturales o tecnológicos (p. ej., las fuentes de energía de respaldo pueden
implementar una contramedida a los ataques de spam al mejorar el escáner de mantener las operaciones si un huracán daña las líneas eléctricas que dan
virus para bloquear el correo entrante de una lista de spammers conocidos. Las servicio a la instalación o si falla la red eléctrica). ). Los controles ambientales
contramedidas también pueden ser no técnicas, como ofrecer una recompensa por incluyen aire acondicionado, drenaje de agua, extinción de incendios y otras medidas
información que conduzca al arresto de piratas informáticos. diseñadas para garantizar que las instalaciones en las que se encuentran los sistemas

se almacenan está diseñado con las limitaciones físicas de la operación del sistema Las tecnologías de control suplementarias tienden a ser más especializadas que las
informático como requisitos. Sin controles ambientales adecuados para prevenir, detectar y tecnologías de control nativas y, por lo tanto, suelen ser operadas por especialistas en
recuperarse de daños físicos a los sistemas de información, otras actividades de control generales seguridad. Incluso cuando estos especialistas en seguridad técnica son recursos del grupo
y de aplicación podrían volverse ineficaces o inútiles. de seguridad de la información, las operaciones técnicas de seguridad pueden beneficiarse
al aprovechar el apoyo de las unidades de tecnología de la información. En algunos casos, puede
ser apropiado compartir la responsabilidad de una tecnología de control suplementaria en
En una organización grande y geográficamente dispersa, se puede asignar un administrador particular, particularmente si está profundamente integrada en los dominios de aplicaciones
de operaciones del sitio de TI en cada sitio para garantizar que todo el equipo esté inventariado comerciales y de seguridad. Las tecnologías de administración de acceso e identidad federadas
y configurado según los estándares que cumplen con las políticas. Un gerente de seguridad de son un ejemplo común de una tecnología complementaria cuyas responsabilidades se comparten
la información puede establecer este rol y responsabilidad como un recurso para interactuar en toda la organización de seguridad y tecnología. Las tecnologías típicas de control suplementario
con las organizaciones locales de seguridad física en nombre del programa de seguridad de la incluyen:
información.
• Sistemas de gestión de identidad federados
3.15.8 CATEGORÍAS DE TECNOLOGÍA DE CONTROL • Inicio de sesión único (SSO)

• Sistemas de prevención de intrusos (IPS)
Al determinar los tipos de tecnologías de control que debe considerar el gerente de seguridad
• Cortafuegos
de la información, puede ser útil considerar la autoridad operativa y los tipos de controles
disponibles. Dado que la mayoría de los controles técnicos serán responsabilidad directa del
departamento de TI, se debe considerar cómo se mantendrá la seguridad. Las tecnologías
Tecnologías de apoyo a la gestión
Las tecnologías de apoyo a la gestión sirven para automatizar un procedimiento
generalmente se incluirán en una de tres categorías diferentes en términos del tipo de controles
relacionado con la seguridad, proporcionar procesamiento de información de gestión o, de
que están disponibles: tecnologías de control nativas, complementarias y de soporte. En algunos
otro modo, aumentar la eficiencia o las capacidades de gestión. Algunos ejemplos incluyen
casos, la autoridad operativa puede dividirse entre TI y el departamento de seguridad.
herramientas de administración de información de seguridad (SIM), sistemas de análisis
de eventos de seguridad y escáneres de monitoreo de cumplimiento. Estas tecnologías son
utilizadas principalmente por la organización de seguridad y no tienen un impacto directo en el
entorno de producción. Por estas razones y para ayudar a hacer cumplir la separación de funciones,
el grupo de seguridad de la información comúnmente implementa y opera las tecnologías que
Tecnologías de control nativas Las tecnologías
respaldan las operaciones de seguridad con relativa independencia del departamento de tecnología
de control nativas son funciones de seguridad listas para usar que se integran
de la información.
con los sistemas de información empresarial.
Por ejemplo, la mayoría de los servidores web incluyen funciones que brindan
capacidades de autenticación, registro de acceso y encriptación de transporte SSL. Todos
estos controles se considerarían nativos de la tecnología del servidor web.
Con frecuencia, los procedimientos relacionados con la seguridad pueden automatizarse
para aumentar la eficiencia o las capacidades del programa de seguridad de la
información. El uso de estas tecnologías de apoyo para aumentar la productividad de los
Si bien las políticas y los estándares que rigen su uso están establecidos por la función
recursos es una estrategia importante en el desarrollo de un programa eficiente y eficaz. Algunas
de seguridad de la información, la mayoría de las tecnologías de control nativas
de las tecnologías de soporte más comunes incluyen:
generalmente las configura y opera TI.
Esto se debe a que los controles nativos a menudo afectan directamente las operaciones de
• Herramientas SIM
producción, y proporcionar al personal de seguridad de la información los derechos de
• Sistemas de gestión de incidentes y eventos de seguridad (SIEM)
configuración de los sistemas de producción centrales a menudo viola el principio de separación
• Herramientas de control y gestión del cumplimiento
de funciones y puede generar riesgos al complicar los procesos de control de cambios y los
• Sistemas de flujo de trabajo de gestión de acceso
problemas de propiedad del sistema.
• Herramientas de análisis de vulnerabilidades
• Herramientas de monitoreo de configuración de seguridad

Existen controles de tecnología nativa en todos los dispositivos de tecnología de la información,
• Sistemas de gestión y distribución de pólizas
incluidos:
• Servidores
• Bases de datos 3.15.9 COMPONENTES DE CONTROL TÉCNICO
• Enrutadores Y ARQUITECTURA
• Interruptores
La gestión de la seguridad de la información incluye el tratamiento de una amplia
gama de componentes técnicos. Generalmente, estos mecanismos técnicos han sido
Tecnologías de control suplementarias categorizados previamente como tecnologías de control nativo, tecnologías de control
Las tecnologías de control suplementarias suelen ser componentes que se agregan a suplementario y tecnologías de apoyo a la gestión.
un entorno de sistemas de información.
Las tecnologías de seguridad complementarias a menudo brindan alguna función que no está
disponible en los componentes nativos (p. ej., detección de intrusos en la red) o que es más Análisis de Controles
apropiada para implementar fuera de los sistemas de aplicaciones comerciales principales por
Las tecnologías de control y soporte forman colectivamente la arquitectura de seguridad técnica.
razones arquitectónicas o de rendimiento (p. ej., un firewall de red único versus un host
Este constructo se puede aplicar a aplicaciones comerciales individuales, o a la empresa en su
individual). filtrado de red basado).
conjunto, con el objetivo de revelar cómo la interacción de los técnicos individuales

Los componentes proporcionan seguridad general para la empresa o la aplicación. Los detalles de las tecnologías de seguridad específicas, la arquitectura de
Esta visión holística de las capacidades de los componentes técnicos impide una control técnico y el análisis de los requisitos de control técnico son un
perspectiva de solución puntual que conduce a una seguridad general deficiente. componente importante del desarrollo del programa de seguridad de la
El análisis de la arquitectura de seguridad técnica debe coordinarse estrechamente información, así como de la gestión y administración continuas.
con las revisiones y análisis de amenazas y factores de riesgo. El gerente de El gerente de seguridad de la información debe estar bien versado en las
seguridad de la información debe asegurarse de que los componentes de la tecnologías que forman parte de la arquitectura de seguridad técnica y tener acceso a
arquitectura de seguridad técnica estén alineados con las posturas de riesgo y especialistas técnicos que serán responsables de instalar, configurar y mantener estas
amenaza de la organización, así como con los requisitos comerciales. Siempre que tecnologías.
la arquitectura técnica esté alineada con los niveles superiores de arquitectura, esta
alineación con los objetivos comerciales debería ocurrir de forma natural.
3.15.10 PRUEBAS DE CONTROL Y MODIFICACIÓN
Los cambios en el entorno técnico u operativo a menudo pueden modificar el
efecto protector de los controles o crear nuevas debilidades que los controles
Al analizar la arquitectura de seguridad técnica, el gerente de seguridad de la
existentes no están diseñados para mitigar. Se deben implementar pruebas periódicas
información debe usar un conjunto claramente definido de criterios medibles para
de los controles para garantizar que los mecanismos apliquen continuamente las
permitir el seguimiento de las métricas de desempeño. Algunos criterios posibles
políticas y que los controles de procedimiento se lleven a cabo de manera consistente
para analizar la arquitectura y los componentes de seguridad técnica incluyen:
y efectiva.
Los cambios en los controles técnicos u operativos deben realizarse con
precaución. Los cambios a los controles técnicos deben realizarse bajo los
• Colocación de controles
procedimientos de control de cambios y la aprobación de las partes interesadas. El
– ¿Dónde están ubicados los controles en la empresa?
gerente de seguridad de la información debe analizar el entorno de control propuesto
– ¿Los controles están en capas?
para determinar si existen vulnerabilidades nuevas o recurrentes en el diseño y
– ¿Se necesita redundancia de control?
garantizar que el control esté diseñado correctamente (es decir, autoprotegido, contiene
– ¿Son los controles en o cerca del perímetro proveedores eficientes de
una política de fallas, puede monitorearse).
protección de acceso amplio?
Tras la implementación, se deben realizar pruebas de aceptación para garantizar
– ¿Existen canales de acceso no controlados a los servicios de procesamiento o
que los mecanismos hagan cumplir las políticas prescritas.
datos? (Considere los vectores de acceso físico, de red, a nivel de sistema, de
aplicación y de mensajes). • Efectividad del control
Los cambios en los procedimientos operativos también deben someterse a revisión y
aprobación por parte de las partes interesadas correspondientes. Se deben considerar
– ¿Son fiables los controles?
los cambios necesarios en las entradas del proceso, los pasos de la actividad, las
– ¿Son los mínimos exigidos?
aprobaciones o revisiones y los resultados del proceso, y se deben coordinar las
– ¿Inhiben la productividad?
modificaciones a los procesos y tecnologías relacionados. Las consideraciones de
– ¿Son automáticos o manuales?
carga de trabajo también deben tenerse en cuenta para garantizar que los cambios en
– ¿Se monitorean los controles clave? ¿En tiempo real?
los controles operativos no sobrecarguen los recursos y afecten la calidad operativa.
– ¿Son fáciles de eludir?
Si se requiere capacitación adicional del personal para implementar cambios,
• Eficiencia de control
debe coordinarse y completarse antes de la implementación del cambio. El control
– ¿En qué medida protegen los controles el medio ambiente?
operativo debe revisarse en forma de recorrido poco después de la implementación
– ¿Son específicos de un recurso o activo?
para garantizar que todos los elementos se comprendan y se implementen
– ¿Pueden y deben utilizarse más plenamente?
correctamente.
– ¿Algún control es un punto único de falla de la aplicación?
– ¿Algún control es un punto único de falla de seguridad?
Hay disponible amplia información sobre el desarrollo de objetivos de
– ¿Hay redundancia innecesaria en los controles?
control y la implementación de controles específicos de COBIT y otras fuentes como
• Política de control ISO/IEC 27001 y 27002.
– ¿Los controles fallan seguros o fallan abiertos?
– ¿Los controles implementan una política restrictiva (negación a menos que
permitido explícitamente) o una política permisiva (permiso a menos que se niegue 3.15.11 CONTROLES DE BASE
explícitamente)? Los controles de seguridad básicos definidos deben ser un requisito permanente para
– Es el principio de la funcionalidad menos necesaria y el desarrollo de todos los nuevos sistemas. Los requisitos de seguridad deben definirse
acceso forzado? y documentarse como parte esencial de la documentación del sistema. Se debe
– ¿La justificación de la configuración del control se alinea con la política, las garantizar y respaldar la trazabilidad adecuada de los requisitos de seguridad en las
expectativas corporativas y otros impulsores? diferentes fases del ciclo de vida. Algunos ejemplos incluyen funciones de autenticación,
• Implementación de controles registro, control de acceso basado en roles y mecanismos de confidencialidad de
– ¿Se implementa cada control de acuerdo con las políticas? transmisión de datos. El gerente de seguridad de la información debe consultar fuentes
y normas? regionales y de la industria para determinar un conjunto básico de funciones de
– ¿Los controles se protegen a sí mismos? seguridad apropiadas para sus políticas organizacionales y otras necesidades. Es
– ¿Alertarán los controles al personal de seguridad si fallan o detectan una posible que se justifiquen controles adicionales en función del análisis de
condición de error? vulnerabilidades, amenazas y riesgos, y estos controles deben incluirse en el proceso
– ¿Se han probado los controles para verificar que implementan la política de recopilación de requisitos.
prevista?
– ¿Se registran, monitorean y revisan las actividades de control?
– ¿Cumplen los controles los objetivos de control definidos?
– ¿Se asignan los objetivos de control a las metas de la organización?

El equipo de seguridad de la información puede ser consultado durante las fases de Para comprender los conceptos de medición de seguridad, se deben definir las
diseño y desarrollo para evaluar la capacidad de las opciones de solución para cumplir dos palabras, seguridad y medición. La seguridad de una organización implica
con los requisitos. Rara vez se encuentra una solución perfecta, y siempre habrá mucho más que controles técnicos específicos como políticas, firewalls,
compensaciones entre los requisitos de seguridad, el rendimiento, los costos y otras contraseñas, detección de intrusos y planes de recuperación ante desastres. La
demandas. Es importante que el gerente de seguridad de la información ejerza diligencia seguridad ciertamente se compone de controles técnicos, pero también incluye
para identificar y comunicar las deficiencias de la solución y desarrollar controles de procesos que rodean los controles técnicos y los problemas de las personas. Estas
mitigación o compensación según sea necesario. El gerente de seguridad de la tres características de la seguridad lo convierten en un sistema complejo, y cuando
información también debe emplear recursos internos o externos para revisar las se combinan se le puede llamar un programa de seguridad.
prácticas de codificación y la lógica de seguridad durante el desarrollo para garantizar
que se empleen las prácticas adecuadas.
Para cualquier sistema complejo, la aplicación de conceptos básicos de ingeniería
de sistemas mejorará el rendimiento del sistema. Los conceptos de diseño,
Durante las fases de calidad y aceptación, el gerente de seguridad de la implementación planificada, mantenimiento programado y gestión pueden
información debe coordinar las pruebas de los requisitos de seguridad funcional aumentar significativamente la eficacia y el rendimiento de un programa de
establecidos originalmente, además de probar las interfaces del sistema en busca de seguridad. Uno de los principios fundamentales de la ingeniería de sistemas es
vulnerabilidades. Esta prueba debe verificar que los mecanismos de seguridad del la capacidad de medir y cuantificar. La medición permite un diseño adecuado,
sistema cumplan con los objetivos de control y proporcionen al equipo de seguridad de la una implementación precisa de las especificaciones y actividades de gestión
información las funciones administrativas y de retroalimentación necesarias. Si se eficaces, incluido el establecimiento de objetivos, el seguimiento del progreso, la
identifican deficiencias de seguridad funcional, vulnerabilidades de codificación o fallas evaluación comparativa y la priorización. En esencia, la medición es un requisito
lógicas explotables, el gerente de seguridad de la información debe trabajar con el equipo fundamental para el éxito del programa de seguridad.
del proyecto para priorizar y resolver los problemas. Si los problemas no pueden repararse
o mitigarse antes de la implementación planificada, el equipo de administración senior
debe revisar los problemas de seguridad y el riesgo asociado para decidir si el sistema Un programa de seguridad eficaz implica el diseño y la planificación, la
debe implementarse antes de la resolución de las vulnerabilidades identificadas. Si el implementación y la gestión continua de las personas, los procesos y la tecnología
sistema se implementará con problemas de seguridad sin resolver, el administrador de que afectan a todos los aspectos de la seguridad en una organización.
seguridad debe asegurarse de que haya un cronograma acordado para resolver los
problemas o, si no hay una solución viable disponible en ese momento, rastrear y
reevaluar periódicamente el problema y determinar si ha llegado a estar disponible una Puede ser útil aclarar la distinción entre la gestión de los sistemas técnicos de
resolución viable. seguridad de TI a nivel operativo y la gestión general de un programa de
seguridad de la información.
Las métricas técnicas son obviamente útiles para la gestión operativa puramente
táctica de la infraestructura de seguridad técnica (por ejemplo, servidores
El gerente de seguridad debe asegurarse de que se considere la segregación adecuada antivirus, dispositivos de detección de intrusos, cortafuegos, etc.). Pueden indicar que
de funciones en todo el SDLC. El personal que promueve el código para la producción la infraestructura se opera de manera sólida y que las vulnerabilidades técnicas se
(implementación) no debe ser el mismo personal que desarrolló, probó o aprobó el identifican y dirigido. Sin embargo, estas métricas tienen menos valor desde el punto
código. de vista de la gestión estratégica. Es decir, no dicen nada sobre la alineación estratégica
Los planes de prueba y control de calidad también deben estar sujetos a con los objetivos organizacionales o qué tan bien se está administrando el riesgo;
revisión por parte del gerente de seguridad para garantizar que los elementos de proporcionan pocas medidas del cumplimiento de la política o si se están alcanzando
seguridad se prueben y certifiquen correctamente. En algunos casos, para el software los objetivos para niveles aceptables de impacto potencial. Tampoco proporcionan
desarrollado para operaciones críticas, puede ser necesario realizar una revisión del información sobre la dirección, la velocidad o la proximidad del objetivo del programa
código además del proceso de prueba de control de calidad. Las revisiones de código a de seguridad de la información.
menudo se subcontratan para una revisión independiente.
Desde una perspectiva de gestión, si bien ha habido mejoras en las

3.16 MEDIDAS DEL PROGRAMA DE SEGURIDAD
métricas técnicas, generalmente son incapaces de proporcionar respuestas a preguntas
Y MONITOREANDO como:
• ¿Qué tan segura es la organización?
En el proceso de gestión del programa de seguridad de la información, se deben • ¿Cuánta seguridad es suficiente? • ¿Cómo
considerar varios aspectos de las métricas. Primero, ¿son las métricas necesarias sabemos que hemos alcanzado la seguridad? • ¿Cuáles son las
para rastrear y guiar el desarrollo del programa en sí mismo a nivel de proyecto, gestión soluciones más rentables?
y estratégico? Segundo, ¿será necesario el desarrollo de métricas para la gestión • ¿Cómo determinamos el grado de riesgo?
continua de los resultados del programa? Dado que uno de los elementos esenciales • ¿Qué tan bien se puede predecir el riesgo?
de la selección de controles es si se pueden monitorear y medir de manera efectiva, es • ¿Nos estamos moviendo en la dirección correcta?
fundamental considerar este aspecto durante el diseño y desarrollo del programa. Los • ¿Qué impacto tiene la falta de seguridad en la productividad?
controles clave que no pueden monitorearse presentan un riesgo que debe evitarse. • ¿Qué impacto tendría una brecha de seguridad catastrófica?
• ¿Qué impacto tendrán las soluciones en la productividad?

3.16.1 DESARROLLO DE MÉTRICAS El gerente de seguridad de la información también requiere un resumen de las métricas
técnicas para garantizar que la maquinaria esté funcionando correctamente en rangos
El proceso de gobernanza de la seguridad de la información descrito en el
aceptables, al igual que el conductor de un automóvil quiere saber que hay combustible
capítulo 1, sección 1.4, Descripción general de la gobernanza de la seguridad
en el tanque y que la presión del aceite y la temperatura del agua están en un nivel
de la información, debe producir un conjunto de objetivos para el programa de
aceptable. rango.
seguridad de la información, objetivos que se adaptan a la organización. Como se
discutió en la sección 3.6.1 Conceptos, estas metas generarán objetivos de control y la
actividad de planificación correspondiente diseñada para lograr los objetivos que dan Operacional
como resultado los resultados deseados. Las métricas operativas son las métricas técnicas y de procedimiento más
Las métricas del programa de seguridad de la información que corresponden directamente comunes, como las vulnerabilidades abiertas, el estado de la gestión de parches, etc.
a estos objetivos de control son esenciales para administrar el programa. Las métricas puramente técnicas serán principalmente útiles para los administradores de
sistemas y los administradores de seguridad de TI. Estos incluyen las medidas habituales
Debería ser evidente que no será posible desarrollar métricas de gestión de mitigación de malware, datos de configuración de firewall, revisiones de syslog y otros
de seguridad significativas sin la base de la gobernanza para establecer objetivos y crear asuntos operativos.
puntos de referencia. Es decir, las mediciones sin una referencia en forma de objetivos o
metas no son métricas y probablemente no sean útiles en la orientación del programa. Hay una serie de otras consideraciones para el desarrollo de métricas. Los
atributos esenciales que deben ser considerados incluyen:
• Manejable: este atributo sugiere que los datos deben ser
En última instancia, las métricas solo sirven para un propósito: el apoyo a la toma de fácilmente recopilados, condensados, clasificados, almacenados, correlacionados,
revisados y comprendidos.
decisiones. Medimos para gestionar. Medimos para proporcionar la información sobre la
cual basar decisiones informadas en relación con lo que estamos tratando de lograr, es • Significativo: este atributo sugiere que los datos deben ser comprensibles para el
decir, las metas. destinatario, relevantes para los objetivos y brindar una base para las decisiones
necesarias para administrar.
Hay una serie de consideraciones al desarrollar métricas útiles y relevantes en el • Procesable: así como una brújula le deja claro a un piloto en qué dirección debe dirigirse
curso del desarrollo del programa. Dado que el propósito de las métricas es el soporte de para mantenerse en curso, las métricas de gestión deben dejar claro si girar a la izquierda
decisiones, es esencial saber qué decisiones se toman en los distintos niveles de la oa la derecha. La información que simplemente invita a una mayor investigación puede
organización y, posteriormente, qué información de métricas se necesita para tomar esas ser simplemente un desorden.
decisiones correctamente. Eso significa que se deben definir roles y responsabilidades • Sin ambigüedades: la información que no es clara puede no ser
sé útil.
para saber qué información requiere quién. El parámetro principal del diseño de métricas
se puede resumir como: • Confiable: es esencial poder confiar en los diversos mecanismos de
retroalimentación y que brinden el mismo resultado para las mismas condiciones cada
vez que se miden. Por ejemplo, cuando el tanque de gasolina está realmente vacío, el
• ¿Quién necesita saber? • indicador debe indicarlo cada vez que se mide. Además, para ser confiable, la métrica
¿Qué necesitan saber? debe medir lo que cree que está midiendo, no un evento no relacionado o un artefacto
• ¿Cuándo necesitan saberlo? espurio.
Las métricas deben proporcionar información en uno o más de los siguientes • Preciso: mostrar un rumbo norte cuando se va al sur es peor que no tener ninguna
tres niveles: información. El grado de precisión depende de cuán crítica sea la medida y varía
• Estratégico considerablemente.
• Administración Las métricas cualitativas pueden ser aproximaciones, pero sin embargo son adecuadas.
• Operacional Las métricas cuantitativas deben ser precisas para ser de alguna utilidad, por ejemplo,
si el indicador muestra 10 galones de combustible, pero la cantidad real es solo cinco,
la métrica puede ser peligrosa.
Estratégico
• Oportuna: para que sea útil, la retroalimentación debe ocurrir cuando sea necesario.
Las métricas estratégicas suelen ser una compilación de otras métricas de gestión
Es mejor saber que la puerta del establo está abierta antes de que el caballo
diseñadas para indicar que el programa de seguridad va por buen camino, dentro del
se escape.
objetivo y dentro del presupuesto para lograr los resultados deseados. En el nivel
• Predictivo: en la medida de lo posible, los indicadores adelantados son muy
estratégico, la información necesaria es esencialmente de "navegación", es decir,
valiosos.
determinar si el programa de seguridad se dirige en la dirección correcta para lograr los
• Genuino: las métricas sujetas a manipulación son menos confiables y también pueden
objetivos definidos que conducen a los resultados deseados. Esta información es
sufrir de precisión.
necesaria tanto para el gerente de seguridad de la información como para la alta gerencia
para brindar una supervisión adecuada.
Estos atributos se pueden utilizar como metamétricas (es decir, una medida de las
propias métricas) que sirven para clasificar las métricas y determinar cuáles son las más
útiles. Cualquier métrica que sustancialmente no cumpla con estos criterios es
administración
sospechosa. En muchos casos, las métricas en uso por la mayoría de las organizaciones
Las métricas de gestión (o tácticas) son las necesarias para gestionar el programa
no calificarán bien en estos criterios, pero sin embargo pueden ser las mejores disponibles.
de seguridad, como el nivel de cumplimiento de políticas y estándares, la gestión de
También debe entenderse que incluso las métricas bien calificadas pueden fallar. Un
incidentes y la eficacia de la respuesta, la mano de obra y la utilización de recursos.
enfoque prudente es esforzarse por crear un sistema de métricas que se crucen entre sí
A nivel de gestión de la seguridad, se necesitará información sobre cumplimiento,
con el fin de validar. Esto se puede lograr midiendo dos aspectos separados de la misma
riesgos emergentes, utilización de recursos, alineación con los objetivos comerciales,
cosa y asegurando el acuerdo.
etc., para tomar las decisiones necesarias para una gestión eficaz. los

entre ellos. Por ejemplo, si un motor consume cinco galones de combustible cada Otras medidas relevantes de importancia pueden incluir la rentabilidad
hora, un tanque de 10 galones debería durar dos horas. Después de una hora, el de los controles y el alcance de las fallas de control.
indicador de combustible debe indicar que queda la mitad del tanque, suponiendo
que estaba lleno al comienzo. De manera similar, las discrepancias entre las medidas Otras actividades de monitoreo se relacionan con el cumplimiento organizacional,
internas de cumplimiento y los resultados de una auditoría deben investigarse para con políticas y procedimientos de seguridad establecidos por la organización
determinar qué medida es defectuosa. Si ambos indican aproximadamente un nivel como referencia de seguridad. A medida que los recursos de información
de cumplimiento similar, sirve para validar las medidas. cambian con el tiempo, es importante tener en cuenta que la línea de base de
seguridad y los recursos deben adaptarse a las amenazas cambiantes y las nuevas
vulnerabilidades. Es importante que todas las partes interesadas sean conscientes
Se pueden desarrollar una serie de otros atributos descriptivos, pero los de estos cambios y se alcance un consenso adecuado.
enumerados anteriormente son los más significativos. Entonces, la pregunta es si
estos atributos se pueden priorizar o si se deben descartar las métricas o 3.16.2 ENFOQUES DE MONITOREO
combinaciones de métricas que no incluyen la mayoría o todas las características
Es importante que el gerente de seguridad desarrolle un método consistente y
anteriores.
confiable para determinar la efectividad continua general del programa. Una forma
es realizar periódicamente evaluaciones de riesgos y realizar un seguimiento de
Se deben implementar métricas de gestión de la seguridad para determinar la
las mejoras a lo largo del tiempo. Otra herramienta estándar es el uso de análisis
eficacia continua de la seguridad para cumplir los objetivos definidos en los niveles
externo e interno y pruebas de penetración para determinar las vulnerabilidades
estratégico, de gestión y operativo. La información requerida para tomar decisiones
del sistema, aunque esto solo indicará la efectividad de una faceta del programa
sobre seguridad será diferente para cada uno de estos niveles, al igual que las
general. Hacerlo de forma regular y realizar un seguimiento de los resultados puede
métricas para capturarla.
ser un indicador útil de las tendencias en la seguridad técnica. La mayoría de las
organizaciones realizan exploraciones periódicas de vulnerabilidades para
Los procesos de seguimiento son necesarios para garantizar el cumplimiento
determinar si se abordan las vulnerabilidades abiertas y para ver si aparecen otras
de las leyes y reglamentos aplicables a los que está sujeta la organización.
nuevas. La mejora constante es el sello distintivo de un programa eficaz, aunque
Se requiere el monitoreo de todas las métricas relevantes para garantizar que
de valor limitado desde una perspectiva de gestión, a menos que vaya acompañada
estén operando y que la información que brindan se distribuya y maneje
de información sobre amenazas viables e impactos potenciales para proporcionar
adecuadamente.
suficiente información para informar las decisiones de seguridad adecuadas.
En los últimos años, varias industrias se han visto sujetas a regulaciones

específicas para garantizar la seguridad y privacidad de la información confidencial,
Además de monitorear las actividades de seguridad automatizadas, las
especialmente en organizaciones financieras y de atención médica, y para reducir
actividades de gestión de cambios de la organización también deben alimentar el
el riesgo operativo en organizaciones nacionales de infraestructura crítica. La falla
programa de monitoreo de seguridad de la información. Las métricas son importantes,
en el cumplimiento en estos casos puede tener implicaciones legales adversas, por
pero de poca utilidad si las tendencias adversas no se abordan de manera oportuna.
lo que un monitoreo adecuado es un requisito.
El gerente de seguridad de la información debe contar con un proceso en el que las
métricas se revisen periódicamente y se informe cualquier actividad inusual. Se
debe desarrollar un plan de acción para reaccionar ante la actividad inusual, así
Para evaluar la eficacia de los programas de seguridad de una
como un plan proactivo para abordar las tendencias en la actividad que pueden
organización, el gerente de seguridad de la información debe tener un
conducir a una violación o falla de seguridad.
conocimiento profundo de cómo monitorear los programas y controles de
seguridad de manera continua. Parte del seguimiento es de naturaleza técnica y
cuantitativa, mientras que otros aspectos son, por necesidad, imprecisos y
Monitoreo de actividades de seguridad en infraestructura y
cualitativos. Las métricas técnicas se pueden utilizar para proporcionar métricas
aplicaciones comerciales
cuantitativas para el seguimiento y pueden incluir elementos como:
Dado que es probable que la vulnerabilidad de la organización a las infracciones
• Número de vulnerabilidades sin remediar de seguridad exista las 24 horas del día, los 7 días de la semana, el monitoreo
continuo de las actividades de seguridad es una práctica comercial prudente que
• Número de elementos de auditoría abiertos o cerrados
el gerente de seguridad de la información debe implementar. Una gran parte de
• Número o porcentaje de cuentas de usuario que cumplen con los
estándares esta supervisión será técnica y puede ser realizada por personal de TI. En este
caso, los requisitos de monitoreo deben estar definidos en estándares operativos
• Penetraciones perimetrales
adecuados junto con criterios de severidad y procesos de escalamiento.
• Variaciones de seguridad no resueltas
El monitoreo continuo de los IDS y los firewalls puede proporcionar

Las métricas cualitativas que deben monitorearse se pueden usar para
información en tiempo real sobre los intentos de violar las defensas perimetrales.
determinar tendencias y pueden incluir cosas como:
Capacitar al personal de la mesa de ayuda para escalar los informes
• Niveles de CMM a intervalos periódicos
• KGI sospechosos que pueden indicar una violación o un ataque puede servir como
• KPI un sistema efectivo de monitoreo y alerta temprana. Esta información puede ser
fundamental para tomar medidas correctivas de manera oportuna.
• Cuadro de mando integral empresarial (BSC)
• Indicadores de calidad Six Sigma
Determinación del éxito de la seguridad de la información
• Indicadores de calidad ISO 9001
Inversiones
Es importante que el gerente de seguridad de la información cuente con
procesos para determinar la efectividad general de

inversiones en seguridad y la medida en que se han cumplido los objetivos. Siempre 3.16.4 MEDICIÓN DEL RIESGO Y LA PÉRDIDA DE LA SEGURIDAD DE
hay competencia por los recursos en las organizaciones, y la alta dirección buscará
LA INFORMACIÓN
obtener los mejores retornos de la inversión y justificar los costos.
El objetivo principal de un programa de seguridad de la información es garantizar
que el riesgo se gestione adecuadamente y que los impactos de los eventos adversos
estén dentro de los límites aceptables. Lograr una seguridad perfecta mientras se
Durante el diseño y la implementación del programa de seguridad, el gerente de
mantiene la usabilidad del sistema es virtualmente imposible.
seguridad de la información debe asegurarse de que los KPI estén definidos y
Determinar si el programa de seguridad está funcionando a un nivel adecuado
acordados, y que se implemente un mecanismo para medir el progreso con respecto a
(equilibrando la eficiencia operativa con la seguridad adecuada) se puede abordar de
esos indicadores. De esta forma, el gerente de seguridad de la información puede evaluar
varias maneras desde diferentes perspectivas.
el éxito o el fracaso de varios componentes del programa de seguridad y si son
justificables en términos de costos. Esto será útil al desarrollar un caso de negocios para
otros elementos de un programa de seguridad.
Los siguientes son enfoques posibles para medir periódicamente el éxito del programa
frente a los objetivos de gestión de riesgos y prevención de pérdidas: • El enfoque de
gestión de vulnerabilidad técnica plantea las siguientes preguntas:
Los costos reales de varios componentes de un programa de seguridad deben
calcularse con precisión para determinar la rentabilidad. Es útil utilizar el concepto de
TCO para evaluar los diversos componentes de un programa de seguridad. Además
– ¿Cuántas vulnerabilidades técnicas u operativas existen?
de los costos iniciales de adquisición e implementación, es importante incluir:
– ¿Cuántos se han resuelto?
• Costos para administrar los controles – ¿Cuál es el tiempo medio para resolverlos?
– ¿Cuántos se repitieron?
• Costos de capacitación
• Costos de mantenimiento – ¿Cuántos sistemas (críticos o no) se ven afectados por ellos?
– ¿Cuántos tienen el potencial de explotación externa?
• Costos de monitoreo
– ¿Cuántos tienen el potencial de compromiso grave (p. ej.,
• Tarifas de actualización
ejecución remota de código privilegiado, acceso administrativo no autorizado,
• Honorarios de consultor o mesa de ayuda
exposición masiva de información impresa confidencial)?
• Tarifas asociadas con otros sistemas interrelacionados que pueden haber sido
• El enfoque de gestión de riesgos se ocupa de las siguientes cuestiones:
modificados para acomodar objetivos de seguridad
– ¿Cuántos problemas de alto, mediano y bajo riesgo quedan sin resolver?

3.16.3 MEDICIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
¿Qué es el ALE agregado?
DESEMPEÑO DE LA GESTIÓN – ¿Cuántos se resolvieron durante el período del informe? Si
El gerente de seguridad de la información debe comprender cómo implementar disponible, ¿cuál es el ALE agregado que se ha eliminado?
procesos y mecanismos que proporcionen la capacidad de evaluar el éxito y las – ¿Cuántos fueron eliminados por completo versus parcialmente?
deficiencias del programa de seguridad de la información. Medir el éxito consiste en ¿mitigado versus transferido?
definir objetivos medibles, rastrear las métricas más adecuadas y analizar periódicamente – ¿Cuántos fueron aceptados porque no era sostenible ningún método
los resultados para determinar áreas de éxito y oportunidades de mejora. Los objetivos de mitigación o compensación?
específicos del programa de seguridad de la información variarán según el alcance y el – ¿Cuántos permanecen abiertos por inacción o falta de cooperación?
nivel operativo del departamento de seguridad, pero deben alinearse conceptual y

cronológicamente con los objetivos comerciales. • El enfoque de prevención de pérdidas se ocupa de las siguientes
preguntas:
– ¿Hubo eventos de pérdida durante el período de reporte? Qué
¿La pérdida agregada incluye la investigación, la recuperación, la reconstrucción
Un programa de seguridad de la información generalmente incluye un conjunto básico de datos y la gestión de las relaciones con los clientes?
de objetivos comunes: – ¿Cuántos eventos se pudieron prevenir (es decir, riesgo o vulnerabilidad)?
• Minimizar el riesgo y las pérdidas relacionadas con los problemas de seguridad de la información. identificado antes del evento de pérdida)?
• Apoyar el logro de los objetivos generales de la organización. • Apoyar el – ¿Cuál fue la cantidad promedio de tiempo necesario para identificar la pérdida?
logro organizacional del cumplimiento. • Maximizar la productividad operativa incidentes? ¿Para iniciar procedimientos de respuesta a incidentes? ¿Para aislar
del programa. • Maximizar la rentabilidad de la seguridad. incidentes de otros sistemas? ¿Para contener las pérdidas de eventos?
• Establecer y mantener la conciencia de seguridad organizacional. Además de estas métricas cuantitativas, se pueden aplicar una serie de medidas
• Facilitar una arquitectura de seguridad lógica, técnica y operativa eficaz. cualitativas para monitorear el éxito de la gestión de riesgos.
Algunos de estos incluyen:
• Maximizar la eficacia del marco del programa y los recursos. • ¿Se realizan las actividades de gestión de riesgos según lo programado?
• Medir y gestionar el rendimiento operativo. • ¿Se han probado la respuesta a incidentes y los BCP?
• ¿Son inventarios de activos, custodias, valoraciones y riesgos?
Si bien cada organización debe desarrollar los objetivos específicos de su análisis actualizados?
organización, las siguientes secciones cubren los objetivos más comunes y • ¿Existe consenso entre las partes interesadas en la seguridad de la información en
sugieren metodologías para medir su entrega exitosa. cuanto a los niveles aceptables de riesgo para la organización?
• ¿Se llevan a cabo actividades de supervisión y revisión de la dirección ejecutiva?
¿como se planeó?

3.16.5 MEDICIÓN DEL APOYO DE LA ORGANIZACIÓN Los procedimientos y tecnologías implementados por el programa deben cumplir
con los requisitos de las normas adoptadas. Las mediciones del logro del
OBJETIVOS
cumplimiento a menudo están vinculadas a los resultados de las auditorías
Como se discutió en otras partes de este libro, el programa de seguridad
internas o externas. El gerente de seguridad de la información también puede
de la información debe respaldar los objetivos centrales de la organización.
desear implementar un monitoreo de cumplimiento automático o manual con una
Medir este conjunto de objetivos es en gran medida subjetivo, y los
frecuencia más alta y/o un alcance más amplio que el que se puede lograr con
objetivos de la organización pueden cambiar rápidamente ante las
auditorías incrementales. Además del cumplimiento puntual real, el programa debe
presiones operativas y las condiciones del mercado en evolución.
medirse en función de la eficacia de la resolución de los problemas de cumplimiento
Las siguientes medidas cualitativas pueden ser revisadas por el comité
identificados.
directivo de seguridad de la información y/o la gerencia ejecutiva: •
¿Existe una correlación documentada entre los hitos clave de la
organización y los objetivos del programa de información? 3.16.7 MEDICIÓN DE LA PRODUCTIVIDAD OPERATIVA
Ningún programa de seguridad de la información tiene recursos ilimitados. Si se
• ¿Cuántos objetivos de seguridad de la información se completaron con éxito combina esta realidad con el rápido crecimiento de las empresas de tecnología de
en apoyo de las metas de la organización? la información, se hace evidente la necesidad de que el gerente de seguridad de
• ¿Hubo metas organizacionales que no se cumplieron porque no se cumplieron la información maximice la productividad operativa.
los objetivos de seguridad de la información?
• ¿Qué tan fuerte es el consenso entre las unidades de negocio, ejecutivo Las formas en que se puede mejorar la productividad incluyen el uso de
la gerencia y otras partes interesadas en la seguridad de la información que tecnologías de automatización, la subcontratación de tareas operativas de bajo
los objetivos del programa están completos y son apropiados? valor y el aprovechamiento de las actividades de otras unidades organizativas.
Las tecnologías de automatización de la gestión de la seguridad pueden actuar
El gerente de seguridad de la información debe reconocer que gran como multiplicadores de la fuerza de trabajo, aumentando muchas veces la
parte del valor de una medida exitosa está en el análisis de por qué se realización de las tareas operativas. Las herramientas de exploración de
cumplió o no un objetivo. Las medidas cualitativas como las representadas por el vulnerabilidades son un ejemplo destacado de este efecto; La evaluación
manual de la vulnerabilidad que llevó varias semanas a varias personas ahora
apoyo a los objetivos de la organización deben tratarse como tales. Para los
objetivos perdidos, se deben analizar las razones por las que no se lograron y se se puede realizar en horas o días. Los ahorros en costos de personal a menudo
debe usar la retroalimentación para guiar la optimización continua del programa de pueden justificar el gasto de dichas herramientas.
seguridad de la información.
Las medidas de productividad son más útiles cuando se emplean en un
análisis de comparación basado en el tiempo. Este enfoque proporciona
una poderosa demostración del valor de la automatización de la seguridad al
3.16.6 MEDICIÓN DEL CUMPLIMIENTO
mostrar la productividad antes y después de aplicar una tecnología que aumenta
Una preocupación esencial, continua y principal para la gestión del
la productividad. Con este enfoque, el gerente de seguridad de la información
programa de seguridad de la información es el cumplimiento de políticas
puede demostrar el rendimiento de las inversiones en seguridad.
y estándares. Dado que la mayoría de las fallas de seguridad son el
resultado de que el personal no siga los procedimientos de conformidad con
La productividad es una medida del producto del trabajo generado por recurso.
los estándares, el cumplimiento es un elemento esencial de la gestión de la
Por ejemplo, si "entradas de registro de eventos analizadas" es el producto de
seguridad. La criticidad y la sensibilidad deben conocerse, ya que exigen el
trabajo y "analista de seguridad" es el recurso, la medida de productividad es
nivel de cumplimiento que debe lograrse para gestionar el riesgo a niveles
"eventos analizados por analista". Las medidas de productividad se pueden aplicar
aceptables. Cualquier cumplimiento inferior al 100 % es inaceptable cuando se
a los recursos tecnológicos además del personal, por ejemplo, "paquetes de red
pilotan aviones de pasajeros o se operan plantas de energía nuclear, ya que es
procesados por nodo IDS".
probable que los impactos sean catastróficos e inaceptables. Para cualquier
actividad que no ponga en peligro la vida o la organización, el costo de los
El gerente de seguridad de la información debe establecer metas periódicas
esfuerzos de cumplimiento debe sopesarse frente a los beneficios y los impactos
para aumentar la productividad del programa de seguridad de la información a
potenciales.
través de iniciativas específicas. Estos objetivos deben revisarse para
determinar las ganancias de productividad logradas. Siempre que sea posible,
La medición del cumplimiento de las normas técnicas suele ser
el gerente de seguridad de la información debe analizar datos como el costo por
sencilla y, con frecuencia, puede automatizarse. El cumplimiento de las
hora de los empleados y el esfuerzo realizado por tarea para demostrar el valor
normas procesales o de procedimiento suele ser más difícil y puede plantear
financiero de las iniciativas de mejora de la productividad a la alta gerencia.
un desafío. Dado que esta es con frecuencia el área de falla que conduce a un
compromiso de seguridad, requiere una consideración cuidadosa. Algunos
requisitos de cumplimiento son lo suficientemente críticos como para garantizar
un monitoreo continuo directo, como el acceso controlado por guardias y los 3.16.8 MEDICIÓN DE LA RENTABILIDAD DE LA SEGURIDAD
procedimientos de inicio de sesión. En otros casos, los controles de detección, Es importante que el programa de seguridad de la información sea
como el registro y las listas de verificación, pueden ser suficientes. financieramente sostenible, para que los controles de seguridad no se degraden
debido a un mantenimiento y soporte deficientes. Las restricciones financieras
Los requisitos de cumplimiento pueden ser legales, contractuales o internos. son una razón común de fallas en la seguridad, incluida la falta de planificación
Si la organización debe cumplir con estándares obligatorios o voluntarios para los requisitos de mantenimiento continuo. El gerente de seguridad de la
relacionados con la seguridad de la información, el gerente de seguridad de información debe trabajar para maximizar el valor de cada inversión en seguridad
la información debe asegurarse de que los objetivos del programa estén a fin de controlar los gastos de seguridad de la información y garantizar el logro
alineados con estos requisitos. Asimismo, las políticas, sostenible de los objetivos.

Este proceso comienza con una previsión y un presupuesto precisos de los costes. 3.16.10 MEDICIÓN DE LA EFECTIVIDAD DE LAS MEDIDAS TÉCNICAS
El éxito de esta actividad generalmente se establece al monitorear la utilización del
ARQUITECTURA DE SEGURIDAD
presupuesto versus las proyecciones originales y puede ayudar a identificar problemas
La arquitectura de seguridad técnica suele ser una de las manifestaciones más
con la planificación de costos de seguridad. Además de medir la efectividad del
tangibles de un programa de seguridad de la información. Es importante que el
presupuesto, el gerente de seguridad de la información debe implementar procedimientos
gerente de seguridad de la información establezca medidas cuantitativas de la
para medir la rentabilidad continua de los componentes de seguridad, lo que generalmente
efectividad del ambiente de control técnico. El rango de posibles métricas técnicas es
se logra mediante el seguimiento de las relaciones costo/resultado. Este enfoque establece
bastante amplio, y el gerente de seguridad de la información debe identificar aquellas
metas de rentabilidad para nuevas tecnologías y metas de mejora para tecnologías
métricas más significativas para los destinatarios identificados. Las métricas técnicas de
existentes midiendo el costo total de generar un resultado específico.
seguridad se pueden categorizar para propósitos de informes y análisis por recurso
protegido y ubicación geográfica. Algunos ejemplos de métricas de efectividad de la
seguridad técnica incluyen:
Para ser precisos, los costos deben incluir los costos de mantenimiento, operaciones
• Intentos de sondeo y ataque repelidos por el control de acceso a la red
y administración del período analizado (por ejemplo, mes, trimestre, año). La inclusión
dispositivos; calificar por activo o recurso objetivo, geografía de origen y tipo de ataque
de todos los costos pertinentes proporciona al gerente de seguridad de la información el
TCO de la inversión en seguridad que se analiza.
• Intentos de sondeo y ataque detectados por IDS en dispositivos internos
Las proporciones de unidades de resultado por unidad monetaria (p. ej., 7400 paquetes
redes; calificar por fuente interna versus externa, recurso objetivo y tipo de ataque
de red analizados por dólar estadounidense al año) o viceversa (0,04 euros por cada mil
correos electrónicos escaneados al año) se pueden utilizar para demostrar la rentabilidad
• Número y tipo de compromisos reales; calificar por severidad del ataque, tipo de
y el costo de los resultados. Otros ejemplos incluyen: • Costos de evaluación de
ataque, severidad del impacto y fuente del ataque
vulnerabilidad por aplicación
• Estadísticas sobre virus, gusanos y otro malware identificado y neutralizado; calificar
• Costos de los controles de seguridad de la estación de trabajo por usuario
por potencial de impacto, severidad de mayores
• Costos de spam de correo electrónico y protección antivirus por buzón
Brotes de Internet y vector de malware
• Cantidad de tiempo de inactividad atribuible a fallas de seguridad y
Los esfuerzos de compra e implementación de tecnología representan solo una
sistemas sin parchear
fracción de los costos del ciclo de vida completo. El gerente de seguridad de la
• Número de mensajes procesados, sesiones examinadas y kilobytes (KB) de
información debe considerar regularmente los costos totales de mantenimiento, operación
datos examinados por los IDS
y administración de los componentes técnicos de seguridad. Además, también se deben
considerar los costos de personal asociados con las actividades operativas y de gestión
Además de las métricas de éxito cuantitativas anteriores, hay una serie de medidas
en curso. Estos análisis deben compartirse con el comité directivo de seguridad para
cualitativas importantes que se aplican al entorno de control técnico. Algunos
ayudar a identificar áreas de oportunidad para mejorar la rentabilidad y ayudar a
ejemplos incluyen:
pronosticar las necesidades futuras de recursos.
• Se han probado mecanismos técnicos individuales para verificar los objetivos de
control y la aplicación de políticas.
• La arquitectura de seguridad está construida con controles apropiados en forma de
3.16.9 MEDICIÓN DE LA CONOCIMIENTO ORGANIZACIONAL
capas.
Incluso en un entorno técnico estrictamente controlado, las acciones del personal • Los mecanismos de control están correctamente configurados y monitoreados en
pueden presentar amenazas que solo pueden mitigarse mediante la educación y la en tiempo real, autoprotección implementada y personal de seguridad de la información
concienciación. Es importante que el programa de seguridad de la información alertado de fallas. • Todos los sistemas críticos transmiten eventos al personal de
implemente procesos para rastrear la efectividad continua de los programas de seguridad de la información oa las herramientas de automatización de análisis de eventos
concientización. para la detección de amenazas en tiempo real.
El seguimiento de la conciencia organizacional se logra más comúnmente a nivel de

empleado. Como tal, el gerente de seguridad de la información debe trabajar con el El gerente de seguridad de la información debe tener en cuenta que, si bien estas
departamento de recursos humanos de su organización para implementar métricas para medidas y métricas son útiles para la gestión de TI y seguridad de la información
rastrear el éxito de la conciencia organizacional. y otros, la mayoría tendrá poco significado para la alta gerencia y probablemente la
Los registros de capacitación inicial, la aceptación de políticas y acuerdos de uso, mayoría sean de poco interés. Un resumen compuesto que indique que el departamento
y las actualizaciones continuas de concientización son métricas útiles en relación con de seguridad se está desempeñando de acuerdo con las expectativas probablemente
el programa de capacitación real. Además de identificar a las personas que necesitan será mucho más útil para la alta dirección y la dirección ejecutiva.
capacitación, esto ayuda a identificar las unidades organizacionales que pueden no
estar completamente involucradas en la conciencia de seguridad.
programa.
3.16.11 MEDICIÓN DE LA EFICACIA DE
MARCO DE GESTIÓN Y RECURSOS
Otra medida de la efectividad del programa de concientización son las pruebas de los
empleados. El gerente de seguridad de la información debe desarrollar herramientas La gestión eficiente de la seguridad de la información maximiza los resultados
como exámenes breves en línea o en papel que se administren inmediatamente después que producen los componentes y procesos que implementa.
de la capacitación para determinar la efectividad de la capacitación. Además, realizar Los mecanismos para capturar la retroalimentación del proceso, identificar problemas
cuestionarios adicionales en una muestra aleatoria de empleados varios meses después y oportunidades, rastrear la consistencia de la implementación y comunicar cambios
de la capacitación ayudará a determinar la efectividad a largo plazo de la capacitación de y conocimientos de manera efectiva ayudan a maximizar la efectividad del programa.
concientización y otros esfuerzos (por ejemplo, boletines de seguridad de la información). Los métodos de seguimiento del éxito del programa en esta área incluyen:

• Seguimiento de la frecuencia de recurrencia de problemas El monitoreo de la seguridad de los sistemas de información es un componente
• Seguimiento del nivel de captura de conocimiento operativo operativo crítico de cualquier programa de seguridad de la información. El gerente de
y difusión seguridad de la información debe considerar el desarrollo de un entorno de monitoreo central
• El grado en que las implementaciones de procesos están estandarizadas que proporcione a los analistas visibilidad de todos los recursos de información de la empresa.
• Claridad y exhaustividad de las funciones y responsabilidades de seguridad de la Existe una amplia gama de eventos de seguridad que se registran y que se pueden
información documentadas monitorear, y cada organización necesita determinar qué eventos son los más pertinentes en
• Requisitos de seguridad de la información incorporados en cada plan de proyecto términos de recurso afectado y tipo de evento. Algunos tipos de eventos comúnmente
monitoreados incluyen:
• Esfuerzos y resultados para hacer que el programa sea más productivo y rentable •
Utilización y tendencias generales de los recursos de seguridad • Intentos fallidos de acceso a los recursos
• Procesamiento de fallas que pueden indicar manipulación del sistema
• Alineación continua y apoyo a los objetivos de la organización • Cortes, condiciones de carrera y fallas relacionadas con recursos insuficientes
• Cambios en las configuraciones del sistema, particularmente en los controles de seguridad
El gerente de seguridad de la información debe implementar dichos mecanismos • Actividades y acceso privilegiado al sistema
con el objetivo de extraer valor “latente” adicional del marco, los procedimientos y los • Detección de fallas de componentes de seguridad técnica
recursos que componen el programa.
Se deben desarrollar procedimientos para analizar eventos y tomar las medidas de respuesta
apropiadas. Los analistas de monitoreo de seguridad deben estar capacitados en estos
procedimientos, y los supervisores de monitoreo deben tener procedimientos de respuesta
3.16.12 MEDICIÓN DEL RENDIMIENTO OPERACIONAL
para abordar las anomalías. Por lo general, los procedimientos de respuesta implican analizar
Medir, monitorear e informar sobre los procesos de seguridad de la información
eventos relacionados y estados del sistema, capturar información adicional relacionada con
ayuda al gerente de seguridad de la información a garantizar que los componentes
eventos, investigar actividades sospechosas o escalar el problema a los analistas senior oa
operativos del programa respalden de manera efectiva los objetivos de control. Las
la gerencia. La ruta de escalada para los eventos de seguridad y el inicio de incidentes debe
medidas del rendimiento operativo de la seguridad incluyen:
probarse con regularidad.
• Tiempo para detectar, escalar, aislar y contener incidentes
• Tiempo entre la detección y resolución de vulnerabilidades
• Cantidad, frecuencia y gravedad de los incidentes descubiertos después
Además del monitoreo en tiempo real, el gerente de seguridad de la información
su ocurrencia
debe realizar periódicamente un análisis de las tendencias en los eventos relacionados
• Tiempo promedio entre el lanzamiento del proveedor de parches de vulnerabilidad y
con la seguridad, como los tipos de intentos de ataque o los recursos atacados con
su aplicación
mayor frecuencia. La visión más amplia asociada con este tipo de análisis a menudo
• Porcentaje de sistemas que han sido auditados en un período determinado
puede revelar patrones de amenazas y riesgos que de otro modo pasarían desapercibidos.
• Número de cambios que se publican sin la aprobación total del control de

cambios
Todos los controles clave deben monitorearse en tiempo real, si es posible. Las revisiones
de registros y las alertas de IDS son controles de detección a posteriori y no son ideales para
El gerente de seguridad de la información debe determinar las métricas más apropiadas
garantizar una reacción rápida.
para rastrear las operaciones de seguridad dentro de todas las unidades
organizacionales. Estas métricas deben compilarse, analizarse y distribuirse a las partes
Los resultados del monitoreo continuo se pueden acumular para garantizar a la
interesadas y a la gerencia responsable de manera regular. El comité directivo de seguridad
administración que la seguridad proporciona los niveles apropiados de garantías
debe analizar los problemas de rendimiento en busca de la causa raíz y se deben
operativas y que se cumplen los objetivos de control.
implementar soluciones de mejora.
3.16.13 MONITOREO Y COMUNICACIÓN

Hay una serie de consideraciones de monitoreo al implementar o administrar un programa
3.17 SEGURIDAD DE LA INFORMACIÓN COMÚN
de seguridad, independientemente de su alcance. Los controles nuevos o modificados, DESAFÍOS DEL PROGRAMA
además de muchas otras consideraciones de diseño, requerirán métodos para determinar si
funcionan según lo previsto. El monitoreo de los controles técnicos a menudo consistirá en Iniciar o expandir un programa de seguridad a menudo resultará en una sorprendente
revisar los registros y varias alertas, como un IDS o firewalls, en busca de posibles variedad de impedimentos inesperados para el gerente de seguridad de la información.
vulnerabilidades de seguridad o amenazas emergentes. Estos pueden incluir:
• Resistencia organizacional debido a los cambios en las áreas de
responsabilidad introducidos por el programa
Otras actividades de monitoreo que son igual de importantes y, por lo general, más difíciles • Una percepción de que una mayor seguridad reducirá el acceso requerido
incluirán los controles de procedimientos y procesos. para funciones de trabajo
Es probable que el control técnico de los procesos físicos sea el más eficiente y eficaz. El • Dependencia excesiva de métricas subjetivas
personal generalmente interactúa con los sistemas de información en varios puntos de los • Fracaso de la estrategia •
procesos típicos y estos serán los puntos de control más prometedores para monitorear. El Supuestos de cumplimiento procesal sin supervisión de confirmación
monitoreo temprano en los procesos, además de observar los resultados adecuados,
proporcionará una advertencia más temprana de problemas inminentes. • Gestión de proyectos ineficaz, que retrasa las iniciativas de seguridad
• Software de seguridad no detectado previamente, roto o con errores

Siempre hay desafíos culturales y organizacionales en cualquier función laboral y El entorno puede incluir una falta de apoyo gerencial, bajos niveles de recursos
el camino no está despejado para el gerente de seguridad de la información para la seguridad de la información, un enfoque miope de la estrategia y poca
simplemente por obtener el apoyo de la alta dirección. cooperación de otras unidades de negocios.
Para implementar un programa verdaderamente exitoso, la cooperación de muchos Por lo general, el gerente de seguridad de la información en esta situación
otros en la organización también será importante. se encuentra muy abajo en la jerarquía y tiene la abrumadora tarea de tratar
de impulsar la seguridad en la estructura organizacional.
La figura 3.19 identifica algunas limitaciones inherentes al desarrollo de la
hoja de ruta para tres organizaciones diferentes. Un gerente de seguridad de La situación está mejorando gradualmente por varias razones, incluidos los
la información debe ser consciente del tipo de restricciones inherentes a la mandatos legales y reglamentarios que exigen una mayor seguridad como
organización al diseñar actividades de control y debe esforzarse por minimizar su cuestión de seguridad nacional y necesidad comercial. Las expectativas de los
impacto en los objetivos del programa de seguridad de la información. clientes y socios comerciales son una consideración importante que ha
proporcionado un impulso positivo hacia una mayor seguridad. Otro son los
rigurosos requisitos de seguridad de la industria de tarjetas de crédito del consejo
La última línea de la figura 3.19 muestra las capacidades del programa de de normas de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI)
seguridad de la información que resultan del conjunto de restricciones asociadas para organizaciones que procesan información de tarjetas de crédito. Dado que
con la organización correspondiente. La organización 1 es la organización que esto afecta a una amplia gama de organizaciones, es probable que mejore
introduce la mayor cantidad de restricciones en la implementación de un programa significativamente muchos aspectos de la seguridad de la información a nivel
exitoso de seguridad de la información. La organización 3 es la más controlada y, mundial. Sigue siendo un desafío si la tasa de adopción y la seguridad mejorada
por lo tanto, la más propicia para desarrollar un programa eficaz de seguridad de igualarán el ritmo de elementos criminales cada vez más sofisticados y rentables.
la información. Estos ejemplos se contrastan para demostrar que la capacidad de
un gerente de seguridad de la información para producir un programa efectivo de
seguridad de la información depende casi por completo del entorno en el que opera. En un futuro próximo, otros impulsores incluirán un aumento de los litigios
que probablemente resulten en indemnizaciones por daños sustanciales.
Finalmente, el surgimiento de la necesidad del seguro cibernético, con los
Muchas organizaciones aún ven la seguridad de la información como un centro de requisitos concomitantes de las aseguradoras para una gestión adecuada del
costos basado en tecnología de bajo nivel, que renuncia a la gobernanza de la riesgo, será un motor para una seguridad mejor y más efectiva. Es probable que
seguridad y la gestión estratégica de la seguridad de la información. Si bien se esto suceda de la misma manera en que los seguros han sido fundamentales para
reconoce universalmente como necesaria, la seguridad de la información a menudo mejorar gradualmente la seguridad de los automóviles, los productos y los incendios.
se considera una obstrucción y un impedimento para realizar el trabajo. Esta
situación puede crear un entorno desafiante para un gerente de seguridad de la Aunque la situación general en términos de seguridad está mejorando, el gerente
información. Algunas manifestaciones comunes de tal de seguridad de la información debe manejar la situación como
Figura 3.19—Limitaciones en el desarrollo de un mapa de ruta de seguridad de la información
Organización 1 Organización 2 Organización 3
Requisitos El cumplimiento requiere cambios importantes en el Los controles frecuentes al azar interrumpen el progreso Existen restricciones sobre el intercambio de datos
legales y flujo de datos de la aplicación. de los proyectos a más largo plazo. con los proveedores de servicios.
reglamentarios
Físico y La sala de computadoras está ubicada en un La operación del centro de datos está subcontratada. El centro de datos en el cuarto piso es un control
factores piso de fácil acceso y está sujeta a inundaciones. de ambiente adecuado.
medioambientales
Ética La actitud es “si lo veo en mi pantalla, es mío”. La actitud es “si puedo usarlo para ganar dinero, La actitud es “si lo necesito, mi solicitud debe ser
debería ser mío”. aprobada”.
Cultura/regional La cultura promueve la libertad de compartir Las guerras territoriales impiden los procesos de El tono en la parte superior promueve los objetivos de
variaciones información. aprobación de políticas. seguridad de la información.
Costos La empresa está en bancarrota y no puede gastar Todos los proyectos de seguridad de la información deben estar justificados El presupuesto de seguridad de la información está
dinero en TI. en función de los costos. aprobado y es adecuado.
Personal Los ex-hackers son contratados por departamentos Las verificaciones de antecedentes se realizan esporádicamente Los procesos de selección de personal se
que buscan información competitiva. en función de las evaluaciones de riesgos de los recursos implementan de manera uniforme.
humanos.
Logística El gerente de seguridad de la información está El gerente de seguridad de la información está El gerente de seguridad de la información está bien
ubicado en una sucursal con acceso limitado a ubicado en la sede y no tiene acceso al centro de ubicado entre la sede y el centro de datos.
la red. datos.
Recursos No se dedica personal ni equipo a la El personal del gerente de seguridad de la información El personal del gerente de seguridad de la
seguridad. carece de habilidades técnicas. información tiene experiencia en TI y acceso diario
a la tecnología.
Capacidades Solo documentación Coordinación de procesos Implementación de controles


CISM - Gu A para La Certificaci N - 2013 - Docto de Apoyo-4

Cargado por

Copyright:

Formatos disponibles

CISM - Gu A para La Certificaci N - 2013 - Docto de Apoyo-4

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CISM - Gu A para La Certificaci N - 2013 - Docto de Apoyo-4

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Capítulo 3—Programa de seguridad de la información

La implementación de un programa de seguridad invariablemente afecta la

Figura 3.2—Pasos en el desarrollo del programa de seguridad de la información

Manual de revisión CISM 2013 ISACA. 147

Otros resultados de un marco de gestión de la seguridad eficaz se centran en las 1. Reunión

de la organización necesitan conocer los riesgos y las opciones de mitigación para

Por lo general, se espera que el gerente de seguridad de la información elabore

• El programa agrega valor táctico y estratégico a la organización.

• El programa está siendo operado eficientemente y con preocupación por

• La gerencia tiene una comprensión clara de la seguridad de la información

148 Manual de revisión del CISM 2013

Manual de revisión CISM 2013 ISACA. 149

Para cada componente operativo, el gerente de seguridad de la información deberá

problemas de seguridad relacionados con las actividades comerciales.

Seguridad 3.9.2 COMPONENTES DE GESTIÓN

Los diversos componentes que componen el marco de gestión se pueden

150 Manual de revisión del CISM 2013

3.9.3 COMPONENTES ADMINISTRATIVOS

Las funciones de administración financiera generalmente consisten en elaboración de

Manual de revisión CISM 2013 ISACA. 151

Sin embargo, si no se desarrolla una estrategia y no se definen objetivos de gestión

organizacionales importantes. La información extraída de tales entrevistas señalará a

los sistemas, como se muestra en la figura 3.5). críticos de éxito (CSF).

En la etapa 3, los miembros del comité directivo de seguridad de la información

152 Manual de revisión del CISM 2013

Figura 3.5—Proceso de controles del sistema de gestión de seguridad de la información

evaluación de riesgos incluyen: Estatutario,

3.11 INFRAESTRUCTURA Y cosa. Cuando la infraestructura está diseñada e implementada y es

La infraestructura se refiere a la base o base subyacente sobre la cual

Manual de revisión CISM 2013 ISACA. 153

En el momento del desarrollo e implementación de un programa de

en el capítulo 1, sección 1.14.2, que incluyen:

(MODAF) brindar servicios y administración efectivos a la empresa, sus clientes y sus

154 Manual de revisión del CISM 2013

Simplicidad y claridad a través de capas y modularización

Enfoque comercial más allá del dominio técnico sido robada.

la entrega de lo que la empresa espera y necesita.

Existen varios enfoques de arquitectura para componentes de sistemas de

la información contenida en el documento esté autorizada para enviarse a una entidad

Manual de revisión CISM 2013 ISACA. 155

La vista del diseñador Arquitectura de seguridad lógica

Figura 3.7—El modelo SABSA para el desarrollo

Arquitectura de seguridad lógica

Arquitectura de seguridad física

En la organización típica, la gestión del programa de seguridad de

156 Manual de revisión del CISM 2013

Figura 3.8—La matriz SABSA para el desarrollo de la arquitectura de seguridad

Activos Motivación Proceso Gente Ubicación Tiempo

(Qué) (Por qué) (Cómo) (Quién) (Dónde) (Cuando)

Negocio Negocio Negocio Negocio

Negocio Esquema de Dominio de seguridad Seguridad

Negocio usuarios, Plataforma

Figura 3.9—El marco de SABSA para la gestión de la seguridad

Activos Motivación Proceso Gente Ubicación Tiempo

(Qué) (Por qué) (Cómo) (Quién) (Dónde) (Cuando)

Negocio Riesgo del negocio Negocio

Amenaza Producto Se acabó el tiempo