You are on page 1of 18

Comité directivo y alta dirección, determinan eficacia de programa x auditoria y debe recibir

resultados periódicos de evaluación de riesgo, el oficial de seg debe guiarlos a gestionar el
proceso apropiadamente.

Consejo de Dirección/Alta Dirección

 Aprobación de políticas, monitoreo y métricas apropiadas.
 Asigna responsabilidades de seguridad de la información
 Recibir los análisis BIA.
 Definir las penalizaciones por incumplimiento y comunicarlas.
 Supervisar las actividades de seguridad de la información.
 Actuar de buena fe aplicando el debido cumplimiento(x cobro de seguros)
 Cumplir con SOX (monitoreo de controles q afecta confiabilidad en estados de cuenta)
 Asume responsabilidad legal y regulatoria

Dirección Ejecutiva

 Fomentar cooperación entre TI y Seguridad, priorizando lo necesario.
 Velar que las funciones, recursos e infraestructura de soporte estén disponibles y se
usen apropiadamente para satisfacer las directivas del consejo de dirección.
 Tendrá charlas con el gerente de seguridad de concientización y participara
conjuntamente con el en actividades como revisiones trimestrales de riesgos,
adopción de nuevos sistemas, etc.
 Cada Directivo tendrá funciones específicas en lo que respecta a seguridad de la
información.

Debe existir una vigilancia por parte de la gerencia para garantizar el cumplimiento de los
requerimientos y la congruencia con la dirección estratégica, revisión trimestral.

Comité Directivo

 Está constituido por los representantes de las principales partes afectadas.
 Provee estrategias de seguridad e iniciativas de integración con las unidades de
negocio e indica acciones para las funciones del programa de seguridad, además de
revisar los riesgos emergentes, prácticas de seguridad y cumplimiento.
 El gerente de seguridad debe prevalecer que sus roles estén establecidos.
 Deben revisar los estándares propuestos producto de la modificación (nuevas
tecnologías o cambios)
 Se le debe compartir el análisis de brechas para desarrollar estrategias para
modificaciones del programa
 Deben participar los gerentes de unidad de negocio
 Se recomienda que forme parte alguien de RRHH
 Representante de Dpto Juridico Formara parte de este comité

Director de Seguridad

 Tiene la responsabilidad de seguridad de la información
 Tener en cuenta la gestión de cambios que tiene la organización y considerar las
implicaciones en la seguridad global. Debe participar en comité de gestión de cambios.
 Debe contar con proceso definidos mediante los cuales se evalúe impactos y genere
reportes a Alta dirección a través de gráficos y araña.

 Debe establecer relación con proveedores de aseguramiento e integrar actividades de seguridad de la información  Debe crear estándares de seguridad y establecer límites mínimos de seguridad. aprobar.  Debe asegurar que los facilitadores (políticas.  Gestión efectiva. mantener. en referencia a expectativa.  Coordinar con dep. o eliminar información de seguridad de la información. finanzas. así como las cintas de respaldo. etc) estén disponibles para crear. las responsabilidades y estatus de departamento de seguridad de la información. cambios) cuales son los métodos a usar (CBT).  Debe desarrollar métodos de monitoreo y métricas asociadas para presentar información continua sobre la eficacia de los procesos. procesos. procedimientos.  Debe asegurarse de que se desarrollen e implementen procesos de mantenimiento de registros(logs) de trabajo. supervisión de gestión. etc.  Asegurar que activos sensibles tengan la mismo o protección más sólida que otros de igual condición (sensibles)  Crear procedimientos para agregar. de monitorear los proyectos y hacerles seguimiento.  Debe solicitar revisión e interpretación jurídica sobre requerimientos legales que impliquen términos de seguridad  Considerar uso de encriptación de todo el disco de dispositivo móvil para no perder información sensible. Tener reuniones periódicas con gerencia para presentar perfil de riesgos general de la organización.  Considerar los programas que no tienen beneficios organizacionales o de negocio a fin de determinar si están justificados o dan beneficios en otra parte  Debe trabajar de manera conjunta con unidad de TI y unidades de negocio. jurídico y RRHH estrategias para hacer frente a diferencias culturales entre diferentes regiones que están representadas dentro de la organización para identificar posibles conflictos y dar solución. técnicos y de conocimiento con eficacia y efectividad. Además. escalamiento de problemas.  Al necesitar una habilidad se debe analizar costos.  Debe estar familiarizado con los controles de mitigación necesarios en caso falle el primario. tiempos e implicaciones de capital intelectual  Debe adoptar un enfoque metódico para desarrollar e implementar el programa de formación y concienciación.  Resolver conflicto entre objetivo de seguridad y rendimiento  Asegurarse que el personal de seguridad tenga las habilidades apropiadas. modificar.  Debe esforzarse por aplicar los RRHH.  Debe evaluar los objetivos de seguridad documentados establecidos por el programa. cultura. gerentes etc) Cual es el mensaje que pretende transmitir (políticas. debe invertir tiempo y esfuerzo considerable para obtener comprensión de aquellos a quien se les reporta.  Al enfrentar nuevos problemas. eventos) Cual es el resultado que se pretende obtener (mejor cumplimiento de política. distribuir o retirar documentación. .  Se debe determinar el alcance. evaluar a quien quiere llegar (alta dirección. cambiar.  Debe priorizar los proyectos de tal manera que se superpongan y no ocasionen demoras y los resultados se integren sin dificultad.

como primera línea de defensa ante seguridad de la información. por ello deben trabajar en conjunto. VPN. Comprender los seguros. Monitoreo de acciones de empleado por abuso de recursos informáticos. SSL. QA. accesibilidad.  Departamento Jurídico. contacto a finalidad de ofrecer asistencia. se recurre a esta entidad para diseñar. pues debe formar participar en procesos de adquisición a fin de determinar los probables riesgos. priorización de recursos.  Adquisición. etc. dado que sus actividades impactan en el programa de seguridad. Responsabilidades del coordinador de seguridad de la información  Establecer relación de trabajo con el área de seguridad física/corporativa. tipo y alcance de este a fin de incluirlo en la gestión de riesgos. como relaciones con socios de negocio internacionales por falla de FW. implementar y operar sistemas de seguridad como FW.  Unidad de Tecnología de la Información. entenderlos procesos de control de calidad y garantizar que incluya pruebas relacionadas con seguridad.  Aseguramiento de la calidad.  Recursos Humanos. a veces es parte de la oficina de cumplimiento. Además. debe participar tempranamente en el desarrollo de productos o servicios que esté relacionado con recursos de información organizacional. obligación y responsabilidad. relacionado con el cumplimiento.  Privacidad.  Capacitación. pues brindan confianza en cumplimiento de políticas y riesgo. establecer una relación de trabajo con la oficina de cumplimiento.  Escalar temas de seguridad identificados a partir del monitoreo.  Aplicar debida diligencia al identificar deficiencias. coordinación de proyectos de seguridad con otros más grandes. Asimismo.  Debe trabajar conjuntamente con gerencia para garantizar que cuenten con recursos para el programa de seguridad de la información.  Mantener buenas relaciones con el área de auditoría de TI. pues la implantación de controles y demás muchas veces restan funcionalidad.  Empleados.  Asegurarse que gerente de unidad de negocio reconozca y asuman responsabilidades para garantizar la seguridad operativa diaria. encriptación. configurar y mantener estas tecnologías.  Seguro. La responsabilidad se separa cuando impacta en tecnologías de producción.  Debe manejar logística: gestión de proyectos. en caso de existir procesos definidos el debe participar en ellos a fin de contar con listas de equipos aprobados que ya han sido evaluados para cumplir con las políticas.  Debe someter a prueba los planes de aseguramiento de la calidad  Implementar un monitoreo continuo. brindar información sobre políticas y procedimientos. desempeño y calidad a sus sistemas. Mantener el cumplimiento de los requisitos de privacidad.  Cumplimiento.  Debe ser buen conocedor de tecnologías que forman parte de la arquitectura de seguridad técnica y tener acceso a especialistas técnicos que son responsables de instalar. .

 Contabilidad mental. pues se pueden ignorar o minimizar amenazas. especialmente los de TI. grado de sobreestimar puntos de vistas de personas que podrían ser importantes. acepta solo hechos que soporta una perspectiva  Evaluación subjetiva.  Tendencia status quo. presión para llegar a un acuerdo en grupos.  Oficina de Gestión de Proyectos.  Tendencia a asimilación.  Recuerdos selectivos. en la gente en capacidad para hacer cálculos exactos. cuando se presenta un número a una persona y para posteriores eventos este resultado quedara anclado como experiencia pasada. apegarse a fuertes tendencias de enfoques familiares o de conocidos. Tener conocimiento de todos los proyectos. incluso cuando son inadecuados o ineficaces. busca la validación de otros para las ideas que tiene y/o propone o como las va a manejar.  Tendencia a la confirmación. Dificultades comunes de seguridad de la información  Exceso de confianza. gestionar las funciones y entender los servicios proporcionados por terceros.  Instinto gregario. gente muy optimista en sus pronósticos pudiendo tener impactos desastrosos en estrategias  Anclaje. fácil aceptación de evidencias que sustentan nuestras hipótesis y cuestiona la contradictoria.  Optimismo.  Falso consenso. SEIS resultados del gobierno de seguridad de la información  Alineación estratégica  Gestión de riesgos empresariales  Entrega de valor  Optimización de recursos  Medición del desempeño  Integración del aseguramiento del proceso No será posible desarrollar una estrategia rentable de seguridad de la información que este alineada con los requerimientos del negocio si antes no se:  Determinan los objetivos de seguridad de la información . recordar experiencias que solo respaldan mi creencia.  Gestión de terceros.  Pensamiento de grupo. inclinación a categorizar el dinero por de donde viene y como se gasta. busca opiniones que respalden creencias. pues su revisión da otra capa de protección.

integra el gobierno de TI dentro del gobierno de la empresa. son subestimados muchas veces como factor de éxito.  Zachman. COBIT 5 proporciona valor al negocio a través del uso de TI abarcando los diferentes objetivos que puede tener cada empresa.  Aplicación de un marco de referencia único e integrado. trata la seguridad como un componente especial del diseño global y es el enfoque preferido para asegurar una integración eficaz.  Habilitación de un enfoque holístico. o Procesos. vinculada a las personas y se requiere para finalizar exitosamente las actividades. o cultura ética y comportamiento. o servicios infraestructura y aplicaciones. para tener en cuenta varios componentes que interactúen entre sí usa facilitadores como lo son: o principios políticas y marcos de referencia. ambas cumplen diferente tipo de actividades y cumplen propósitos diferentes pues el gobierno vela por que se alcancen las necesidades y objetivos trazados para la empresa. prácticas para lograr ciertos objetivos y logro de metas o estructuras organizacionales.  Cobertura de toda la empresa.  Separación de gobierno y gestión. Desarrolla una matriz de quien que porque donde cuando y como. brindan servicio a la empresa. o Información. entidad clave de toma de decisiones en empresa. traduce comportamiento deseado en orientación práctica para la gestión diaria. usado también por SABSA y EA2F. se alinea con otros estándares y marcos de referencia sirviendo como marco de referencia global para la gestión y gobierno de TI. o personas habilidades y competencias.  Localizan e identifican los recursos y los activos de la información  Valúan los activos y recursos de información  Clasifican los activos de información con base en su criticidad y sensibilidad PRINCIPIOS CLAVES DE COBIT 5  Satisfacción de las necesidades de las partes interesadas. ---------------------------- La alta dirección actúa como mediador entre las necesidades y requerimientos del negocio y determina que procesos son los más críticos . MODELOS DE ARQUITECTURA DE SEGURIDAD  TOGAF. incluye toda la información producida y usada por la empresa y muchas veces es el producto clave de esta.

Como:  Derecho al código fuente en caso de incumplimiento  Requerimiento de cumplimiento con normativas regulatorias  Derecho a auditar libros contables e instalaciones  Derecho a revisar procesos  Requerimiento de uso de procedimientos operativos estándar (SOP)  Derecho a evaluar habilidades y recursos  Informar anticipadamente de realizarse cambios en recursos. Proporciona alarma anticipada ante riesgos particulares. en donde a más servicios menor RTO. Fiabilidad y Sensibilidad. Son específicos para cada empresa dependiendo del tamaño.  Contrato con terceros  Verificar se tenga contrato y procesos de seguridad  Verificar hayan cláusulas de gestión de riesgos en contratos  Asegurarse que se realice una gestión de riesgos para procesos  Gestionar a diario los riesgos de información y monitorear  Se deben definir controles dentro del contrato para que el proveedor los implemente. Sección 2 . CISO debe ser consciente de la ubicación y permisos de acceso para todos los recursos de información. Los KRI se escogen bajo el criterio de Impacto. Para externalización se debe tener en cuenta SOC2 y otros reportes de auditoria. Externalización (outsourcing) recomendaciones  Participación de personal de riesgos en evaluaciones y control  Negociar los controles claves dentro del contrato  Asegurar mecanismos para negociar cambios en controles x ser costosos  Velar por cambios no sean difíciles  Asegurar mecanismos para compensar falta confianza en personal de proveedor.  Incluir tiempos de respuesta (sistema y humano) MONITOREO DE RIESGOS KRI.Punto de equilibrio para determinar el RTO es cuando el impacto que tiene una interrupción es mayor al costo de recuperación El RPO si es muy largo no alcanzara un RTO corto pues demoraría mucho en recuperarse SDO (nivel mínimo de servicio) requiere de RPO y RTO. informar y monitorear el riesgo mediante el uso de indicadores de riesgo clave (KRIs) que miden cuando una empresa está sujeta a riesgos que exceda un nivel de riesgo definido. Para relaciones de alto riesgo es mejor establecer evaluaciones periódicas realizadas por la sede principal o tercero. Se debe tener en cuenta el estado financiero del proveedor externo. Se debe incorporar cláusulas de indemnización en los SLA. Esfuerzo por implementar medir e informar.

sus vulnerabilidades y su perfil de riesgos por parte del gerente de seguridad de la información. Se obtiene una matriz de 6x6 celdas. construir y utilizar el sistema de negocio. diseñar. Entrevistar partes involucradas como RRHH. sistemas. incluyendo metas específicas de negocio. finanzas. Un plan de acción debe incluir hitos que proporcionen KGIs. Esto es para el desarrollo de una arquitectura y gestión de seguridad. Una gestión efectiva del riesgo supone una comprensión total de las amenazas. Ese mismo foro elaborara una versión de política básica de programa de seguridad de la información para la aprobación de la alta dirección. instalaciones y procesos existentes. Los nuevos procesos y procedimientos deben concentrarse en KGIs y KPIs.  Debe ser diseñado con la cooperación y respaldo de gerencia y partes interesadas  Debe desarrollar métricas eficaces para las fases de implementación y diseño del programa. Una buena arquitectura de seguridad es una articulación de las políticas. obteniendo un alto nivel de confianza en la arquitectura al llenar las 36 celdas. determinar sus inquietudes y formar lista de miembros para comité de seguridad de la informacion. La arquitectura está muy alineada al propósito y objetivo de negocio. aplicaciones. Modelo SABSA consta de 6 capas y cada capa representa el punto de vista de un participante distinto en el proceso de especificar. 4. Infraestructura que tiene consistencia en políticas y estándares apropiados es una infraestructura de seguridad. muestren KPIs y definan factor críticos de éxito CSFs. Factor importante a la hora de desarrollar un plan de acción para programa de seguridad es revisar a detalle el nivel de seguridad de un determinado conjunto de datos. 3. relaciones entre diferentes mecanismos de seguridad que ejecuta relaciones lógicas y arq operativa describe cómo se organiza la entrega del servicio de seguridad. La arquitectura contextual define las relaciones entre diversos atributos de negocio. Definición de un plan de seguridad de la información 1. viendo que los objetivos de control se cumplan constantemente.3 elementos esenciales para el éxito del diseño. relaciones entre elementos lógicos. La meta de un programa de seguridad de la información es implementar la estrategia y alcanzar los objetivos definidos. . las diferentes facetas de la organización. Arquitectura lógica. Los miembros del comité direct de seguridad con los roles que poseen promoverán la conciencia con respecto a la política y realizaran revisiones internas de cumplimiento. implementación y gestión continua del programa de seguridad de la inf:  Program debe estar alineado con los objetivos organizacionales a respaldar. La alta dirección debe apoyar el alcanzar los objetivos de seguridad de la información (6). legal. arq física. 2. Las brechas identificadas en revisión de seguridad serán utilizadas para realizar cambios y establecer monitores que revise cumplimiento.

proyectos se emprendan según secuencia óptima.El personal que desarrolla el programa de seguridad diferirá del que administre el programa de seguridad. programa revisiones. etc. KGI. costos. actividades proyecto estimado. involucración de gerentes de negocio en actividades de concienciación.  Gestión de operaciones de seguridad (evalúa eficacia de implementación de actividades operativas de seguridad). medible. componentes. El dueño garantizara el acceso a apropiado a este a fin de que se pueda auditar. riesgos de manera convincente y poniendo especial atención a los aspectos financieros. EVALUACION DEL PROGRAMA  Objetivos del programa: metas. métricas de éxito. recurrir a las estadísticas de la industria. La gestión de proyectos será una actividad normal del desarrollo de programa de seguridad. uso de métricas para evaluar desempeño de programa. alineación estrategica  Proposición de valor. transparente y responsable. consistente.  Gestión del Programa (nivel de apoyo de la gerencia) comprensión de roles y resp. std. El caso de negocio debe ser: Adaptable. que la empresa tenga capacidad para entregar beneficios.  Requerimientos de cumplimiento. alineación con metas. aprobación y distribución de políticas. marco. (evalúa programa de gestión mismo. Se asigna un dueño por cada documento del SGSI quien será responsable de actualizarlo. resultado negocio deseado. oportunidad de negocio.  Contexto. KPI  Carga de trabajo. origen. resultados o beneficios planificados  Dependencias. entrega  Recursos requeridos. En el caso de negocio se debe determinar: que la inversión tenga valor. comprensible. alcance de problema/solución  Productos. controles de proyecto. integración de cumplimiento de políticas. objetivo cuantificable. objetivo. equipo liderazgo recursos financiamiento  Compromiso requerido. que los recursos estén funcionando sobre oportunidades de valor. integral. incluyendo factores que afecten su éxito o fracaso. orientado al negocio. Incluyendo beneficios. enfoque. definición. que el proyecto se gestione adecuadamente. procesos informes Se debe enfocar el presupuesto empleando datos históricos sobre incidentes y costos correctivos de casos. plan acción para resultados  Enfoque.. resultado de revisión de cumplimiento. etc) facilidad de comunicación con grupo de cumplimiento. El propósito de un caso de negocio es capturar el razonamiento para iniciar un proyecto o tarea. procedimientos operativos estándar . fase etapa. CSF  Metricas de proyecto. De no disponer con esa información. consenso. Caso de negocio debe incluir:  Referencia – nombre.

los puntos de acceso a internet y tecnologías de acceso. nivel de personal actual. critical success factor. se implementa metodología de gestión de carga de trabajo. Resultado. que define lo que el gerente de seguridad desea obtener de la revisión. circunstancias o eventos necesarios para alcanzar objetivos estratégicos. Por ej. métrica que hace seguimiento para garantizar CSF. COBIT. app bancaria determinar si acceso por internet se puede explotar) Un objetivo. humano y técnico) Cual es el nivel de financiamiento.Acciones clave  Visión.  Acciones clave. Estrategico -> CSF -> KPI <. asignación financiera alineada a expectativa presupuestal del programa. Consolida la documentación (papeles de trabajo) que: 2. etc opera. Penetración externa asegurar de que no se vulneren sistema. prohibición de acceso a la app durante horario de oficina. Auditorias 1. definición amplia y clara del propósito de la organización. Standard of good practice for Information Security y ISO 27001-2 Gestión de tecnología de seguridad . estos estándares respaldan y exigen cumplimiento de política  Niveles de Recursos (evalúa recursos financiero. situación en la que el revisor pentester. capacidad de soporte. (evalúa ambiente técnico actual) Existen estándares técnicos para configuraciones. ej.  KPI. Alcance. Indicador clave de desempeño. son iniciativas para lograr obj estratégico y KGI. se refleja en KGI  CSF. conjunto de meta necesaria para conducir organización hacia su visión. Enfoque. calendario de procedimientos  Gestión de Seguridad Técnica. Correlaciona los controles con objetivos de control 3. existencia de segregación de funciones entre encargados. como brindar los accesos necesarios. para problemas de seguridad. Ej. Establece lo que llevaron a cabo para probar dichos controles Relaciona los resultados de pruebas con valoración final Standards. documentados. TQM = Sistema de gestión de calidad total Vision -> Ob. valoración sobre si se cumplió o no el objetivo de revisión.  Objetivo estratégico. La restricción. que abarca la revisión. tecnologías soportadas. Las revisiones de seguridad Tienen (ej. conjunto de actividades que permite al ejecutante cubrir el alcance y cubrir los objetivos. incluye los planes de acción tácticos y anuales.

Problemas de riesgos comúnmente son: Perdida de destrezas esenciales. nuevos accesos. estándares. formación. Control de acceso. viabilidad de proveedor externo. Evaluación de riesgo e Impacto de negocios Un BIA es un ejercicio que determina el impacto que tendría una organización por perder la disponibilidad de algún recurso. complejidad de gestión de incidentes. IDS y evaluación de vulnerabilidades. acuerdo de privacidad. trabajos de debida diligencia. implementación de controles. ó procesos de TI contratados externamente.El programa de seguridad puede operar a nivel corporativo y establecer estándares técnicos a alto nivel. También se puede utilizar al personal de seguridad como experto técnico y prestar servicio de consultoría a adm de sistemas y tecnólogos q implementa controles. estándar de . como sist. Políticas. exploraciones para detectar vulnerabilidades. procedimientos. informe de auditoría. planes probados de recup ante desastres. protección contra código malicioso. revisiones de seguridad. se recomienda se revise periódicamente la infraestructura por un tercero. Otro extremo es donde estos asumen propiedad de partes específicas de infraestructura. Un factor importante es que los proveedores externos tienen que cumplir permanentemente con las políticas y estándares de seguridad de la organización. No es factor de preocupación si es un alto riesgo con ningún impacto. Debida diligencia Relaciona con la noción del estándar del debido cuidado. identifica los recursos mínimos necesarios para recuperarse y prioriza la recuperación de procesos. para su revisión periódica. establece el incremento de perdida al paso del tiempo. diferencias culturales y éticas. falta de visibilidad en procesos de seguridad. Otros problemas a considerar son: aislamiento de parte externa de recursos. procesos eficaces de respaldo. garantizar que se cuente con todos los componentes básicos de un programa razonable de seguridad. se debe procurar elaborar políticas para no contar con futuras excepciones y poner en marcha un proceso de exoneración formal para controla el ciclo de vida de estas excepciones. integridad y autenticidad de datos. Se debe ejercer en el lenguaje usado en los contratos con terceros. Este es capaz de determinar un impacto potencial aunque frecuentemente se usa para continuidad o recuperación ante desastres. monitores y métricas. MONITOREO CUMPLIMIENTO Pueden haber justificaciones para las excepciones a las políticas basadas en costo-beneficio. Proveedores de servicios externos (motivación principal es la economía) Dos tipos: Terceras partes como proveedores de servicio de seguridad y funciones. Para identificar el cumplimiento se procede con: Monitoreo normal. protección de los datos. Apoyo de la alta dirección. evaluaciones de riesgos periódicas. capacitación.

persona comprenda porque debe funcionar la seguridad del sistema  Confianza. estrategia de diseño de acceso a recursos que brinda capacidad administrativa a acceso de recursos. integridad y confidencialidad. este debe contener una cláusula que permita auditoria.  Compartimentar para minimizar daño. Los controles deben ser menos restrictivos y disruptivos para el negocio para cumplir con riesgo aceptable. garantizar devolución y destrucción de información. dispositivo se apaga y detiene proceso para no afectar mecanismo de control  Principio mínimo privilegio. Acceso a terceros debe estar clarificado en el SLA y se debe hacer siguiendo los principios de” la menor cantidad de privilegios posibles”.seguridad para sistema de transacciones. incluye control de vigilancia total CCTV . El contrato debe definir lo que significa apropiado y requerimientos para demostrar efectividad de protecciones bien sea por informe auditoria SAS70 o cumplimiento de estándares 27001-2 COBIT. IPS/IDS. confiabilidad. etc. restricciones sobre reproducción de información. acuerdo de no revelación. derecho de auditoria. propiedad de información. Los controles deben ser desarrollados para procesos de información relacionados con TI y no relacionados. ayuda a determinar la identidad de un usuario con PKI  No confiar en nadie. cláusula de indemnización. Los contratos deben suscribir la responsabilidad entre la conexión entre comprador y vendedor asi como los aspectos de seguridad. requerimientos específicos de seguridad. “lo que se debe saber” y “lo que se debe hacer” NUBE Ventajas: Costo. tiempo de duración de confiabilidad. rendimiento. protección propiedad intelectual. Nivel de servicio de calidad.  Falla segura. requerimiento de cumplimiento. FW. requerimientos de respuesta a incidentes. prohibición de acceso sin autorización. El contrato debería incluir los siguientes puntos: Especificación detallada de servicio contratado. proceso escalamiento. Diseño de Controles  Control de acceso lógico: Mac(militar) aprobación para seguridad de usuarios y DAC privilegios a una persona para acceder a información.  Segregación de funciones  Transparencia. CONTROLES Se debe establecer un equilibrio entre la necesidad del control y los requerimientos del negocio. Si se brinda un acceso determinado tratar de a pesar de brindarlo restringir opciones para minimizar riesgos. agilidad. Cuando por evaluación de riesgo se determina que un contrato supera el límite máximo de riesgo. El contrato debe definir en caso de violación de seguridad los roles que jugara cada parte en la investigación así como las cláusulas de indemnización para asegurar compensación por impactos ocasionados por proveedor. escalabilidad. gestión de identidad y contacto para manejo de incidentes.

base de datos. sirve para automatizar un procedimiento relacionado con seguridad y correlacione eventos como escáneres de seguridad y cumplimiento. concienciación) TECNOLOGIAS DE CONTROL Nativa. Método de control puede ser técnico o no técnico (gestión) A la hora de recomendar controles para mitigación se debe tomar en cuenta la efectividad. explorar vulnerabilidades) La arquitectura técnica debe coincidir con los niveles superiores de la arquitectura para que la alineación de negocio ocurra de manera natural. conmutador) Complementaria. no son reconocidas por ISO 27001 las considera como control dirigido. compatibilidad. realizable. predictiva. Normalmente están a cargo de TI por segregación de funciones y propiedad de sistema. inequívoco. Se requiere del monitoreo de . encriptación. (SIM-security information management) SIEM sistema incidentes de seg y gestión de eventos. Se puede compartir la responsabilidad si la tecnología aplica sobre el dominio de negocio como gestión de accesos o identidad. (Típicas: IPS/FW/inicio único de sesión/gestión de identidad) Soporte de gestión. Ayudan a desarrollar un programa efectivo y eficaz. (Servidores. Esos atributos pueden ser usados como meta-métrica(medición de métricas). se agrega al ambiente de sistemas de TI que no se encuentra disponible nativamente o que es más fácil implementar fuera de la aplicación de negocio por desempeño y son más especializadas por ello está a cargo de especialistas en seguridad. oportuna. están integrados a los sistemas de información como las funciones de seguridad que se incluyen en servidores web. Contramedidas son usadas para tratar una vulnerabilidad o amenaza específica. enrutador. Estos se pueden automatizar. significativo. etc. Se suelen aplicar como mejoras crecientes a controles existentes pudiendo ser técnicas o no técnicas (recompensas.La fortaleza de controles se mide de acuerdo con el tipo de control a evaluar (preventivo. política estructura. ssl. legislación. Niveles de métricas  Estratégico (alineación con objetivos de negocio)  Gerencia (Gestión)  Operativo (técnico) Manejable. Normalmente esta a cargo de seguridad de la información. etc) y resultados cualitativos o cuantitativo. defectivo. Un enfoque prudente es intentar crear un sistema que se referencien de manera cruzada para propósito de validación (mide dos aspectos separados de la misma cosa). precisión. LOS CONTROLES CLAVE QUE NO PUEDEN MONITOREARSE PLANTEAN RIESGOS QUE DEBERIAN EVITARSE METRICAS Las métricas tienen un solo propósito apoyar las decisiones y proporcionar información útil. workflow accesos. impacto y seguridad. Se debe realizar un análisis costo-beneficio para justificar la reducción del riesgo y costos. confiabilidad. genuina. autenticación.

Medicion de eficacia de marco y recurso de gestión (monitoreo de grados. gestionar el riesgo apropiadamente con enfoques tales como gestión de vulnerabilidades (cuantas se resolvieron?). Se mide usando análisis de comparación de tiempo. medida de productividad es incidentes analizados por analista. recurso = analista de seg. alineación. Apoyo a gerencia. etc) Medición desempeño de gerencia. Enfoque de monitoreo. gestión de riesgos (Cual es el ALE total?). Equipo de trabjo. demostrando asi el retorno de inversión en seguridad.todas las métricas relevantes para asegurarse de que esté operando y que la información provista esta distribuida. Se debe determinar los costos reales para los componentes del programa de seguridad para evaluar su rentabilidad aplicando el TCO. mantenimiento. entrenamiento. Se debe implementar procedimientos para medir rentabilidad continua de componentes costo-resultados. esfuerzo. Medición del riesgo y perdida relacionada con seguridad de la información. Medición productividad operativa. Medición de rentabilidad de seguridad (costo)Se debe maximizar el valor de cada inversión en seguridad para controlar los gastos. el CISO debe saber cómo implementar procesos que brinden la capacidad de evaluar el éxito y las deficiencias del programa de seguridad a través de objetivos comunes básicos. tarifa asesor. Producto = entrada en registro de log. se mide usando tecnologías de automatización. Financiamiento. externalización de tareas de bajo valor y aprovechamiento de actividades de otras unidades organizacionales (ej herram gestión de vulnerabilidades). etc) Medición de desempeño operativo (medición tiempo y frecuencia) Retos comunes de gerencia de seguridad de información. Costos de mnto. antes y después de la automatización. PLAN GESTION DE INCIDENTES  Prepara  Protege  Detecta  Prioriza  responde PLAN DE RESPUESTA A INCIDENTES  Preparación  Identificación  Contención  Erradicación  Recuperación . operaciones y administración por periodo. enfoque de prevención de pérdidas(Cuantos evento se pudieron evitar?). costo total de propiedad (costo administrar controles.

enruta a través de medio alterno como cable de fibra o cobre usando diferentes redes. identifica unid de negocio criticas  Analizar información recopilada.  Lecciones aprendidas BIA. identifica los tipos de impactos relacionados con interrupciones. Continuidad de servicios de redes  Redundancia. tienen software para volver enrutar automáticamente  Protección de circuito de última milla.  Enrutamiento alterno.  Diversidad de redes de larga distancia. capacidad adicional de red.  Enrutamiento diverso. documenta proceso amenazas. MTO)  Requerimiento de recursos Su evaluación incluye las siguientes actividades  Recopilación de material de evaluación. así como pérdida total de la disponibilidad e identifica efecto en negocio. múltiples rutas entre enrutadores. enruta tráfico a través de equipos de cable dividido o duplicado. utiliza circuito de dato de alta velocidad entre operadoras mayoristas de telecomunicaciones de larga distancia en caso de fallo de red. circuitos o puntos usando mayormente anillos de fibra óptica que transmiten información en dos direcciones distintas. OSP y EGRP. . estándar. proced)  Capacitación formal La declaración de un desastre requiere por lo general el traslado de las operaciones a la sede de procesamiento alternativa. Tener acceso durante desastre en comunicaciones. identifica  Documenta el resultado y recomienda Elementos de análisis de impacto al negocio comunes  Capacitación a personal respuesta  Inducción al IMT  Tutoría de miembros de equipo con respecto a roles y responsabilidades y procedimientos (compartir información antiguos miembros IMT)  Capacitación en sitio de trabajo (política. Se puede tener enrutamiento alterno y diverso de operadora local que requiere tiempo y costos. acceso no autorizado o manipulación. Tres metas principales  Priorización por criticidad  Calculo de tiempo de inactividad (MTD.

mantener el plan  Desarrollar un programa para revisión y mantenimiento  Solicitar correcciones  Revisar modificaciones  Participar en pruebas programadas que deben ser 1 vez al año. evaluar prueba. Pruebas periódicas de plan de respuesta y recuperación Desarrollar objetivos para prueba. efectividad de estrategias. ejecutar prueba. cubre costo producción real del bien. cobertura contra posible pérdida o daño a medios en tránsito. resolución en 30 días. de personal responsabilidad legal en caso de incurrir en errores por omisión q de pérdidas financieras.  Recuperación de servicio de voz. por cambios al personal. proporcionar cableado redundante y enrutamiento alterno para líneas de comunicaciones de voz y datos. desarrollar recomendaciones para mejorar eficacia. Consideraciones del Seguro  Equipo e instalaciones de TI.  Gastos adicionales. Tipos de prueba  Revisión de lista de verificación. limitaciones .  Transporte de medios. implementan físicamente los planes en papel y revisan los pasas para evaluar efectividad.  Cobertura de fidelidad. precisión y uso de información sobre el plan. reembolsos de pérdidas. Dos. BCP y DRP Deben Enfocarse en: Identificar diferencias.  Verificación estructurada. cubre daños físicos a centro de procesamiento de información. identificar. etc  Documento y registro de valor. implementar proceso de seguimiento. Se debe realizar un cronograma de pruebas y se debería asegurar antes de estas que el riesgo e impacto de interrupción de pruebas se minimice. cubre perdida por interrupción de la actividad.  Desarrollar programa capacitación dentro de 30 días del cambio al plan  Actualizar cada 3 meses el directorio de notificación. fianza bancaria cubre por perdida ocasionada por actos deshonestos o fraude. el negocio comprenda y acepte el riesgo inherente a las pruebas y existan acuerdos de contingencia para restaurar operaciones en cualquier punto de la prueba. Pruebas de respuesta a incidentes. Actualización de planes de recuperación.  Interrupción del negocio. prueba preliminar de prueba real. cubre costos por continuar operaciones después de daño o destrucción a IPF. verificar presunciones. probar periodos de tiempo. rendimiento de personal.  Reconstrucción de medios (software) cubre daños contra medios informáticos. cubre valor de documentos. revelación no autorizada o perdida  Errores y omisiones. se da a todos los miembros de requipo.

Estas suelen anteceder a prueba de preparación. a un paso de interrupción real. costosa y perjudicial. versión local de prueba completa donde se usan recursos reales en la simulación de una caída de sistema aplicándose a ciertos recursos del plan para ver qué tan bueno es. transcurrido para llevar a cabo las tareas  Cantidad. regresar al personal.  Prueba. acción real de la prueba. es más rigurosa. Métricas de pruebas  Tiempo.  Pruebas de simulación. Resultado de pruebas Se debe cumplir con las sgtes tareas  Verificar la integridad y precisión del plan de rpta  Evaluar el desempeño de personal  Evaluar nivel de capacitación demostrado  Evaluar coordinación entre miembros de equipo de rpta y recup  Medir habilidad y capacidad de sitio alterno  Evaluar capacidad de equipos reubicados  Medir desempeño gral de actividades de procesamiento Se debe llevar a cabo cada una de las siguientes fases:  Prueba preliminar. Tipos de pruebas:  Pruebas en papel. Durante las pruebas se debe mantener información detallada. repaso teórico del plan que involucra a participantes importantes en ejecución. se ejecuta actividades operativas reales para probar objetivos específicos del plan  Prueba posterior.(pto anterior)  Prueba de preparación. la operación se interrumpe en primario y transfiere a sitio de recuperación con el plan. acciones necesarias para establecer escenario para prueba real que en la práctica no ocurrirían en un escenario real porque no hay advertencias para eventos como este y menos tiempo para acción preparatoria. de trabajo realizada por personal en sitio alterno y volumen de procesamiento  Porcentaje y/o número. Si esta captura funciona con determinado hardware y/o software .  Prueba de interrupción completa. desconectar equipos. problemas y soluciones. de registros/insumos/equipos que se transportaron al sitio de respaldo en comparación con el número requerido. representa recuperación de desastre preparada sin activar proceso en site de recuperación  Prueba paralela. sitio de preparación se lleva a preparación operacional pero operaciones continúan en sitio primario.  Prueba operativa completa.  Precisión. llevando un diario con pasos específicos a fin de tener una información histórica y conocer las fortalezas y debilidades del plan. asignaciones como regresar todos los recursos a su lugar apropiado. de la captura de datos en el sitio de recuperación en comparación con la precisión normal. En caso de BCP prueba seria desastre. se realiza luego de prueba a papel y local.

se quiere desde punto de vista legal  Formulario de cadena de custodia.  Requerimientos de evidencia. No se debe cambiar/modificar/contaminar evidencia. Actividades post incidente El objetivo de la revisión post incidente es obtener lecciones aprendidas. las observaciones serán revisadas por el personal clave de recuperación. esto ayudara a que el personal se familiarice con las tareas y responsabilidades aumentando la probabilidad que se ejecute eficazmente en escenarios reales. luego con el hash se verificara la integridad. porque. fecha completado)  Patrones de información de investigación forense (nombre investigador. que paso. app. por quien. se debe designar un observador que registre el avance y documento las pruebas. se podrá calcular el costo del incidente sumando costo de perdidas y daño. recuperar info necesaria para confirmar incidente. notas. computadora comprometida debería ser desconectada para maximizar evidencia en disco duro aunque algunos no la aceptan pues la descoenxion borra los datos en la memoria y se puede corromper información por desconexión repentina por ciertos malwares que residen solo en memoria. se deben establecer para preservar los datos con asesoría jurídica respectiva. se debe registrar durante y después de los incidentes a fin de brindar información a autoridades o forenses. para conseguir técnicos forenses  Patrones de registro de actividades para conseguir técnicos  Formularios firmados de confidencialidad  Registro de Log de casos actualizados (fechas de solicitud. gerentes y funcionarios en cumplimiento legal. Quien está involucrado. (nombre. garantizando así una cadena de custodia. Ej.  Documentar eventos. asignación . cuando fue devuelta)  Lista de verificación.  Establecimiento de procedimientos. determinar grado perdida. porque. donde esta guardada. Asimismo. numero cas. sist). detalles) . dando una métrica útil para la alta dirección. A la hora de copiar evidencia se debe hacer bit por bit usando un cable con un diodo que proteja contra escritura para evitar se vuelva escribir sobre disco fuente. Además. De seguridad de la inf). cuando. deben haber una o más personas encargadas de ello a fin de determinar errores o ataque deliberado. Las pruebas deben realizarse de lo contrario no funcionará una respuesta efectiva. identificar rutas o medio de ataque. como. nombres. Se debe asignar el rol de director/coordinador del plan de recuperación pues debe asegurarse que se asigne a la persona apropiada (puede ser el dir. cuando. identificar alcance y magnitud de ambiente afectado (redes. estos programas de intercambio electrónico de datos (EDI) especializados deben revisarse pues se proveen al sitio de recuperación. Aspectos legales de evidencia forense. El original debe estar intacto con registro de cadena de custodia. identificando causa raíz de evento especifico y brinde medidas para evitarlos. a fin de preservar la evidencia. fecha. Ante esto se debe capcacitar al personal para proteger. se designa un equipo que revise evidencias y de recomendaciones. debe tener ayuda de especialistas externos si es forense (se podría usar en juicio)  Identificar causas y acciones correctivas. de donde.

.Los requerimientos legales varían en diferentes jurisdicciones por ende se requerirá asesoría legal para cumplir con estándares judiciales.