GSI - Resumen Capitulo 1

UNIVERSIDAD TECNOLOGICA NACIONAL FACULTAD REGIONAL RESISTENCIA
GESTION DE SEGURIDAD DE LA INFORMACIN

Ingeniera en Sistemas de Informacin
Apuntes de Teora Unidad 1 Gobierno de Seguridad de la Informacin
La informacin y las tecnologas a travs de las que se crea, maneja y transfiere la informacin son fundamentales. Pese a esa importancia de la informacin, la realidad es que no hay un grado de concienciacin suficiente en las organizaciones para reconocer la informacin como un activo fundamental. Ni se crea una necesidad de proteger la seguridad de ese activo hasta que tenemos el problema encima.
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin
Contenido
1.1 INTRODUCCIN ............................................................................................................................................................... 5 1.2 DEFINICIN ..................................................................................................................................................................... 5 1.3 OBJETIVOS ....................................................................................................................................................................... 5 1.4 VISIN GENERAL DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN ................................................................... 5 1.4.1 IMPORTANCIA DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN ................................................................ 6 1.4.2 RESULTADOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN .................................................................. 7 1.5 GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA INFORMACIN ..................................................................................... 8 1.5.1 METAS Y OBJETIVOS DEL NEGOCIO .......................................................................................................................... 9 1.5.2 ROLES Y RESPONSABILIDADES DE LA ALTA DIRECCIN .......................................................................................... 10 Consejo de Direccin/Alta Direccin ........................................................................................................................... 10 Direccin Ejecutiva ...................................................................................................................................................... 10 Comit Directivo ......................................................................................................................................................... 10 CISO ............................................................................................................................................................................. 10 1.5.3 MATRIZ DE RESULTADOS Y RESPONSABILIDADES .................................................................................................. 11 1.5.4 GOBIERNO, GESTIN DE RIESGOS Y CUMPLIMIENTO ............................................................................................ 11 1.5.5 MODELO DE NEGOCIOS PARA LA SEGURIDAD DE LA INFORMACIN .................................................................... 12 Interconexiones Dinmicas ......................................................................................................................................... 13 1.6 CONCEPTOS DE LA SEGURIDAD DE LA INFORMACIN .................................................................................................. 14 1.6.1 TECNOLOGAS ........................................................................................................................................................ 15 1.7 GERENTE DE SEGURIDAD DE LA INFORMACIN ........................................................................................................... 16 1.7.1 RESPONSABILIDADES.............................................................................................................................................. 16 1.7.2 COMPROMISO DE LA ALTA DIRECCIN .................................................................................................................. 16 Cmo Obtener el Compromiso de la Alta Direccin.................................................................................................... 17 Establecimiento de los Canales de Reporte y Comunicacin ...................................................................................... 18 1.7.3 CONCIENCIACIN SOBRE PRESUPUESTO ............................................................................................................... 19 1.8 ALCANCE Y ESTATUTOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN ....................................................... 19 1.8.1 INTEGRACIN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA) .................................................................. 20 Convergencia............................................................................................................................................................... 20 1.9 MTRICAS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN ........................................................................... 21 1.9.1 MTRICAS DE SEGURIDAD DE LA INFORMACIN ................................................................................................... 22 1.9.2 1.9.3 MTRICAS DE IMPLEMENTACIN DE GOBIERNO ............................................................................................ 24 ALINEACIN ESTRATGICA .............................................................................................................................. 24
1.9.4 GESTIN DE RIESGOS ............................................................................................................................................. 25
Pgina 1
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin 1.9.5 ENTREGA DE VALOR ............................................................................................................................................... 25 1.9.6 GESTIN DE ACTIVOS ............................................................................................................................................. 26 1.9.7 MEDICIN DEL DESEMPEO .................................................................................................................................. 26 1.9.8 INTEGRACIN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA) .................................................................. 27 1.10 VISIN GENERAL DE LA SEGURIDAD DE LA INFORMACIN ........................................................................................ 27 1.10.1 UNA PERSPECTIVA ALTERNA DE LA ESTRATEGIA ................................................................................................. 28 1.11 DESARROLLO DE UNA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN ................................................................. 28 1.11.1 DIFICULTADES COMUNES ..................................................................................................................................... 28 1.12 OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN ........................................................................ 29 1.12.1 LA META ............................................................................................................................................................... 30 1.12.2 DEFINICIN DE OBJETIVOS ................................................................................................................................... 31 Interrelaciones de Negocio ......................................................................................................................................... 32 1.12.3 DESARROLLO DEL CASO DE NEGOCIO .................................................................................................................. 32 Evaluacin de Casos de Negocio ................................................................................................................................. 33 Objetivos de Casos de Negocio ................................................................................................................................... 33 1.12.4 EL ESTADO DESEADO............................................................................................................................................ 34 CobiT ........................................................................................................................................................................... 34 Modelo de la Capacidad de Madurez (CMM) ............................................................................................................. 35 Cuadro de Mando (Balanced Scorecard) ..................................................................................................................... 35 Enfoques Sobre la Arquitectura .................................................................................................................................. 36 ISO/IEC 27001 y 27002 ................................................................................................................................................ 36 Otros Enfoques............................................................................................................................................................ 37 1.12.5 OBJETIVOS DE RIESGO .......................................................................................................................................... 37 1.13 DETERMINACIN DEL ESTADO ACTUAL DE LA SEGURIDAD ........................................................................................ 38 1.13.1 RIESGO ACTUAL .................................................................................................................................................... 38 Evaluacin/Anlisis de Impacto al Negocio ................................................................................................................. 38 1.14 ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN .................................................................................................... 39 1.14.1 ELEMENTOS DE UNA ESTRATEGIA........................................................................................................................ 39 Plan de Accin ............................................................................................................................................................. 39 1.14.2 RECURSOS Y LIMITACIONES DE LA ESTRATEGIA-VISIN GENERAL ...................................................................... 40 Recursos ...................................................................................................................................................................... 40 Limitaciones ................................................................................................................................................................ 41 1.15 RECURSOS DE LA ESTRATEGIA..................................................................................................................................... 41 1.15.1 POLTICAS Y ESTNDARES .................................................................................................................................... 41 Polticas ....................................................................................................................................................................... 41 Estndares ................................................................................................................................................................... 41 Procedimientos ........................................................................................................................................................... 42
Pgina 2
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Directrices ................................................................................................................................................................... 42 1.15.2 ARQUITECTURAS DE SEGURIDAD DE LA INFORMACIN ...................................................................................... 42 Marcos Alternativos de Arquitectura Empresarial ...................................................................................................... 43 1.15.3 CONTROLES .......................................................................................................................................................... 44 Controles de TI ............................................................................................................................................................ 44 Controles que no Estn Relacionados con TI............................................................................................................... 44 Defensas por Niveles ................................................................................................................................................... 44 1.15.4 CONTRAMEDIDAS................................................................................................................................................. 44 1.15.5 TECNOLOGAS ...................................................................................................................................................... 45 1.15.6 PERSONAL ............................................................................................................................................................ 45 1.15.7 ESTRUCTURA ORGANIZACIONAL .......................................................................................................................... 46 Enfoques Centralizados y Descentralizados para Coordinar la Seguridad de la Informacin ..................................... 46 1.15.8 ROLES Y RESPONSABILIDADES DE LOS EMPLEADOS ............................................................................................ 47 1.15.9 HABILIDADES ........................................................................................................................................................ 47 1.15.10 CONCIENCIACIN Y FORMACIN ....................................................................................................................... 47 1.15.11 AUDITORAS ....................................................................................................................................................... 48 1.15.12 EXIGENCIA DE CUMPLIMIENTO .......................................................................................................................... 49 1.15.13 ANLISIS DE AMENAZAS .................................................................................................................................... 49 1.15.14 ANLISIS DE VULNERABILIDAD........................................................................................................................... 49 1.15.15 EVALUACIN DE RIESGOS .................................................................................................................................. 49 1.15.16 CONTRATACIN DE SEGUROS ............................................................................................................................ 50 1.15.17 EVALUACIN DE IMPACTO AL NEGOCIO ............................................................................................................ 50 1.15.18 ANLISIS DE LA DEPENDENCIA DE RECURSOS .................................................................................................... 50 1.15.19 PROVEEDORES EXTERNOS DE SEGURIDAD......................................................................................................... 50 1.15.20 OTROS PROVEEDORES DE SOPORTE Y ASEGURAMIENTO ORGANIZACIONAL ................................................... 51 1.16 RESTRICCIONES DE LA ESTRATEGIA............................................................................................................................. 51 1.16.1 REQUERIMIENTOS LEGALES Y REGULAT0RI0S...................................................................................................... 51 Requerimientos Sobre el Contenido y la Retencin de Registros de Negocio ............................................................ 51 1.16.2 FACTORES FSICOS ................................................................................................................................................ 52 1.16.3 TICA .................................................................................................................................................................... 52 1.16.4 CULTURA .............................................................................................................................................................. 52 1.16.5 ESTRUCTURA ORGANIZACIONAL .......................................................................................................................... 52 1.16.6 COSTOS ................................................................................................................................................................ 52 1.16.7 PERSONAL ............................................................................................................................................................ 53 1.16.8 RECURSOS ............................................................................................................................................................ 53 1.16.9 CAPACIDADES ....................................................................................................................................................... 53 1.16.10 TIEMPO .............................................................................................................................................................. 53
Pgina 3
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin 1.16.11 TOLERANCIA AL RIESGO ..................................................................................................................................... 53 1.17 PLAN DE ACCIN PARA LA ESTRATEGIA ...................................................................................................................... 54 1.17.1 ANLISIS DE BRECHAS-BASE PARA UN PLAN DE ACCIN ..................................................................................... 54 1.17.2 ELABORACIN DE POLTICAS ............................................................................................................................... 54 1.17.3 ELABORACIN DE ESTNDARES ........................................................................................................................... 56 1.17.4 CAPACITACIN Y CONCIENCIACIN ..................................................................................................................... 56 1.17.5 MTRICAS DEL PLAN DE ACCIN .......................................................................................................................... 56 INDICADORES CLAVE DE METAS ................................................................................................................................. 57 FACTORES CRTICOS DE XITO .................................................................................................................................... 57 INDICADORES CLAVE DE DESEMPEO ........................................................................................................................ 57 Consideraciones Generales de Mtricas ..................................................................................................................... 57 1.18 IMPLEMENTACIN DEL GOBIERNO DE LA SEGURIDAD-EJEMPLO ............................................................................... 59 1.18.1 MUESTRAS ADICIONALES DE POLTICAS .............................................................................................................. 61 1.19 METAS INMEDIATAS DEL PLAN DE ACCIN ................................................................................................................ 63 1.20 OBJETIVOS DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIN ........................................................................... 64 1.21 ESTUDIO DE CASOS DE EJEMPLO ................................................................................................................................ 64 1.22 RECURSOS SUGERIDOS PARA AMPLIAR CONCEPTOS .................................................................................................. 66
Pgina 4
1.1 INTRODUCCIN
Esta unidad revisa el conjunto de conocimientos y tareas asociadas necesarias para desarrollar una estructura de gobierno de seguridad de la informacin alineada con los objetivos de la organizacin.
1.2 DEFINICIN
Se define gobierno como "el conjunto de responsabilidades y prcticas, ejercidas por el consejo de direccin y la direccin ejecutiva, con la finalidad de brindar una direccin estratgica, garantizar que se logren los objetivos, determinar que los riesgos se administran de forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad."
1.3 OBJETIVOS
El objetivo de esta rea de prctica de trabajo es garantizar que el gerente de seguridad de la informacin comprenda los amplios requerimientos para un gobierno efectivo de seguridad de la informacin, as como los elementos y las acciones que se requieren para desarrollar una estrategia de seguridad de la informacin y un plan de accin para implementarla. Una extensin de la definicin de gobierno incluye "la estructura a travs de la cual se establecen los objetivos de la empresa, y se determinan los medios para alcanzar dichos objetivos y monitorear el desempeo.". La estructura y los medios incluyen estrategia; polticas y sus respectivos estndares, procedimientos y directrices; planes estratgicos y operativos; concienciacin y capacitacin; gestin de riesgos; controles; auditoras, y otras actividades de aseguramiento.
1.4 VISIN GENERAL DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

La informacin puede definirse como "datos que tienen significado y propsito." Actualmente, juega un papel cada vez ms importante en todos los aspectos de nuestras vidas. La informacin se ha convertido en un componente indispensable de la conduccin del negocio para virtualmente todas las organizaciones. En un creciente nmero de compaas, la informacin es el negocio. Este negocio incluye a participantes importantes de la sociedad del conocimiento que est surgiendo, como son Google, eBay, Microsoft y un sinnmero de compaas tanto grandes como pequeas. Algunos podran no pensar en el software como informacin, pero es simplemente informacin para computadoras sobre cmo operar o procesar algo. Las organizaciones tradicionales tambin han sufrido una transformacin radical en la "era de la informacin". Las artes grficas y la industria de la imprenta, por ejemplo, trabajan hoy en da casi en su totalidad con informacin en formato digital. Las obras de arte y las obras maestras ya no son trazos fsicos o partes de pelculas sino bloques de informacin almacenados en discos duros. Sera difcil encontrar un negocio que no haya sido tocado por la tecnologa de la informacin y que no dependa de la informacin que procesa. Los sistemas de informacin se han vuelto penetrantes en la sociedad global y en los negocios, y la dependencia de estos sistemas y la informacin que manejan es, para muchos, absoluta. Los delitos y el vandalismo informticos se han vuelto la opcin de un creciente grupo de delincuentes discretos. Los terroristas y otros enemigos de la sociedad han acogido con descaro a la misma tecnologa de informacin que afirman despreciar profundamente para anunciar su cosmovisin y revelar sus actos hostiles. Para llevar a cabo la tarea de proteccin adecuada de los recursos de informacin, se debe elevar el problema a una actividad a nivel del consejo de direccin como con las otras funciones crticas de gobierno. La complejidad, relevancia y
Pgina 5
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin criticidad de la seguridad de la informacin y su gobierno exigen que sea tratada y apoyada por los niveles ms altos de la organizacin. De manera progresiva, aquellos que comprenden el alcance y la profundad de los riesgos a los que est expuesta la informacin estn tomando la postura de que, al ser un recurso crtico, la informacin debe tratarse con el mismo cuidado, precaucin y prudencia que recibira cualquier otro activo esencial para la supervivencia de la organizacin y, tal vez, de la sociedad misma. Hasta hace poco, la proteccin se haba enfocado a los sistemas de TI que procesan y almacenan la vasta mayora de la informacin en vez de la informacin per se. Sin embargo, este enfoque es demasiado limitado para cumplir con el nivel de integracin, aseguramiento del proceso y seguridad general que hoy en da se requiere. La seguridad de la informacin adopta una perspectiva ms amplia, segn la cual el contenido, la informacin y el conocimiento en el que se basa tienen que contar con una proteccin adecuada, sin importar cmo se maneja, procesa, transporta o almacena. La seguridad de TI trata la seguridad de la tecnologa y, por lo general, se maneja desde el nivel del director de informacin (CIO). La seguridad de la informacin abarca la totalidad de riesgos, beneficios y procesos que estn relacionados con la informacin y debe ser impulsada por la direccin ejecutiva y respaldada por el consejo de direccin. El avance incesante de la tecnologa de informacin y la incomparable capacidad para acceder, manipular y utilizar la informacin han aportado enormes beneficios y oportunidades a la economa global. Asimismo, ha trado nuevos riesgos sin precedentes y un desconcertante mosaico de leyes y regulaciones tanto vigentes como en espera de aprobacin. La direccin ejecutiva se enfrenta cada vez ms a la necesidad de seguir siendo competitiva en la economa global y presta atencin a la promesa de obtener ganancias indefinidamente si se utilizan an ms recursos de informacin. Sin embargo, incluso a medida que esas organizaciones cosechan tales ganancias, los espectros que siempre van de la mano, por un lado la creciente dependencia de la informacin y los sistemas que la soportan y por el otro, los constantes riesgos que se derivan de una gran variedad de amenazas, obligan a la gerencia a tomar decisiones difciles sobre cmo tratar la seguridad de la informacin con efectividad. Adems, un gran nmero de leyes y regulaciones nuevas y vigentes exigen cada vez ms el cumplimiento y mayores niveles de responsabilidad. El gobierno de la seguridad de la informacin es responsabilidad tanto del consejo de direccin como de la direccin ejecutiva. Debe ser una parte integral y transparente del gobierno de la empresa. Consta del liderazgo, las estructuras organizacionales y los procesos que salvaguardan la informacin.
1.4.1 IMPORTANCIA DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

Desde la perspectiva de una organizacin, el gobierno de la seguridad de la informacin es cada vez ms crtico a medida que crece la dependencia de la informacin. El juicio de un hombre no puede ser mejor que la informacin en la cual ha basado dicho juicio. La informacin definida como "datos dotados de significado y propsito" es la esencia del conocimiento. El conocimiento, a su vez, se capta, transporta y almacena como informacin organizada. Para la mayora de las organizaciones, la informacin y el conocimiento en el que sta basa se han vuelto uno de sus activos cada vez ms importantes sin los cuales sera imposible dirigir el negocio. Los sistemas y procesos que manejan esta informacin se han vuelto verdaderamente penetrantes en todas las organizaciones de negocio y gubernamentales del mundo entero. Esta creciente dependencia de las organizaciones de su informacin y los sistemas que la manejan, junto con los riesgos, beneficios y oportunidad que representan dichos recursos, han hecho del gobierno de la seguridad de la informacin un aspecto cada vez ms crucial del gobierno en su conjunto. Adems de tratar los requerimientos legales y regulatorios, un gobierno efectivo de la seguridad de la informacin es, simplemente, un buen negocio. Las gerencias prudentes han llegado a entender que ofrece una serie de beneficios significativos, entre los que se encuentran:
Pgina 6
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Tratar la creciente posibilidad de que la organizacin y su alta direccin se enfrenten de manera habitual a la responsabilidad civil o legal como resultado de imprecisiones en la informacin o la ausencia del debido cuidado para protegerla. Brindar confianza en el cumplimiento de las polticas. Aumentar la previsibilidad y reducir la incertidumbre en las operaciones de negocio al reducir los riesgos a niveles definibles y aceptables. Proveer la estructura y el marco para optimizar las asignaciones de los limitados recursos de seguridad. Proveer un nivel de certeza de que las decisiones crticas no se basan en informacin defectuosa. Proporcionar un fundamento slido para tener una gestin de riesgos y una mejora de procesos eficientes y eficaces, as como una respuesta rpida a incidentes. Brindar una mayor confianza en las interacciones con socios comerciales. Mejorar la confianza en las relaciones con los clientes. Proteger la reputacin de la organizacin. Permitir nuevas y mejores formas de procesar las transacciones electrnicas. Establecer la responsabilidad para proteger la informacin durante actividades crticas de negocio, tales como fusiones y adquisiciones, recuperacin del proceso de negocio y respuestas regulatorias.
Por ltimo, dado que la nueva tecnologa de informacin brinda la posibilidad de una mejora radical en el desempeo del negocio, una seguridad efectiva de la informacin puede aadir un valor significativo a la organizacin al reducir las prdidas derivadas de incidentes que estn relacionados con la seguridad y brindar la confianza de que tales incidentes y las violaciones a la seguridad no son catastrficos. Adems, algunas pruebas demuestran que una mejor percepcin en el mercado resulta en un mayor valor por accin.
1.4.2 RESULTADOS INFORMACIN
DEL
GOBIERNO
DE
LA
SEGURIDAD
DE
LA
El gobierno de la seguridad de la informacin incluye los elementos que se requieren para brindar a la alta direccin la certeza de que su direccin y empeo se reflejan en la postura de seguridad de la organizacin al utilizar un enfoque estructurado para implementar un programa de seguridad. Una vez que se cuenta con dichos elementos, la alta direccin puede tener la confianza de que una seguridad de la informacin adecuada y efectiva proteger los activos de informacin de la organizacin que son fundamentales. El objetivo de la seguridad de la informacin es desarrollar, implementar y gestionar un programa de seguridad que alcance los siguientes seis resultados bsicos de un gobierno efectivo de seguridad: 1) Alineacin estratgicaAlinear la seguridad de la informacin con la estrategia de negocio para apoyar los objetivos organizacionales, tales como: Requerimientos de seguridad dirigidos por requerimientos de una empresa ampliamente desarrollados para dar una orientacin sobre lo que debe hacerse y una medida sobre cuando se ha alcanzado. Ajuste de las soluciones de seguridad a los procesos de la empresa que toman en cuenta la cultura, el estilo de gobierno, la tecnologa y la estructura de la organizacin. Inversin en seguridad de la informacin que sea congruente con la estrategia de la empresa y un perfil bien definido de amenaza, vulnerabilidad y riesgo. Gestin de riesgosEjecutar medidas apropiadas para mitigar los riesgos y reducir el posible impacto que tendran en los recursos de informacin a un nivel aceptable, tales como: Entendimiento colectivo del perfil de amenaza, vulnerabilidad y riesgo de la organizacin. Entendimiento de la exposicin al riesgo y las posibles consecuencias de la inestabilidad. Conciencia de las prioridades de la gestin de riesgos con base en las posibles consecuencias. Suficiente mitigacin de riesgos para obtener consecuencias aceptables del riesgo residual. Aceptacin/transferencia del riesgo a partir de un entendimiento de las posibles consecuencias del riesgo residual.
2)
Pgina 7
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin 3) Entrega de valorOptimizar las inversiones en la seguridad en apoyo a los objetivos del negocio, tales como: Un conjunto estndar de prcticas de seguridad, es decir, requerimientos mnimos de seguridad posteriores a prcticas adecuadas y suficientes que sean proporcionales al riesgo y al impacto potencial. Un esfuerzo debidamente priorizado y distribuido en reas de mayor impacto y beneficio para el negocio. Soluciones institucionalizadas y de uso general basadas en estndares. Soluciones completas que abarquen a la organizacin, el proceso y la tecnologa con base en un entendimiento del negocio completo de una organizacin. Una cultura de mejora continua basada en el entendimiento de que la seguridad es un proceso, no un incidente. Gestin de recursosUtilizar el conocimiento y la infraestructura de seguridad de la informacin con eficiencia y efectividad para: Asegurar que los conocimientos sean captados y estn disponibles. Documentar los procesos y las prcticas de seguridad. Desarrollar arquitectura(s) de seguridad para definir y utilizar los recursos de la infraestructura de manera eficiente. Medicin del desempeoMonitorear y reportar procesos de seguridad de la informacin para garantizar que se alcancen los objetivos, entre otros: Un conjunto de medidas definidas, acordadas y significativas debidamente alineadas con los objetivos estratgicos y que proporcionan la informacin necesaria para tomar decisiones efectivas en los niveles estratgicos, gerenciales y operativos Un proceso de medicin que ayude a identificar deficiencias y proporcionar retroalimentacin sobre los avances hechos para resolver los problemas. Aseguramiento independiente proporcionado por evaluaciones y auditorias externas. IntegracinIntegrar todos los factores de aseguramiento relevantes para garantizar que los procesos operan de acuerdo con lo planeado de principio a fin: Determinar todas las funciones organizacionales de aseguramiento. Desarrollar relaciones formales con otras funciones de aseguramiento. Coordinar todas las funciones de aseguramiento para una seguridad ms completa. Verificar que coincidan los roles y las responsabilidades entre las reas de aseguramiento. Emplear un enfoque de sistemas para planificacin, implementacin y gestin de seguridad de la informacin.
4)
5)
6)
1.5 GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA INFORMACIN

El gobierno de la seguridad de la informacin es responsabilidad tanto del consejo de direccin como de la direccin ejecutiva. Debe ser una parte integral y transparente del gobierno de la empresa, y debe complementar o incluir el marco de gobierno de TI. Aun cuando la direccin ejecutiva es responsable de considerar y responder a estos temas, se espera cada vez con mayor frecuencia que el consejo de direccin incluya a la seguridad de la informacin como un elemento intrnseco del gobierno, integrado a los procesos con los que cuentan para gobernar otros recursos crticos de la organizacin. Tal como se establece en el Modelo de negocios de seguridad de la Informacin (Business Model for Information Security, BMIS) (ver seccin 1.5.5), "Ya no basta con comunicarle a todas las partes interesadas por qu existimos [la organizacin] y qu es lo que constituye el xito; debemos comunicar tambin cmo vamos a proteger nuestra existencia". Esto indica que una estrategia organizacional clara de preservacin tiene igual importancia que una estrategia para el progreso y deben ir de la mano. Gobernar para la seguridad de una empresa significa ver una seguridad adecuada como un requerimiento no negociable para estar en el negocio. Si la gerencia de una organizacin, incluyendo los consejos de direccin, la alta direccin y
Pgina 8
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin todos los gerentes, no establece y refuerza la necesidad del negocio de contar con seguridad efectiva para la empresa, el estado de seguridad deseado de la organizacin no se articular, lograr ni sostendr. Para lograr una capacidad sustentable, las organizaciones deben hacer que la seguridad de la empresa sea responsabilidad de los lderes a un nivel de gobierno, no de otros roles de la organizacin que no tienen autoridad, responsabilidad ni recursos para actuar o exigir el cumplimiento. Adems de proteger los activos de informacin, es preciso contar con un gobierno efectivo de seguridad de la informacin para atender los requerimientos legales y regulatorios, lo cual se est volviendo obligatorio en la aplicacin del debido cuidado. Desde cualquier perspectiva, debe considerarse sencillamente como un buen negocio.
1.5.1 METAS Y OBJETIVOS DEL NEGOCIO

El gobierno corporativo es el conjunto de responsabilidades y prcticas, ejercidas por el consejo de direccin y la direccin ejecutiva, con la finalidad de brindar una direccin estratgica, garantizar que se logran los objetivos, determinar que los riesgos se administran en forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad. La direccin estratgica del negocio ser definida por las metas y los objetivos de negocio. La seguridad de la informacin debe apoyar las actividades de negocio para que sea de valor para la organizacin. El gobierno de la seguridad de la informacin es un subconjunto del gobierno corporativo que proporciona una direccin estratgica a las actividades de la seguridad y garantiza que se alcancen los objetivos. Garantiza que los riesgos de seguridad de la informacin sean gestionados de manera apropiada y que los recursos de informacin de la empresa se usen con responsabilidad. Para lograr un gobierno efectivo de la seguridad de la informacin, la gerencia debe establecer y mantener un marco para guiar el desarrollo y la gestin de un programa completo de seguridad de la informacin que apoye los objetivos de negocio. Por lo general, el marco de gobierno constar de lo siguiente: 1. 2. 3. 4. 5. Una estrategia integral de seguridad que est vinculada de manera intrnseca con los objetivos de negocio. Polticas de gobierno de seguridad vigentes que traten cada aspecto relacionado con la estrategia, los controles y la regulacin. Un conjunto completo de estndares para cada poltica que garantice que los procedimientos y directrices cumplan con dicha poltica. Una estructura organizacional efectiva de seguridad libre de conflictos de inters que tenga autoridad suficiente y recursos adecuados. Mtricas y procesos de monitoreo institucionalizados que garanticen el cumplimiento, proporcionen retroalimentacin sobre la efectividad y suministren la informacin bsica apropiada para la toma de decisiones gerenciales.
Este marco, a su vez, establece la base para desarrollar un programa rentable de seguridad de la informacin que apoye las metas de negocio de la organizacin. En la unidad 3, Desarrollo de un programa de seguridad de la informacin, se explica cmo implementar un programa de seguridad. El objetivo del programa es un conjunto de actividades que proveen garanta de que a los activos de informacin se les da un nivel de proteccin acorde con su valor o con el riesgo que su inestabilidad representara para la organizacin. Las relaciones entre el gobierno de la empresa, gestin de riesgos, seguridad TI, seguridad de la informacin, controles, arquitectura y los dems componentes de un marco de gobierno se representan en la Figura 1.2 (Ver Presentacin PPT).
Pgina 9
1.5.2 ROLES Y RESPONSABILIDADES DE LA ALTA DIRECCIN

Consejo de Direccin/Alta Direccin El gobierno de la seguridad de la informacin requiere de direccin estratgica y de mpetu. Requiere de compromiso, recursos y asignar responsabilidades para la gestin de la seguridad de la informacin, as como un medio para que el consejo de direccin determine que se ha cumplido su propsito. Slo es posible lograr un gobierno efectivo de seguridad de la informacin mediante la participacin de la alta direccin en la aprobacin de las polticas y de monitoreo y las mtricas apropiadas, junto con la presentacin de informacin y anlisis de tendencias. Los miembros del consejo de direccin deben tener conocimiento de los activos de informacin de la organizacin y su criticidad para las operaciones de negocio continuas. Esto puede lograrse al proporcionarle al consejo de manera peridica resultados de alto nivel de las evaluaciones integrales de riesgo y anlisis de impacto al negocio (BIA). Tambin se puede lograr mediante evaluaciones de los recursos de informacin respecto de la dependencia del negocio. Un resultado de estas actividades debe de incluir que los miembros del consejo validen/ratifiquen los activos clave que quieren proteger y que los niveles de proteccin y las prioridades sean adecuados a un estndar de debido cuidado. La actitud de la gerencia debe conducir a un gobierno efectivo de la seguridad. No es razonable esperar que el personal de nivel ms bajo acate las medidas de seguridad si stas no son ejercidas por la alta direccin. El endoso de los requerimientos intrnsecos de seguridad por parte de la direccin ejecutiva provee la base para asegurar que las expectativas de seguridad se cumplan a todos los niveles de la empresa. Las penalizaciones por incumplimiento deben ser definidas, comunicadas y ejecutadas desde el nivel del consejo de direccin hacia bajo. Direccin Ejecutiva Implementar un gobierno efectivo de seguridad de la informacin y definir los objetivos estratgicos de la seguridad de una organizacin puede ser una tarea ardua y compleja. Como con cualquier otra iniciativa importante, debe contar con liderazgo y el apoyo continuo de la direccin ejecutiva para tener xito. Para desarrollar una estrategia efectiva de seguridad de la informacin se requiere la integracin y la cooperacin de los dueos del proceso de negocio. Un resultado exitoso es la alineacin de las actividades de seguridad de la informacin con los objetivos de negocio. El grado al cual esto se logre determinar la rentabilidad del programa de seguridad de la informacin para alcanzar el objetivo deseado de brindar un nivel predecible y definido de aseguramiento para los procesos de negocio y un nivel aceptable del impacto que pueden tener los incidentes adversos. Comit Directivo Hasta cierto grado, la seguridad afecta todos los aspectos de una organizacin. Para que sea efectiva, debe extenderse a toda la empresa. A fin de garantizar la participacin de todas las partes interesadas que se vean afectadas por las consideraciones de seguridad, muchas organizaciones recurren a un comit directivo constituido por los principales representantes de los grupos afectados. Ello facilita llegar a un consenso sobre las prioridades, ventajas y desventajas. Tambin sirve como un canal efectivo de comunicaciones y provee una base continua para asegurar la alineacin del programa de seguridad con los objetivos de negocio. Tambin puede ser fundamental para alcanzar la modificacin del comportamiento hacia una cultura ms conducente a una seguridad adecuada. CISO Todas las organizaciones tienen un director de seguridad de la informacin (CISO), independientemente de que alguien posea ese ttulo o no. Puede ser el CIO, oficial de seguridad (CSO- Chief Security Officer), oficial de finanzas (CFO-Chief Financial Officer) o en algunos casos, el oficial ejecutivo principal (CEO-Chief Executive Officer). El alcance y la amplitud de la seguridad de la informacin hoy en da es tal que la autoridad requerida y la responsabilidad asumida recaern inevitablemente en un responsable de mando intermedio o director ejecutivo. La responsabilidad legal se extender, por defecto, hasta la estructura de comando y, en ltima instancia, residir en la alta direccin y el consejo de direccin. El no reconocer esto e implementar estructuras de gobierno inapropiadas puede ocasionar que la alta direccin no tenga conocimiento de esta responsabilidad y de la responsabilidad concomitante. Tambin suele resultar en una falta de alineacin efectiva de los objetivos organizacionales con las actividades de seguridad.
Pgina 10
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Es cada vez ms frecuente ver que las gerencias prudentes estn ascendiendo el puesto de oficial de seguridad de la informacin a un puesto de mando intermedio o ejecutivo, ya que las organizaciones empiezan a darse cuenta de que dependen de la informacin y de las crecientes amenazas a las que est expuesta. Asegurar que el puesto exista, junto con la responsabilidad, la autoridad y los recursos requeridos, demuestra la conciencia y el compromiso que tienen tanto la gerencia como el consejo de direccin de un gobierno de la seguridad de la informacin slido. Las responsabilidades y las facultades de los gerentes de seguridad de la informacin varan mucho entre una organizacin y otra, aun cuando se estn incrementando en todo el mundo. Esto puede deberse a que existe una mayor conciencia sobre la importancia de este funcin motivada por el nmero cada vez mayor de fallos aparatosos en la seguridad y las crecientes prdidas que resultan. Actualmente estas responsabilidades van desde el CISO o el vicepresidente de seguridad, quien reporta al CEO, hasta los administradores de sistemas que tienen una responsabilidad de dedicacin parcial por la gestin de la seguridad, quienes podran reportar al Gerente de TI o al CIO.
1.5.3 MATRIZ DE RESULTADOS Y RESPONSABILIDADES

La relacin que existe entre los resultados de un gobierno efectivo de seguridad y las responsabilidades de la gerencia se muestra en la Figura 1.3 (Ver presentacin PPT). No pretende ser exhaustiva sino indicar meramente algunos niveles gerenciales y las tareas principales que son responsabilidad de la gerencia.
1.5.4 GOBIERNO, GESTIN DE RIESGOS Y CUMPLIMIENTO

Gobierno, gestin de riesgos y cumplimiento (GRC) es un ejemplo del creciente reconocimiento de la necesidad de convergencia, o integracin del proceso de aseguramiento, como se explica en la seccin 1.9.8. GRC es un trmino cada vez ms reconocido que refleja un enfoque que las organizaciones pueden adoptar a fin de integrar estas tres reas. Aunque con frecuencia se hace referencia al GRC como una actividad de negocio individual, este incluye mltiples actividades superpuestas y relacionadas dentro de una organizacin, las cuales pueden incluir auditora interna, programas de cumplimiento tales como SOX, gestin de riesgos empresariales (ERM), riesgo operativo, gestin de incidentes y otras. Gobierno, como se explic anteriormente, es responsabilidad de la alta direccin ejecutiva y se concentra en crear los mecanismos que una organizacin utiliza para garantizar que el personal siga polticas y procesos establecidos. Gestin de riesgos es el proceso que sigue una organizacin para establecer la tolerancia a riesgos, identificar riesgos potenciales y sus impactos asociados, y priorizar la mitigacin de estos basndose en los objetivos de negocio y la tolerancia a riesgos de la organizacin. La gestin de riesgos desarrolla e implementa controles internos para gestionar y mitigar riesgos en toda la organizacin. Cumplimiento es el proceso que registra y monitorea las polticas, los procedimientos y los controles necesarios para garantizar que las polticas y los estndares se adhieran a l. Es importante reconocer que la integracin efectiva de procesos de GRC requiere que el gobierno est implementado para poder gestionar los riesgos efectivamente y exigir cumplimiento. Inicialmente, GRC se desarroll en respuesta a la Ley Sarbanes- Oxley de EUA, pero ha evolucionado como un enfoque para gestin de riesgos empresariales. Si bien un programa de GRC se puede usar en cualquier rea de una organizacin, suele enfocarse en las reas financiera, de TI y legal. El GRC financiero se usa para garantizar el correcto funcionamiento de procesos financieros y el cumplimiento de requerimientos regulatorios. De modo similar, el GRC de TI busca garantizar el correcto funcionamiento y el cumplimiento de polticas de procesos de TI. El GRC legal puede concentrarse en el cumplimiento regulatorio general. Existe cierto desacuerdo sobre cmo se definen estos aspectos de GRC, pero generalmente incluye las siguientes reas:
Pgina 11
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin GRC de finanzas y auditora Gestin de GRC de TI Gestin de riesgos empresariales.
Tambin se puede subdividir el mercado de GRC de TI en las siguientes capacidades clave (aunque la siguiente lista se relaciona con GRC de TI, una lista similar de capacidades funcionara para otras reas de GRC): Biblioteca de polticas y controles Distribucin y respuesta de polticas Autoevaluacin y medicin de controles (CSA) de TI Repositorio de activos de TI Recopilacin automatizada de control de computadoras general (GCC) Gestin de correcciones y excepciones Reporte Evaluacin avanzada de riesgos de TI y tableros de cumplimiento
1.5.5 MODELO DE NEGOCIOS PARA LA SEGURIDAD DE LA INFORMACIN

El Modelo de negocio de seguridad de la informacin (BMIS, Business Model for Information Security) usa un enfoque orientado al negocio para gestionar la seguridad de la informacin. El modelo utiliza el pensamiento sistmico con el propsito de aclarar relaciones complejas dentro de la empresa y, por ende, gestionar la seguridad ms efectivamente. Los elementos y las interconexiones dinmicas que conforman la base del modelo establecen los lmites de un programa de seguridad de la informacin y configuran cmo el programa funciona y reacciona al cambio interno y externo. El BMIS proporciona el contexto para marcos tales como Control Objectives for Information and related Technology (COBIT) Como se ilustra en la Figura 1.4 (Ver presentacin PPT), el modelo se ve mejor como una estructura tridimensional flexible en forma de pirmide, compuesta de cuatro elementos unidos por seis interconexiones dinmicas. Todos los aspectos del modelo interactan entre s. Si una de las partes del modelo es modificada, no es considerada o no es gestionada adecuadamente, es posible que el equilibrio del modelo est en riesgo. Las interconexiones dinmicas actan como elementos de tensin, ejerciendo una fuerza de empuje/traccin en respuesta a cambios en la empresa, lo que permite que el modelo se adapte segn las necesidades. Los cuatro elementos del modelo son: 1. Diseo y estrategia de la organizacinUna organizacin es una red de personas, activos y procesos interactuando entre s con roles definidos y trabajando para alcanzar una meta comn. La estrategia de la empresa especifica sus metas de negocio y los objetivos que se deben alcanzar, as como los valores y las misiones que se deben perseguir. Es la frmula de la empresa para el xito y establece su direccin bsica. La estrategia se debe adaptar a los factores internos y externos. Los recursos constituyen el principal material para disear la estrategia y pueden ser de diferentes tipos (personas, equipos, conocimientos tcnicos). El diseo define la manera en que la organizacin implementa su estrategia. Los procesos, la cultura y la arquitectura son importantes para determinar el diseo. 2. PersonasLos recursos humanos y los aspectos de seguridad que los rodean. Define quin implementa (siguiendo el diseo) cada parte de la estrategia. Representa un colectivo humano y debe tener en cuenta valores, comportamientos y tendencias. Internamente, es fundamental que el gerente de seguridad de la informacin trabaje con los departamentos de recursos humanos y legal para resolver asuntos tales como: Estrategias de reclutamiento responsabilidades) (acceso, verificaciones de antecedentes, entrevistas, roles y
Pgina 12
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Aspectos relacionados con el empleo (ubicacin de la oficina, acceso a herramientas y datos, capacitacin y concienciacin, movimiento dentro de la empresa) Trmino de relaciones laborales (razones de la desvinculacin, momento de la salida, roles y responsabilidades, acceso a los sistemas, acceso a otros empleados)
Externamente, los clientes, los proveedores, los medios y las partes interesadas, entre otros, pueden tener una fuerte influencia sobre la empresa y se deben considerar dentro de la postura de seguridad. 3. ProcesosIncluye mecanismos formales e informales (grandes y pequeos, simples y complejos) para realizar las tareas y proporciona un vnculo vital con todas las interconexiones dinmicas. Los procesos identifican, miden, gestionan y controlan el riesgo, la disponibilidad, la integridad y la confidencialidad, adems de asegurar la responsabilidad. Son resultado de la estrategia e implementan la parte operacional del elemento organizacin. Para que sean beneficiosos para la empresa, los procesos deben: Satisfacer los requerimientos del negocio y estar alineados con la poltica Considerar situaciones emergentes y adaptarse a requerimientos cambiantes Estar documentados y ser comunicados de forma adecuada a los recursos humanos apropiados Ser revisados peridicamente, una vez establecidos, para asegurar su eficiencia y eficacia
4. TecnologaConformada por todas las herramientas, aplicaciones y la infraestructura que incrementan la eficiencia de los procesos. Como elemento en evolucin que experimenta cambios frecuentes, tiene sus propios riesgos dinmicos. Dada la tpica dependencia de la tecnologa que exhiben las organizaciones, la tecnologa constituye una parte esencial de la infraestructura de la empresa y un factor crtico para alcanzar su misin. La tecnologa suele ser considerada por el equipo gerencial de la empresa como un instrumento para resolver las amenazas y los riesgos de seguridad. Aunque los controles tcnicos son tiles para mitigar ciertos tipos de riesgos, la tecnologa no se debe ver como una solucin de seguridad de la informacin. Los usuarios y la cultura de la organizacin tienen una gran influencia sobre la tecnologa. Algunas personas an desconfan de la tecnologa; algunas no han aprendido a usarla; y otras sienten que no les permite avanzar a la velocidad que desean. Independientemente de la razn, los gerentes de seguridad de la informacin deben estar conscientes de que muchas personas intentarn burlar los controles tcnicos. Interconexiones Dinmicas Las interconexiones dinmicas enlazan los elementos y ejercen una fuerza multidireccional que empuja y atrae a medida que cambian las situaciones. Las acciones y los comportamientos que tienen lugar en las interconexiones dinmicas pueden romper el equilibrio del modelo o hacer que ste recupere la estabilidad. Las seis interconexiones dinmicas son: 1. Gobierno (governance) Da direccin a la empresa y exige liderazgo estratgico. El gobierno establece los lmites dentro de los cuales opera una empresa, se implementa dentro de los procesos para monitorear el rendimiento, describe las actividades y vela por el cumplimiento de los controles y regulaciones, al tiempo que proporciona adaptabilidad a condiciones emergentes. El gobierno se encarga de asegurar que se determinen y definan los objetivos, de garantizar que los riesgos se gestionen adecuadamente y de verificar que los recursos de la empresa se utilicen con responsabilidad. 2. Cultura Un patrn de conductas, convicciones, supuestos, actitudes y maneras de hacer las cosas. Es emergente y aprendida, y crea un sentido de comodidad. La cultura evoluciona como un tipo de historia compartida a medida que un grupo avanza a travs de un conjunto de experiencias comunes. Esas experiencias similares causan ciertas respuestas, que se convierten en un conjunto de
Pgina 13
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin comportamientos esperados y compartidos. Estos comportamientos se transforman en reglas no escritas, que a su vez se convierten en estndares que son compartidos por todas las personas que tienen esa historia comn. Es importante entender la cultura de la empresa porque sta determina en gran medida cul informacin se considera, cmo se interpreta esa informacin y qu se har con ella. La cultura puede existir en muchos niveles, tales como el nacional (legislacin/regulaciones, poltica y tradiciones), el organizacional (polticas, estilo jerrquico y expectativas) y el social (familia, etiqueta). Se crea con factores externos e internos, y recibe influencia de, e influye en, los patrones organizacionales. 3. Habilitacin y soporte Interconexin dinmica que conecta el elemento tecnologa al elemento proceso. Una manera de ayudar a asegurar que las personas cumplan con las medidas, polticas y procedimientos tcnicos de seguridad es hacer que los procesos sean prcticos y fciles de usar. La transparencia puede ayudar a generar aceptacin con respecto a los controles de seguridad al asegurar a los usuarios que la seguridad no limitar su capacidad para trabajar eficientemente. Muchas de las acciones que afectan tanto a la tecnologa como a los procesos ocurren en la interconexin dinmica de habilitacin y soporte. Las polticas, los estndares y las directrices deben estar diseados para soportar las necesidades del negocio al reducir o eliminar los conflictos de inters, deben mantenerse flexibles para apoyar los cambiantes objetivos del negocio y deben ser aceptables y fciles de seguir. 4. Surgimiento Connota afloramiento, desarrollo, crecimiento y evolucin, y se refiere a los patrones que surgen en la vida de la empresa que parecen no tener una causa obvia y cuyos resultados parecen imposibles de predecir y controlar. La interconexin dinmica surgimiento (entre personas y procesos) es un espacio para introducir posible soluciones, como por ejemplo bucles de retroalimentacin; alineacin con el mejoramiento de los procesos; y consideracin de los problemas emergentes en el ciclo de vida del diseo del sistema, el control de cambios y la gestin de riesgos. 5. Factores humanosRepresenta la interaccin y la brecha entre la tecnologa y la gente y, como tal, es primordial para un programa de seguridad de la informacin. Si las personas no entienden cmo utilizar la tecnologa, no aceptan la tecnologa o no siguen las polticas pertinentes, pueden surgir graves problemas de seguridad. Las amenazas internas, como la fuga de datos, el robo de datos y el uso indebido de los datos pueden ocurrir dentro de esta interconexin dinmica. Los factores humanos pueden presentarse debido a la edad, el nivel de experiencia y/o las experiencias culturales. Dado que los factores humanos son crticos para mantener el balance dentro del modelo, es importante que todos los recursos humanos de la empresa reciban capacitacin sobre las habilidades pertinentes. 6. Arquitectura Una encapsulacin completa y formal de las personas, los procesos, las polticas y la tecnologa que conforman las prcticas de seguridad de una empresa. Una arquitectura robusta de informacin del negocio es esencial para entender la necesidad de seguridad y disear la arquitectura de seguridad. Dentro de la interconexin dinmica arquitectura es donde la empresa puede asegurar la defensa en profundidad. El diseo describe cmo se posicionan los controles de seguridad y cmo se relacionan con la arquitectura general de TI. Una arquitectura de seguridad empresarial facilita las capacidades de seguridad entre las lneas de negocios de una manera consistente y con una adecuada relacin costo-efectividad, al tiempo que permite a las empresas ser proactivas con sus decisiones de inversin en seguridad.
1.6 CONCEPTOS DE LA SEGURIDAD DE LA INFORMACIN

Existen varios conceptos bsicos que se espera que el gerente de seguridad de la informacin conozca a fondo para implementar un gobierno efectivo de seguridad y realice otras tareas que se requieran. Aun cuando no se requiere de un conocimiento detallado de las tecnologas de seguridad fundamentales en trminos de funciones gerenciales, es necesario conocer los usos, beneficios y limitaciones de dichas tecnologas.
Pgina 14
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Entre los principales conceptos de seguridad que el gerente de seguridad de la informacin debe conocer a profundidad para este captulo se encuentran, sin estar limitados , los siguientes: Control de accesoLos procesos, reglas y mecanismos de implementacin que controlan el acceso a sistemas de informacin, recursos y acceso fsico a instalaciones ArquitecturaDiseo de la estructura y las relaciones de sus elementos. Ataques Tipos y naturaleza de inestabilidades en la seguridad. AuditabilidadNivel en el cual se puede hacer seguimiento a transacciones y auditarlas a travs de un sistema AutenticacinActo de verificar la identidad y elegibilidad de un usuario para tener acceso a informacin computarizada AutorizacinAcceso permitido a recursos para realizar acciones aprobadas DisponibilidadCapacidad de tener acceso a y de utilizar la informacin cuando se requiera. Anlisis de dependencia del negocioGrado al cual el negocio depende de un recurso. Anlisis de impacto al negocioEvaluar los resultados y las consecuencias de la inestabilidad. ConfidencialidadLa proteccin de informacin privada o sensible contra divulgacin no autorizada. ControlesCualquier accin o proceso que se utiliza para mitigar el riesgo. ContramedidasCualquier accin o proceso que reduce la vulnerabilidad. CriticidadImportancia que tiene un recurso para el negocio. Clasificacin de datosel proceso de determinar la sensibilidad y criticidad de la informacin. Exposicionesreas que son vulnerables a impacto por parte de una amenaza. Anlisis preferencialDiferencia entre la realidad y el objetivo. GobiernoProporcionar control y direccin a las actividades. IdentificacinVerificacin de una persona o cosa; reconocimiento. ImpactoResultados y consecuencias de que se materialice un riesgo. IntegridadExactitud, integridad y validez de la informacin. Seguridad en capasDefensa en profundidad que contenga la inestabilidad. GestinSupervisar las actividades para garantizar que se alcancen los objetivos. No repudioCerteza de que una parte no podr negar posteriormente los datos originados; se trata de dar pruebas de la integridad y el origen de los datos y de que puedan ser verificadas por un tercero PolticasDeclaracin de alto nivel sobre la intencin y la direccin de la gerencia. Riesgo residualRiesgo que permanece despus de que se han implementado contramedidas y controles. RiesgoProbabilidad de la explotacin de una vulnerabilidad por parte de una amenaza. Mtricas de seguridadDescripciones especficas de cmo se harn las mediciones de una evaluacin cuantitativa y peridica de desempeo de seguridad SensibilidadNivel de impacto que tendra una divulgacin no autorizada. EstndaresEstablecer los lmites permisibles de acciones y procesos para cumplir con la poltica. EstrategiaPasos que se requieren para alcanzar un objetivo. AmenazasCualquier accin o evento que puede ocasionar consecuencias adversas. VulnerabilidadesDeficiencias que pueden ser explotadas por amenazas. Arquitectura empresarialLa lgica organizativa para los procesos de negocio y la infraestructura de TI Dominios de seguridadreas lgicas delimitadas por diferentes niveles de seguridad Modelos de confianzaAsignan los controles y las funciones de seguridad a diferentes niveles de seguridad
1.6.1 TECNOLOGAS
Existe una variedad de tecnologas de seguridad de las cuales es importante que el gerente de seguridad de la informacin tenga un conocimiento conceptual profundo. Algunos de stos incluyen: Cortafuegos (firewalls) Administracin de cuentas de usuarios Deteccin y prevencin de intrusos
Pgina 15
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Antivirus Antispam Infraestructura de clave pblica (PKI) Capa de conector seguro (SSL) Inicio nico de sesin (single sign-on) (SSO) Biometra Encriptacin Cumplimiento de privacidad Acceso remoto Firma digital Intercambio de datos electrnico (EDI-electronic data interchange) transferencia electrnica de fondos (EFT- electronic fonds transfer) Redes Privadas Virtuales (VPNs) Transferencia Electrnica Segura (SET) Forense Tecnologas de monitoreo Gestin de identidad y acceso (IAM) Gestin de informacin y eventos del sistema (SIEM)
Las tecnologas y los procesos son algunos de los recursos utilizados para desarrollar una estrategia de seguridad efectiva. Es esencial una buena comprensin de ambos aspectos para desarrollar una estrategia de seguridad que respaldar los objetivos generales de la organizacin y alcanzar los resultados esperados.
1.7 GERENTE DE SEGURIDAD DE LA INFORMACIN

En la dcada pasada casi todas las organizaciones crearon un puesto de gerente de seguridad de la informacin a algn nivel de la organizacin. La mayora ha creado tambin departamentos centrales de seguridad de la informacin con el fin de resolver la creciente complejidad de proteger no slo los sistemas de TI sino toda la informacin sensible y crtica que de cualquier forma se procesa.
1.7.1 RESPONSABILIDADES
Las estructuras jerrquicas de los departamentos de la seguridad de la informacin son sumamente variables. Alrededor del 26% de los CISO tienen una lnea de dependencia al CIO en tanto que alrededor del 21% le reportan al CEO, tal como se muestra en la Figura 1.5 (Ver presentacin PPT). Aun cuando el nivel de jerarqua para los funcionarios encargados de la seguridad de la informacin contina mejorando, un porcentaje significativo de ellos sigue teniendo una lnea de dependencia al CIO. Aun cuando esto es adecuado en trminos funcionales, cada vez es ms frecuente que se considere una situacin poco ptima. Existen muchas razones para ello. Una es que los requerimientos cada vez ms extensos de seguridad de la informacin superan el mbito del CIO tradicional. Otra razn es el inherente conflicto de intereses. La seguridad es en gran medida una funcin regulatoria, mientras TI es un departamento de operaciones. A menudo la seguridad de la informacin se percibe como una limitacin para las operaciones de TI en sus esfuerzos por garantizar que las operaciones sean seguras. Los CIOs y sus departamentos de TI suelen estar bajo presin para incrementar el desempeo y reducir los costos, y la seguridad con frecuencia es la vctima de estas presiones. Por ltimo, debe considerarse que para que la seguridad de la informacin sea efectiva, la seguridad tiene que estar ms alineada con el negocio que con la tecnologa. La tecnologa es una herramienta para llevar a cabo negocios, no un fin en s misma.
1.7.2 COMPROMISO DE LA ALTA DIRECCIN

Tal como ocurre con las iniciativas de la organizacin, si no se cuenta con el compromiso y el patrocinio de la alta direccin, es muy poco probable que las actividades de seguridad de la informacin de la empresa tengan xito. La seguridad de la informacin abarca hasta cierto grado cada divisin y departamento de la compaa. Una iniciativa que
Pgina 16
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin afecte a demasiadas personas y a demasiados procesos de negocio difcilmente ser exitosa si no cuenta con el patrocinio y el compromiso de la alta direccin. Es fundamental que la alta direccin perciba la seguridad como un tema crtico y destine a ella los recursos apropiados. Una vez que el gerente de seguridad de la informacin haya desarrollado la estrategia de seguridad con la colaboracin de unidades clave del negocio, se debe obtener la aprobacin de la estrategia por parte de la alta direccin. En virtud de que esto es tpicamente un tema complicado, el gerente de seguridad de la informacin necesitar primero informar a los altos directivos sobre los aspectos de alto nivel de seguridad de la informacin y presentar una estrategia integral para su revisin. Por lo general se har una presentacin a la alta direccin que describa los diversos aspectos de la estrategia de seguridad a fin de sustentar y explicar la documentacin que present el gerente de seguridad de la informacin. Por desgracia, es cierto que en muchas organizaciones el verdadero valor de los sistemas de informacin no es evidente sino hasta que fracasan. La alta direccin estar en una mejor posicin de apoyar las iniciativas de seguridad si tiene conocimiento de cun crticos son los sistemas de TI para la operacin continua de la empresa. Adems, suele haber una confusin significativa acerca de cules regulaciones aplican a la organizacin. Ser de ayuda proporcionar las generalidades acerca de las regulaciones pertinentes, requerimientos de cumplimiento y posibles sanciones si la organizacin est en incumplimiento. La alta direccin (directores miembros del consejo de direccin o equivalentes) deben tener un alto nivel de compromiso para: Alcanzar altos niveles de gobierno corporativo. Tratar a la seguridad de la informacin como un tema crtico del negocio y crear un ambiente de seguridad positivo. Demostrar a terceros que la organizacin da un tratamiento profesional a la seguridad de la informacin. Aplicar principios fundamentales, tales como asumir responsabilidad total por la seguridad de la informacin, implementar controles que sean proporcionales al riesgo y alcanzar una responsabilidad individual.
La alta direccin debe demostrar su compromiso con la seguridad de la informacin al: Involucrarse directamente en acuerdos de seguridad de la informacin de alto nivel, tales como una poltica de seguridad de la informacin. Brindar un control de alto nivel. Asignar recursos suficientes a la seguridad de la informacin. Definir mtricas y monitoreo de gobierno apropiados Revisar peridicamente la efectividad de la seguridad de la informacin
Cmo Obtener el Compromiso de la Alta Direccin Una presentacin formal es la tcnica de ms amplio uso a la que pueden recurrir los gerentes de seguridad de la informacin para asegurar el compromiso y el patrocinio de la alta direccin ante las polticas, los estndares y la estrategia de la gerencia de seguridad de la informacin. La presentacin formal a la alta direccin se utiliza como un medio para comunicar y sensibilizar sobre los aspectos clave del programa de seguridad en general. El gerente de seguridad de la informacin puede facilitar la aceptacin al aplicar aspectos comunes de un caso de negocio (business case) durante el proceso de aceptacin. A continuacin se mencionan algunos de ellos: Alinear los objetivos de seguridad con los objetivos de negocio para que la alta direccin comprenda y aplique las polticas y los procedimientos de seguridad. Identificar las posibles consecuencias de no alcanzar determinados objetivos relacionados con la seguridad y el cumplimiento regulatorio.
Pgina 17
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Identificar temas del presupuesto de tal forma que la alta direccin pueda cuantificar los costos del programa de seguridad. Utilizar modelos de riesgos/beneficios de proyectos comnmente aceptados, tales como costo total de propiedad (TCO) o retorno sobre la inversin (ROI) para cuantificar los beneficios y los costos del programa de seguridad. Definir las medidas de auditora y monitoreo que se incluirn en el programa de seguridad.
Asimismo, cabe hacer notar que, aun cuando la alta direccin apoye el programa de seguridad, tambin es fundamental que todos los empleados entiendan y acaten los parmetros de seguridad definidos y establecidos. Sin la aceptacin de los empleados, es poco probable que el programa de seguridad de la informacin tenga xito y alcance sus objetivos. Es muy importante que se vea que la alta direccin practica el gobierno de la seguridad. Por ejemplo, si se implementa un sistema de control de acceso fsico en la organizacin, la alta direccin debe observar las mismas reglas y restricciones de acceso cuando ste se implemente. Establecimiento de los Canales de Reporte y Comunicacin Despus de obtener el compromiso de la alta direccin, se debe establecer un canal apropiado de reporte y comunicacin en la organizacin para asegurar la efectividad y eficiencia de todo el sistema de gobierno de seguridad de la informacin. Es importante entregar reportes formales peridicos al consejo de direccin/direccin ejecutiva para dar a conocer a la alta direccin el estado del gobierno de seguridad de la informacin. Peridicamente, se puede realizar una presentacin personal bien organizada para la alta direccin, y puede incluir propietarios de procesos de negocio como usuarios clave del sistema. La presentacin debe estar bien relacionada con presentaciones anteriores utilizadas para obtener respaldo y compromiso con el programa de seguridad y puede incluir: El estado de la implementacin del sistema basndose en la estrategia aprobada La comparacin de los resultados generales del BIA (antes y despus de la implementacin) Estadsticas de amenazas detectadas y evitadas como un medio para demostrar valor Identificacin de los enlaces de seguridad ms dbiles de la organizacin y las posibles consecuencias de la inestabilidad Anlisis de datos de medicin de rendimiento respaldados con evaluaciones independientes externas o informes de auditora, de ser posible Tratar la alineacin continua para objetivos de negocio crticos, procesos de operacin o ambientes corporativos Requerir la aprobacin de planes renovados, as como de asuntos relacionados con presupuesto
Adems de las presentaciones formales, los canales de comunicacin de rutina tambin son cruciales para el xito del programa de seguridad de la informacin. Existen cuatro grupos que requieren diferentes mtodos de comunicacin que se deben considerar: Alta direccin Asistir a reuniones de estrategia de negocio para tener mejor conocimiento y comprensin de las estrategias y los objetivos de negocio actualizados Reuniones bilaterales peridicas con la alta direccin para entender los objetivos de negocio desde su perspectiva Dueos del proceso de negocio Incorporarse a reuniones de revisin para descubrir los desafos y requerimientos de las operaciones diarias y sus dependencias Iniciar reuniones bilaterales mensuales con diferentes dueos del proceso de negocio para obtener respaldo continuo en la implementacin del gobierno de seguridad de la informacin y tratar temas individuales relacionados con la seguridad Otros grupos de direccin
Pgina 18
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Los gerentes de lnea, los supervisores y los jefes de departamento encargados de diferentes funciones relacionadas con la seguridad y la gestin de riesgos, entre ellas el asegurar una adecuada concienciacin sobre los requerimientos de seguridad y el cumplimiento de las polticas, deben ser informados de sus responsabilidades. Empleados Programas de capacitacin y formacin oportunos Programa interno y centralizado de capacitacin para los nuevos empleados Material de formacin organizacional sobre estrategias y polticas actualizadas Personal en capacidad de acceder a notificaciones por intranet o por correo electrnico para que tenga conocimiento de recordatorios peridicos o adaptaciones provisionales Respaldar a la alta gerencia y los dueos del proceso de negocio asignando un coordinador de gobierno de seguridad de la informacin en cada unidad funcional para obtener oportunamente retroalimentacin precisa de las prcticas diarias
1.7.3 CONCIENCIACIN SOBRE PRESUPUESTO

Un elemento bsico del gobierno de una empresa incluye proyecciones e informes financieros. Para obtener y mantener el compromiso de la alta direccin con la propuesta de una estrategia de seguridad de la informacin, es importante que el gerente de seguridad de la informacin se familiarice con los procesos financieros y presupuestarios de la organizacin y que sea capaz de discutir el programa de seguridad de la informacin en trminos financieros.
1.8 ALCANCE Y ESTATUTOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

La seguridad de la informacin trata todos los aspectos de la informacin, ya sea oral, escrita, impresa, electrnica o relegada a cualquier otro medio sin importar si ha sido creada, vista, transportada, almacenada o destruida. Esto contrasta con la seguridad de tecnologas de informacin, la cual trata con la seguridad de la informacin dentro de las fronteras del dominio de la tecnologa. Por lo general, la informacin confidencial que se divulga durante una conversacin en un elevador o se enva por correo estara fuera del mbito de la seguridad de TI. Sin embargo, desde una perspectiva de seguridad de la informacin, la naturaleza y el tipo de inestabilidad no son importantes, pero s el hecho de que se ha violado la seguridad. En el contexto del gobierno de la seguridad de la informacin, es importante que la estrategia de seguridad de la informacin establezca claramente el alcance y las responsabilidades de seguridad de la informacin. Podemos identificar un conjunto bsico de principios para ayudar a dirigir la implementacin de un gobierno efectivo de seguridad de la informacin: Los CEO deben asegurarse de que se lleve a cabo una evaluacin anual de la seguridad de la informacin, deben revisar los resultados de la evaluacin con el personal y presentar ante el consejo de direccin informacin sobre el desempeo. Las organizaciones deben llevar a cabo evaluaciones peridicas de riesgos con respecto a los activos de informacin como parte de un programa de gestin de riesgos. Las organizaciones deben implementar polticas y procedimientos basados en las evaluaciones de riesgos para proteger los activos de informacin. Las organizaciones deben establecer una estructura de gestin de la seguridad para asignar roles, deberes, facultades y responsabilidades individuales explcitas. Las organizaciones deben desarrollar planes y tomar acciones para brindar una seguridad de la informacin apropiada para las redes, equipos, sistemas e informacin. Las organizaciones deben tratar la seguridad de la informacin como una parte integral del ciclo vital del sistema.
Pgina 19
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Las organizaciones deben proporcionar concienciacin, capacitacin y formacin en seguridad de la informacin al personal. Las organizaciones deben realizar pruebas y evaluaciones peridicas de la efectividad de las polticas y procedimientos de seguridad de la informacin. Las organizaciones deben desarrollar y ejecutar un plan para tomar acciones correctivas para resolver cualquier deficiencia en la seguridad de la informacin. Las organizaciones deben desarrollar e implementar procedimientos de respuestas a incidentes. Las organizaciones deben establecer planes, procedimientos y pruebas para brindar continuidad a las operaciones. Las organizaciones deben aplicar las mejores prcticas en seguridad, tales como ISO 17799, para medir el desempeo de la seguridad de la informacin.
1.8.1 INTEGRACIN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA)

Un concepto prometedor, motivado en gran medida por la creciente tendencia a segmentar la seguridad en reas separadas pero relacionadas, se enfoca en la integracin de los procesos de aseguramiento de una organizacin con respecto a la seguridad. Estas actividades suelen fragmentarse y segmentarse en silos que tienen diferentes estructuras jerrquicas. Tienden a utilizar diferente terminologa y por lo general reflejan entendimientos distintos de sus procesos y resultados que, en ocasiones, tienen poco en comn. Estos "silos" de aseguramiento pueden incluir la gestin de riesgos, la administracin de cambios, la auditora interna y externa, las oficinas encargadas de la privacidad, las oficinas de seguros, las reas de recursos humanos (RR.HH.), jurdico, entre otros. Evaluar los procesos de negocio de principio a fin (junto con sus controles), independientemente del proceso especfico de aseguramiento del que se trate, puede mitigar la tendencia de que existan brechas en la seguridad en las diversas reas de aseguramiento. GRC, discutido anteriormente en la seccin 1.5.4, es un reciente esfuerzo por tratar los problemas de integracin entre las principales funciones de gobierno, la gestin de riesgos y el cumplimiento. El BMIS cubierto en la seccin 1.5.5 es un esfuerzo actual por desarrollar un enfoque integrado total de la seguridad de la informacin utilizando un enfoque de sistemas. Convergencia Durante dcadas, se ha hecho patente que la divisin arbitraria de las actividades relacionadas con la seguridad en seguridad fsica, seguridad informtica, gestin de riesgos, privacidad, cumplimiento, seguridad de la informacin, y otras disciplinas, no ha favorecido la obtencin de resultados ptimos. Las consecuencias cada vez ms desastrosas de los esfuerzos no integrados relacionados con la seguridad han ocasionado que los profesionales y la gerencia reconsideren cada vez ms esta separacin. Se est volviendo ms comn ver que los CISO son ascendidos a CSO para integrar mejor los principales elementos de la seguridad. Para muchas organizaciones la seguridad fsica se ha vuelto casi una rutina y se integra con mayor facilidad a la seguridad de la informacin que viceversa. Puesto que no es posible proporcionar seguridad de la informacin de manera efectiva sin una serie de consideraciones fsicas, la evolucin es natural. Es razonable esperar que la integracin de muchas actividades relacionadas con la seguridad est centrada en la seguridad de la informacin durante la dcada venidera. Como resultado, la integracin de la seguridad fsica y de otras funciones de aseguramiento ser, cada vez ms, uno de los aspectos relevantes para la gestin. Los hallazgos derivados de las encuestas y entrevistas apuntan a un gran nmero de impulsores tanto internos como externos, o "imperativos que estn obligando a que la convergencia emerja, y son los siguientes: Rpida expansin del ecosistema de la empresa Migracin del valor de activos fsicos a activos intangibles y basados en la informacin Nuevas tecnologas de proteccin que eliminan fronteras funcionales Nuevos regmenes de cumplimiento y regulatorios Presin constante para reducir costos
Pgina 20
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Estos imperativos fundamentalmente alteran el panorama de la seguridad al forzar un cambio en la funcin que desempean los profesionales de la seguridad a lo largo de la cadena de valor del negocio. Por ejemplo, a medida que las discusiones formales sobre riesgos se vuelven ms integradas, multifuncionales y dominantes, aumenta en gran medida la expectativa de que los profesionales de la seguridad tanto fsica como de informacin generen soluciones conjuntas en vez de puntos de vista independientes. El estudio identific un cambio del estado actual en el cual los profesionales de la seguridad se enfocan en su rea, a un nuevo estado en el cual las actividades estn integradas para mejorar el valor del negocio. Este nuevo "negocio de seguridad " requiere que los profesionales de la seguridad vuelvan a examinar las palancas operativas clave que tienen a su disposicin. Aun cuando estas palancas operativas (por ejemplo, roles y responsabilidades, gestin de riesgos, liderazgo) no son nuevas, la oportunidad de utilizarlas en formas innovadoras podra ser prueba de ello. Por ejemplo, los sondeos y las encuestas probaron ser una clara evidencia de que, como lderes en el negocio, los profesionales de la seguridad necesitan ir de un modelo de personas de "comando y control" a un modelo participativo y de apoyo, y desarrollar una visin del riesgo en toda la empresa en lugar de una perspectiva basada en activosen otras palabras, un enfoque ms holstico e integral que vaya ms all de los activos y considere factores como la cultura, la estructura y procesos organizacionales, tales como el enfoque de sistemas discutido en la seccin 1.5.5. Cumplir con la convergencia no se trata nicamente de integracin organizacional, sino de integrar las disciplinas de seguridad con la misin del negocio a fin de generar valor para los accionistas mediante operaciones uniformes y predecibles, al mismo tiempo que se optimiza la asignacin de recursos de seguridad. A medida que surgen nuevas tecnologas y que las amenazas se vuelven cada vez ms complejas e impredecibles, los altos ejecutivos de seguridad reconocen la necesidad de fusionar las reas de seguridad en toda la empresa. Un incidente que ocurri en un importante banco japons con sede en Londres, en el cual intrusos (hackers) intentaron (al menos esa fue la informacin que trascendi) robar 220 millones del banco, enfatiza este principio. Aun cuando el banco tuviera implementadas slidas medidas de seguridad de tecnologas de informacin (TI), hubo un fallo en la seguridad fsica. Oponentes que se hicieron pasar por empleados de limpieza instalaron dispositivos en los teclados de las computadoras que les permitieron obtener informacin valiosa de acceso. Esta situacin resalta y refuerza la necesidad de agrupar, de hecho, hacer que converjan, todos los componentes de la seguridad de una organizacin a travs de un enfoque integrado y deliberado. Para que sea efectivo, este enfoque de convergencia debe llegar a la gente, procesos y tecnologa, y permitir que las empresas eviten, detecten, respondan a cualquier tipo de incidente de seguridad y se recuperen de l. Adems de los costos que enfrentan las compaas para contrarrestar los efectos inmediatos que tiene un incidente, los incidentes relacionados con la seguridad pueden ocasionar daos ms costosos a largo plazo, tales como daos a la reputacin y la marca. Ms all del impacto en la capitalizacin del mercado, en caso de que el problema amenace el bienestar pblico, los rganos reguladores podran intervenir, promulgando requerimientos ms estrictos que rijan las futuras prcticas de negocio.
1.9 MTRICAS DEL INFORMACIN
GOBIERNO
DE
LA
SEGURIDAD
DE
LA
Mtricas es un trmino utilizado para denotar una medida basada en una referencia. El significado ms bsico de seguridad es la proteccin contra cualquier dao o la ausencia de ste. En sentido literal, las mtricas de seguridad suelen indicar el estado o grado de seguridad relativa a un punto de referencia. Podra resultar til aclarar la diferencia entre la gestin de la maquinaria de seguridad de TI tcnica a nivel operacional y la gestin general de un programa de seguridad de la informacin. Las mtricas tcnicas son evidentemente tiles para la gestin operativa puramente tctica de la infraestructura de seguridad tcnica, es decir, servidores, bases de datos, cortafuegos (firewalls), etc. Estas mtricas pueden indicar que la infraestructura se maneja de forma adecuada y que las vulnerabilidades tcnicas se identifican y reciben el tratamiento correspondiente. Sin embargo, estas mtricas son de poco valor desde un punto de vista de gestin o gobierno estratgico. Es decir, no aportan nada sobre la alineacin estratgica con objetivos de la organizacin o sobre qu tanto se gestionan los riesgos; proporcionan pocas medidas de cumplimiento de polticas o de
Pgina 21
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin si los objetivos para niveles aceptables de posible impacto se estn alcanzando; y no ofrecen ninguna informacin con respecto a si el programa de seguridad de la informacin est en la direccin correcta y alcanzando los resultados esperados. Desde una perspectiva de gestin, mientras ha habido mejoras en mtricas tcnicas, estas no son capaces de proporcionar respuestas a preguntas como: Cun segura es la organizacin? Cunta seguridad es suficiente? Cmo sabemos cundo la hemos alcanzado? Cules son las soluciones ms efectivas? Cmo determinamos el grado de riesgo? Con qu exactitud se puede predecir el riesgo? Vamos en la direccin correcta? Qu impacto tiene la falta de seguridad sobre la productividad? Qu impacto tendra una violacin crtica de la seguridad? Qu impacto tendrn las soluciones de seguridad sobre la productividad?
En ltima instancia, la nica forma de intentar proporcionar respuestas significativas a estas preguntas es mediante el desarrollo de medidas relevantes que traten los requerimientos de la gerencia para tomar decisiones apropiadas acerca de la seguridad de la organizacin. Por lo general, las auditoras completas y las evaluaciones de riesgo exhaustivas son las nicas actividades que llevan a cabo las organizaciones que brindan esta perspectiva tan amplia. Aun cuando desde el punto de vista de gestin de la seguridad son importantes y necesarias, estas actividades proporcionan slo una historia o una fotografa, no lo que idealmente se requiere para guiar en la gerencia cotidiana de la seguridad ni proporcionan la informacin necesaria para tomar decisiones prudentes.
1.9.1 MTRICAS DE SEGURIDAD DE LA INFORMACIN

Generalmente es difcil o imposible manejar una actividad que no se puede medir. El propsito fundamental de las mtricas, las medidas y el monitoreo es respaldar decisiones. Para que las mtricas sean tiles, la informacin que proporcionan debe ser relevante para los roles y las responsabilidades del receptor de manera que se puedan llevar a cabo las decisiones informadas. Entre las mtricas de seguridad tradicionales se encuentran el tiempo de inactividad ocasionado por virus o troyanos, nmero de penetraciones a sistemas, impactos y prdidas, tiempos de recuperacin, nmero de vulnerabilidades omitidas por los escaneos de redes y porcentaje de servidores con parches. Aun cuando estas medidas pueden ser indicios de aspectos de seguridad, ninguna proporciona informacin real sobre cun segura es la organizacin. El riesgo operacional y su contraparte, la seguridad, no se miden directamente en trminos absolutos; por el contrario, el indicador de medicin normalmente est relacionado con aspectos como las probabilidades, los atributos, los efectos y las consecuencias. Varios de los enfoques que pueden ser tiles incluyen el valor en riesgo (VAR), el retorno sobre la inversin en seguridad (ROSI) y la expectativa de prdidas anuales (ALE). VAR se utiliza para calcular la prdida mxima probable en un perodo definido (da, semana, ao) con un nivel de confianza tpico de 95% o de 99%. ROSI se utiliza para calcular el retorno sobre la inversin basndose en la reduccin en prdidas que resulta de un control de seguridad. ALE proporciona el clculo de la prdida anual posible basndose en la frecuencia y magnitud probables de la inestabilidad de seguridad. Estos nmeros comnmente especulativos se pueden utilizar como base para asignar o justificar recursos para actividades de seguridad. Algunas organizaciones intentarn determinar los impactos mximos que podran tener eventos adversos como una medida de la seguridad. Medir la seguridad por las consecuencias e impactos es como medir cun alto es un rbol con base en qu tan fuerte es el sonido que emite cuando cae. En otras palabras, tendran que ocurrir eventos adversos para
Pgina 22
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin determinar si la seguridad est funcionando. La ausencia de incidentes adversos no proporciona informacin sobre el estado de la seguridad. Dicha falta podra significar que las defensas funcionan, o que nadie ha lanzado un ataque, o bien, que hay alguna vulnerabilidad que no se ha identificado. Por supuesto, los ataques simulados con pruebas de penetracin dan alguna medida de la efectividad de las defensas slo contra aquellos ataques especficos que se han lanzado. Sin embargo, a menos de que se haya lanzado un porcentaje de ataques que sea significativo en trminos estadsticos de todos los ataques posibles, no se podra predecir el estado de la seguridad o la capacidad de la organizacin para resistir un ataque. Podra ser que todo aquello que se puede afirmar con certeza sobre la seguridad es que: 1. 2. Algunas organizaciones son objeto de ataques con mayor frecuencia y/o registran mayores prdidas que otras. Existe una fuerte correlacin entre una buena gestin y prcticas de seguridad y un nmero relativamente menor de incidentes y prdidas.
Una buena gestin es casi de manera indiscutible uno de los resultados de un buen gobierno. Medir con precisin la eficacia de un gobierno y gerencia de seguridad de la informacin puede ser an ms difcil que medir la seguridad. En la mayora de los casos, las mtricas se basarn en los atributos, los costos y los posteriores resultados del programa de seguridad. La Figura 1.6 (Ver presentacin PPT) presenta los componentes de un programa de gobierno de la seguridad de la informacin y demuestra que se requiere el rumbo real del gobierno y la capacidad para medir y presentar informes sobre el desempeo. Un concepto sensato indica que una de las caractersticas de un programa de seguridad bien gobernado es que satisface las expectativas y alcanza los objetivos definidos de manera eficiente, efectiva y consistente. Sin embargo, esto resulta de poca ayuda para la mayora de las organizaciones, ya que no est claro cules son las expectativas o los objetivos de seguridad especficos. Dado que el gobierno, en general, y el gobierno de la seguridad, en particular, son difciles de medir mediante un conjunto de mtricas objetivas, existe una tendencia a utilizar mtricas que estn disponibles, a pesar de su probada pertinencia. Un ejemplo tpico que se observa en la mayora de las organizaciones es el uso de los anlisis de vulnerabilidad como una indicacin de la seguridad global. Casi indiscutiblemente, si fuera posible eliminar todas, o casi todas, las vulnerabilidades (lo cual es imposible), se podra evitar la mayora de los riesgos. La falacia radica en la suposicin de que es posible determinar algo sobre el riesgo, amenaza o impacto, midiendo las vulnerabilidades tcnicas. Aunque no existe una escala universal objetiva para la seguridad o el gobierno de la seguridad, es posible disear mtricas eficaces que permitan guiar el desarrollo y la gestin de programas en aquellas organizaciones que hayan desarrollado objetivos de seguridad de la informacin claros. En esencia, las mtricas pueden reducirse a cualquier medida de los resultados del programa de seguridad de la informacin que avance hacia los objetivos definidos. Tambin se debe entender que se requieren diferentes mtricas para proporcionar informacin en los niveles estratgico, tctico y operacional. Las mtricas estratgicas estarn orientadas a resultados y objetivos de alto nivel para el programa de seguridad de la informacin. La base de un firme apoyo de la gerencia de nivel superior es fundamental, es crtica no slo para el xito del programa de seguridad, sino tambin para la implementacin de un programa de mtricas de seguridad. Este apoyo establece un enfoque sobre la seguridad dentro de los niveles ms altos de la organizacin. Si no se tiene una base slida (es decir, un apoyo proactivo de aquellas personas que se encuentran en posiciones que controlan los recursos de TI), la efectividad del programa de mtricas de seguridad puede fallar cuando existan presiones por parte de la poltica o limitaciones en el presupuesto. El segundo componente de un programa efectivo de mtricas de seguridad es contar con polticas y procedimientos de seguridad prcticos que estn respaldados por la autoridad necesaria para exigir su cumplimiento. Tales polticas y
Pgina 23
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin procedimientos se definen como aquellos que se pueden alcanzar y que proporcionan una seguridad significativa mediante controles apropiados. Las mtricas no son fciles de obtener si no se tienen procedimientos implementados. El tercer componente es desarrollar y establecer mtricas de desempeo cuantificables que estn diseadas para capturar y proporcionar datos operacionales significativos. Para proporcionar datos significativos del desempeo, las mtricas de seguridad cuantificables deben basarse en metas y objetivos de desempeo de seguridad de TI, y deben tambin ser fciles de obtener y factibles de medir. Asimismo, deben ser repetibles, proporcionar las tendencias de desempeo correspondientes al paso del tiempo, y ser tiles para monitorear el desempeo y dirigir recursos. Por ltimo, el programa de mtricas de seguridad debe hacer hincapi en un anlisis peridico y consistente de los datos de las mtricas. Los resultados de este anlisis se utilizan para aplicar lecciones aprendidas, mejorar la eficacia de los controles de seguridad existentes y planear controles futuros para cumplir con nuevos requerimientos de seguridad a medida que surgen. La recopilacin de datos precisos de usuarios y partes interesadas debe ser una prioridad en caso de que los datos recopilados vayan a ser importantes para la gerencia y la mejora del programa de seguridad en su conjunto. El xito de la implementacin de un programa de seguridad de la informacin debe de determinarse por el grado al cual se generan resultados significativos. Un programa integral de anlisis de mtricas de seguridad debe proporcionar una justificacin sustancial para las decisiones que repercuten directamente en la postura de seguridad de una organizacin. Estas decisiones incluyen solicitudes de presupuesto y personal, as como asignacin de los recursos disponibles. Un programa de mtricas de seguridad debe brindar una base precisa para la elaboracin de los informes sobre el desempeo de la seguridad que se requieran.
1.9.2 MTRICAS DE IMPLEMENTACIN DE GOBIERNO

Implementar una estrategia y un marco de gobierno de la seguridad de la informacin puede requerir de un esfuerzo significativo. Es importante que se cuente con alguna forma de mtrica durante la implementacin de un programa de gobierno. El desempeo del programa de seguridad en su conjunto ser demasiado detallado para brindar informacin oportuna sobre la implementacin y se deber utilizar otro enfoque. Los indicadores clave de metas (KGIs) y los indicadores clave de desempeo (KPIs) pueden servir para proporcionar informacin sobre el logro de las metas del proceso o servicio y pueden determinar si se estn alcanzando los objetivos y logros importantes de la organizacin.
1.9.3 ALINEACIN ESTRATGICA

La alineacin estratgica de la seguridad de la informacin en apoyo a los objetivos organizacionales es una meta altamente deseable que a menudo es difcil de alcanzar. Debe quedar claro que la rentabilidad de un programa de seguridad est vinculada inevitablemente a qu tan bien apoya los objetivos de la organizacin y a qu costo. Si no se cuenta con objetivos organizacionales que sirvan de punto de referencia, cualquier otra medida, incluso las llamadas mejores prcticas, puede ser innecesaria, inadecuada o mal dirigida. Desde el punto de vista del negocio, es probable que prcticas adecuadas y suficientes que sean proporcionales a los requerimientos resulten ms rentables que las mejores prcticas. De igual forma es probable que una gerencia consciente de los costos las reciba mejor. El mejor indicador integral de que las actividades relacionadas con la seguridad estn alineados con los objetivos de negocio (u organizacionales) es el desarrollo de una estrategia de seguridad que defina los objetivos de seguridad en trminos del negocio y garantiza que los objetivos se encuentran articulados de manera directa desde la planificacin hasta la implementacin de polticas, estndares, procedimientos, procesos y tecnologa. La prueba de fuego es la evaluacin en orden inverso de que es posible rastrear un control especfico hasta un requerimiento de negocio en particular. Cualquier control cuyo rastro no se pueda establecer de vuelta hasta el requerimiento de negocio especfico resulta sospechoso y debe analizarse para establecer su relevancia y posible eliminacin. Los indicadores de la alineacin pueden incluir los siguientes: Un programa de seguridad que posibilita de manera comprobable las actividades especficas de negocio. Una organizacin de la seguridad que es receptiva a los requerimientos de negocio definidos.
Pgina 24
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Objetivos organizacionales y de seguridad que estn definidos y son claramente entendidos por parte de todos los involucrados en la seguridad y las actividades de aseguramiento relacionadas. Programas de seguridad que se correlacionan con los objetivos organizacionales y la direccin ejecutiva ha validado dicha correlacin. Un comit directivo de seguridad conformado por ejecutivos clave y cuenta con estatutos para garantizar la continua alineacin de las actividades relacionadas con la seguridad y la estrategia de negocio.
1.9.4 GESTIN DE RIESGOS

La gestin de riesgos es el objetivo principal de todas las actividades relacionadas con la seguridad de la informacin y, en realidad, de todos los esfuerzos realizados con respecto al aseguramiento organizacional. Aun cuando la efectividad en la gestin de riesgos no est sujeta a una medicin directa, existen indicadores que guardan una estrecha relacin con un enfoque exitoso. Un programa exitoso de gestin de riesgos puede definirse como aquel que cumple con las expectativas y alcanza objetivos definidos de manera efectiva, efectiva y consistente. Una vez ms, es preciso que estn definidas las expectativas y objetivos de la gestin de riesgos; de lo contrario, no se tendra una base para determinar si el programa est teniendo xito, est avanzando en la direccin correcta o si la asignacin de recursos es apropiada. Los indicadores de una gestin de riesgos apropiada pueden incluir: Un apetito de riesgo definido de la organizacin, o una tolerancia a riesgos en trminos relevantes para la organizacin Estrategia y programa integrales de seguridad para alcanzar niveles aceptables de riesgo. Objetivos de mitigacin definidos para riesgos significativos identificados. Procesos para el manejo o la reduccin de impactos adversos. Procesos sistemticos y continuos de gestin de riesgos. Tendencias de evaluaciones peridicas de riesgos que indiquen avances hacia las metas que se hayan definido. Tendencias en los impactos Planes probados de continuidad del negocio/recuperacin ante desastres. Integridad de la valuacin de activos y cesin de propiedad. Evaluaciones de impactos al negocio (BIAs) de todos los sistemas esenciales o confidenciales
La meta predominante de la seguridad de la informacin es reducir el impacto adverso que puede tener en la organizacin a un nivel aceptable. Por tanto, una mtrica clave es el impacto adverso que tienen en la organizacin los incidentes relacionados con la seguridad de la informacin. Un programa efectivo de seguridad mostrar una tendencia en la reduccin del impacto. Las mediciones cuantitativas pueden incluir un anlisis de tendencias de los impactos con el paso del tiempo.
1.9.5 ENTREGA DE VALOR

La entrega de valor ocurre cuando las inversiones en seguridad se optimizan para respaldar los objetivos de la organizacin. La entrega de valor es una funcin de alineacin de la estrategia de los objetivos de seguridad; en otras palabras, cuando un caso de negocio se puede realizar de modo convincente para todas las actividades de seguridad. Se tiene niveles ptimos de inversin cuando se alcanzan las metas estratgicas para la seguridad y se logra una postura de riesgo aceptable al menor costo posible. Los indicadores clave (KGIs, KPIs) pueden incluir los siguientes: Las actividades de seguridad que estn diseadas para alcanzar objetivos estratgicos definidos. El costo de la seguridad es proporcional al valor de los activos. Los recursos de seguridad que sean distribuidos con base en el grado de riesgo valorado y el posible impacto. Los costos de proteccin sean consolidados como una funcin de ingresos o valuacin de activos.
Pgina 25
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Los controles que estn bien diseados con base en objetivos de control definidos y se utilizan en su totalidad. El nmero de controles para alcanzar niveles aceptables de riesgo e impacto es adecuado y apropiado. La eficacia de los controles se determina a partir pruebas peridicas. Las polticas establecidas que requieren que todos los controles se reevalen con regularidad para determinar su costo, cumplimiento y efectividad. La utilizacin de controles; los controles que rara vez se usan difcilmente sern rentables. El nmero de controles para alcanzar niveles aceptables de riesgo e impacto; se puede esperar que un nmero menor de controles efectivos sea ms rentable que un nmero mayor de controles menos eficaces. La efectividad de los controles que se haya determinado a partir de las pruebas; es poco probable que los controles marginales sean rentables.
1.9.6 GESTIN DE ACTIVOS

La gestin de recursos de seguridad de la informacin es el trmino que se emplea para describir los procesos de planificacin, asignacin y control de los recursos de seguridad de la informacin, entre otros, personal, procesos y tecnologas, para mejorar la eficiencia y la efectividad de las soluciones de negocio. Tal como sucede con otros activos y recursos de la organizacin, deben administrarse de manera apropiada. El conocimiento debe recopilarse, difundirse y estar disponible cuando se requiera. Brindar mltiples soluciones a un mismo problema resulta, sin duda, ineficiente y es indicio de una falta de gestin de recursos. Los controles y los procesos deben estandarizarse cuando sea posible a fin de reducir los costos administrativos y de capacitacin. De igual forma, tanto los problemas como las soluciones deben estar bien documentados, referenciados y disponibles. Entre los indicadores que denotan una gestin de recursos eficiente se encuentran los siguientes: Descubriendo una vez ms los problemas de ocurrencias poco frecuentes La recopilacin y difusin del conocimiento es eficiente. Procesos estandarizados Los roles y las responsabilidades estn claramente definidos para las reas de seguridad de la informacin. Las funciones de seguridad de la informacin incorporadas a cada plan de proyecto. Los recursos de seguridad abarcan los activos de informacin y las amenazas relacionadas. La debida ubicacin organizacional, nivel de autoridad y nmero de personal para el rea de seguridad de la informacin.
1.9.7 MEDICIN DEL DESEMPEO

La medicin, monitoreo y presentacin de informacin sobre los procesos de seguridad de la informacin es un requerimiento para garantizar que se alcancen los objetivos de la organizacin. Es bastante claro que "no es posible administrar lo que no se puede medir". Se deben desarrollar mtodos para monitorear los incidentes relacionados con la seguridad en toda la organizacin y es fundamental disear mtricas que proporcionen una indicacin del desempeo de la maquinaria de seguridad y, desde una perspectiva de gerencia, la informacin necesaria tomar decisiones necesarias para guiar las actividades de seguridad de la organizacin. Cuando el ideal de un tablero de instrucciones de seguridad no se ha concretado, la mayora de las medidas sern indicadores indirectos del estado de seguridad y desempeo del programa de seguridad. Los indicadores para una medicin efectiva del desempeo podran incluir los siguientes: El tiempo que toma la deteccin y la notificacin de incidentes relacionados con la seguridad. El nmero y la frecuencia de incidentes no notificados que se hayan identificado con posterioridad. La realizacin de pruebas comparativas (benchmarking) de costos y efectividad de organizaciones comparables. La capacidad para determinar la eficacia/eficiencia de los controles. Indicaciones claras de que se estn cumpliendo los objetivos de la seguridad.
Pgina 26
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin La ausencia de incidentes inesperados relacionados con la seguridad. Conocimientos de las amenazas inminentes. Medios eficaces para determinar las vulnerabilidades de la organizacin. Mtodos para monitorear los riesgos cambiantes. Consistencia en las prcticas de revisin de logs. Resultados de las pruebas de planificacin continua del negocio (BCP-Business continuity planning)/recuperaein en caso de desastre (DR-desaster recovery).
1.9.8 INTEGRACIN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA)

Tal como se mencion anteriormente en este documento, un rea de inters conceptual que est emergiendo y que est relacionada con un resultado sugerido del gobierno de la seguridad de la informacin se denomina aseguramiento del proceso de negocio o integracin del aseguramiento. Para aquellas organizaciones que estn considerando un enfoque para el gobierno de la seguridad de la informacin que incluya un esfuerzo por integrar varias funciones de aseguramiento y que garantice que los procesos operan segn lo esperado de principio a fin, minimizando los riesgos ocultos, los KGIs pueden incluir los siguientes: No existen fallas en la proteccin de los activos de informacin. Se eliminan superposiciones innecesarias en la seguridad. Las actividades de aseguramiento estn perfectamente integradas. Los roles y las responsabilidades estn bien definidos. Los encargados de proporcionar el aseguramiento entienden la relacin con otras reas de aseguramiento. Todas las funciones de aseguramiento estn identificadas e incluidas en la estrategia.
1.10 VISIN GENERAL DE LA SEGURIDAD DE LA INFORMACIN

Es difcil encontrar una definicin precisa de estrategia de seguridad de la informacin, pero podramos decir que: La estrategia corporativa en SI es el patrn de decisiones en una compaa que determina y revela sus objetivos, propsitos, o metas de SI, genera las principales polticas y planes de SI para alcanzar dichas metas y define el rango de SI que debe perseguir la compaa, el tipo de organizacin econmica y humana debe alcanzar en trminos de SI y la naturaleza de la contribucin en aspectos de SI tanto econmica como no econmica que pretende dejar a sus accionistas, empleados, clientes y comunidades. La Figura 1.7 (Ver presentacin PPT) muestra a los participantes en el desarrollo de una estrategia de seguridad y sus relaciones, y los alinea con los objetivos de negocio. La flecha que indica "Estrategia de Negocio" brinda una directriz para alcanzar los "Objetivos de Negocio". Adems, la estrategia de negocio debe hacer una de las principales contribuciones a los planes de la "Gestin de riesgos" y la "Estrategia de seguridad de la informacin". Este flujo sirve para promover la alineacin de la seguridad de la informacin con los objetivos de negocio. El equilibrio de las contribuciones radica en determinar el estado deseado de la seguridad en comparacin con el estado actual o existente. Los procesos del negocio se deben considerar al igual que los resultados de las evaluaciones de riesgos y el anlisis de impacto para determinar niveles de proteccin y prioridades. Tambin se deben considerar los requerimientos regulatorios en el desarrollo de la estrategia de seguridad. El objetivo de la estrategia de seguridad es el estado deseado definido por atributos de negocio y seguridad. La estrategia establece la base para un plan de accin que incluya uno o ms programas de seguridad que, conforme se vayan implementando, alcancen los objetivos de seguridad. Cada plan de accin debe formularse con base en los recursos disponibles y las limitaciones. Tanto la estrategia como los planes de accin deben contener disposiciones para monitoreo y mtricas definidas para determinar el nivel de xito. Esto proporciona al CISO y al comit directivo informacin de retroalimentacin que
Pgina 27
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin permiten correcciones a medio camino y asegurar que las iniciativas de seguridad sean las adecuadas para alcanzar los objetivos definidos.
1.10.1 UNA PERSPECTIVA ALTERNA DE LA ESTRATEGIA

A menudo "el enfoque de la estrategia implica la suposicin errnea de que un camino predecible al futuro puede ser pavimentado a partir de la experiencia del pasado." Se puede deducir entonces que los resultados estratgicos no pueden predeterminarse dado el ambiente turbulento de negocios que se vive hoy en da. En consecuencia, se puede proponer una visin alternativa de estrategia como "una cartera coherente y evolutiva de iniciativas para manejar el valor de los accionistas y el desempeo a largo plazo. Este cambio en la manera de pensar requiere que la gerencia desarrolle una perspectiva de t eres lo que haces en oposicin a una de t eres lo que dices. En otras palabras, las compaas se definen por las iniciativas que priorizan y manejan, y no tan slo por sus declaraciones de misin y visin." Por ende la estrategia enfocada de esta manera es, por su propia naturaleza, ms adaptable, y menos dependiente de las grandes apuestas. Una cartera de iniciativas administrada cuidadosamente se equilibra en las distintas actividades para adaptar los negocios centrales para enfrentar los retos futuros, dar forma a la cartera continuamente para responder a un ambiente en constante cambio, y construir la siguiente generacin de negocios. Al crear una cartera de iniciativas alrededor de un tema unificador, reforzado por marcas, propuestas de valor a los clientes y capacidades operativas slidas, una compaa puede establecer con xito el escenario para impulsar el valor de los accionistas." El criterio que posiblemente sea ms importante para obtener buenos resultados de una estrategia exitosa es un liderazgo y compromiso slidos y constantes por parte de la alta direccin para alcanzar un gobierno efectivo de seguridad de la informacin. Otra perspectiva sobre la estrategia se presenta desde el punto de vista de la arquitectura que ofrece la Arquitectura Aplicada de la Seguridad de Negocio de Sherwood (SABSA) tal como se muestra en la Figura 1.8 (Ver presentacin PPT).
1.11 DESARROLLO DE UNA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN

Para desarrollar una estrategia de seguridad de la informacin slida es necesario considerar y evitar las dificultades comunes. La probabilidad de obtener buenos resultados ser baja con estrategias deficientes.
1.11.1 DIFICULTADES COMUNES

Sera una subestimacin decir que la historia est llena de ejemplos de malas estrategias. Es sorprendente que despus de casi cuatro dcadas del desarrollo de la teora de estrategia de negocio, dicha falta de estrategia siga siendo una constante. Otras causas para los fallos en la estrategia no se han comprendido bien, pero presentan causas raz que se explican mediante la economa conductual, una rama de la psicologa que estudia, entre otras cosas, los procesos de toma de decisiones y el alejamiento de una eleccin racional. Algunos experimentos y estudios han demostrado una variedad de causas que estn detrs de una toma de decisin viciada. Conocer dichas causas puede permitir compensar para reducir los efectos adversos. Entre las principales razones estn las siguientes: Exceso de confianzaLa investigacin muestra una tendencia de la gente a tener un exceso de confianza en su capacidad para hacer clculos exactos. La mayora de la gente se muestra renuente a calcular una amplia variedad de posibles resultados y prefiere estar precisamente en un error que vagamente en lo correcto. La mayora tambin tiende a confiar demasiado en sus propias capacidades. Para las estrategias organizacionales que se basan en evaluaciones de capacidades principales, esto puede resultar en particular problemtico.
Pgina 28
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin OptimismoLa gente tiende a ser optimista en sus pronsticos. Una combinacin de confianza y optimismo excesivos puede tener un impacto desastroso en las estrategias que se basan en los clculos de lo que podra suceder. Por lo general dichas proyecciones son precisas a un grado no realista y demasiado optimistas. AnclajeLa investigacin demuestra que una vez que se presenta un nmero a una persona, un clculo posterior de un sujeto que no guarda ninguna relacin que implique nmeros estar "anclado" al primer nmero. Aun cuando podra resultar til para efectos de mercadotecnia, el anclaje puede tener consecuencias graves en el desarrollo de estrategias cuando resultados futuros se anclan a experiencias pasadas. La tendencia del status quoLa mayora de las personas muestra una fuerte tendencia a apegarse a enfoques familiares y conocidos incluso cuando se haya comprobado que son inadecuados o ineficaces. La investigacin tambin indica que la preocupacin por las prdidas es por lo general mayor que la emocin de una posible ganancia. El "efecto de legado" es una tendencia similar en la cual la gente prefiere conservar lo que es suyo o lo que conocen, y el simple hecho de poseer algo lo hace ms valioso para el dueo. Contabilidad mentalSe define como "la inclinacin a categorizar y tratar al dinero de manera diferente dependiendo de dnde viene, dnde se mantiene y cmo se gasta." La contabilidad mental es comn incluso en salas de juntas de corporaciones conservadoras y racionales. Algunos ejemplos incluyen: Estar menos interesado en los gastos derivados de los cargos por reestructuracin que del estado de resultados. Imponer lmites de costos a un negocio bsico mientras se gasta libremente en un negocio nuevo. Crear nuevas categoras de gastos como "inversiones de los ingresos" o "inversiones estratgicas" El instinto gregarioEs una caracterstica humana fundamental conformar y buscar la validacin de otros. Esto puede observarse por la "mana" en la seguridad (as como todos los dems aspectos de la actividad humana) cuando, por ejemplo, de pronto alguien se involucra en el manejo de claves o la deteccin de intrusos. En ocasiones, explicado en trminos de "una idea cuya hora ha llegado", se describe con mayor precisin como el instinto gregario detrs de los lderes del pensamiento. Las implicaciones que tiene para el desarrollo de la estrategia deben quedar claras. Queda demostrado de manera acertada cuando se dice que "para los altos directivos lo nico peor que cometer un enorme error estratgico es ser la nica persona en la industria que lo comete." Falso consensoExiste una tendencia bien documentada en la gente de sobreestimar el grado al cual los dems comparten sus puntos de vista, creencias y experiencias. Al momento de desarrollar estrategias, el falso consenso puede causar que se ignoren o minimicen amenazas o debilidades importantes de los planes y que persistan con estrategias destinadas al fracaso.
Distintas investigaciones han develado una serie de causas, entre las que se incluyen: Tendencia a la confirmacinBuscar opiniones o hechos que respalden nuestras propias creencias. Recuerdos selectivosRecordar slo hechos o experiencias que refuerzan las suposiciones actuales. Evaluacin subjetivaFcil aceptacin de evidencia que sustenta nuestras hiptesis al mismo tiempo que se cuestiona la evidencia contradictoria y, casi invariablemente, se rechaza. A menudo a los crticos se les ataca con motivos hostiles se pone en tela de juicio su competencia. Pensamiento de grupoLa presin para llegar a un acuerdo en culturas orientadas a formar equipos.
1.12 OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN

Se deben definir los objetivos de desarrollar una estrategia de seguridad de la informacin y se deben desarrollar mtricas para determinar si se estn alcanzando tales objetivos. Por lo general, los seis resultados definidos del gobierno de la seguridad de la informacin proporcionan una orientacin de alto nivel; sin embargo. Tal como se mencion anteriormente, los seis resultados se listan a continuacin: Alineacin estratgica
Pgina 29
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Gestin de riesgos empresariales Entrega de valor Gestin de recursos Medicin del desempeo Integracin del aseguramiento del proceso
Ser necesario que la estrategia considere lo que cada una de las reas seleccionadas significa para la organizacin; cmo se podran lograr y qu constituir el xito.
1.12.1 LA META
La primera, y a menudo sorprendentemente difcil, pregunta que debe responder una organizacin que busca desarrollar una estrategia de seguridad de la informacin es: cul es la meta? Aun cuando sta parece ser una pregunta trivial, la mayora de las organizaciones no define de manera especfica los objetivos de la seguridad de la informacin. Esto puede deberse a que parece obvio que la meta de la seguridad de la informacin es proteger los activos de informacin de la organizacin. Sin embargo, dicha respuesta supone el conocimiento de dos factores: el primero es que los activos de informacin se conocen con algn grado de precisin, lo cual no es el caso de la mayora de las organizaciones, y el segundo es que existe un entendimiento asumido de lo que significa "proteger". Cada persona entiende el concepto en general. Lo que resulta mucho ms difcil es establecer qu activos necesitan cunta proteccin y contra qu. En parte, estos problemas existen porque las organizaciones en general tienen poco conocimiento de la informacin que existe dentro de la empresa. Por lo regular no se cuenta con un proceso para eliminar informacin o datos intiles, desactualizados o potencialmente peligrosos o bien, para tal efecto, aplicaciones no utilizadas. Es sumamente raro encontrar un catlogo o ndice de informacin/procesos completo que defina lo que es importante y lo que no lo es, o incluso quin es el dueo de dicho proceso. En consecuencia, todo se protege bajo la premisa de que el almacenamiento es menos costoso que la clasificacin de datos, la cesin de propiedad y la identificacin de usuarios. En el caso de las grandes organizaciones, esto puede equivaler a terabytes de datos intiles y literalmente miles de aplicaciones desactualizadas y no utilizadas que se han acumulado durante dcadas. La situacin dificulta elaborar un plan racional de proteccin de datos, ya que posiblemente no tenga mucho sentido gastar recursos en proteger datos o informacin intil o peligrosa, o bien aplicaciones que ya no se utilizan. En este contexto, los datos peligrosos se refieren a aquella informacin que podra utilizarse para perjudicar a la organizacin, por ejemplo, pruebas perjudiciales obtenidas en litigios que pudieran haberse destruido conforme a una poltica de retencin legal y apropiada. Suponiendo que la informacin relevante existente se encuentra localizada e identificada, entonces se le debe clasificar o catalogar con base en su criticidad y sensibilidad. Un volumen enorme de datos e informacin de una organizacin tpica no ser ni crtico ni confidencial, y sera un desperdicio gastar una cantidad importante de recursos para protegerlos. Para muchas organizaciones, sta puede ser una tarea significativa y se muestran renuentes a asignar los recursos necesarios. Sin embargo, se trata de un paso crucial en el desarrollo de una estrategia prctica y til de seguridad de la informacin y de un programa rentable de seguridad. As como se asignan valores a los recursos fsicos de una organizacin, se deben asignar valores a la informacin para priorizar los esfuerzos de proteccin limitados por el presupuesto y determinar los niveles de proteccin que se requieren. En la mayora de los casos es difcil realizar valuaciones exactas de la informacin. En algunos casos, puede ser el costo de generarla o reemplazarla. En otros, la informacin en forma de conocimiento o secretos comerciales es difcil o imposible de reemplazar y podra ser literalmente invaluable. Sin duda alguna es sensato brindar una excelente proteccin a la informacin invaluable. Un enfoque que se ha utilizado es crear unos cuantos niveles aproximados de valor, por ejemplo, de cero a cinco, donde cero significa que no tiene valor y cinco significa que es crtico. La informacin de valor cero, incluyendo aplicaciones,
Pgina 30
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin podra asignarse cuando no se pueda determinar quin es su dueo y no se ha proporcionado evidencia de que se ha utilizado durante un tiempo. La informacin de valor cero puede entonces archivarse durante un periodo especfico, para lo cual se envan notificaciones a los dueos de negocio y en caso de que no se presente alguna objecin, sta se destruye. Por ende, la proteccin de aquella informacin considerada de nivel cinco (crtica) ser prioritaria. Otro enfoque que podra ser de mayor utilidad y mucho ms fcil de realizar es una evaluacin de la dependencia del negocio que se utiliza como un indicador de valor. Dicha evaluacin comienza mediante la definicin de los procesos crticos de negocio, para despus determinar la informacin que se utilizar y generar. Esta proporcionar una medida del nivel de criticidad de los recursos de informacin que puede utilizarse para orientar las actividades de proteccin. Cualquiera que sea el mtodo que se utilice, el nivel de sensibilidad tambin debe definirse al mismo tiempo a fin de establecer el nivel de clasificacin que se requiere para controlar el acceso a la informacin y limitar su divulgacin. Por lo general, la mayora de las organizaciones utilizar tres o cuatro clasificaciones de sensibilidad, tales como confidencial, de uso interno, y pblica. Para la mayora de las organizaciones, la clasificacin de activos representa una tarea de enormes proporciones pero que debe llevarse a cabo para la informacin con la que se cuente si se desea que el gobierno de la seguridad sea eficiente y relevante. Asimismo, es una tarea cuyos costos crecern de manera exponencial con el paso del tiempo a menos de que se atienda. Al mismo tiempo, deben desarrollarse polticas, estndares y procesos para exigir que la clasificacin avance y evitar que el problema empeore. En resumen, no ser posible desarrollar una estrategia rentable de seguridad de la informacin que est alineada con los requerimientos del negocio si antes no se: determinan los objetivos de seguridad de la informacin; localizan e identifican los recursos y los activos de informacin; valan los activos y recursos de informacin; clasifican los activos de informacin con base en su criticidad y sensibilidad.
1.12.2 DEFINICIN DE OBJETIVOS

Si una estrategia de seguridad de la informacin es la base para un plan de accin que permita alcanzar los objetivos de seguridad, sin duda ser necesario definir dichos objetivos. Es preciso definir los objetivos a largo plazo en trminos de un "estado deseado" de seguridad por varias razones. Si no se tiene una perspectiva bien estructurada de los resultados que se desea obtener de un programa de seguridad, ser imposible desarrollar una estrategia significativa. Es un hecho axiomtico que, si uno no sabe adnde va, no puede encontrar el camino para llegar y no sabr cundo ha llegado. Si no se cuenta con una estrategia, ser imposible desarrollar un plan de accin significativo y la organizacin proceder a implementar soluciones de puntos tcticos ad hoc y no habr nada que proporcione una integracin total. Los sistemas no integrados que resultaran de ello seran cada vez ms difciles de manejar, y su proteccin ser ms costosa y difcil, o incluso imposible. Por desgracia, muchas organizaciones no asignan los recursos adecuados para tratar este tipo de situaciones sino hasta que ocurre un incidente grave. La experiencia ha demostrado que tales incidentes suelen ser mucho ms costosos de lo que habra resultado resolverlos. Muchos objetivos se establecen en trminos de mitigacin o de gestin de riesgos. Los objetivos de la estrategia de seguridad de la informacin tambin deben establecerse en trminos de metas especficas para apoyar mejor las actividades de negocio. Algunos mitigantes de riesgo casi siempre sern aplicables a la organizacin, por ejemplo, proteccin antivirus o contra otro programa daino (malware). Dicha proteccin, por lo general, no se considera un facilitador especfico de negocio, sino un apoyo a la salud general de la organizacin al reducir cualquier impacto adverso que pudiera dificultar las actividades de la organizacin.
Pgina 31
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Es probable que una revisin de los planes de negocio estratgicos de la organizacin revele oportunidades para que las actividades de seguridad de la informacin apoyen ms o permitan una nueva posibilidad de negocio en particular. Por ejemplo, la implementacin de una infraestructura de llave pblica (PKI) puede permitir la realizacin de transacciones de alto valor entre socios comerciales o clientes confiables. Utilizar redes privadas virtuales (VPNs) puede darle a la fuerza de ventas una conectividad remota segura que le permita un mejor desempeo. En otras palabras, la seguridad de la informacin puede facilitar que se lleven a cabo actividades de negocio que de otro modo seran demasiado arriesgadas o, como sucede con mucha frecuencia, se realizan con la esperanza de que nada falle. Interrelaciones de Negocio Otras interrelaciones de negocio pueden comenzar desde la perspectiva de los objetivos especficos de una lnea de negocio particular. La revisin y anlisis de todos los elementos de una determinada lnea de producto pueden ilustrar este enfoque. Considere una organizacin que produce cereal de caja. La materia prima llega a la planta por automotor justo a tiempo. Los granos se vacan en tolvas que alimentan a las diversas maquinarias de procesamiento. El cereal terminado se empaca y se transporta al almacn. Este proceso relativamente sencillo se basa en muchos flujos de informacin que estn sujetos a fallos en la disponibilidad, confidencialidad o integridad. Cualquier avera o interrupcin significativa en el lado de la cadena de abastecimiento, por ejemplo, pedidos, seguimiento o pagos es probable que ocasione una interrupcin en la produccin. Prcticamente todas las actividades de la planta estn asociadas al procesamiento de datos y los flujos de informacin. Casi todo el procesamiento de materiales en la planta est ligado a los flujos de informacin. Para que la seguridad de la informacin sea efectiva tiene que considerar todos los flujos de informacin que son cruciales para garantizar la continuidad de la operacin. Para lograrlo, es necesario tener un buen entendimiento del negocio y de los flujos de informacin crticos de los que depende. El anlisis en el ejemplo anterior podra incluir toda la informacin fragmentada que se maneja y procesa sobre esta operacin de manufactura. Investigar la historia del proceso revelara fallos anteriores que indican deficiencias en el sistema. La mayora de los fallos se debern a errores humanos y sera posible reducirlas ya sea mediante mejores controles o adicionales, o procesos automatizados ms confiables. Entre los errores comunes se incluyen los de ingreso de datos, que podran mejorarse mediante verificacin de rango u otros procesos tcnicos. Pueden ser necesarios cambios de procedimientos o un proceso de validacin de ingreso de datos. El desarrollo y anlisis de vinculaciones del negocio pueden develar asuntos de seguridad de la informacin en el nivel operacional que pueden mejorar visiblemente la percepcin del valor de la seguridad de la informacin realizando procesos de negocios ms slidos. Las vinculaciones de negocio mejoradas pueden ser uno de los resultados positivos de un grupo directivo para la seguridad de la informacin si se incluyen los gerentes de operaciones. Las vinculaciones tambin se pueden establecer mediante reuniones regulares con dueos de negocio para sostener discusiones sobre asuntos relacionados con la seguridad. Esto tambin puede dar origen a la oportunidad de formar a dueos del proceso de negocio sobre posibles ventajas que la seguridad puede ofrecer a su operacin.
1.12.3 DESARROLLO DEL CASO DE NEGOCIO

El propsito de un caso de negocio es capturar el razonamiento para iniciar un proyecto o una tarea y debera incluir todos los factores que pueden afectar de forma considerable su xito o fracaso. Por lo general, es ms efectivo ya sea como un documento escrito bien estructurado o como una presentacin de diapositivas. Debe incluir beneficios, costos y riesgos de forma convincente. Los beneficios deben ser tangibles, factibles y relevantes para la organizacin. Se debe prestar particular atencin a los aspectos financieros de la propuesta. El costo total de propiedad (TCO) y los riesgos correspondientes al ciclo de vida completo del proyecto se deben presentar de forma realista. Es importante evitar el
Pgina 32
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin exceso de confianza, proyecciones demasiado optimistas y precisin excesiva para lo que probablemente sean resultados un tanto especulativos. (Vase 1.11.1, Dificultades de las Estrategias) Los propsitos principales del proceso formal de un caso de negocio son: Introducir una manera de pensar que conceda a las personas autoridad a fin de recomendar proyectos para considerar su valor, riesgo y prioridad relativa como elemento fundamental del envo de la propuesta de proyecto. Requerir a las personas que proponen un proyecto justificar su valor para la empresa y eliminar todas las propuestas cuyos valores no se puedan demostrar. Permitir a la gerencia determinar si el proyecto propuesto tiene valor para el negocio y se puede lograr en comparacin con los mritos relativos de las propuestas alternativas. Permitir a la gerencia que mida objetivamente el logro subsiguiente de los beneficios del caso de negocio.
A pesar de que existen numerosos formatos posibles para desarrollar un caso de negocio, utilizar las metodologas formales para la gestin de proyectos es probablemente lo ms apropiado. El caso debe incluir las opciones consideradas y las razones para rechazarlas. Las opciones presentadas deben incluir el caso para no iniciar un proyecto particular. El caso de negocio debe incluir algunas de o todas las siguientes opciones: ReferenciaNombre/referencia del proyecto, orgenes/ antecedentes/estado actual ContextoObjetivos/oportunidades de negocio, alineacin estratgica del negocio (prioridad) Proposicin de ValorLos resultados de negocio deseados, el plan de accin para los resultados, los beneficios para el negocio (segn los resultados), el valor cuantificado de los beneficios, los escenarios financieros de costos/ROI, los riesgos/costos de no proceder, los riesgos del proyecto (para el proyecto, los beneficios y el negocio) EnfoqueAlcance de los problemas/soluciones, supuestos/ limitaciones, opciones identificadas/evaluadas, tamao, escala y evaluacin de la complejidad ProductosResultados, productos y beneficios planificados; las reas impactadas de la organizacin (interna y externamente); partes interesadas clave DependenciasFactores crticos para el xito (CSFs) Mtricas del proyectoIndicadores clave de metas (KGIs), indicadores clave de desempeo (KPIs) Carga de trabajoEnfoque, definiciones de fases/etapas (actividades [de cambio] del proyecto, actividades tcnicas de entrega, estimado/desglose de la carga de trabajo, plan y programa del proyecto, anlisis de la ruta crtica) Recursos requeridosEquipo de liderazgo del proyecto, equipo de gobierno del proyecto, recursos de equipos, financiamiento Compromisos (requerido)Controles del proyecto, programa de revisiones, procesos de informes, programa de productos, presupuesto/programa financiero
Evaluacin de Casos de Negocio La evaluacin y revisin de un caso de negocio debe incluir que se determine que: la inversin tenga valor e importancia. el proyecto se gestionar adecuadamente. la empresa tenga la capacidad para entregar los beneficios. los recursos dedicados de la empresa estn funcionando sobre las oportunidades de ms alto valor. los proyectos con interdependencias se emprendan segn la secuencia ptima.
Objetivos de Casos de Negocio El proceso de caso de negocio se debe disear para que sea: AdaptableSe debe adaptar al tamao y riesgo de la propuesta ConsistenteTodos los proyectos deben abordar los mismos problemas bsicos de negocio.
Pgina 33
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Orientado al negocioDebe estar relacionado con las capacidades y el impacto del negocio, en lugar de centrarse en el aspecto tcnico IntegralDebe incluir todos los factores relevantes para una evaluacin completa. ComprensibleEl contenido debe ser claro, lgico y, aunque exigente, fcil de completar y evaluar. MedibleTodos los aspectos clave se pueden cuantificar, de modo que su logro se puede rastrear y medir. TransparenteLos elementos clave se pueden justificar directamente. ResponsableLas responsabilidades y los compromisos para la entrega de beneficios y la gestin de costos deben ser claras.
1.12.4 EL ESTADO DESEADO

El trmino "estado deseado" se utiliza para denotar una visin general de todas las condiciones relevantes en un momento en particular. Esto incluye personas, procesos y tecnologas. Definir un "estado de seguridad" en trminos puramente cuantitativos es imposible. En consecuencia, un "estado deseado de seguridad" tiene que definirse en trminos cualitativos de atributos, caractersticas y resultados. De acuerdo con COBIT, puede incluir objetivos de alto nivel, entre otros: "Proteger tanto los intereses de aquellos que dependen de la informacin como los procesos, sistemas y comunicaciones que la manejan, almacenan y entregan de sufrir algn dao que resulte en fallos en la disponibilidad, confidencialidad e integridad de dicha informacin." Resulta evidente que aun cuando la aseveracin anterior es til para declarar la intencin y el alcance, no ofrece la claridad suficiente para definir los procesos u objetivos. Los elementos cualitativos, tales como los resultados deseados, deben definirse con la mayor precisin posible para brindar orientacin en cuanto al desarrollo de la estrategia. Por ejemplo, si el cumplimiento regulatorio especfico es un resultado deseado, se vuelve evidente un nmero significativo de requerimientos tcnicos y de procesos. En caso de que las caractersticas incluyan un mtodo pacfico para exigir el cumplimiento que sea congruente con la cultura de la organizacin, entonces el desarrollo de la estrategia presentar lmites en los tipos de mtodos que se van a considerar para tal efecto. Una serie de enfoques tiles se encuentran disponibles para proporcionar un marco general que ayude a alcanzar un "estado deseado" de seguridad bien definido. Estos, y quizs otros, aspectos se deben evaluar para determinar cul se integra, ajusta y funciona mejor para la organizacin. Puede ser til combinar diferentes estndares y marcos generales para proporcionar una visin multidimensional del estado deseado. Vase la Figura 1.9 (Ver presentacin PPT). Varios de los enfoques ms aceptados se describen a continuacin. CobiT Los Objetivos de Control de Informacin y Tecnologas Relacionadas (COBIT) se enfocan a los procesos relacionados con las tecnologas de informacin desde las perspectivas del gobierno de TI, gestin y control. COBIT es un marco de gobierno de TI y un conjunto de herramientas de soporte que permite a los gerentes salvar la brecha que existe entre los requerimientos de control, los problemas tcnicos y los riesgos de negocio. COBIT permite desarrollar una poltica clara y una prctica sana para el control de las tecnologas de informacin en las organizaciones. Desde el punto de vista del CISM, los objetivos y procedimientos de control tienen que ampliarse ms all de las actividades de TI a fin de que incluyan cualquier actividad que pudiera tener un impacto en la seguridad de la informacin. COBIT debe considerarse un marco altamente efectivo y bien desarrollado que puede brindar beneficios importantes para alcanzar los objetivos de seguridad de la informacin. Los "controles" se definen como "las polticas, procedimientos, prcticas y estructuras organizacionales que estn diseados para brindar una confianza razonable de que se alcanzarn los objetivos de negocio y que se evitarn o detectarn los incidentes no deseados." "Objetivos de control" se definen como "una declaracin del resultado deseado o propsito que se va a lograr mediante la implementacin de procedimientos de control en un proceso en particular".
Pgina 34
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin COBIT define el gobierno corporativo como "un conjunto de responsabilidades y prcticas, ejercidas por el consejo de direccin y la direccin ejecutiva, con la finalidad de brindar una direccin estratgica, garantizar que se logran los objetivos, determinar que los riesgos se administran en forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad." El marco COBIT establece 34 procesos para administrar y controlar la informacin y la tecnologa que la soporta. Los procesos se dividen en cuatro dominios: Planear y OrganizarEste dominio abarca la estrategia y las tcticas, y se encarga de identificar la forma en la cual las TI pueden contribuir mejor a alcanzar los objetivos de negocio. Es ms, la realizacin de la visin estratgica necesita planearse, comunicarse y administrarse para diferentes perspectivas. Por ltimo, es preciso contar con una organizacin y una infraestructura tecnolgica apropiadas. Adquirir e ImplementarPara concretar la estrategia de TI, es necesario identificar, desarrollar o adquirir soluciones de TI, e implementarlas e integrarlas en el proceso de negocio. Adems, este dominio cubre los cambios y el mantenimiento de los sistemas existentes para garantizar la continuidad del ciclo de vida para estos sistemas. Prestacin del servicio y SoporteEste dominio se encarga de la prestacin efectiva de los servicios requeridos, que van desde operaciones tradicionales pasando por los aspectos de seguridad y continuidad hasta la capacitacin. A fin de prestar los servicios, se tienen que establecer los procesos de soporte necesarios. Este dominio incluye el procesamiento real de datos por parte de sistemas de aplicacin, que a menudo se clasifican como controles de aplicacin. Monitorear y EvaluarTodos los procesos de TI deben valorarse de manera peridica para determinar su calidad y cumplimiento con los requerimientos de control. Este dominio, por tanto, trata el monitoreo y la evaluacin del desempeo de TI y mayor control por parte de la gerencia, garantizando el cumplimiento regulatorio y brindando vigilancia del gobierno de TI.
La Figura 1.10 (Ver presentacin PPT) muestra una presentacin grfica de los controles y componentes del gobierno de seguridad. Modelo de la Capacidad de Madurez (CMM) El estado deseado de seguridad tambin puede definirse como alcanzar un nivel especfico en el Modelo de la Capacidad de Madurez (CMM), tal como se muestra en la Figura 1.11 (Ver presentacin PPT). Consiste en calificar cada rea definida de seguridad sobre una escala de 0 a 5 con base en la madurez de los procesos. El enfoque se presenta con mayor detalle en el apndice A. Los niveles de madurez se describen como: 0: InexistenteNo hay reconocimiento de la organizacin de necesidad de seguridad 1: ProvisionalLos riesgos se consideran de modo provisional 2: Repetible pero intuitivoentendimiento emergente del riesgo y la necesidad de la seguridad. 3: Proceso definido polticade gestin de riesgos/conciencia sobre la seguridad en toda la empresa. 4: Administrado pero cuantificable 5: Optimizadoprocesos implementados, monitoreados y administrados en toda la organizacin.
Cuadro de Mando (Balanced Scorecard) El Cuadro de mando es un sistema de gestin (no slo un sistema de medicin) que permite a las organizaciones aclarar su visin y estrategia y llevarlas a cabo. Ofrece retroalimentacin tanto sobre los procesos internos de negocio y los resultados externos para continuar mejorando el desempeo estratgico y los resultados. Cuando se utiliza en su totalidad, el Cuadro de mando transforma los planes estratgicos de un ejercicio acadmico en el centro neurlgico de una empresa.
Pgina 35
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin El Cuadro de mando, tal como se muestra en la Figura 1.12 (Ver presentacin PPT), utiliza cuatro perspectivas, desarrolla mtricas, recopila datos y los analiza con relacin a cada una de las siguientes perspectivas: Aprendizaje y crecimiento Proceso de negocio Cliente Finanzas
Enfoques Sobre la Arquitectura La Arquitectura de Seguridad de la Informacin en la Empresa (EISA) es un subconjunto de la arquitectura de la empresa. Una infraestructura se puede describir como una estructura fundacional, o conjunto de estructuras, que se puede utilizar para desarrollar una gran variedad de arquitecturas, incluida la arquitectura del proceso de negocio, que algunas veces se menciona como arquitectura contextual, as como las arquitecturas conceptuales, lgicas, fsicas, funcionales y operacionales ms tradicionales. Existen numerosas tecnologas que han evolucionado, incluidos los modelos de procesos, marcos y enfoques ad hoc que favorecen algunas consultoras. Esta evolucin ocurri al ser evidente que una perspectiva de arquitectura limitada a la TI era inadecuada para abordar el diseo del negocio y el desarrollo de los requerimientos de seguridad. En la actualidad, numerosos enfoques de arquitectura proporcionan los enlaces y el diseo del aspecto comercial de la proteccin de la informacin. Los enfoques de arquitectura con procesos de negocio que pudieran ser apropiados para definir el "estado deseado" de seguridad incluyen (pero no se limitan necesariamente a) modelos de marcos tales como: Marco de Arquitectura de Open Group (TOGAF), Marco de Arquitectura Empresarial Zachman, Arquitectura aplicada de Seguridad de Negocios de Sherwood (SABSA) y Marco de Arquitectura Empresarial Extendida (EA2F). Estos modelos pueden servir para definir la mayora o la totalidad del "estado deseado" de la seguridad, siempre que se utilicen apropiadamente para reflejar e implementar la estrategia de seguridad de la organizacin. Consulte la seccin 1.15.2. La arquitectura debe describir un mtodo para disear un objetivo o estado deseado de la empresa en trminos de un conjunto de componentes bsicos y para mostrar cmo estos componentes se integran. La arquitectura objetivo se conoce como la arquitectura de referencia y sirve para establecer los objetivos ms lejanos en el tiempo para el diseo tcnico, de sistemas y procesos. ISO/IEC 27001 y 27002 Para asegurarse de que todos los elementos relevantes de seguridad se tratan en una estrategia de seguridad organizativa, las 11 reas renombradas de ISO/IEC 27002 (la sucesora de BS 7799-2) y 27002 (la sucesora actualizada de ISO/IEC 17799) pueden proveer un marco til para evaluar la comprensibilidad. De igual forma, se deben crear estndares y polticas que permitan monitorear directamente cada uno de los elementos de la norma. Las 11 divisiones principales de ISO/IEC 27002 son: Poltica de seguridad Organizacin de seguridad de la informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de seguridad de la informacin Gestin de incidentes relacionados con la seguridad de la informacin Gestin de la continuidad del negocio Cumplimiento
Pgina 36
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Cada una de las 11 divisiones principales se divide en 10 secciones que se deben tratar de forma apropiada como parte de una estrategia y arquitectura de seguridad integrales. No todas las secciones del estndar sern relevantes para una determinada organizacin y el estndar se debe adaptar segn se requiera. Vase la Figura 1.13 (Ver presentacin PPT). Otros Enfoques Existen otros enfoques y mtodos que pueden ser tiles, tales como otros estndares ISO sobre la calidad (ISO 9001:2000), el mtodo Six Sigma para la calidad y la gerencia del negocio, las publicaciones de NIST y ISF y la Ley Federal de los EUA para la Gestin de la Seguridad de la Informacin (FISMA). Algunas de stos se enfocan ms en procesos gerenciales y manejo de calidad que en objetivos de seguridad estratgicos. Sin embargo, un argumento vlido podra ser que, si el objetivo de una estrategia de seguridad era implementar totalmente componentes relevantes de ISO/IEC 27001 y 27002, es probable que se cumpla con la mayora de o todos los requerimientos de seguridad. Es probable que se sea un enfoque innecesariamente costoso, y los estndares sugieran que se deben adaptar con cuidado a los requerimientos especficos de la organizacin que los est adoptando. Sin duda surgirn otras metodologas en el futuro que sean ms eficaces que las que se mencionaron con anterioridad. Aquellas que se mencionaron no pretenden ser exhaustivas sino son tan slo algunos de los enfoques de mayor aceptacin para llegar a objetivos de seguridad de la informacin bien definidos. Puede ser de utilidad emplear una combinacin de mtodos para describir el "estado deseado" a fin de contribuir a la comunicacin con otros y como una forma de contraverificar los objetivos para garantizar que se han incluido todos los elementos pertinentes. Por ejemplo, una combinacin de objetivos de control COBIT, CMM, el cuadro de mando y un apropiado modelo arquitectnico sera una combinacin altamente efectiva. Aun cuando pareciera una exageracin, cada enfoque presenta un punto de vista diferente que en conjunto probablemente garantice que no se ha omitido ningn aspecto importante. Puesto que es improbable que una estrategia errnea d como resultado un programa efectivo de seguridad, ste sera un enfoque prudente.
1.12.5 OBJETIVOS DE RIESGO

Una de las principales aportaciones para definir el estado deseado ser el enfoque que tenga la organizacin ante el riesgo y su apetito de riesgo, es decir, lo que la gerencia considera riesgo aceptable. ste es otro paso crucial, ya que un riesgo aceptable definido determinar los objetivos de control u otras medidas de mitigacin del riesgo utilizadas. A su vez, los objetivos de control sern decisivos para determinar el tipo, la naturaleza y el alcance de los controles y contramedidas que utilizar la organizacin para administrar el riesgo. La figura 1.14 (Ver presentacin PPT) muestra la relacin que existe entre los riesgos, las medidas de control y los costos de los controles. Si no se tiene una determinacin razonablemente clara del riesgo aceptable, resulta difcil establecer si la seguridad de la informacin est alcanzando sus objetivos y si se ha utilizado el nivel apropiado de recursos. La gestin del riesgo operativo es un intercambio; si existe un riesgo que est relacionado con tomar una determinada accin, existe tambin el riesgo de no llevarla a cabo. Adems, los riesgos individuales interactan de maneras muy complejas y si se mitiga un riesgo es casi un hecho que se incremente al menos uno de los dems riesgos en consecuencia. El riesgo siempre conlleva un costo, ya sea que se controle o no. El costo del riesgo se puede expresar como una Expectativa de prdidas anuales (ALE), por ejemplo, la cantidad de prdidas potenciales multiplicada por la probabilidad de ocurrencia mostrando el nivel ptimo de control. El diagrama ilustra el equilibrio entre el costo de los controles comparado con el costo de prdidas, que muestra el nivel ptimo de control. La aceptacin de algunos riesgos se puede cuantificar utilizando el enfoque de continuidad del negocio de desarrollar tiempos objetivo de recuperacin (RTOs), de los cuales se proporcionan ms detalles en los captulos 2 y 5, Gestin de riesgos de la informacin y Gestin y respuesta a incidentes. Utilizar un enfoque resumido para determinar RTOs pudiera proporcionar informacin adecuada para el desarrollo de estrategias. Esto puede ser una determinacin informal por parte de los dueos del proceso de negocio sobre la cantidad de tiempo que los sistemas crticos pueden permanecer inoperantes sin que esto tenga consecuencias graves para el negocio. Ello, a su vez, sentar la base para
Pgina 37
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin aproximar los costos de lograr la recuperacin. Si se considera muy alta, la iteracin del proceso llegar a un momento de recuperacin aceptable a un costo aceptable. Esto se puede considerar como el riesgo aceptable. Desarrollar los objetivos de estrategia correctos por lo general requiere de un enfoque iterativo basado en un anlisis de costos para alcanzar el estado deseado y los niveles de riesgo aceptables. Es probable que reducir el nivel de riesgo aceptable sea ms costoso. No obstante, el enfoque para alcanzar el estado deseado afectar tambin los costos de manera significativa. Por ejemplo, algunos riesgos pueden existir a causa de determinadas prcticas que no son necesarias o tiles para la organizacin, o que son, de hecho, perjudiciales para su operacin. Esto puede incluir prcticas que podran considerarse discriminatorias o contrarias a la ley, y presenta el riesgo de una demanda. Prcticas que, cuando se evalan, pueden haberse derivado de actitudes o mtodos obsoletos que pueden cambiarse de un modo eficiente a un bajo costo, lo cual resultar en la eliminacin o mitigacin del riesgo. En otras palabras, el enfoque para tratar riesgos especficos tiene un impacto significativo en los costos. Es preciso que el gerente de seguridad de la informacin sepa que los controles tcnicos (por ejemplo, cortafuegos (firewalls), sistemas de deteccin de intrusos (IDS), etc.) son tan slo una dimensin que debe considerarse. Los controles fsicos, de procesos y procedimientos pueden ser ms efectivos y menos costosos. En la mayora de las organizaciones, los riesgos de procesos representan el peligro ms grande y los controles tcnicos probablemente no compensan adecuadamente la gestin deficiente o los procesos defectuosos. Una vez que se hayan definido claramente los objetivos, se tendrn varias maneras de desarrollar soluciones que variarn mucho en costo y complejidad. Independientemente del proceso que se utilice, el objetivo es definir, en trminos significativos y concretos, el estado de seguridad general esperado en el futuro.
1.13 DETERMINACIN DEL ESTADO ACTUAL DE LA SEGURIDAD

Es preciso determinar el estado actual de la seguridad de la informacin utilizando las mismas metodologas o la combinacin de stas que se aplic para definir los objetivos de la estrategia o el estado deseado. En otras palabras, cualquiera que sea la combinacin de metodologas, tales como COBIT, CMM o el Cuadro de mando, que se utilice para definir el estado deseado, deber emplearse tambin para determinar el estado actual. Esto proporcionar una comparacin equitativa entre los dos, lo que establecer una base para realizar un anlisis de brechas, que determinar lo que se necesita para alcanzar los objetivos. Utilizar la misma metodologa con regularidad proporcionar las mtricas sobre el avance en el cumplimiento de los objetivos, as como un nivel mnimo (baseline) de seguridad.
1.13.1 RIESGO ACTUAL

El estado de riesgo actual se debe determinar mediante una evaluacin integral de riesgos. As como deben establecerse los objetivos de riesgo como parte del estado deseado, as debe determinarse el estado actual del riesgo para establecer la base para realizar un anlisis de brechas de los riesgos que existen y hasta qu grado debe incluirse en la estrategia. Una evaluacin completa de riesgos incluye anlisis de amenazas y vulnerabilidades que de manera individual proporcionen informacin til para desarrollar una estrategia. Puesto que los riesgos pueden tratarse de distintas formas, por ejemplo, modificando la conducta riesgosa, desarrollando contramedidas para las amenazas, reduciendo las vulnerabilidades o desarrollando controles, esta informacin dar el fundamento para determinar la estrategia ms rentable para tratar los riesgos. Las evaluaciones peridicas adicionales servirn para proporcionar las mediciones necesarias para determinar el progreso. Evaluacin/Anlisis de Impacto al Negocio La evaluacin del estado actual tambin debe incluir un BIA exhaustivo para ayudar a terminar de conformar la imagen del estado actual. Puesto que el objetivo final de la seguridad es brindar confianza en el proceso de negocio y minimizar el impacto que puedan ocasionar los incidentes adversos, un anlisis de impacto arrojar parte de la informacin que se
Pgina 38
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin requiere para desarrollar una estrategia efectiva. La estrategia debe resolver la diferencia entre niveles aceptables de impacto y el nivel actual de posibles impactos.
1.14 ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN

Con la informacin tratada en la seccin anterior, se puede desarrollar una estrategia de seguridad significativa una estrategia para ir del estado actual al estado deseado. Saber dnde nos encontramos y hacia dnde nos dirigimos proporciona un punto de partida esencial para el desarrollo de la estrategia; facilita el marco para crear un plan de accin. El plan de accin corresponde esencialmente a los pasos que se deben dar para implementar la estrategia. Un conjunto de objetivos de seguridad de la informacin junto con procesos, mtodos, herramientas y tcnicas disponibles proporcionan los medios para elaborar una estrategia de seguridad. Una buena estrategia de seguridad debe tratar y mitigar riesgos y al mismo tiempo cumplir con los requerimientos legales, contractuales y regulatorios del negocio, as como brindar un apoyo comprobable a los objetivos de la organizacin y maximizar el valor para aquellos que tengan algn inters en la organizacin. La estrategia de seguridad tambin necesita considerar de qu manera la organizacin va a incluir prcticas sanas de seguridad en cada uno de los procesos y reas de negocio. A menudo, aquellos responsables de desarrollar una estrategia de seguridad piensan en trminos de controles como los medios para implementar la seguridad. Los controles, aun cuando son importantes, no son el nico elemento con el que cuenta un estratega. En algunos casos, por ejemplo, llevar a cabo la reingeniera de un proceso puede reducir o eliminar un riesgo sin que sean necesarios los controles. O bien, es posible mitigar el posible impacto si se modifica la arquitectura en vez de los controles. Se debe de considerar que, en ocasiones, mitigar los riesgos puede reducir las oportunidades a un extremo contraproducente. En ltima instancia, la meta de la seguridad es el aseguramiento del proceso de negocio, independientemente del negocio del que se trate. Aun cuando el negocio de una dependencia gubernamental no resulte de manera directa en ganancias, contina estando en el negocio de brindar servicios rentables a sus ciudadanos y tiene que seguir protegiendo los activos que se le han dado en custodia. Cualquiera que sea el negocio del que se trate, su meta operativa primaria es maximizar el xito de los procesos de negocio y minimizar los impedimentos para ejecutar esos procesos.
1.14.1 ELEMENTOS DE UNA ESTRATEGIA

Qu debe incluir una estrategia de seguridad? Ya se han definido el punto de partida y el destino. Lo siguiente que hay que considerar es qu recursos estn disponibles y cules son las limitaciones que deben considerarse cuando se desarrolle una directriz. Los recursos son los mecanismos que se utilizarn para alcanzar varias partes de la estrategia que presentan limitaciones. Plan de Accin El plan de accin tpico para alcanzar un estado deseado seguro y definido incluye personas, procesos, tecnologas, entre otros recursos. Sirve para delinear las rutas y los pasos necesarios para "navegar" hacia los objetivo de la estrategia. Es probable que la interaccin y la relacin entre los diferentes elementos de una estrategia sean complejos. Por esa razn, es prudente considerar las etapas iniciales del desarrollo de una arquitectura de seguridad, como las descritas en la seccin 1.15.2. Las arquitecturas pueden ofrecer un enfoque estructurado para definir los impulsores de negocio, las relaciones de recursos y los flujos de procesos. Una arquitectura tambin puede ayudar a asegurar que los elementos contextales y conceptuales, como los impulsores de negocio y las consecuencias, se incluyan en la etapa de desarrollo de la estrategia. Alcanzar el estado deseado ser una meta a largo plazo de una serie de proyectos e iniciativas. Tal como sucede con la mayora de los proyectos grandes y complejos, ser necesario desglosarlos en varios proyectos a corto plazo que puedan lograrse en un tiempo razonable, dadas las inevitables limitaciones de recursos y a los ciclos presupuestarios. Toda la directriz puede y debe trazarse, teniendo en consideracin que no existe un estado fijo para la seguridad de la
Pgina 39
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin informacin y al paso del tiempo ser necesario modificar algunos objetivos. Algunos objetivos, tales como alcanzar un determinado nivel de madurez, realizar la reingeniera de procesos de alto riesgo o lograr objetivos de control especficos, tal vez no requieran de ninguna modificacin. Los proyectos a menor plazo que alineados con los objetivos a largo plazo pueden ayudar a proporcionar controles y oportunidades para hacer correcciones a la mitad del camino. Tambin brindarn mtricas para validar la estrategia en su conjunto. Por ejemplo, un objetivo a largo plazo definido en la estrategia puede ser la clasificacin de datos con base en la confidencialidad y criticidad. Dada la magnitud del esfuerzo que se necesita en una gran organizacin, es probable que se requieran varios aos para su realizacin. La estrategia puede incluir el requerimiento para determinar que el objetivo que deber completarse cada ao fiscal ser el 25 por ciento de los datos utilizando varios enfoques tcticos. Un segundo componente de la estrategia podra ser elaborar polticas y estndares que excluyan las prcticas que dan lugar al problema, para que no se agrave mientras se ejecuta el proceso de correccin. Ms adelante se presenta un ejemplo de un plan de accin a corto plazo para cumplir con este objetivo en la seccin 1.19. El desarrollo de una estrategia para alcanzar objetivos a largo plazo y la directriz para llegar hasta ellos, junto con metas intermedias a menor plazo, establecer la base para elaborar polticas y estndares slidos en apoyo a este esfuerzo.
1.14.2 RECURSOS Y LIMITACIONES DE LA ESTRATEGIA-VISIN GENERAL

Las siguientes subsecciones describen los recursos tpicos de implementacin de una estrategia de seguridad de la informacin y algunas de las limitaciones que se deben considerar. Recursos Los recursos con los que cuenta la organizacin debern ser cuantificados y considerados cuando se desarrolle una estrategia de seguridad. En la medida en que sea posible, la estrategia debera utilizar los recursos disponibles a fin de aprovechar al mximo el uso de los activos y las capacidades existentes. Estos recursos pueden considerarse los mecanismos que estn disponibles, en una combinacin ptima, para alcanzar el estado deseado de seguridad al paso del tiempo. Por lo general, los siguientes: Polticas Estndares Procedimientos Directrices Arquitectura(s) Controles fsicos, tcnicos y de procedimientos Contramedidas Defensas en capas Tecnologas Seguridad del personal Estructura organizacional Roles y responsabilidades Habilidades Capacitacin Concienciacin y formacin Auditoras Exigencia de cumplimiento Anlisis de amenazas Anlisis de vulnerabilidades Evaluacin de riesgos Anlisis de impacto al negocio
Pgina 40
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Anlisis de la dependencia de recursos Proveedores externos de seguridad Otros proveedores de soporte y aseguramiento organizacional Instalaciones Seguridad en el entorno
Limitaciones Tambin existen varias limitaciones que debern considerarse cuando se desarrolle una estrategia de seguridad y el plan de accin posterior. A continuacin se enlistan las limitaciones ms comunes: LegalLeyes y requerimientos normativos Fsicaslimitaciones en la capacidad, espacio y ambiente ticaapropiadas, razonables y habituales Culturatanto dentro como fuera de la organizacin Costostiempo, dinero Personalresistencia al cambio y resentimiento contra nuevas limitaciones Estructura organizacionalCmo se toman las decisiones y quin lo hace, proteccin territorial Recursosde capital, tecnolgicos y humanos Capacidadesconocimiento, capacitacin, habilidades y conocimientos especializados Tiempoventana de oportunidad y cumplimiento forzoso Tolerancia al riesgoamenazas, vulnerabilidades e impactos
Algunas de las limitaciones, tales como la tica y la cultura, pueden tratarse para el desarrollo del estado deseado. Otras surgirn como consecuencia de desarrollar el plan de accin y la directriz.
1.15 RECURSOS DE LA ESTRATEGIA

Existe un gran nmero de recursos que estn disponibles para desarrollar una estrategia de seguridad de la informacin; sin embargo, variarn dependiendo de cada organizacin. El gerente de seguridad de la informacin debe estar al tanto de los recursos que estn disponibles y ser consciente de que podran existir otras razones tanto culturales como de otro tipo por las cuales determinadas opciones quedarn descartadas, por ejemplo, la renuencia mostrada por la gerencia a cambiar o modificar las polticas.
1.15.1 POLTICAS Y ESTNDARES

Existe una amplia gama de interpretaciones para las polticas, estndares, procedimientos y directrices. Las definiciones utilizadas en este documento coinciden con los principales rganos normativos y deben adoptarse para evitar problemas de comunicacin. Tanto las polticas como los estndares se consideran herramientas de gobierno y gestin, respectivamente, mientras que los procedimientos y directrices son del mbito de las operaciones. Para mayor claridad, los cuatro se definen en las siguientes secciones. Polticas Las polticas son las declaraciones de alto nivel de la intencin, las expectativas y la direccin de la gerencia. Un ejemplo de una declaracin de poltica sobre el control de acceso puede ser la siguiente: Los recursos de informacin debern controlarse de un modo que restrinjan efectivamente el acceso no autorizado. La poltica se puede considerar la "constitucin" del gobierno de la seguridad. Estndares Las normas en este contexto son las mediciones, los lmites permisibles o los procesos usados para determinar si los procedimientos, procesos o sistemas cumplen con los requerimientos de la poltica. Un estndar para contraseas (passwords) utilizada para efectos de control de acceso sera: Las contrasenas (passwords) para dominios de seguridad media y baja debern contener un mnimo de ocho caracteres que constarn de una combinacin de letras minsculas y
Pgina 41
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin maysculas, al menos un nmero y un signo de puntuacin. La norma para el control de acceso de empleados en las instalaciones puede incluir requerimientos de composicin de contraseas, longitud mnima y mxima de stas, frecuencia de cambios de contraseas y reglas para volver a utilizarlas. Por lo general, una norma debe establecer parmetros suficientes para determinar sin ambigedad que un procedimiento o prctica cumple con los requerimientos de la poltica en cuestin. Los estndares se deben redactar cuidadosamente, de manera que especifiquen slo los lmites necesarios para garantizar la seguridad y, al mismo tiempo, maximizar las opciones de procedimiento. Los estndares se deben redactar cuidadosamente, de manera que especifiquen slo los lmites necesarios para garantizar la seguridad y, al mismo tiempo, maximizar las opciones de procedimiento. Los estndares deben cambiar a medida que cambian los requerimientos y las tecnologas. En una organizacin madura, las polticas pueden permanecer bastante estticas. Por lo regular existen mltiples estndares para cada poltica, dependiendo del dominio de seguridad. Por ejemplo, el estndar de contrasea sera ms restrictivo cuando se acceda a dominios de alta seguridad. Procedimientos Los procedimientos son responsabilidad de operaciones, incluyendo operaciones de seguridad, pero se incluyen en este manual para brindar mayor claridad. Los procedimientos deben ser claros e incluir todos los pasos necesarios para cumplir con tareas especficas. Deben definir resultados y exposiciones esperados, as como las condiciones requeridas para su ejecucin. Los procedimientos tambin deben incluir los pasos que se requieren cuando ocurren resultados inesperados. Los procedimientos deben ser claros, sin ambigedades, y los trminos deben ser exactos. Por ejemplo, las palabras "debe", "deber" y "har" tendrn que utilizarse para cualquier tarea que sea obligatoria. La palabra "debera" se utiliza para referirse a una accin preferida que no es obligatoria. Los trminos "pudiera" o "puede" slo se deben utilizar para denotar una accin puramente discrecional. Las tareas discrecionales slo deberan aparecer en los procedimientos, cuando sea necesario, ya que diluyen el mensaje del procedimiento. Los procedimientos para contraseas incluyen los pasos detallados que se requieren para configurar cuentas de contraseas y los pasos para cambiar o reiniciar las contraseas. Directrices Las directrices para ejecutar procedimientos tambin son responsabilidad de operaciones. Deben de contener informacin que ayude a ejecutar los procedimientos. Pueden incluir dependencias, sugerencias y ejemplos, notas aclaratorias de los procedimientos, antecedentes que pueden ser de utilidad, herramientas que pueden utilizarse, etc. Las directrices pueden ser tiles en muchas otras circunstancias pero se han incluido en este manual en el contexto del gobierno de la seguridad de la informacin.
1.15.2 ARQUITECTURAS DE SEGURIDAD DE LA INFORMACIN

Aunque an no es la norma, una arquitectura de seguridad de la informacin puede ser una poderosa herramienta de integracin como elemento de la estrategia. En general, no se tiene un entendimiento de lo que constituye una arquitectura de seguridad y de qu manera puede ser importante para el desarrollo y la implementacin de una estrategia de seguridad. En muchos sentidos, la arquitectura de la seguridad de la informacin es anloga a la arquitectura de los edificios. Comienza como un concepto, un conjunto de objetivos de diseo que deben cumplirse (p.ej. la funcin que tendr, si ser un hospital, una escuela, etc.). Despus se transforma en un modelo, una aproximacin en borrador de la visin creada a partir de la materia prima (lase: servicios). A esto sigue la preparacin de programas detallados o herramientas que se utilizarn para transformar la visin/modelo en un producto real y terminado. Por ltimo, est el edificio en s mismo, la realizacin o resultado de las etapas previas. Dado el creciente nmero de personal de seguridad en la mayora de las organizaciones, el incremento en los riesgos cibernticos y las prdidas cada vez mayores en conjunto con un aumento en las presiones regulatorias y una administracin de seguridad ms problemtica, resulta sorprendente que la arquitectura de seguridad haya tenido en
Pgina 42
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin general un impacto menor en los esfuerzos de seguridad de una empresa. Ello puede deberse en gran medida al hecho de que unas cuantas organizaciones cuentan con lo que puede denominarse una arquitectura de seguridad o, en realidad, ni siquiera tienen una estrategia de seguridad en la cual basar dicha arquitectura. El hecho de que las organizaciones no adopten un concepto de arquitectura de seguridad parece tener varias causas identificables. Una de ellas es que dichos proyectos son costosos y de ejecucin lenta, y se tiene un escaso o nulo entendimiento o apreciacin en casi todos los niveles de la organizacin de la necesidad o los posibles beneficios. Puede ser tambin que no existan muchos arquitectos competentes que cuenten con una experiencia suficientemente vasta para tratar la amplia gama de aspectos que son necesarios para garantizar que se obtendr un grado razonable de xito. El efecto de esta falta de "arquitectura" al paso del tiempo ha sido tener una integracin de seguridad menos funcional y una mayor vulnerabilidad en la empresa al mismo tiempo que la seguridad tcnica ha mostrado una mejora significativa. Esta falta de integracin contribuye a aumentar la dificultad de gestionar los esfuerzos de seguridad de la empresa de modo efectivo. La arquitectura de seguridad se cubre ms ampliamente en la unidad 3. Actualmente existen diversos marcos y procesos de arquitectura y algunos de los ms predominantes se referencian a continuacin. La arquitectura de seguridad de la informacin tambin se trata ms ampliamente en la unidad 3. Algunos de estos enfoques son similares y han evolucionado a partir del desarrollo de la arquitectura empresarial. Por ejemplo, el enfoque del marco Zachman de desarrollar una matriz de quin, qu, por qu, dnde, cundo y cmo tambin es utilizado por SABSA y EA2F. Ver la Figura 1.15 (Ver presentacin PPT). Los objetivos de los diversos enfoques son esencialmente iguales. El marco detalla la organizacin, los roles, las entidades y las relaciones que existen o deberan existir para llevar a cabo un conjunto de procesos de negocio. El marco debe proveer una taxonoma rigurosa que identifique claramente los procesos que realiza un negocio e informacin detallada sobre cmo se ejecutan y aseguran esos procesos. El producto final es un conjunto de elementos que describen, en diferentes grados de detalle, exactamente qu y cmo opera un negocio y cules controles de seguridad se requieren. La eleccin de los enfoques puede ser limitada por un estndar organizacional existente, pero si no existe uno, la eleccin se debe hacer basndose en la forma, el ajuste y la funcin. En otras palabras, un enfoque particular puede ser ms consistente con las prcticas organizacionales existentes o puede ser ms adecuado para una situacin en particular. Los diferentes enfoques tambin pueden implicar esfuerzos y recursos considerablemente mayores. Algunos estn ms orientados o limitados a arquitecturas tcnicas y no sern adecuados para efectos de gobierno. Marcos Alternativos de Arquitectura Empresarial Adems de los enfoques mencionados, otros enfoques relacionados con la arquitectura de seguridad incluyen los siguientes (la eleccin de un enfoque de arquitectura se debe basar en factores como la forma, el ajuste, la funcin, y quizs, enfoques obligatorios en ciertas organizaciones): Marco de Arquitectura Integrada de Capgemini Marco de Arquitectura del Ministerio de Defensa del Reino Unido (MODAF) Marco de Arquitectura Empresarial NIH Arquitectura de Seguridad Abierta Marco de Modelado Orientado a Servicios (SOMF) El Marco de Arquitectura de Open Group (TOGAF) AGATE French Dlgation Gnrale pour l'Armement Atelier de Gestion de l'ArchiTEcture des systmes d'information et de communication Marco de Arquitectura del Departamento de Defensa de los Estados Unidos (DoDAF) Prestacin Interoperable (de servicios gubernamentales europeos a pblico) Administraciones, Empresas y Ciudadanos (IDABC) Arquitectura Empresarial Federal de la Oficina de Gestin y Presupuesto de los Estados Unidos (FEA)
Pgina 43
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Arquitectura Basada en Modelos (MDA) del Object Management Group Metodologa y Marco de Negocios y TI OBASHI (OBASHI) Marco Completo de SABSA para la Arquitectura de Seguridad Empresarial y la Gestin de Servicios Marco de IBM de Zachman (marco de los aos 1980) Marco de Arquitectura Empresarial SAP, una extensin del TOGAF, para respaldar mejor los programas comerciales ya disponibles y la Arquitectura Orientada a Servicios Mtodo para un Ambiente de Conocimiento Integrado (MKE2.0), que incluye un marco de arquitectura empresarial denominado Arquitectura Estratgica para la Empresa Federada (SAFE)
La Figura 1.16 (Ver presentacin PPT) ilustra el proceso de la arquitectura TOGAF y su relacin con las operaciones del negocio.
1.15.3 CONTROLES
Los controles se definen como las polticas, procedimientos, prcticas, y estructuras organizacionales que estn diseados para brindar una confianza razonable de que se alcanzarn los objetivos de negocio y que se evitarn, o bien, detectarn y corregirn los incidentes no deseados. Los controles son el componente principal que se debe tener en cuenta cuando se desarrolla una estrategia de seguridad de la informacin. Pueden ser fsicos, tcnicos o de procedimientos y su eleccin debe basarse en diversos factores, entre otros, que se garantice su efectividad, que no sean demasiado costosos o restrictivos para las actividades de negocio o cul ser la forma ptima de control. Controles de TI COBIT se enfoca en los controles de TI que pueden constituir la mayora de aquellos que se requieren en muchas organizaciones. Posiblemente, COBIT sea uno de los enfoques ms desarrollados e integrales para determinar los objetivos de control para TI y su posterior implementacin y gestin. COBIT define los objetivos de control como "una declaracin del resultado o propsito deseado que se alcanzar mediante la implementacin de procedimientos de control en una determinada actividad de TI." Controles que no Estn Relacionados con TI El gerente de seguridad de la informacin debe saber que tambin es preciso desarrollar controles de seguridad de la informacin para procesos de informacin que no estn relacionados con TI. Esto incluye requerimientos de etiquetado, manejo y almacenamiento de la informacin fsica en condiciones seguras. Debe considerar el manejo y la prevencin de ingeniera social. De igual forma, deben tenerse en cuenta los controles ambientales para que los sistemas seguros no sean objeto de robo, tal como ha sucedido en algunos casos muy sonados. Defensas por Niveles La defensa por capas o defensa en profundidad es un concepto importante y efectivo en el diseo de una estrategia o arquitectura de seguridad de la informacin. Las capas se deben disear de manera que la causa del fallo de una capa no cause tambin el fallo de la siguiente capa. El nmero de capas necesarias depender de la confidencialidad y criticidad de los activos as como de la confiabilidad de las defensas. Es probable que una dependencia excesiva en un solo control genere un falso sentido de confianza. Por ejemplo, una compaa que depende exclusivamente de un cortafuego (firewall) an puede ser objeto de numerosas metodologas de ataque. Una defensa adicional puede ser la creacin, mediante la formacin y la concienciacin, de un "cortafuego (firewall) humano" que pueda llegar a constituir una capa crucial de defensa. Segmentar la red puede constituir otra capa defensiva.
1.15.4 CONTRAMEDIDAS
Las contramedidas son las medidas de proteccin que reducen el nivel de vulnerabilidad a las amenazas. Las contramedidas simplemente se pueden considerar controles dirigidos.
Pgina 44
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Las contramedidas a las amenazas deben de considerarse desde una perspectiva estratgica. Pueden ser pasivas o activas, pero en muchos casos pueden llegar a ser ms efectivas y menos restrictivas que los controles generales. Una contramedida pudiera consistir en hacer que slo se pueda acceder a la informacin ms sensible desde una subred independiente, que no est accesible desde el exterior, o bien, podra consistir en cambiar a un sistema operativo inherentemente ms seguro o evitar que los sistemas inseguros se conecten a la red.
1.15.5 TECNOLOGAS
Existen varias tecnologas que cuentan con mecanismos de seguridad, los cuales pueden desempear una funcin clave en el xito de la estrategia de seguridad de una organizacin. Estas tecnologas se tratarn con mayor detalle la unidad 3, Desarrollo de un programa de seguridad de la informacin. Las ltimas dcadas han sido testigo del desarrollo de numerosas tecnologas de seguridad para contrarrestar las amenazas en constante aumento a las que estn expuestos los recursos de informacin. La tecnologa es una de las piedras angulares de una estrategia de seguridad efectiva. El gerente de seguridad de la informacin debe familiarizarse con la forma en la que estas tecnologas pueden funcionar como controles para alcanzar el "estado deseado" de seguridad. Sin embargo, la tecnologa no compensar por las deficiencias gerenciales, culturales u operativas, por lo que el gerente de seguridad de la informacin debe tener cuidado de no depender demasiado de estos mecanismos. Tal como se muestra en la Figura 1.17 (Ver presentacin PPT), para alcanzar defensas efectivas contra incidentes relacionados con la seguridad, es preciso utilizar la tecnologa con una combinacin de polticas, estndares y procedimientos. Algunas de las tecnologas tpicas que estn disponibles son las siguientes. Tecnologa para cortafuegos Administracin de cuentas de usuarios Deteccin de intrusos y tecnologa de prevencin de intrusos Tecnologa antivirus PKI Tecnologa biomtrica Tecnologa de cifrado Tecnologa de conformidad de privacidad Tecnologa de acceso remoto Tecnologa de firma digital Tecnologa EDI y EFT Tecnologa VPN Tecnologa forense Tecnologas de monitoreo Tecnologas de lectura y correlacin de logs Tecnologa de clasificacin de datos Tecnologas de escaneo del contenido de documentos y correos electrnicos
Existen varias otras tecnologas que pueden ser relevantes para una determinada estrategia. Dado el continuo y rpido desarrollo de la tecnologa en este mbito, un gerente de seguridad de la informacin prudente utilizar los recursos que estn disponibles para mantenerse actualizado en los ltimos desarrollos.
1.15.6 PERSONAL
La seguridad del personal es un rea importante que el gerente de seguridad de la informacin debe considerar como un medio preventivo de proteger a una organizacin. Puesto que las exposiciones al dao ms costosas y peijudieiales son casi siempre el resultado de actividades iniciadas desde el interior, ya sean intencionales o accidentales, la primera lnea de defensa es intentar garantizar la confianza y la integridad del personal tanto existente como de nuevo ingreso. Las tradicionales investigaciones limitadas de antecedentes pueden proporcionar indicadores de caractersticas negativas;
Pgina 45
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin sin embargo, debe tenerse en consideracin que el alcance de dichas investigaciones puede verse limitado por leyes de privacidad o de otro tipo, sobre todo en las naciones de la Unin Europea. Adems, el alcance y la naturaleza de las investigaciones de antecedentes deben ser pertinentes y proporcionales a la sensibilidad y criticidad de los requerimientos de la posicin que se tiene. Por ejemplo, una investigacin de antecedentes exhaustiva de una recepcionista pudiera considerarse una invasin no justificada a la privacidad. Es preciso considerar las regulaciones sobre la privacidad en la jurisdiccin de la que se trate, en virtud de que stas varan mucho en los diferentes pases. Sin embargo, se deben tener en cuenta los controles que tienen por objetivo tanto prevenir que se emplee a personal que probablemente ocasione daos a la organizacin como dar indicios constantes de exploracin de problemas emergentes o posibles con personal existente. Es necesario desarrollar mtodos para detectar casos de hurto o robo y estos incidentes deben investigarse y monitorearse cuando sea factible. La aparicin de lo que pudiera considerarse incidentes menores puede ser un indicio de una situacin ms grave. Tambin puede ser un indicador de personal que pudiera estar involucrado en actividades ilcitas o deshonestas. Si es poltica de una organizacin que el correo electrnico no sea privado y que pueda ser inspeccionado por la compaa, y los empleados tienen pleno conocimiento de dicha poltica, puede ser conveniente considerar la supervisin del correo electrnico del personal que haya sido identificado como problema potencial. Las protecciones legales varan en este tipo de control y es responsabilidad del director de seguridad estar al tanto de los requerimientos legales de la jurisdiccin de la que se trate. Asimismo, puede ser prudente desarrollar polticas y estndares de investigacin de antecedentes que Los departamentos de HHRR y legal de la organizacin deben reviser los aspectos anteriores. La alta direccin tambin deber revisar estas polticas para determinar su congruencia con el enfoque de cultura y gobierno de la organizacin.
1.15.7 ESTRUCTURA ORGANIZACIONAL

Las estructuras jerrquicas de los gerentes de seguridad de la informacin son sumamente variables. En la mayora de las organizaciones, aun cuando esto suele ser adecuado en trminos funcionales, podra no ser la estructura ideal en trminos de seguridad de la informacin y la alta direccin debe evaluarla como parte de sus responsabilidades de gobierno. Existen muchas razones para ello. Una es que los requerimientos cada vez ms extensos de seguridad de la informacin superan el mbito del CIO. Otra razn es el inherente conflicto de intereses. Debido a los esfuerzos por garantizar la seguridad, a menudo la seguridad de la informacin se percibe como una limitacin para las operaciones de TI. Los CIO y sus departamentos de TI suelen estar bajo presin para incrementar el desempeo y reducir los costos. La seguridad con frecuencia es la vctima de estas presiones. Por ltimo, para que la seguridad de la informacin sea efectiva, la seguridad tiene que estar ms alineada con el negocio que con la tecnologa. Enfoques Centralizados y Descentralizados para Coordinar la Seguridad de la Informacin La composicin cultural de una organizacin es un factor determinante para saber si la organizacin de la seguridad es ms efectiva si se utiliza un enfoque centralizado o descentralizado. Aun cuando se pueden obtener muchos beneficios a travs de la centralizacin y estandarizacin de la seguridad, con frecuencia la estructura de una organizacin lo hace un enfoque ineficiente. Las compaas multinacionales que eligen un enfoque centralizado deben considerar cuidadosamente diferentes requerimientos legales locales en cada pas en que tengan presencia. Por ejemplo, algunos pases podran no permitir que los datos de negocios se almacenen o procesen fuera de las fronteras nacionales; algunos gobiernos pueden recaudar impuestos como una retencin de impuesto por el software o hardware utilizado por las entidades dentro de su jurisdiccin, independientemente de la ubicacin fsica del software o hardware. Un ejemplo sera una organizacin que ha crecido a travs de adquisiciones y opera ms como entidades independientes que como una sola entidad. En esta situacin, es comn que existan grupos de tecnologas de informacin separados junto con software y hardware diferentes. En este ejemplo, sera comn que existieran
Pgina 46
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin diferentes organizaciones de seguridad con enfoques, polticas y procedimientos independientes. En estas situaciones, an se podran obtener beneficios para crear un solo conjunto de polticas de seguridad generales para toda la empresa, para resolver entonces diferencias locales mediante estndares y procedimientos locales. Un proceso de seguridad descentralizado tiene ventajas en cuanto a que los administradores de la seguridad por lo general estn ms cerca de los usuarios y comprenden mejor los problemas locales. A menudo, pueden responder con mayor rapidez a las solicitudes de cambios en privilegios de acceso o incidentes de seguridad. Sin embargo, tambin existen desventajas. Por ejemplo, la calidad del servicio podra variar dependiendo de la ubicacin, con base en el nivel de capacitacin que tenga el personal local y el grado al cual se les pudiera cargar con otras obligaciones no relacionadas. Podran existir diferentes enfoques y tcnicas que se utilizan para la seguridad, dependiendo de si se adopta un enfoque centralizado o descentralizado; sin embargo, las responsabilidades y objetivos de la seguridad no cambiarn. Las estrategias y objetivos deben: Estar debidamente alineados con los objetivos de negocio; Contar con el patrocinio y aprobacin de la alta direccin; Contar con actividades de monitoreo; Contar con presentacin de informacin y manejo de crisis; Contar con procedimientos de continuidad organizacional; Contar con gestin de riesgos; Contar con programas apropiados de concienciacin y capacitacin sobre la seguridad.
1.15.8 ROLES Y RESPONSABILIDADES DE LOS EMPLEADOS

Con la cantidad de tareas que deben llevar a cabo los empleados hoy en da, es importante que la estrategia incluya un mecanismo que defina todos los roles y responsabilidades de seguridad y que los incluya en las descripciones de puesto de los empleados. En ltima instancia, si a los empleados se les paga con base en su cumplimiento para llevar a cabo sus responsabilidades laborales, existen mayores probabilidades de que se alcancen los objetivos del gobierno de la seguridad. El desempeo laboral y los objetivos anuales del empleado se pueden incluir en las mediciones relacionadas con la seguridad. El gerente de seguridad de la informacin debe coordinarse con el director de personal para definir los roles y las responsabilidades de seguridad. Las capacidades relacionadas que se requieren para cada puesto de trabajo tambin deben estar definidas y documentadas.
1.15.9 HABILIDADES
Las habilidades que se requieren para implementar una estrategia de seguridad son un elemento importante. Es probable que elegir una estrategia que utilice las habilidades con las que ya se cuenta sea una opcin ms rentable. Tener un inventario de las habilidades o competencias ayudara a determinar los recursos que estn disponibles para desarrollar una estrategia de seguridad. Asimismo, las pruebas de competencias pueden servir para determinar si se cuenta con las habilidades requeridas o si se pueden alcanzar mediante capacitacin.
1.15.10 CONCIENCIACIN Y FORMACIN

La capacitacin, la formacin y la concienciacin son elementos fundamentales para la estrategia en su conjunto, ya que la seguridad con frecuencia es ms dbil al nivel del usuario final. Es aqu tambin donde se debe considerar la necesidad de desarrollar mtodos y procesos que permitan que las polticas, estndares y procedimientos sean ms fciles de seguir, implementar y monitorear. Un programa recurrente de concienciacin sobre la seguridad dirigido a los usuarios finales refuerza la importancia de la seguridad de la informacin y en la actualidad varias jurisdicciones lo han establecido como requerimiento por ley para varios sectores.
Pgina 47
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin En la mayora de las organizaciones, la evidencia indica que la mayor parte del personal no conoce las polticas ni los estndares de seguridad ni siquiera cuando stas existen. Los programas de concienciacin y capacitacin pueden lograr que se reconozca de un modo generalizado que la seguridad es importante para la organizacin. Puesto que la seguridad depende en gran medida del cumplimiento individual, es importante que se cuente con un programa robusto de concienciacin sobre la seguridad y es un elemento que se tiene que considerar cuando se desarrolle una estrategia. De acuerdo con algunos estudios, mejorar la concienciacin y la capacitacin sobre seguridad ha resultado, en muchas ocasiones, en la mejora ms rentable en la seguridad en su conjunto. La Figura 1.18 muestra la relacin entre riesgo y el programa de concientizacin. A medida que se crea conciencia y se capacitaba al personal, el riesgo se reduca conforme se les enseaba el valor de los activos, los riesgos, y tomaban acciones para protegerlos. Ampliar y profundizar las habilidades apropiadas del personal de seguridad mediante capacitacin pueden mejorar en gran medida la eficiencia de la seguridad en una organizacin. El reto consiste en determinar cules son las habilidades "apropiadas" que es necesario mejorar y cmo para brindar una proteccin efectiva contra una variedad al parecer interminable de riesgos a los que est expuesta la seguridad. Puede ser difcil y costoso encontrar empleados que tengan la combinacin necesaria de habilidades de seguridad que resulte efectiva en los ambientes diversos y siempre cambiantes de hoy en da y el complejo clima regulatorio. Una forma en la cual algunas organizaciones intentan asegurar que se cuente con todas las habilidades necesarias es contratando a gente sobrecalificada. El problema con este enfoque es que resulta costoso contratar y retener a estas personas, y al no recibir retos, a menudo se sienten insatisfechas con el puesto. Esto puede conducir a una rotacin excesiva de empleados, actitudes improductivas o desempeo por debajo de los niveles aceptados. Capacitar a personal de seguridad de nuevo ingreso o ya existente para dotarlos de las habilidades que se necesitan para satisfacer los requerimientos de seguridad especficos tanto existentes como emergentes puede ser una opcin ms rentable. ste es un argumento slido para un programa en curso de capacitacin dirigido a satisfacer las necesidades de la organizacin y, al mismo tiempo, establecer una ruta de desarrollo profesional para los empleados con base en una mejora continua. Sin embargo, para que la capacitacin sea una opcin efectiva tiene que estar dirigida a sistemas, procesos y polticas especficos, a la forma nica y especfica de la organizacin para hacer negocio, as como a su "contexto de seguridad" particular. Cualquier cosa menos de eso es probable que sea inadecuada; cualquier cosa ms de eso desperdiciar recursos. Si se ejecuta debidamente, el enfoque puede integrarse perfectamente a los programas e iniciativas existentes, apoyar reas deficientes y alinear los procesos de seguridad con los procesos de negocio.
1.15.11 AUDITORAS
Las auditoras, tanto internas como externas, son uno de los procesos principales que se utilizan para identificar deficiencias en la seguridad de la informacin desde una perspectiva de controles y cumplimiento. Casi siempre el departamento de finanzas lleva a cabo las auditoras externas pero es comn que no revisen la seguridad de la informacin. Dado que estas auditoras pueden ser una herramienta de monitoreo altamente efectiva para el gerente de seguridad de la informacin, es importante garantizar que el departamento de seguridad tenga acceso a esta informacin. Como sucede con otros departamentos, es importante que el gerente de seguridad de la informacin desarrolle una buena relacin de trabajo con el departamento de finanzas a fin de facilitar el flujo de informacin que es esencial para una gestin efectiva de la seguridad. Debido al incremento de la supervisin de las entidades reguladoras, muchas organizaciones tienen que presentar diversos informes de auditora y otros tipos de reportes ante las agencias reguladoras. Muchos reportes tienen implicaciones sobre la seguridad de la informacin que pueden proporcionar conocimientos tiles e informacin de monitoreo al gerente de seguridad de la informacin. Por ejemplo, de acuerdo con las disposiciones de cumplimiento de la Ley Sarbanes-Oxley de los EUA, los controles financieros de las compaas pblicas se deben someter a prueba
Pgina 48
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin anualmente en un plazo de 90 das a partir de la presentacin de la informacin financiera ante la Comisin de la Bolsa de Valores de los EUA (SEC). Es importante que el gerente de seguridad de la informacin tenga acceso a los resultados de estas pruebas y stos deben formar parte de las consideraciones sobre la estrategia.
1.15.12 EXIGENCIA DE CUMPLIMIENTO

Las violaciones a la seguridad son una preocupacin constante para los gerentes de seguridad de la informacin y es importante que se desarrollen procedimientos para manejarlas. Es fundamental que estos procedimientos cuenten con la aprobacin y respaldo de la alta direccin, sobre todo, en lo que respecta a exigir su cumplimiento. A menudo los gerentes de seguridad han encontrado que los mayores problemas de cumplimiento tienen que ver con la gerencia. Si la gerencia no muestra compromiso ni cumplimiento, ser difcil, si no imposible, exigir el cumplimiento de dichos procedimientos en la organizacin. El enfoque ms efectivo de cumplimiento en una organizacin donde la apertura y la confianza son valoradas y promovidas por la gerencia es probablemente un sistema de auto-reporte y cumplimiento voluntario, basndose en el entendimiento de que la seguridad es claramente para el beneficio de todos. Este enfoque tambin suele requerir que estos procesos se planifiquen cuidadosamente, se comuniquen claramente y se implementen en cooperacin. Cmo llevar esto a cabo ser un elemento de la estrategia.
1.15.13 ANLISIS DE AMENAZAS

El anlisis de amenazas es un componente del anlisis de riesgos y el resultado es un elemento crucial de la estrategia. La estrategia debe tener en cuenta los tipos, la naturaleza y la magnitud de las amenazas cuando se desarrollen contramedidas y controles, as como los atributos de una arquitectura de seguridad.
1.15.14 ANLISIS DE VULNERABILIDAD

En la mayora de las organizaciones es comn la utilizacin de evaluaciones tcnicas de la vulnerabilidad. stas pueden tener un valor limitado para el desarrollo de la estrategia de seguridad. No obstante, ser importante llevar a cabo una evaluacin exhaustiva de la vulnerabilidad que deber incluir las vulnerabilidades en los procesos, tecnologas y equipos. Por lo general, los procesos y los equipos son los componentes ms vulnerables; sin embargo, con frecuencia son los menos evaluados, dada la gran dificultad que implica aplicarles evaluaciones. Para efectos de desarrollar una estrategia basada en informacin precisa, es crucial que estas evaluaciones se lleven a cabo. La organizacin obtendr un beneficio mnimo en trminos de seguridad al tener una infraestructura tcnica bien protegida, si sta se utiliza para procesar rdenes fraudulentas. De igual forma, tiene poco valor para la organizacin si los servidores estn seguros en trminos tcnicos, pero son robados fsicamente como resultado de una seguridad ambiental inadecuada.
1.15.15 EVALUACIN DE RIESGOS

Mientras las evaluaciones tanto de amenazas como de vulnerabilidad son tiles, por s mismas, considerando los elementos de estrategia de seguridad, tambin se requiere evaluar los riesgos para la organizacin. Si bien las amenazas y vulnerabilidades que no plantean ningn riesgo para la organizacin no son inmediatamente significativas, el siempre cambiante panorama de riesgos hace posible que ste no siga siendo el caso. De cualquier manera, hasta el grado en que el desarrollo de la estrategia pueda tratar las amenazas y vulnerabilidades, esto deber aplicarse como una buena prctica. Por ejemplo, aun cuando se reconoca que el World Trade Center (Nueva York, EUA) era vulnerable a que un avin se estrellara contra l y que exista una amenaza, el riesgo se consideraba bajo. Si, como prctica, ya fuera que la amenaza o la vulnerabilidad se hubieran tratado como algo normal, el resultado probablemente habra sido menos catastrfico. La leccin aprendida es que, como prctica, se debe aprovechar cada oportunidad para reducir ya sea la amenaza o la vulnerabilidad. Aun cuando las vulnerabilidades para las cuales no exista una amenaza no representen riesgo alguno, persiste la probabilidad de que, en algn momento, emerja una amenaza factible. Desde una perspectiva estratgica, se deben considerar las diferentes formas que existen para tratar el riesgo. Para cualquier riesgo dado, estas formas incluyen las siguientes:
Pgina 49
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Aceptar el riesgo Mitigar el riesgo Transferir el riesgo Cesar la actividad que da origen al riesgo
Algunos ejemplos de transferencia de riesgo incluyen los contratos de seguros y los acuerdos de indemnizacin. Cabe hacer notar que aun cuando es posible transferir el riesgo, en general no se puede transferir la responsabilidad legal. Tambin debe entenderse que la transferencia de riesgos es un control compensatorio que sirve para reducir el impacto.
1.15.16 CONTRATACIN DE SEGUROS

Los recursos de la estrategia incluyen la opcin de resolver algunos riesgos con coberturas de seguro. Generalmente, los tipos de riesgos apropiados para ser asegurados son eventos poco comunes de alto impacto como inundaciones, huracanes o incendios, malversacin o demandas de responsabilidad. Los tipos de seguro ms comunes que se pueden considerar incluyen los seguros de primera persona, tercera persona y de fidelidad. Los seguros de primera persona protegen a la organizacin en caso de daos producidos por la mayora de las causas y pueden incluir interrupcin del negocio, prdida directa y costos de recuperacin. El seguro de tercera persona maneja posibles responsabilidades ante terceros y generalmente incluye defensa contra demandas legales y cubre daos hasta por los lmites predeterminados. El seguro o garanta de fidelidad ofrece proteccin contra robos o apropiaciones indebidas de parte de empleados o agentes.
1.15.17 EVALUACIN DE IMPACTO AL NEGOCIO

El impacto al negocio es lo "esencial" del riesgo. Los riesgos que no pueden resultar en un impacto que no se pueda apreciar no son importantes. Las evaluaciones de impacto son un componente primario para desarrollar una estrategia que resuelva posibles impactos adversos para la organizacin. La importancia de dichas evaluaciones radica en que podran indicar que es ms fcil reducir un posible impacto que mitigar el riesgo o reducir una vulnerabilidad. El BIA tambin tiene que considerarse como un requerimiento para determinar la criticidad y sensibilidad de los sistemas y de la informacin. Como tal, establece la base para desarrollar un enfoque para los requerimientos de clasificacin de la informacin y de continuidad del negocio.
1.15.18 ANLISIS DE LA DEPENDENCIA DE RECURSOS

El anlisis de dependencia del negocio se explic anteriormente y es similar al anlisis de dependencia de los recursos, pero es menos granular e incluye los elementos que se consideraran en un plan de continuidad del negocio (BCP), incluyendo artculos como grapas, sujetapapeles, etc. La dependencia de los recursos es similar a la planificacin de recuperacin en caso de desastre (DRP) y considera los sistemas, el hardware y el software necesarios para realizar funciones organizacionales especficas. La dependencia de los recursos puede ofrecer otra perspectiva sobre la criticidad de los recursos de informacin. Hasta cierto grado, puede utilizarse en lugar de un anlisis de impacto para garantizar que la estrategia incluye los recursos que son crticos para las operaciones de negocio. El anlisis se basa en la determinacin de los recursos (como los sistemas, el software, la conectividad, etc.) y las dependencias (como los procesos de entrada y los repositorios de datos) requeridos por las operaciones crticas para la organizacin.
1.15.19 PROVEEDORES EXTERNOS DE SEGURIDAD

La externalizacin (outsourcing) es cada vez ms comn tanto a nivel nacional como internacional, a medida que las compaas se concentran en competencias fundamentales y formas de recortar gastos. Desde una perspectiva de seguridad de la informacin, estos ajustes pueden representar un conjunto de riesgos que pueden ser difciles de mitigar. Casi siempre, tanto los recursos como las habilidades de las funciones que se contratan a proveedores externos no se encuentran dentro del control de la organizacin, lo cual puede representar un conjunto de riesgos. Los proveedores pueden operar con base en diferentes criterios y puede ser difcil controlarlos. La estrategia de seguridad debe ejercer el debido cuidado cuando se trate de servicios contratados a proveedores externos a fin de garantizar que no constituyen un punto crtico de fallo o que se cuenta con un plan viable de respaldo en caso de problemas con el proveedor del servicio.
Pgina 50
1.15.20 OTROS PROVEEDORES ORGANIZACIONAL
DE
SOPORTE Y
ASEGURAMIENTO
Cuando se desarrolla una estrategia de seguridad, por lo regular se cuenta con varios proveedores de servicios de aseguramiento y soporte dentro de la organizacin que deben considerarse como parte de los recursos de seguridad de la informacin. Estos pueden incluir una variedad de departamentos como legal, cumplimiento, auditora, adquisiciones, seguros, recuperacin en caso de desastre, seguridad fsica, capacitacin, oficina de proyectos y recursos humanos. Otros departamentos o grupos, como gestin de cambios o aseguramiento de la calidad, tambin incluyen elementos de aseguramiento en su operacin. Estas funciones de aseguramiento casi nunca estn bien integradas, si es que lo estn. Las consideraciones estratgicas deben incluir enfoques para garantizar que estas funciones operan perfectamente a fin de evitar brechas que puedan ocasionar que la seguridad se vea comprometida.
1.16 RESTRICCIONES DE LA ESTRATEGIA

Se deben considerar varias limitaciones cuando se desarrolla una estrategia de seguridad. stas establecen los lmites para las opciones con las que cuenta el gerente de seguridad de la informacin y deben definirse y comprenderse claramente antes de comenzar a desarrollar una estrategia.
1.16.1 REQUERIMIENTOS LEGALES Y REGULAT0RI0S

Existen varios temas legales y regulatorios que afectan la seguridad de la informacin y que deben considerarse cuando se desarrolle una estrategia. Resulta inevitable que la seguridad de la informacin est vinculada a las cuestiones de privacidad, propiedad intelectual y legislacin contractual. Cualquier esfuerzo por disear e implementar una estrategia efectiva de seguridad de la informacin tiene que basarse en un entendimiento slido de los requerimientos y restricciones legales aplicables. Diferentes regiones en una organizacin global pueden regirse por legislaciones en conflicto. Un ejemplo de ello es en el mbito de la legislacin sobre privacidad, otro ejemplo puede ser las diferencias culturales respecto a la fijacin de precios. En algunos pases, se realizan investigaciones profundas de antecedentes de empleados de nuevo ingreso; sin embargo, dichas investigaciones pueden ser ilegales conforme a la legislacin de otros pases. Para tratar estas situaciones, la organizacin global pudiera tener que establecer diferentes estrategias de seguridad para cada divisin regional, o puede basar su poltica en los requerimientos ms restrictivos a fin de alcanzar consistencia en toda la empresa. De igual modo, existen temas legales y regulatorios relacionados con negocios por Internet, transmisiones globales y flujos de datos transfronterizos (p.ej. privacidad, leyes fiscales y aranceles, restricciones de importacin/exportacin de datos, restricciones sobre criptografa, garantas, patentes, derechos de autor, secretos comerciales, seguridad nacional). stos varan dependiendo de dnde se encuentre ubicada la organizacin y resultan en restricciones y limitaciones a las estrategias de seguridad. La investigacin de tales temas debe llevarse a cabo de manera conjunta con las reas de jurdico y de cumplimiento regulatorio, as como cualquier otra rea de negocio que pudiera verse afectada. La estrategia de seguridad tambin debe tener en cuenta que la integridad del personal est sujeta a regulaciones en muchas jurisdicciones Requerimientos Sobre el Contenido y la Retencin de Registros de Negocio Existen dos aspectos principales que debe tener en cuenta una estrategia de seguridad de la informacin sobre el contenido y la retencin de registros de negocio y cumplimiento: Los requerimientos comerciales para registros de negocio; Los requerimientos legales y regulatorios para registros.
Pgina 51
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Los requerimientos de negocio pueden exceder a aquellos legales y regulatorios impuestos por los organismos legislativos correspondientes debido a la naturaleza del negocio de la organizacin. Algunas organizaciones tienen necesidades de negocio que requieren de acceso a datos que tienen una antigedad de 10 a 20 aos o ms. stos pueden incluir registros de clientes, registros de pacientes, informacin de ingeniera, entre muchos otros. Como regla, la estrategia de retencin y la poltica posterior deben cumplir, como mnimo, con los requerimientos legales en la jurisdiccin y la industria de las que se trate. Dependiendo de la ubicacin y el sector industrial en los que se encuentre una organizacin, los organismos reguladores imponen requerimientos con los que debe cumplir una organizacin, entre otros: Algunas regulaciones, como Sarbanes-Oxley, han impuesto requerimientos obligatorios de retencin para varios tipos y categoras de informacin, independientemente del medio en el que est almacenada. La estrategia requerir que el gerente de seguridad de la informacin se mantenga actualizado en lo referente a estos requerimientos y garantice su cumplimiento. Otro requerimiento legal que debe considerarse es el orden legal de conservacin de acuerdo con el cual una organizacin o persona debera retener datos especficos a solicitud de la ley u otras autoridades. Generalmente tambin sucede que la informacin archivada se debe indexar adecuadamente para su localizacin y recuperacin.
1.16.2 FACTORES FSICOS

Ser inevitable que exista una variedad de factores fsicos y ambientales que influirn o impondrn limitaciones en la estrategia de seguridad de la informacin. Entre los factores obvios se encuentran la capacidad, el espacio, los peligros ambientales y la disponibilidad de la infraestructura. Otras limitaciones que en ocasiones se han ignorado son, entre otras, un centro de datos que ha instalado una importante compaa petrolera en un stano que se sabe que se inunda con regularidad. La estrategia de seguridad debe asegurarse de que se prevean tanto la atencin a los peligros ambientales como una capacidad de infraestructura adecuada. La estrategia tambin debe incluir un requerimiento para considerar la integridad del personal y de los recursos.
1.16.3 TICA
La percepcin que tienen los clientes de una organizacin y el pblico en general de su comportamiento tico puede tener un impacto significativo en dicha organizacin y afectar su valor. Estas percepciones a menudo se ven influidas por la ubicacin y la cultura, por lo que una estrategia efectiva debe considerar los aspectos ticos en las reas en las que opera.
1.16.4 CULTURA
La cultura interna de la organizacin se debe tomar en cuenta a la hora de desarrollar una estrategia de seguridad. Tambin se debe considerar la cultura en la cual funciona la organizacin. Una estrategia que est en desacuerdo con las convenciones culturales podra encontrar resistencia y ello dificultara una implementacin exitosa.
1.16.5 ESTRUCTURA ORGANIZACIONAL

La estructura organizativa tendr un impacto significativo en cmo una estrategia de gobierno puede concebirse y aplicarse. A menudo, existen diversas funciones de aseguramiento en "silos" que tienen diferentes estructuras jerrquicas y facultades. La cooperacin entre dichas funciones es importante y suele requerir de la participacin e interaccin de la alta direccin.
1.16.6 COSTOS
El desarrollo y la implementacin de una estrategia consumirn recursos, incluso tiempo y dinero. Por supuesto que ser necesario que la estrategia considere la forma ms rentable de implementarla.
Pgina 52
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Las organizaciones a menudo justifican el gasto con base en el valor del proyecto. No obstante, cuando se trata de proyectos de seguridad, la evasin de un riesgo en especfico o el cumplimiento con las regulaciones son por lo general los principales impulsores. En trminos generales, desde una perspectiva de negocios, un anlisis de costo-beneficio u otro anlisis financiero es el enfoque de mayor aceptacin para justificar gastos y debe tenerse en cuenta cuando se desarrolle una estrategia. Un enfoque tradicional, pero especulativo es considerar el valor de evitar riesgos especficos calculando las prdidas potenciales en las que se puede incurrir mediante un incidente especfico, y multiplicndolas por la probabilidad de que ocurra en un ao determinado. Ello resulta en una expectativa de prdida anual (ALE). As, el costo de los controles requeridos para excluir tal evento puede compararse con ALE para determinar el ROL Cabe notar que muchos profesionales creen que el ROI no es un buen enfoque para justificar los programas de seguridad. Esto es en particular cierto para los programas implementados para efectos de cumplimiento regulatorio. Por ejemplo, de acuerdo con la Ley Sarbanes-Oxley (SOX), se imponen sanciones ampliadas para algunas contravenciones y constan de largos periodos en prisin para los directores ejecutivos. El ROI en los programas para evitar dichas sanciones puede ser difcil de cuantificar. Recientemente, los avances en las tecnologas y los procedimientos de conexin nica y otorgamiento de acceso a usuarios han resultado en ahorros de tiempo y costos sobre las tcnicas tradicionales de administracin manual, lo cual puede proporcionar una base razonable para los clculos del ROI. Existen varios ejemplos que comparan los costos de los procesos tradicionales con los procedimientos ms recientes, y stos se pueden utilizar para desarrollar un business case (caso de negocios).
1.16.7 PERSONAL
Una estrategia de seguridad tiene que considerar la resistencia que podra encontrar durante la implementacin. Por lo general debe esperarse que haya resistencia a cambios significativos, y posibles resentimientos contra nuevas limitaciones que podran percibirse que dificultan ms las tareas o que son muy tardadas.
1.16.8 RECURSOS
Una estrategia efectiva debe considerar los presupuestos disponibles, el costo total de la propiedad (TCO-total cost of ownership) de tecnologas nuevas o adicionales y los requerimientos de personal de diseo, aplicacin, operacin, mantenimiento y cierre eventual. Tpicamente, TCO debe desarrollarse para el ciclo de vida completo de tecnologa, procesos y personal.
1.16.9 CAPACIDADES
Los recursos con los que se cuenta para implementar una estrategia deben incluir las capacidades conocidas de la organizacin, entre otras, conocimientos especializados y habilidades. Por supuesto que una estrategia que se basa en capacidades demostradas tiene ms probabilidades de tener xito que una que no tiene esa base.
1.16.10 TIEMPO
El tiempo es una limitacin significativa en el desarrollo de una estrategia. Podra haber fechas lmite de cumplimiento que deben acatarse o soporte que deba asignarse a ciertas operaciones estratgicas, tales como una fusin. Podra haber periodos de oportunidad para actividades de negocio especficas que exigen ciertos plazos para la implementacin de determinadas estrategias.
1.16.11 TOLERANCIA AL RIESGO

La tolerancia que tenga una organizacin al riesgo desempear una funcin importante en el desarrollo de una estrategia de seguridad de la informacin. Aun cuando es difcil de medir, existen varios mtodos para llegar a aproximaciones tiles. Un mtodo consiste en desarrollar tiempo objetivo de recuperacin (RTOs) para sistemas crticos. Entre ms breves sean los tiempos que determinen los gerentes correspondientes, mayor ser el costo y menor ser la
Pgina 53
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin tolerancia al riesgo. Los RTOs se basan en un anlisis de impacto al negocio o de dependencia para determinar los tiempos de inactividad permisibles para varios recursos. En trminos generales, el punto ptimo se alcanza cuando el costo de reducir los RTOs es igual al valor que se deriva de operar los recursos.
1.17 PLAN DE ACCIN PARA LA ESTRATEGIA

Implementar una estrategia requiere uno o ms planes de accin. Un anlisis de la brecha entre el estado actual y el estado deseado para cada mtrica definida identifica los requerimientos y las prioridades de un plan de accin.
1.17.1 ANLISIS DE BRECHAS-BASE PARA UN PLAN DE ACCIN

Ser necesario realizar un anlisis de brechas para diversos componentes de la estrategia que ya se discutieron con anterioridad, tales como niveles de madurez, cada objetivo de control y cada objetivo de riesgo e impacto. Podra ser necesario repetir este ejercicio cada ao o con mayor frecuencia a fin de proporcionar mtricas de desempeo y de metas, as como informacin sobre posibles correcciones a medio camino que sean necesarias para responder a los ambientes cambiantes u otros factores. Un enfoque tpico del anlisis de brechas es trabajar en sentido inverso desde el punto final hasta el estado actual y determinar los pasos intermedios que se requieren para alcanzar los objetivos. Se puede utilizar el CMM u otros mtodos para determinar la brecha o diferencia entre el estado actual y el estado deseado. Algunas reas tpicas que se deben valorar y/o garantizar incluyen, entre otras, que: Una estrategia de seguridad que cuente con la aceptacin y el apoyo de la alta direccin. Una estrategia de seguridad que tenga un vnculo intrnseco con los objetivos de negocio. Polticas de seguridad que estn completas y que sean congruentes con la estrategia. Se mantengan de manera consistente estndares completos para todas las polticas aplicables; Procedimientos completos y precisos para todas las operaciones importantes. Asignacin clara de roles y responsabilidades. Se cuente con una estructura organizacional que otorgue una autoridad apropiada a la gestin de seguridad de la informacin sin que existan conflictos de inters inherentes; Los activos de informacin se hayan identificado y clasificado para determinar su eriticidad y sensibilidad; Controles efectivos que se hayan diseado, implementado y mantenido. Se cuente con mtricas de seguridad y procesos de monitoreo eficaces; Procesos eficaces de cumplimiento y exigencia de cumplimiento. Se tengan capacidades de respuesta funcionales y probadas ante emergencias e incidentes; Se cuente con planes probados de continuidad de negocio/ recuperacin de desastre; Los procesos de gestin de cambios cuenten con la debida aprobacin de seguridad; Riesgos que estn debidamente identificados, evaluados, comunicados y gestionados. Exista una concienciacin adecuada sobre seguridad por parte de todos los usuarios y la debida capacitacin; Exista un desarrollo y entrega de actividades que puedan promover la seguridad de manera positiva en la cultura y comportamiento del personal; Se entiendan y traten los temas regulatorios y legales; Tratamiento de temas relacionados con la seguridad de los proveedores de servicio externos. Se resuelvan de manera oportuna los temas relacionados con incumplimientos y otras desviaciones.
1.17.2 ELABORACIN DE POLTICAS

Uno de los aspectos ms importantes del plan de accin para ejecutar una estrategia ser crear o modificar polticas y estndares, segn sea necesario. Las polticas son la constitucin del gobierno; los estndares son la ley. Las polticas deben capturar la intencin, expectativas y direccin de la gerencia. A medida que evoluciona una estrategia, es
Pgina 54
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin fundamental que se desarrollen polticas de apoyo a fin de estructurar la estrategia. Por ejemplo, si el objetivo es cumplir con ISO/IEC 27001 en un periodo de tres aos, entonces la estrategia tiene que considerar, entre otras cosas, los elementos que se van a tratar primero, los recursos que se van a asignar, cmo se van a conseguir los elementos de la norma. La directriz mostrar los pasos y la secuencia, las dependencias y las etapas importantes. El plan de accin es, en esencia, un plan de proyecto para implementar la estrategia despus de establecer la directriz. Si el objetivo es dar cumplimiento a ISO/IEC 27001, cada uno de los 11 dominios respectivos y principales subdivisiones tienen que ser el tema de una poltica. En la prctica, esto se puede lograr de manera efectiva con un promedio de poco ms de una veintena de polticas especficas para instituciones incluso de gran tamao. Es probable que cada poltica tenga varios estndares de apoyo que por lo regular se dividirn en dominios de seguridad. En otras palabras, un conjunto de estndares para un dominio de alta seguridad podra ser ms riguroso que los estndares para un dominio de baja seguridad. Tambin podra ser necesario desarrollar otros estndares para diferentes unidades de negocio dependiendo de sus actividades y requerimientos regulatorios. La estrategia completa establece la base para crear o modificar polticas existentes. Debe ser posible dar seguimiento a las polticas hasta llegar directamente a los elementos de la estrategia. De lo contrario, o bien la estrategia estar incompleta, o bien, la poltica ser incorrecta. Debe ser evidente que una poltica que contradice a la estrategia ser contraproducente. La estrategia es la declaracin de la intencin, las expectativas y la direccin de la gerencia. A su vez, las polticas deben ser congruentes con la intencin y la direccin de la estrategia y respaldarlas. La mayora de las organizaciones en la actualidad cuentan con algunas polticas de seguridad de la informacin. Tradicionalmente han evolucionado al paso del tiempo y se han creado en respuesta a algn problema de seguridad o regulacin, y a menudo son incongruentes e incluso contradictorias. Estas polticas casi nunca estn relacionadas con una estrategia de seguridad (si existen) y slo guardan una relacin casual con las actividades de negocio. Las polticas son uno de los elementos primarios del gobierno. Por ello, deben estar debidamente elaboradas, y contar con la aceptacin y validacin del consejo de direccin y la direccin ejecutiva; asimismo, deben difundirse ampliamente en toda la organizacin. Podra haber ocasiones en las que sea necesario elaborar subpolticas para tratar situaciones excepcionales separadas del grueso de la organizacin. Un ejemplo de ello sera cuando una parte independiente de la organizacin lleva a cabo un trabajo militar altamente confidencial. Las polticas que reflejan los requerimientos de seguridad especficos para trabajo militar confidencial podran existir como un conjunto por separado. Existe un gran nmero de atributos de polticas recomendables que deben de tenerse en consideracin: Las polticas de seguridad deben ser una articulacin de una estrategia de seguridad de la informacin bien definida y captar la intencin, las expectativas y la direccin de la gerencia. Cada poltica debe establecer solo un mandato general de seguridad. Las polticas deben ser claras y de fcil comprensin para todas las partes interesadas. Las polticas rara vez deben tener una extensin que exceda unas cuantas oraciones. Rara vez habr una razn para tener ms de una veintena de polticas.
La mayora de las organizaciones han elaborado polticas de seguridad antes de desarrollar una estrategia de seguridad. En efecto, la mayora de las organizaciones an no han desarrollado una estrategia de seguridad. En muchos casos, el desarrollo de polticas no ha seguido al enfoque definido anteriormente y se ha adaptado provisionalmente a varios formatos. A menudo, estas polticas se han redactado para incluir estndares y procedimientos en documentos extensos y detallados recopilados en grandes y empolvados volmenes relegados al archivo definitivo/muerto. Sin embargo, en muchos casos, en particular en organizaciones pequeas, se han desarrollado prcticas efectivas que no necesariamente estn reflejadas en polticas escritas. Las prcticas vigentes que tratan en forma adecuada los requerimientos de la seguridad pueden ser de mucha utilidad para establecer la base para elaborar polticas y estndares. Este enfoque minimiza las interrupciones en la organizacin, la divulgacin de nuevas polticas y la resistencia a limitaciones nuevas o desconocidas.
Pgina 55
1.17.3 ELABORACIN DE ESTNDARES

Los estndares son poderosas herramientas de la gestin de seguridad. Establecen los lmites permisibles para procedimientos y prcticas de tecnologa y sistemas, y tambin para personas y eventos. Si se implementan adecuadamente, son la ley para la constitucin de la poltica. Proporcionan la vara que mide el cumplimiento de la poltica y una base slida para realizar auditoras. Asimismo, regulan la elaboracin de procedimientos y directrices. Los estndares son la herramienta predominante para la implementacin de un gobierno efectivo de seguridad y deben ser propiedad del gerente de seguridad de la informacin. Deben elaborarse cuidadosamente para establecer slo los lmites necesarios y significativos sin restringir de manera innecesaria las opciones de procedimientos. Los estndares sirven para interpretar polticas y es importante que reflejen la intencin de la poltica. Los estndares no deben ser ambiguas; deben ser consistentes y precisas con respecto al alcance y el pblico al que estn dirigidas. Los estndares deben existir para elaborar estndares y polticas en lo relativo a su formato, contenido y aprobaciones requeridas. Los estndares deben darse a conocer a aquellos que se regirn o se vern afectados por ellas. De igual forma, deben desarrollarse procesos de revisin y modificacin. Los procesos de excepcin debern desarrollarse para los estndares que no se puedan alcanzar de inmediato por razones tecnolgicas o de otro tipo. Asimismo, debe desarrollarse un proceso para implementar controles compensatorios para situaciones de incumplimiento.
1.17.4 CAPACITACIN Y CONCIENCIACIN

Un plan de accin efectivo para implementar una estrategia debe considerar un programa continuo de concienciacin y capacitacin sobre seguridad. En la mayora de las organizaciones, la evidencia indica que la mayor parte del personal no conoce las polticas ni los estndares de seguridad ni siquiera cuando stas existen. Incluso hoy en da, muchas organizaciones no tienen polticas formales de seguridad, mucho menos una estrategia de seguridad. Sin embargo, los requerimientos regulatorios cada vez ms restrictivos para la mayora de las organizaciones probablemente mejorarn la situacin en los siguientes aos. Entre las regulaciones ms significativas se encuentran la Ley Sarbanes-Oxley (SOX) en los EUA para empresas que se cotizan en bolsa, la Autoridad de Servicios Financieros (FSA) en el REINO UNIDO (RU) para instituciones financieras, BASILEA II en el RU para organizaciones financieras globales y la articulacin local de las Directivas de Privacidad de la UE para la mayora de los pases europeos. Existen varias disposiciones que dependen del sector y la ubicacin geogrfica en la que se encuentran que tienen que considerarse cuando sea pertinente.
1.17.5 MTRICAS DEL PLAN DE ACCIN

El plan de accin para implementar la estrategia requerir de mtodos para monitorear y medir el progreso y el logro de las etapas importantes. Tal como sucede con cualquier plan de proyecto, se deben monitorear el progreso realizado y los costos incurridos de manera continua a fin de determinar su aproximacin al plan y permitir que se hagan correcciones durante su ejecucin de manera oportuna. Es probable que exista una variedad de metas que se puedan alcanzar a corto plazo y que requieran de recursos y un plan de accin para alcanzarlas. Existen varios enfoques que pueden aplicarse para monitorear y medir el progreso de manera continua. Uno o ms mtodos pueden ser utilizados para determinar el estado actual, se pueden aplicar de manera regular para determinar y dar seguimiento a los cambios de dicho estado. Por ejemplo, se podra utilizar un Cuadro de mando de manera efectiva, dado que en s mismo sera un medio de dar seguimiento continuo al progreso. Otro enfoque se usa comnmente es el CMM para definir tanto el estado actual como los objetivos. El CMM, un enfoque sencillo que es fcil de implementar y es utilizado ampliamente por COBIT, ofrece una base para llevar a cabo un anlisis de brechas continuo para determinar los avances realizados para alcanzar las metas. Sin embargo, cada plan de accin se beneficiar de desarrollar un conjunto apropiado de Indicadores Clave de Desempeo (KPIs), definiendo Factores Crticos de xito (CSFs) y estableciendo Indicadores Clave de Metas (KGIs) acordados. Por ejemplo, el plan de accin para alcanzar un cumplimiento regulatorio para Sarbanes-Oxley puede requerir, entre otras cosas:
Pgina 56
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Un anlisis detallado por parte del personal de jurdico competente para determinar los requerimientos regulatorios aplicables a cada unidad de negocio afectada. Conocimiento del estado actual del cumplimiento. Definicin del estado requerido de cumplimiento.
Entre las posibles mtricas y actividades de monitoreo pueden estar los siguientes KGIs, CSFs y KPIs: INDICADORES CLAVE DE METAS Definir objetivos claros y lograr un consenso en las metas es fundamental para desarrollar mtricas significativas. Para este plan en particular, las metas clave podran incluir: Alcanzar niveles de cumplimiento sobre pruebas de controles de Sarbanes-Oxley. Llevar a cabo una validacin y certificacin independientes del cumplimiento con las pruebas de controles. Elaborar la declaracin requerida sobre la eficacia del control.
Sarbanes-Oxley requiere que para todas las organizaciones que cotizan en bolsa en los Estados Unidos, se deben probar todos los controles financieros dentro de los noventa das posteriores a la presentacin de la informacin, para determinar su eficacia. Los resultados de las pruebas deben contar con la firma tanto del CEO como del CFO, as como con la certificacin por parte del departamento de auditora de la organizacin. Los resultados debern entonces incluirse en los archivos pblicos de la organizacin que se envan a la Comisin de la Bolsa de Valores (SEC) de los EUA. FACTORES CRTICOS DE XITO A fin de dar cumplimiento a la ley Sarbanes-Oxley, se deben llevar a cabo determinados pasos para alcanzar con xito los objetivos requeridos, entre otros: Identificar, clasificar y definir los controles. Definir pruebas adecuadas para determinar su eficacia. Asignar recursos para llevar a cabo las pruebas requeridas.
Las grandes organizaciones tienen cientos de controles (o ms) que, por lo general, han sido desarrollados a lo largo de un periodo. En muchos casos, estos controles son provisionalesy no estn sujetos a procesos formales. Ser necesario identificar los procesos de control, procedimientos, estructuras y tecnologas, de tal forma que sea posible desarrollar un rgimen de pruebas adecuado. Asimismo, ser fundamental determinar los recursos y procedimientos de pruebas que se requieran para llevar a cabo las pruebas requeridas. INDICADORES CLAVE DE DESEMPEO Entre los indicadores que muestran los factores de desempeo clave o crticos que se requieren para alcanzar los objetivos se encuentran los siguientes: Planes de pruebas a la eficacia del control. Progreso realizado en las pruebas a la eficacia del control. Resultados de las pruebas aplicadas a la eficacia del control.
Para que la gerencia d seguimiento al progreso en las pruebas realizadas, es preciso desarrollar planes de pruebas adecuados que sean congruentes con las metas que se hayan definido y que incluyan los Factores Crticos de xito. Dado el tiempo limitado (90 das) con el que se cuenta para llevar a cabo las pruebas requeridas, la gerencia necesitar contar con informes sobre los avances y los resultados de las pruebas. Consideraciones Generales de Mtricas Las consideraciones para las mtricas de la seguridad de la informacin incluyen garantizar que aquello que se est midiendo, sea, de hecho, relevante. Puesto que la seguridad es difcil de medir con objetividad, suelen utilizarse mtricas relativamente superfluas tan slo porque estn disponibles fcilmente. Las mtricas sirven para un solo propsito:
Pgina 57
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin proporcionar la informacin necesaria para tomar decisiones. Por lo tanto, es crtico entender qu decisiones se deben tomar, quin las toma y luego buscar maneras de proporcionar esa informacin adecuada y oportunamente. Mtricas diferentes resultarn ms o menos tiles para distintas partes de la organizacin y deben de determinarse de manera conjunta con los dueos del proceso de negocio y con la gerencia. Las mtricas generalmente se ubicarn en una de tres categoras: estratgicas, tcticas y operacionales. Comnmente, la alta direccin no se interesa en mtricas tcnicas detalladas como el nmero de ataques de virus frustrados o de contraseas restablecidas, sino en informacin de naturaleza estratgica. Mientras las mtricas tcnicas pueden ser significativas para el gerente de seguridad de TI, la alta direccin suele desear un resumen de informacin importante desde una perspectiva de gerencia, informacin que normalmente excluye datos tcnicos detallados. Los cuales pueden incluir: Avances de acuerdo al plan y presupuesto. Cambios significativos en el riesgo y posibles impactos a los objetivos del negocio. Resultados de las pruebas al plan de recuperacin ante desastres. Resultados de la auditora Estado del cumplimiento de las normas reguladoras
Es probable que el gerente de seguridad de la informacin desee recibir informacin ms detallada que incluya, entre otros: Mediciones del cumplimiento de la poltica Procesos, sistemas u otros cambios significativos que pudieran afectar el perfil de riesgo. Estado de la gestin de parches Excepciones y desviaciones a las polticas o estndares.
En organizaciones que cuenten con un gerente de seguridad de TI, es probable que sean de utilidad todos los datos tcnicos de seguridad que se encuentren disponibles. Los cuales pueden incluir: Resultados del anlisis de vulnerabilidad Cumplimiento de los estndares de configuracin de servidores Resultados del monitoreo de IDS. Anlisis de registro de cortafuegos
Suele ser difcil disear e implementar mtricas tiles de seguridad de la informacin. Puesto que no existe una norma, la mayora de las medidas sern tan slo un indicio de los posibles riesgos e impactos. La falta de valor predictivo a menudo resulta en la recopilacin de enormes cantidades de datos para intentar garantizar que no se ha pasado por alto nada significativo. El resultado puede ser que el mero volumen de datos dificulte ver el "cuadro completo", y ser necesario desarrollar procesos para filtrar datos hasta obtener informacin til. Un esfuerzo de colaboracin con varios componentes podra ayudar a determinar cul informacin de seguridad es de utilidad y qu significa. A menudo, el enfoque se encuentra en las vulnerabilidades de TI, sin considerar si existe alguna amenaza o si el impacto potencial es significativo. El simple hecho de conocer el nmero de vulnerabilidades abiertas no proporciona informacin sobre el riesgo, las amenazas o los impactos, y en s mismo resulta de poca utilidad. Es posible lograr mejoras en el monitoreo integral mediante un anlisis detallado de las mtricas que estn disponibles a fin de determinar su relevancia. Por ejemplo, resultara interesante saber cuntos paquetes fueron rechazados por los cortafuegos (firewalls); sin embargo, aclara en poco los riesgos a los que se enfrenta la organizacin o los impactos potenciales. Podra tratarse de informacin que es de utilidad para el departamento de TI pero que no tiene valor alguno para la gestin de seguridad de la informacin. Por otra parte, conocer el tiempo que toma recuperar los servicios crticos despus de que ha ocurrido un incidente grave podra ser de suma utilidad para todas las partes involucradas.
Pgina 58
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Las actividades de diseo y monitoreo de mtricas deben tener en consideracin lo siguiente: Lo que es importante para las operaciones de seguridad de la informacin. Los requerimientos de la gestin de seguridad de la informacin. Las necesidades de los dueos del proceso de negocio. Lo que desea saber la alta direccin.
La comunicacin con cada uno de los componentes podra servir para determinar los tipos de informes de seguridad que les resultaran tiles. Entonces es posible desarrollar los procesos de presentacin de informacin que le proporcionen a cada grupo la informacin de seguridad que requiera.
1.18 IMPLEMENTACIN DEL GOBIERNO DE LA SEGURIDAD-EJEMPLO

La siguiente seccin demuestra un enfoque para implementar el gobierno de la seguridad utilizando el CMM para definir objetivos (KGIs), determinar una estrategia y como una mtrica del progreso. Alcanzar un CMM de nivel 4 es una meta organizacional tpica y podra expresarse como un estado deseado. La siguiente lista, basada en COBIT, podra no servir para delinear todos los atributos y las caractersticas del estado deseado de la seguridad de la informacin y podra ser necesario aadir otros elementos. No obstante, proporciona lo bsico que se requiere y una descripcin adecuada del estado deseado de seguridad para la mayora de las organizaciones, como se establece a continuacin: La evaluacin del riesgo es un procedimiento estndar y la gerencia de TI debera estar en capacidad de detectar cualquier desviacin en la ejecucin de este procedimiento. Es probable que la gestin de riesgos de TI sea un departamento gerencial definido con la responsabilidad de un nivel superior. La alta direccin y la gerencia de TI han determinado los niveles de riesgo que tolerar la organizacin y tendr medidas establecidas para las proporciones de riesgo/beneficio. Las responsabilidades en lo que respecta a la seguridad de la informacin se asignan, se gestionan y se exige su cumplimiento de forma clara. Se lleva a cabo de manera consistente el anlisis de impacto y riesgo de la seguridad de la informacin. Las polticas y las prcticas de seguridad se completan con niveles mnimos especficos de seguridad. Las sesiones de concienciacin sobre la seguridad se han vuelto obligatorias. La identificacin, autenticacin y autorizacin de usuarios se han homologado. Se ha establecido la certificacin de seguridad del personal. Las pruebas de intrusos son un proceso establecido y formalizado que conduce a mejoras. El anlisis de costo-beneficio, como apoyo a la implementacin de las medidas de seguridad, se est utilizando cada vez con mayor frecuencia. Los procesos de seguridad de la informacin se coordinan con el rea de seguridad de toda la organizacin. La presentacin de informacin relativa a la seguridad de la informacin est vinculada a los objetivos de negocio. Se exige el cumplimiento de las responsabilidades y los estndares para un servicio continuo. Las prcticas de redundancia de sistemas, incluyendo el uso de componentes de alta disponibilidad, se utilizan de manera consistente.
Despus de desglosar los elementos individuales del CMM 4 se obtiene la siguiente lista: 1. 2. 3. La evaluacin del riesgo es un procedimiento estndar y la gestin de seguridad debera estar en capacidad de detectar cualquier desviacin en la ejecucin de este procedimiento. La gestin de riesgos en la seguridad de la informacin es una funcin gerencial definida bajo la responsabilidad del nivel superior. La alta direccin y la gerencia de seguridad de la informacin han determinado los niveles de riesgo que tolerar la organizacin y tendr medidas establecidas para las relaciones de riesgo/beneficio.
Pgina 59
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. Las responsabilidades en lo que respecta a la seguridad de la informacin se asignan, se gestionan y se exige su cumplimiento de forma clara. Se lleva a cabo de manera consistente el anlisis de impacto y riesgo de seguridad de la informacin. Las polticas y las prcticas de seguridad se completan con niveles mnimos especficos de seguridad. Las sesiones de concienciacin sobre la seguridad se han vuelto obligatorias. La identificacin, autenticacin y autorizacin de usuarios se han homologado. Se ha establecido la certificacin de seguridad del personal. Las pruebas de intrusos son un proceso establecido y formalizado que conduce a mejoras. El anlisis de costo-beneficio, como apoyo a la implementacin de las medidas de seguridad, se est utilizando cada vez con mayor frecuencia. Los procesos de seguridad de la informacin se coordinan con el rea de seguridad de toda la organizacin. La presentacin de informacin relativa a la seguridad de la informacin est vinculada con los objetivos de negocio. Se exige el cumplimiento de las responsabilidades y los estndares para un servicio continuo. Las prcticas de redundancia de sistemas, incluyendo el uso de componentes de alta disponibilidad, se utilizan de manera consistente.
Dependiendo de la estructura organizacional, ser necesario evaluar cada rea o proceso significativo de la organizacin por separado. Por ejemplo, ser preciso evaluar las reas de contabilidad, recursos humanos, operaciones, TI, unidades de negocio o subsidiarias para determinar si el estado actual cumple con los requerimientos de los 15 elementos (o ms) enlistados con anterioridad. En la mayora de las organizaciones, los tpicos resultados para cada una de las 15 caractersticas definidas anteriormente oscilarn entre los niveles de madurez en una escala de 1 a 4. Ser necesario revisar las polticas para determinar si cubren tambin cada uno de los elementos. Hasta el grado en que no los incluyan, la siguiente seccin ofrece sugerencias de polticas que abarcan cada uno de los requerimientos del CMM 4. Un objetivo que debera establecerse es: "alcanzar niveles de madurez consistentes entre dominios de seguridad especficos", teniendo conciencia de la nocin de que "la seguridad es slo tan buena como el eslabn ms dbil". Por ejemplo, el nivel de madurez de todos los procesos crticos debe ser igual. Al seleccionar un departamento, unidad de negocio o rea en particular dentro de la organizacin, puede considerarse el nivel de madurez de la primera declaracin del CMM 4. La primera declaracin es La evaluacin del riesgo es un procedimiento estndar y la gestin de seguridad debera estar en capacidad de detectar cualquier desviacin en la ejecucin de este procedimiento. Si la organizacin no se encuentra en este nivel de madurez, entonces tiene que considerarse el enfoque para alcanzar este elemento. Un gran nmero de requerimientos se encuentran implcitos en esta declaracin. Uno de ellos es que las evaluaciones de riesgo son procedimientos estndar y formales que se llevan a cabo como resultado de cambios en sistemas, procesos, amenazas o vulnerabilidades, y de manera regular. Asimismo, est implcito que estas evaluaciones se basan en buenas prcticas y se aplican a procesos completos, ya sean fsicos o electrnicos. Adems, la declaracin implica que se tiene implementado un monitoreo efectivo que garantiza que las evaluaciones se llevan a cabo segn lo requiere la poltica. En primer lugar, se debe contar con una poltica que establezca el requerimiento. En caso de que exista tal poltica, entonces se trata el requerimiento. De lo contrario, sera necesario crearla, o bien, modificar alguna poltica existente. Una poltica apropiada para tratar este requerimiento podra establecer lo siguiente:
Pgina 60
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Los riesgos de seguridad de la informacin deben valorarse con regularidad o a medida que los cambios en las condiciones justifiquen la utilizacin de procedimientos estandarizados y tienen que incluir todas las tecnologas y procesos relevantes. Se deber notificar al rea de seguridad corporativa antes de comenzar dichas evaluaciones, y de igual forma dicha rea deber recibir los resultados de las evaluaciones hasta su conclusin. Esta poltica debe tratar el requerimiento del CMM 4 para un procedimiento estndar y un proceso para mantener informada a la gestin de seguridad. Podra ser necesario crear un conjunto posterior de estndares para definir los lmites permisibles y los requerimientos para la valoracin de riesgos de diversos dominios operativos. A continuacin se presenta el ejemplo de una norma: Los dominios de alta seguridad que abarcan sistemas de negocio crticos y/o informacin confidencial o protegida debern valorarse cada ao para efectos de riesgos, o con mayor frecuencia si existen: Cambios importantes en las amenazas Cambios en el hardware o software Cambios en el negocio o los objetivos
Dichas evaluaciones debern ser responsabilidad del dueo del sistema o de los datos, y debern enviarse al rea de seguridad corporativa para su revisin oportuna. Cuando sea posible, las evaluaciones debern realizarse antes de implementar cambios y se debern someter a la aprobacin del rea de seguridad corporativa con respecto a su congruencia con la poltica aplicable. La segunda declaracin en el CMM 4 es la siguiente: La gestin de riesgos en la seguridad de la informacin es una funcin gerencial definida bajo la responsabilidad del nivel superior. Para alcanzar este requerimiento, puede ser necesario hacer algn cambio organizacional. A menudo, la seguridad de la informacin se relega a gerentes de nivel inferior, con lo cual no se alcanza el objetivo. Con base en el modelo CMM de COBIT y el documento relacionado "Governing for Enterprise Security [Gobierno de la Seguridad Empresarial]", es posible elaborar un caso de negocio (business case) slido para implementar este cambio estructural. El tercer criterio del CMM establece lo siguiente: "La alta direccin y la gerencia de seguridad de la informacin han determinado los niveles de riesgo que tolerar la organizacin y tendr medidas establecidas para las relaciones de riesgo/beneficio. Una poltica para tratar este criterio podra declarar que los riesgos deben manejarse a niveles que eviten interrupciones graves a las operaciones crticas del negocio y controlen los impactos a niveles definidos como aceptables. Los estndares relacionados definiran lmites de interrupciones graves y especificaran cmo determinar los niveles aceptables de impacto. Los estndares tambin pueden establecer otras definiciones, como los criterios de las declaraciones (quin tiene autoridad para declarar un incidente o desastre que requiere respuestas apropiadas) y los criterios de severidad (un proceso para determinar y definir la severidad del evento y los requerimientos de escalamiento y notificacin).
1.18.1 MUESTRAS ADICIONALES DE POLTICAS

Entre las muestras de polticas que podran elaborarse para tratar algunas de las dems declaraciones del CMM 4 estaran las siguientes: Clara asignacin de roles y responsabilidades-Los roles y las responsabilidades de la Compaa XYZ debern definirse claramente y se debern asignar formalmente todas las reas de seguridad que se requieran a fin de garantizar la determinacin de responsabilidad. Un desempeo aceptable deber asegurarse mediante un monitoreo y mtricas apropiados. Activos de informacin que se han identificado y clasificado de acuerdo con su criticidad y sensibilidadTodos los activos de informacin deben tener a su dueo debidamente identificado y debern ser
Pgina 61
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin catalogados. Asimismo, deber determinarse su valor y debern clasificarse con base en su criticidad y sensibilidad a lo largo de su ciclo vital. Que se hayan diseado, implementado y mantenido controles efectivos-Tanto los riesgos como los impactos potenciales deben administrarse utilizando controles y contramedidas apropiados para alcanzar niveles aceptables a costos aceptables. Que se cuente con procesos de monitoreo eficaces-Todas las actividades importantes de gestin de riesgos, aseguramiento y seguridad deben contar con procesos para proporcionar el monitoreo continuo que se requiere para garantizar que se alcanzan los objetivos de control. Que se cuente con procesos eficaces de cumplimiento y exigencia de cumplimiento-Se deben implementar, administrar y mantener mtricas y actividades de monitoreo que proporcionen un aseguramiento constante de que se exige el cumplimiento de todas las polticas de seguridad y que se alcanzan los objetivos de control. Que se tengan capacidades de respuesta ante emergencias e incidentes, funcionales y probadas-Se deben implementar y administrar capacidades de respuesta a incidentes que sean suficientes para garantizar que los impactos no afectan de manera significativa la capacidad de la organizacin para continuar con sus operaciones. Que se cuente con planes probados de continuidad de negocio/ recuperacin de desastre-Se deben de desarrollar, mantener y probar planes de continuidad de negocio y de recuperacin de desastre de tal forma que se garantice la capacidad de la organizacin para continuar operando bajo cualquier condicin.
La mayora de las organizaciones no ha alcanzado un nivel de madurez CMM 4 uniforme en toda la empresa. Este nivel, sin embargo, suele ser suficiente para atender las necesidades de seguridad de la mayora de las organizaciones. De igual forma es un nivel difcil de alcanzar y puede tomar varios aos lograrlo; sin embargo, puede servir como el objetivo, el estado deseado o modelo de referencia. Cabe hacer notar que las polticas de muestra anteriores pueden ser o no apropiadas para una organizacin en particular; no obstante se presentan a manera de ejemplo en trminos de una elaboracin simple y clara, estableciendo a un alto nivel la intencin y la direccin de la gerencia. Tal como se indic anteriormente, es necesario contar con polticas completas para tener un gobierno efectivo de seguridad de la informacin. La elaboracin, tal como establecen las muestras, ha probado ser, en la prctica, un enfoque preferible en la medida en que se obtiene la participacin y de la gerencia y el consenso general. Es preciso recordar que la elaboracin de la poltica tiene que ser consistente con la estrategia de seguridad de la informacin y del estado deseado de seguridad, y ser un reflejo de ellos. Las polticas tambin deben someterse a la revisin y aprobacin por escrito de la alta direccin. Los estndares complementarios son ejemplos clsicos pero deben adaptarse a las necesidades de cada organizacin y casi nunca estn completas. Por lo regular, se requerir contar con mltiples estndares para cada poltica en cada dominio de seguridad. La elaboracin de estndares tiene que llevarse a cabo con el debido cuidado. Si se elaboran en forma adecuada, proporcionan lmites de seguridad consistentes y una herramienta altamente efectiva para implementar el gobierno de la seguridad de la informacin. Tanto el departamento de auditora como las unidades organizacionales afectadas debern revisar los borradores de los estndares. Las auditoras son uno de los principales mecanismos para cumplir y exigir el cumplimiento con las polticas. La contribucin de los auditores en los estndares puede ayudar a desarrollar estndares completos y efectivos, y podra ayudarlos tambin a desempear sus funciones. Es probable que la colaboracin con los dueos del proceso en cuestin permita una mejor cooperacin en la implementacin de los cambios propuestos y ayudar a garantizar que los estndares no interfieran de manera innecesaria en el desempeo de sus funciones. Aun cuando esto puede implicar una etapa de negociacin considerable para alcanzar un consenso sobre los estndares apropiadas, el resultado final
Pgina 62
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin ser una mayor consistencia con las actividades de negocio y mejores resultados en trminos de garantizar su cumplimiento. Para la mayora de las organizaciones, implementar un gobierno efectivo de seguridad de la informacin requerir de una iniciativa importante dada la naturaleza a menudo fragmentada y tctica de los esfuerzos tpicos relacionados con la seguridad. Para ello ser necesario contar con el apoyo y compromiso de la alta direccin y con los recursos apropiados. Asimismo, ser necesario elevar la gestin de seguridad a puestos de autoridad equiparables a sus responsabilidades. Esta ha sido la tendencia en aos recientes a medida que las organizaciones se vuelven completamente dependientes de sus activos de informacin y recursos, y que las amenazas e interrupciones continan aumentando y se vuelven cada vez ms costosas.
1.19 METAS INMEDIATAS DEL PLAN DE ACCIN

Para la mayora de las organizaciones, se puede definir de inmediato una variedad de metas especficas a corto plazo que sean congruentes con la estrategia de seguridad de la informacin en su conjunto, una vez que se ha concluido la estrategia total. Con base en la determinacin del BIA de los recursos de negocio crticos y el estado de seguridad segn se haya establecido a partir del anlisis de brechas del CMM anterior, la priorizacin de las actividades correctivas debe ser clara. Si el objetivo de la estrategia de seguridad es alcanzar la certificacin CMM 4, entonces un ejemplo de un plan de accin (o tctico) a un plazo cercano podra establecer lo siguiente: Durante los siguientes 12 meses: Cada unidad de negocio tiene que identificar las aplicaciones actuales en uso. Tiene que revisarse el 25 por ciento de toda la informacin almacenada para determinar su propiedad, criticidad y sensibilidad. Cada unidad de negocio llevar a cabo un BIA de los recursos de informacin a fin de identificar los recursos crticos. Las unidades de negocio tienen que dar cumplimiento a las regulaciones. Deben definirse todos los roles y las responsabilidades de seguridad. Se desarrollar un proceso para verificar los vnculos alos procesos de negocio. Se debe realizar una evaluacin de riesgo exhaustiva para cada unidad de negocio. Todos los usuarios deben recibir formacin sobre una poltica de uso aceptable. Todas las polticas deben revisarse y modificarse segn sea necesario. Deben existir estndares para todas las polticas.
Las metas y las etapas importantes a corto plazo debern formar parte de los planes de accin; sin embargo, se deben definir los objetivos del estado deseado en conjunto a largo plazo para maximizar las posibles sinergias y garantizar que todos los planes de accin a corto o mediano plazo estn acordes a las metas finales. Por ejemplo, una solucin tctica que deba ser remplazada porque no se integrar en el plan general es probable que resulte ms costosa que una que s se integrar. Es importante que la estrategia y el plan a largo plazo sirvan para integrar actividades tcticas a corto plazo. Ello contrarrestar la tendencia de implementar soluciones puntuales que son tpicas del modo en crisis de la operacin en el cual se encuentran muchos departamentos de seguridad. Tal como han descubierto muchos gerentes de seguridad, numerosas soluciones no integradas que se han implementado en respuesta a una serie de crisis durante varios aos se vuelven cada vez ms costosas y difciles de manejar.
Pgina 63
1.20 OBJETIVOS INFORMACIN
DEL
PROGRAMA
DE
SEGURIDAD
DE
LA
Implementar la estrategia con un plan de accin tendr por resultado un programa de seguridad de la informacin. El programa es, en esencia, el plan de proyecto para implementar y establecer la gestin en curso de alguna parte o partes de la estrategia. El objetivo del programa de seguridad de la informacin es proteger tanto los intereses de aquellos que dependen de la informacin como los procesos, sistemas y comunicaciones que la manejan, almacenan y entregan de sufrir algn dao que sea consecuencia de fallos en la disponibilidad, confidencialidad e integridad de dicha informacin. En tanto que las definiciones que van surgiendo aaden conceptos como los de utilidad y posesin de la informacin (esta ltima para lidiar con robos, engaos y fraudes), la economa interconectada sin duda ha aadido la necesidad de que exista confianza y determinacin de responsabilidad en las transacciones electrnicas. Para la mayora de las organizaciones, el objetivo de la seguridad se cumple cuando: La informacin est disponible y se puede utilizar cuando se le requiere, y los sistemas que la proporcionan pueden resistir ataques en forma apropiada (disponibilidad). La informacin se divulga slo a aquellos que tengan derecho a conocerla y slo puede ser observada por ellos (confidencialidad). La informacin est protegida contra modificaciones no autorizadas (integridad). Se puede confiar en las transacciones de negocio y en el intercambio de informacin entre locaciones de la empresa o con socios (autenticidad y no repudio).
La relativa prioridad e importancia de la disponibilidad, la confidencialidad, la integridad, la autenticidad y el no repudio varan de acuerdo con los datos que se encuentran dentro del sistema de informacin y del contexto de negocio en el cual se utilicen. Por ejemplo, la integridad puede tener particular importancia con respecto al manejo de informacin debido al impacto que la informacin tiene en las decisiones crticas relacionadas con la estrategia. La confidencialidad puede ser lo ms importante de acuerdo con los requerimientos legales o regulatorios con respecto a la informacin personal, financiera o mdica, o bien, para proteger los secretos comerciales. Es importante entender que estos conceptos aplican de igual forma a los sistemas electrnicos que a los fsicos. Por ejemplo, la confidencialidad est expuesta tanto al riesgo de ingeniera social o "bsqueda en la basura (dumpster diving)" como al de un ataque externo exitoso. Adems, la integridad dla informacin puede estar expuesta, al menos con la misma facilidad, a capturas fsicas fraudulentas en el sistema que a la inestabilidad electrnica. Asimismo, debe considerarse que la mayora de las prdidas significativas son el resultado de ataques internos y no de ataques externos. El resultado es que los controles que se utilizan para detectar anomalas y garantizar la integridad de los sistemas deben ocuparse tambin de los ataques internos no tcnicos.
1.21 ESTUDIO DE CASOS DE EJEMPLO

El siguiente estudio de caso sirve para demostrar grficamente el requerimiento de gobierno de la seguridad explicado en este captulo. El caso ilustra cmo los desastres son comnmente causados por una secuencia de fallas y es un estudio de una estructura y cultura organizacional con problemas de funcionamiento. El no aprender de esta situacin (y de otros incidentes significativos) y no tomar las acciones correctivas recomendadas por el equipo externo de expertos en revisin post mrtem indudablemente contribuy al fracaso definitivo de esta organizacin financiera de ms de 45.000 empleados durante la recesin econmica de 2008-2009. En una importante institucin financiera de EUA, el personal de bajo nivel que supervisa el centro de operaciones de red (NOC) not una actividad de red inusual un domingo en la noche cuando el banco estaba cerrado. Confundidos e
Pgina 64
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin inseguros acerca de lo que vean, y sin instrucciones para actuar de manera contraria, decidieron observar el evento en lugar de arriesgarse a molestar a los gerentes un fin de semana. La organizacin no haba desarrollado criterios de severidad, requerimientos de notificacin o procesos de escalacin. El lunes temprano, el trfico sigui aumentando en la instalacin principal y de repente comenz a crecer significativamente en el sitio espejo, a cientos de millas de ah. A pesar de haber sido asesorado en relacin con los riesgos, el gerente de TI (al ser interrogado por el autor de este caso de estudio) afirm con un grado de orgullo que la red totalmente plana haba sido diseada para un alto rendimiento y que confiaba en que su experimentado equipo poda manejar cualquier eventualidad. A las 7:00 a.m. del lunes, el personal del NOC estaba lo suficientemente preocupado como para notificar a los gerentes de TI que haba un problema y que los monitores mostraban que la red se estaba saturando. Una hora ms tarde, cuando el equipo externo de respuesta a incidentes de computacin (CIRT) lleg, la red no estaba operativa y el equipo determin que la red haba sido afectada por el gusano Slammer. El gerente del equipo CIRT inform al gerente de TI que el Slammer resida en la memoria y que el reinicio de toda la red y el sitio espejo resolvera el problema. El gerente afirm que no estaba autorizado para apagar el sistema y que era necesario que el CIO emitiera la orden. No se pudo ubicar al CIO, y los nmeros actuales de telfono de emergencia y localizador estaban guardados en un nuevo sistema de localizacin de emergencia que requera acceso a la red. Cuando se le pregunt sobre el plan de recuperacin en caso de desastre (DRP) y lo que tena que decir en relacin con los criterios de declaracin, surgieron tres planes diferentes que haban sido preparados por equipos de diferentes partes de la organizacin, sin el conocimiento del trabajo del resto. Ninguno contena criterios de declaracin o roles, responsabilidades o autoridad especficos. La resolucin final requiri que el CEO, quien estaba viajando al exterior y no estaba disponible de inmediato, diera instrucciones la maana siguiente (martes) para apagar la red con falla. Ms de treinta mil personas no pudieron realizar su trabajo y la institucin no pudo operar durante un da y medio. El equipo post mrtem calcul los costos directos finales en ms de cincuenta millones de dlares. El trabajo del equipo post mrtem fue obstaculizado por la indiferencia y falta de cooperacin de la mayora de los empleados, temerosos de ser hallados culpables, en una cultura organizacional orientada a la culpa. El autor de este caso fue el gerente del equipo post mrtem que encontr literalmente cientos de procesos deficientes, una cultura disfuncional y una serie de mtricas intiles, adems de una falta absoluta de gobierno adecuado. Para los que supervisan el NOC, las mtricas indicaron un problema, pero no fueron lo suficientemente significativas como para que los empleados tomaran decisiones activas, mucho menos correctas. Mejores mtricas o una mayor capacidad del personal pudo haber resuelto el problema rpidamente en las etapas iniciales del incidente antes de que ste se convirtiera en un problema. Un mejor gobierno pudo haber conferido una autoridad adecuada al gerente de red para ejecutar la accin apropiada. Un mejor gobierno pudo haber insistido en que se aplicaran los parches para vulnerabilidad emitidos dos meses antes o que se implementaran controles compensatorios apropiados para enfrentar una amenaza conocida. Incluso una gestin de riesgo marginalmente efectiva habra insistido en que una red plana, sin segmentacin, no era aceptable y que DRP/BCP era una actividad integrada y probada. Las conclusiones que se pueden sacar y que son pertinentes para las mtricas y el gobierno sugieren que los datos no son informacin y que una informacin incomprensible es simplemente datos y no es til. Este caso tambin ilustra que no importa cun buenas sean las mtricas y la supervisin que respaldan las decisiones, no son tiles para los que no tienen el poder de tomar decisiones. En consecuencia, para desarrollar mtricas tiles, debe establecerse claramente quines toman cules decisiones y qu informacin es necesaria para tomar tales decisiones. A partir de este anlisis, se infiere que las mtricas de la gestin requieren una variedad de informacin de diferentes fuentes que luego debe ser sintetizada con el fin de proveer informacin significativa, necesaria para tomar decisiones relacionadas con las acciones que se requieren. Este caso demuestra la necesidad que tienen las organizaciones de desarrollar e implementar un gobierno de seguridad de la informacin y el requerimiento concomitante de desarrollar mtricas tiles.
Pgina 65
1.22 RECURSOS SUGERIDOS PARA AMPLIAR CONCEPTOS

Aberdeen Group, "Best Practices in Security Governance," Aberdeen Group, USA, 2005 Allen, Julia H.; "Governing for Enterprise Security," Carnegie Mellon University, USA, 2005 Allen, Julia H.; Jody R. Westby; Governing for Enterprise Security (GES) Implementation Guide, Carnegie Mellon University, USA, 2007 Brotby, Krag; Information Security Governance:Guidance for Boards of Directors and Executive Management, 2nd Edition, IT Governance Institute, USA, 2006 Brotby, Krag; Information Security Governance:Guidance for Information Security Managers, ISACA, USA, 2008 Business Roundtable, "Information Security Addendum to Principles of Corporate Governance," April 2003, www. businessroundtable. org Information Security Forum, The Standard of Good Practice for Information Security, UK, January 2005, www. isfsecuritystandard. com/SOGPO 7/index, htm International Organization for Standardization (ISO), Code of Practice for Information Security Management, ISO/IEC 17799, Switzerland, 2005 IT Governance Institute, Control Objectives for Information and related Technology (CobiT) 4.1, USA, 2007, www. isaca. org/cobit IT Governance Institute, Unlocking Value:An Executive Primer on the Critical Role of IT Governance, USA, 2008 Kiely, Laree; Terry Benzel; Systemic Security Management, Liberias Press, USA, 2006 McKinsey and Institutional Investors Inc., "McKinsey/KIOD Survey on Corporate Governance," January 2003 National Institute of Standards and Technology (NIST), Recommended Security Controls for Federal Information Systems, NIST 800-53, USA, 2005 Organization for Economic Co-operation and Development (OECD), Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security, France, 2002 Sherwood, John; Andrew Clark; David Lynas; Enterprise Security Architecture:A Business-Driven Approach, CMP Books, USA, 2005, www.sabsa.org Tarantino, Anthony; Manager's Guide to Compliance, John Wiley & Sons Inc., USA, 2006
Pgina 66

GSI - Resumen Capitulo 1

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

GSI - Resumen Capitulo 1

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSIDAD TECNOLOGICA NACIONAL FACULTAD REGIONAL RESISTENCIA

GESTION DE SEGURIDAD DE LA INFORMACIN

Apuntes de Teora Unidad 1 Gobierno de Seguridad de la Informacin

GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin

1.9.4 GESTIN DE RIESGOS ............................................................................................................................................. 25

GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin

1.4 VISIN GENERAL DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

1.4.1 IMPORTANCIA DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

1.4.2 RESULTADOS INFORMACIN

1.5 GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA INFORMACIN

1.5.1 METAS Y OBJETIVOS DEL NEGOCIO

GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin

1.5.2 ROLES Y RESPONSABILIDADES DE LA ALTA DIRECCIN

1.5.3 MATRIZ DE RESULTADOS Y RESPONSABILIDADES

1.5.4 GOBIERNO, GESTIN DE RIESGOS Y CUMPLIMIENTO

1.5.5 MODELO DE NEGOCIOS PARA LA SEGURIDAD DE LA INFORMACIN

1.6 CONCEPTOS DE LA SEGURIDAD DE LA INFORMACIN

1.7 GERENTE DE SEGURIDAD DE LA INFORMACIN

1.7.2 COMPROMISO DE LA ALTA DIRECCIN

1.7.3 CONCIENCIACIN SOBRE PRESUPUESTO

1.8 ALCANCE Y ESTATUTOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

1.8.1 INTEGRACIN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA)

1.9 MTRICAS DEL INFORMACIN

1.9.1 MTRICAS DE SEGURIDAD DE LA INFORMACIN

1.9.2 MTRICAS DE IMPLEMENTACIN DE GOBIERNO

1.9.3 ALINEACIN ESTRATGICA

1.9.4 GESTIN DE RIESGOS

1.9.5 ENTREGA DE VALOR

1.9.6 GESTIN DE ACTIVOS

1.9.7 MEDICIN DEL DESEMPEO

1.9.8 INTEGRACIN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA)

1.10 VISIN GENERAL DE LA SEGURIDAD DE LA INFORMACIN

1.10.1 UNA PERSPECTIVA ALTERNA DE LA ESTRATEGIA

1.11 DESARROLLO DE UNA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN

1.11.1 DIFICULTADES COMUNES

1.12 OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN

1.12.2 DEFINICIN DE OBJETIVOS

1.12.3 DESARROLLO DEL CASO DE NEGOCIO

1.12.4 EL ESTADO DESEADO

1.12.5 OBJETIVOS DE RIESGO

1.13 DETERMINACIN DEL ESTADO ACTUAL DE LA SEGURIDAD

1.13.1 RIESGO ACTUAL

1.14 ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN

1.14.1 ELEMENTOS DE UNA ESTRATEGIA

1.14.2 RECURSOS Y LIMITACIONES DE LA ESTRATEGIA-VISIN GENERAL

1.15 RECURSOS DE LA ESTRATEGIA

1.15.1 POLTICAS Y ESTNDARES

1.15.2 ARQUITECTURAS DE SEGURIDAD DE LA INFORMACIN

1.15.7 ESTRUCTURA ORGANIZACIONAL

1.15.8 ROLES Y RESPONSABILIDADES DE LOS EMPLEADOS

1.15.10 CONCIENCIACIN Y FORMACIN

1.15.12 EXIGENCIA DE CUMPLIMIENTO

1.15.13 ANLISIS DE AMENAZAS

1.15.14 ANLISIS DE VULNERABILIDAD

1.15.15 EVALUACIN DE RIESGOS

1.15.16 CONTRATACIN DE SEGUROS

1.15.17 EVALUACIN DE IMPACTO AL NEGOCIO

1.15.18 ANLISIS DE LA DEPENDENCIA DE RECURSOS

1.15.19 PROVEEDORES EXTERNOS DE SEGURIDAD

GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin

1.15.20 OTROS PROVEEDORES ORGANIZACIONAL

1.16 RESTRICCIONES DE LA ESTRATEGIA

1.16.1 REQUERIMIENTOS LEGALES Y REGULAT0RI0S