UNIVERSIDAD NACIONAL

SANTIAGO ANTNEZ DE MAYOLO

FACULTAD DE CIENCIAS

ESCUELA ACADMICO PROFESIONAL DE INGENIERA

DE SISTEMAS E INFORMTICA

GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

ASIGNATURA:

SEGURIDAD Y AUDITORIA INFORMATICA

INTEGRANTES:

CIRIACO SALY ROSAS Harold

DE PAZ TOLEDO Tatiana Yamili
MAMANI MEDINA Gullit
PAJUELO ESPINOZA Deyvi
VILLANUEVA TRUJILLO Javier

PROFESOR

BACH.TOLENTINO ALVARADO Joseph

HUARAZ PERU

2017
 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

INTRODUCCION

En este mundo globalizado por Internet y las tecnologas de informacin, las

amenazas y ataques se han vuelto ms comunes y de mayor preocupacin para
las organizaciones. En muchas ocasiones se ha odo sobre robos de
informacin, terrorismo informtico, sabotaje, fraude y vandalismo, que en
muchos casos son perpetrados por personal interno de la organizacin o por
errores provocados por falta de controles o por procesos mal definidos que son
aprovechados por personas ajenas a la organizacin .

Por ello es importante entender que la adquisicin de sistemas de seguridad

tales como controles de acceso, detectores de intrusos y firewalls, entre otros,
ya no es suficiente. Hoy en da es necesario adoptar soluciones que nos permitan
proteger los vacos de seguridad que las tecnologas antes mencionadas no
llegan a cubrir. Estas soluciones deben contemplar aspectos tales como un
adecuado anlisis de riesgos, asignacin de roles y responsabilidades y marcos
normativos.

De esta manera el aseguramiento de la informacin debe responder a un

esquema de gobierno, Gobierno de la Seguridad de la Informacin tema sobre
el que trataremos.

2
 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

INDICE

INTRODUCCION .......................................................................................................... 2

GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN ............................................ 4

1. DEFINICION ...................................................................................................... 4

2. OBJETIVOS ....................................................................................................... 4

3. IMPORTANCIA .................................................................................................. 5

4. NORMA ISO 27014 GOBIERNO DE SEGURIDAD DE LA INFORMACIN ...... 7

CONCLUSIONES ....................................................................................................... 10

3
 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

1. DEFINICION

Es el conjunto de responsabilidades y prcticas ejercidas por el grupo

directivo con el objetivo de proveer direccin estratgica, asegurar que los
objetivos sean alcanzados, validar que los riesgos de la informacin sean
apropiadamente administrados y verificar que los recursos de la empresa
sean usados responsablemente.

El gobierno de seguridad de la informacin consiste en el liderazgo,

estructura organizacional y proceso para proteger la informacin.

El gobierno de seguridad de la informacin es un subconjunto del gobierno

corporativo de la organizacin que provee direccin estratgica, garantiza
los objetivos establecidos, gestiona los riesgos de forma apropiada, usa
los recursos organizacionales responsablemente y monitorea el xito o
falla del programa de seguridad de la organizacin.

2. OBJETIVOS

El gobierno de seguridad de la informacin incluye los elementos que se

requieren para brindar a la alta direccin la certeza de que su direccin y
empeo se reflejan en la postura de seguridad de la organizacin al utilizar
un enfoque estructurado para implementar un programa de seguridad.

El objetivo de la seguridad de la informacin es desarrollar, implementar

y administrar un programa de seguridad que alcance los siguientes seis
resultados bsicos de un gobierno eficaz de seguridad:

Alineacin estratgica: Alinear la seguridad de la informacin con la

estrategia de negocio para apoyar los objetivos organizacionales.

Administrar los riesgos: Ejecutar medidas apropiadas para mitigar los

riesgos y reducir el posible impacto que tendran en los recursos de
informacin a un nivel aceptable.

4
 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

Entrega de valor: Optimizar las inversiones en la seguridad en apoyo

a los objetivos del negocio.
Administracin de recursos: Utilizar el conocimiento y la infraestructura
de la seguridad de la informacin con eficiencia y eficacia.
Medicin del desempeo: Monitorear y reportar procesos de
seguridad de la informacin para garantizar que se alcancen los
objetivos.
Integracin: Integrar todos los factores de aseguramiento relevantes
para garantizar que los procesos operan de acuerdo a lo planteado de
principio a fin.

3. IMPORTANCIA

Desde la perspectiva de una organizacin, el gobierno de la seguridad es

cada vez ms crucial a medida que aumenta la dependencia de la
informacin. Tal como dijo Arthur Sulzberger Hays en 1947 El juicio de
un hombre no puede ser mejor que la informacin en la cual ha basado
dicho juicio.

La informacin definida como datos dotados de significado y propsito

es la esencia del conocimiento. El conocimiento a su vez, se capta,
transporta y almacena como informacin organizada. Tal como coment
Peter Drucker, El conocimiento se est volviendo rpidamente en el
nico factor de la productividad, dejando de lado al capital y la mano de
obra.

Para la mayora de las organizaciones, la informacin y el conocimiento

en el que sta se basa se han vuelto uno de sus activos cada vez ms
importantes sin los cuales sera imposible dirigir el negocio. Tanto los
sistemas como los procesos que manejan dicha informacin han invadido
el negocio y las organizaciones gubernamentales en todo el mundo. Esta
creciente dependencia de las organizaciones de su informacin y los
sistemas que la manejan, junto con los riesgos, beneficios y oportunidad
que representan dichos recursos, han hecho del gobierno de la seguridad
de la informacin un aspecto cada vez ms crucial del gobierno en su

5
 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

conjunto. Las gerencias prudentes han llegado a entender que ofrece una
serie de beneficios significativos, entre los que se encuentran:
Tratar la creciente posibilidad de que la organizacin y su alta direccin
se enfrenten de manera habitual a la responsabilidad civil o legal como
resultado de imprecisiones en la informacin o la ausencia del debido
cuidado para protegerla.

Brindar un nivel de certeza de que las decisiones cruciales no se basan

en informacin errnea.
Proporcionar un fundamento slido para tener una administracin
de riesgos y una mejora de procesos eficientes y eficaces, as como
una respuesta rpida a incidentes.
Brindar una mayor confianza en las interacciones con socios
comerciales.
Mejorar la confianza en las relaciones con los clientes.
Proteger la reputacin de la organizacin.
Posibilitar nuevas y mejores formas para procesar las transacciones
electrnicas.
Establecer la responsabilidad para proteger la informacin durante
actividades crticas de negocio, tales como fusiones y adquisiciones,
recuperacin del proceso de negocio y respuestas regulatorias.

Por ltimo, dado que la nueva tecnologa de informacin brinda la

posibilidad de una mejora radical en el desempeo del negocio, una
seguridad eficaz de informacin puede aadir un valor significativo a la
organizacin al reducir las prdidas derivadas de incidentes que estn
relacionados con la seguridad y brindar la confianza de que tales
incidentes y las violaciones a la seguridad, no son catastrficos.
Adems, algunas pruebas demuestran que una mejor percepcin en el
mercado resulta en un mayor valor por accin.

6
 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

4. NORMA ISO 27014 GOBIERNO DE SEGURIDAD DE LA

INFORMACIN

ISO 27014 es una norma de seguridad de la informacin, la cual facilita

orientacin sobre los principios y conceptos para gobernar la seguridad
de la informacin. A travs de esta, las organizaciones podrn dirigir,
comunicar, evaluar y controlar la seguridad de la informacin que est
relacionada con las actividades de la organizacin.
Su mbito de aplicacin es para todas las clases y tamaos de
organizaciones.
La ISO 27014 indica seis principios de gobiernos de la seguridad de
informacin los cuales son:

Establecer seguridad de la informacin en toda la empresa.

La seguridad de la informacin se gestiona a un nivel de la

organizacin que permita la toma de decisiones?
Las actividades asociadas a la seguridad lgica y fsica se
realizan de forma coordinada?
La responsabilidad y rendicin de cuentas con respecto a la
seguridad se establece a travs del ciclo completo de las
actividades de la organizacin incluidos terceros?
Seguir un enfoque basado en el riesgo

Las decisiones se toman en funcin del riesgo?

El nivel aceptable de seguridad se basa en el apetito al riesgo de
la organizacin?, se incluye en l la posible prdida de ventaja
competitiva, riesgos de cumplimiento y responsabilidad,
interrupciones operativas, prdida financiera y dao a la
reputacin?
Se asignan los recursos apropiados para implementar la gestin
de riesgos en la organizacin?

7
 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

Establecer la direccin de las decisiones de inversin

La estrategia de inversiones en seguridad de la informacin se

establece en funcin de los resultados de negocio alcanzados?
Las inversiones en seguridad se integran con los procesos

generales existentes para las inversiones y gastos de la

organizacin?

Confirmar el cumplimento de los requisitos externos e internos.

Se garantiza que las polticas y prcticas son conformes con la

regulacin y legislacin existente, con los compromisos y contratos
de la organizacin y con otros requerimientos internos o externos?
Se realizan auditoras de seguridad independientes?

Promover un ambiente de seguridad positiva.

A la hora de implementar la gobernanza de la seguridad, se tiene

en cuenta el comportamiento humano, incluyendo la evolucin de
las necesidades de las partes interesadas?
Se exige, promueve y apoya la coordinacin de las actividades de
las partes interesadas para alcanzar una direccin coherente de la
seguridad (educacin, formacin y programas de concienciacin)?.

Evidenciar el rendimiento en relacin con los resultados del

negocio.
La aproximacin tomada para proteger la informacin es
adecuada al propsito de apoyar la organizacin proporcionando
niveles acordados de seguridad de la informacin?
Se mantiene la seguridad en los niveles requeridos para alcanzar
los requerimientos actuales y futuros del negocio?
Se evala la seguridad en relacin a su impacto en el negocio y
no slo en base a la eficacia y eficiencia de los controles?
Empleando la ISO 27014 se va a fomentar la alineacin estratgica entre
la seguridad de la informacin y la estrategia de la empresa, lo que tiene

8
 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

como consecuencia permitir a las organizaciones evaluar, controlar, dirigir

y comunicar de forma eficiente sus actividades que estn relacionadas
con la informacin. Adems, esto va a permitir a las organizaciones:

Ofrecer un valor empresarial a las personas interesadas.

Conseguir el cumplimiento de los requisitos contractuales y
reglamentarios.
Fomentar la supervisin a nivel de consejo de seguridad de la
informacin
Conseguir una gestin que sea eficaz
Invertir en seguridad de la informacin de una forma ms efectiva y
focalizada.

La ISO 27014 admite que existe influencia del factor humano en la

seguridad a travs del apoyo a la prestacin de la seguridad, formacin,
educacin y sensibilizacin mediante el Consejo de Administracin.
El Consejo de Administracin es aquella persona que es responsable
tanto en la ejecucin como en el cumplimiento de la organizacin. Dicho
Consejo es muy importante dentro de la norma, debido a que es vital para
el xito de la aplicacin.
El modelo para la implementacin del gobierno de la seguridad de la
informacin, segn la norma ISO 27014 es el siguiente:

9
 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

CONCLUSIONES

Gobierno de la Seguridad de la Informacin es el sistema mediante el cual

se dirigen y controlan las actividades de seguridad de la informacin de la
organizacin.
El gobernante de la seguridad de la informacin debe leerse a s mismo
como un estudiante permanente de la realidad circundante, que sin
descuidar la ejecucin virtuosa de las prcticas de seguridad y control
basada en estndares.
El gobierno de la seguridad de la informacin necesariamente requiere ir
a la ofensiva, a la lectura permanente del entorno y alcanzar posiciones
estratgicas en situaciones inesperadas, pues quedarse a la defensiva
(ciclo de regulacin basado en estndares) implica retroceder en sus retos
y exigencias corporativas para crear escenarios valiosos para la visin
empresarial de mediano y largo plazo.

10