SlideShare una empresa de Scribd logo

Seguridad de la Información - Comunicar a la Organización

Fabián Descalzo
Fabián Descalzo

El documento describe cómo comunicar la implementación de un sistema de gestión de seguridad de la información (SGSI) basado en la norma ISO 27001 a los diferentes niveles de una organización. Sugiere realizar un estudio de la cultura operativa y de los recursos humanos para diseñar un modelo de comunicación adecuado para la dirección, gerencia y usuarios, teniendo en cuenta sus diferentes intereses. El SGSI ayudará a proteger los activos de información de una organización y demostrar su compromiso con la seguridad.

1 de 3
Descargar para leer sin conexión
http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6 27001 - Comunicar a la Organización Como generalmente pasa con todo, lo más difícil es el principio... la concientización organizacional nos lleva a plantear una estrategia de comunicación en tres diferentes niveles (Dirección - Gerencia - Usuarios) y cada uno de estos niveles va a tener un "lenguaje o idioma" referente al interés de grupo de cada uno, ya sea relacionado a lo económico/resultados como a los intereses personales. Por ello, es necesario realizar un estudio inicial referente a dos puntos de vista importantes de la Cultura de la Organización: La cultura operativa/funcional Puede verse a través de documentos (organigrama, procedimientos funcionales, certificaciones adquiridas, registros de cumplimiento de las mismas, métodos de registración de operaciones y funciones, etc.) La cultura de los recursos humanos A mi entender es la más importante para saber como iniciar un proyecto de Seguridad de la Información, es la de analizar como tratan y cumplen las personas con cada uno de los documentos arriba mencionados, nivel de compromiso, enfoque de interés (según los niveles que mencionamos) De esa forma podremos construir un modelo de comunicación para poder obtener el Seguridad de la Información – Auditoría de Sistemas apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. El modelo de comunicación es una herramienta se debe diseñar "a medida" en función de saber y analizar la información que antes mencionamos referente a la Organización. De por sí, ya sabemos que dentro de esos grandes grupos que hemos definido como Dirección, Gerencias y Usuarios, los intereses de cada uno son diferentes: • Dirección: Objetivos e imagen de la empresa, y resultados económicos (no olvidemos que son quienes deben responder ante los Accionistas en resultados económicos y ante la Sociedad como imagen corporativa) • Gerencias: Objetivos funcionales y resultados operativos, que en caso de surgir un problema impactan directamente sobre los resultados esperados por los Directores, 1
http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6 lo que hace que su foco esté orientado más sobre el proceso del negocio y el aseguramiento de su continuidad, disponibilidad e integridad. • Usuarios: Componentes operativos que hacen que una función cumpla con todos sus procesos de negocio y con los objetivos esperados por Gerencias y Directores. Si tenemos claro esto, nos sería fácil definir como comunicarnos y establecer la forma de comunicar la necesidad del SGSI a cada grupo de la Organización: • Dirección: Asegurar objetivos corporativos, ya sea tangible (ecnómico) como intangible (imagen en el mercado) • Gerencias: Asegurar objetivos funcionales y resguardo de los activos de la Organización • Usuarios: Tomar conocimiento y conciencia de la importancia de sus tareas y conocimientos, del trato que tienen sobre los activos de la empresa, y fomentarle el valor de su información sobre la compañía, funciones y cada uno de los procesos en los que participa. Una vez hecho el análisis anterior, el "Modelo de Comunicación" se va a completar con encuestas, presentaciones, reuniones de inducción, etc. para cada uno de los grupos mencionados, en forma independiente teniendo en cuenta que se debe iniciar con los niveles superiores primero, solapando aquellas reuniones en las cuales se presenten avances sobre el tema. Seguridad de la Información – Auditoría de Sistemas Esta comunicación va a permitir introducir vocablos y definiciones sobre el tema que, luego de haber hecho un trabajo constante, se va a establecer en algo común dentro de la Organización... como lenguaje y como cultura. Dirección y Alta Gerencia Lo primero que debe reconocer la Organización es la importancia de uno de sus principales activos: LA INFORMACIÓN, y en función de ello podrá descubrir no solo los riesgos que enfrenta a diario (los 365 días del año) sino también el INTERES de aquellos agentes internos y externos en violarla, ya sea en su Integridad, como Confidencialidad y Disponibilidad. La dirección debe reconocer que lo que se plantea es la implementación de un esquema de seguridad orientada al negocio, y la ISO 27001 es la herramienta de que dispone 2
http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6 (como marco normativo) para implantar su política y objetivo de Seguridad de la Información. Este Sistema proporciona mecanismos para la salvaguarda: • De los Activos de Información. • De los Sistemas que los procesan. Ventajas de certificar la Seguridad de la Información Con respecto al Negocio: • Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial • Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los sistemas. • Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc... • Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa Para los Sistemas de Información: • Sistematizar las actividades de SI • Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación de los empleados • Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad Seguridad de la Información – Auditoría de Sistemas empresarial • Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad • Planificar, organizar y estructurar los recursos asignados a seguridad de la información • Identificar y clasificar los activos de información • Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización • Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información • Establecer planes para adecuada gestión de la continuidad del negocio • Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información 3

Recomendados

Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaFabián Descalzo
 
Gestión de la información dentro de la organización
Gestión de la información dentro de la organizaciónGestión de la información dentro de la organización
Gestión de la información dentro de la organizaciónInstituto Polictecnico IUTET Extension Trujillo
 
Modelos de gestion de la informacion
Modelos de gestion de la informacionModelos de gestion de la informacion
Modelos de gestion de la informacionLeonardo Moreno
 
Gestion de la informacion dentro de las organizaciones
Gestion de la informacion dentro de las organizacionesGestion de la informacion dentro de las organizaciones
Gestion de la informacion dentro de las organizacionesAngel1722
 
Unidad 2. marco funcional de la gestión de información principios rectores de...
Unidad 2. marco funcional de la gestión de información principios rectores de...Unidad 2. marco funcional de la gestión de información principios rectores de...
Unidad 2. marco funcional de la gestión de información principios rectores de...claudia Rojas
 
MARCO FUNCIONAL DE LA GESTIÓN DE LA INFORMACIÓN
MARCO FUNCIONAL DE LA GESTIÓN DE LA INFORMACIÓNMARCO FUNCIONAL DE LA GESTIÓN DE LA INFORMACIÓN
MARCO FUNCIONAL DE LA GESTIÓN DE LA INFORMACIÓNJUAN CARLOS ROSERO VILLAMIZAR
 
Unidad 2. Marco Funcional de la Gestión de Información
Unidad 2. Marco Funcional de la Gestión de InformaciónUnidad 2. Marco Funcional de la Gestión de Información
Unidad 2. Marco Funcional de la Gestión de InformaciónHortencia Soler Olarte
 
Fusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFabián Descalzo
 

Recomendados

Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaFabián Descalzo
 
Gestión de la información dentro de la organización
Gestión de la información dentro de la organizaciónGestión de la información dentro de la organización
Gestión de la información dentro de la organizaciónInstituto Polictecnico IUTET Extension Trujillo
 
Modelos de gestion de la informacion
Modelos de gestion de la informacionModelos de gestion de la informacion
Modelos de gestion de la informacionLeonardo Moreno
 
Gestion de la informacion dentro de las organizaciones
Gestion de la informacion dentro de las organizacionesGestion de la informacion dentro de las organizaciones
Gestion de la informacion dentro de las organizacionesAngel1722
 
Unidad 2. marco funcional de la gestión de información principios rectores de...
Unidad 2. marco funcional de la gestión de información principios rectores de...Unidad 2. marco funcional de la gestión de información principios rectores de...
Unidad 2. marco funcional de la gestión de información principios rectores de...claudia Rojas
 
MARCO FUNCIONAL DE LA GESTIÓN DE LA INFORMACIÓN
MARCO FUNCIONAL DE LA GESTIÓN DE LA INFORMACIÓNMARCO FUNCIONAL DE LA GESTIÓN DE LA INFORMACIÓN
MARCO FUNCIONAL DE LA GESTIÓN DE LA INFORMACIÓNJUAN CARLOS ROSERO VILLAMIZAR
 
Unidad 2. Marco Funcional de la Gestión de Información
Unidad 2. Marco Funcional de la Gestión de InformaciónUnidad 2. Marco Funcional de la Gestión de Información
Unidad 2. Marco Funcional de la Gestión de InformaciónHortencia Soler Olarte
 
Fusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFabián Descalzo
 
La cadena de valor de la administración del conocimiento
La cadena de valor de la administración del conocimientoLa cadena de valor de la administración del conocimiento
La cadena de valor de la administración del conocimientoHarakanova
 
Laudon
LaudonLaudon
Laudonweysiba
 
Instituciones y Sistemas de información
Instituciones y Sistemas de informaciónInstituciones y Sistemas de información
Instituciones y Sistemas de informaciónYizet_C
 
Administración del conocimiento.
Administración del conocimiento.Administración del conocimiento.
Administración del conocimiento.Liz Mejia
 
Ensayo de sistemas de informacion
Ensayo de sistemas de informacionEnsayo de sistemas de informacion
Ensayo de sistemas de informacionMarielaVA89
 
Sis
SisSis
SisAlfredo Pirela
 
Introducción a los sistemas de información empresariales
Introducción a los sistemas de información empresarialesIntroducción a los sistemas de información empresariales
Introducción a los sistemas de información empresarialesCarla Macarena Rojas Pozo
 
Tema 3, parte 2 gestion empresarial
Tema 3, parte 2 gestion empresarialTema 3, parte 2 gestion empresarial
Tema 3, parte 2 gestion empresarialdairapitty
 
Cobit
CobitCobit
Cobitfrancisco
 
P R E S E N T A C I O N D E L A 1° U N I D A D
P R E S E N T A C I O N D E L A 1° U N I D A DP R E S E N T A C I O N D E L A 1° U N I D A D
P R E S E N T A C I O N D E L A 1° U N I D A DK1M1
 
Presentacion De La 1° Unidad
Presentacion De La 1° UnidadPresentacion De La 1° Unidad
Presentacion De La 1° Unidadguest9070a4
 
Actividad #1 de sistema de información
Actividad #1 de sistema de informaciónActividad #1 de sistema de información
Actividad #1 de sistema de informaciónbettygoes
 
ENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESA
ENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESAENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESA
ENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESAJoel Martin
 
La gestión de la información en las organizaciones
La gestión de la información en las organizacionesLa gestión de la información en las organizaciones
La gestión de la información en las organizacionescarlos_avila64
 
Teoria de información
Teoria de informaciónTeoria de información
Teoria de informacióndpelaez34
 
Ensayo de Sistemas de Información
Ensayo de Sistemas de InformaciónEnsayo de Sistemas de Información
Ensayo de Sistemas de InformaciónClaudia Andrea
 
Trabajo de sistemas y procedimientos administrativos.
Trabajo de sistemas y procedimientos administrativos.Trabajo de sistemas y procedimientos administrativos.
Trabajo de sistemas y procedimientos administrativos.Irisbelandreina
 
Administración de sistemas de Información
Administración de sistemas de InformaciónAdministración de sistemas de Información
Administración de sistemas de InformaciónAlbert Rodriguez
 
Tic
TicTic
TicJesus Ledezma
 
Sistemas fabrizio laveglia
Sistemas fabrizio laveglia Sistemas fabrizio laveglia
Sistemas fabrizio laveglia Fabrizio Laveglia
 
Gestion del conocimiento.
Gestion del conocimiento.Gestion del conocimiento.
Gestion del conocimiento.YohanaGonzalez26
 
Gestión del conocimiento
Gestión del conocimientoGestión del conocimiento
Gestión del conocimientoYohanaGonzalez26
 

Más contenido relacionado

La actualidad más candente

La cadena de valor de la administración del conocimiento
La cadena de valor de la administración del conocimientoLa cadena de valor de la administración del conocimiento
La cadena de valor de la administración del conocimientoHarakanova
 
Instituciones y Sistemas de información
Instituciones y Sistemas de informaciónInstituciones y Sistemas de información
Instituciones y Sistemas de informaciónYizet_C
 
Administración del conocimiento.
Administración del conocimiento.Administración del conocimiento.
Administración del conocimiento.Liz Mejia
 
Ensayo de sistemas de informacion
Ensayo de sistemas de informacionEnsayo de sistemas de informacion
Ensayo de sistemas de informacionMarielaVA89
 
Introducción a los sistemas de información empresariales
Introducción a los sistemas de información empresarialesIntroducción a los sistemas de información empresariales
Introducción a los sistemas de información empresarialesCarla Macarena Rojas Pozo
 
Tema 3, parte 2 gestion empresarial
Tema 3, parte 2 gestion empresarialTema 3, parte 2 gestion empresarial
Tema 3, parte 2 gestion empresarialdairapitty
 
P R E S E N T A C I O N D E L A 1° U N I D A D
P R E S E N T A C I O N D E L A 1° U N I D A DP R E S E N T A C I O N D E L A 1° U N I D A D
P R E S E N T A C I O N D E L A 1° U N I D A DK1M1
 
Presentacion De La 1° Unidad
Presentacion De La 1° UnidadPresentacion De La 1° Unidad
Presentacion De La 1° Unidadguest9070a4
 
Actividad #1 de sistema de información
Actividad #1 de sistema de informaciónActividad #1 de sistema de información
Actividad #1 de sistema de informaciónbettygoes
 
ENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESA
ENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESAENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESA
ENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESAJoel Martin
 
La gestión de la información en las organizaciones
La gestión de la información en las organizacionesLa gestión de la información en las organizaciones
La gestión de la información en las organizacionescarlos_avila64
 
Teoria de información
Teoria de informaciónTeoria de información
Teoria de informacióndpelaez34
 
Ensayo de Sistemas de Información
Ensayo de Sistemas de InformaciónEnsayo de Sistemas de Información
Ensayo de Sistemas de InformaciónClaudia Andrea
 
Trabajo de sistemas y procedimientos administrativos.
Trabajo de sistemas y procedimientos administrativos.Trabajo de sistemas y procedimientos administrativos.
Trabajo de sistemas y procedimientos administrativos.Irisbelandreina
 
Administración de sistemas de Información
Administración de sistemas de InformaciónAdministración de sistemas de Información
Administración de sistemas de InformaciónAlbert Rodriguez
 

La actualidad más candente (18)

La cadena de valor de la administración del conocimiento
La cadena de valor de la administración del conocimientoLa cadena de valor de la administración del conocimiento
La cadena de valor de la administración del conocimiento
 
Laudon
LaudonLaudon
Laudon
 
Instituciones y Sistemas de información
Instituciones y Sistemas de informaciónInstituciones y Sistemas de información
Instituciones y Sistemas de información
 
Administración del conocimiento.
Administración del conocimiento.Administración del conocimiento.
Administración del conocimiento.
 
Ensayo de sistemas de informacion
Ensayo de sistemas de informacionEnsayo de sistemas de informacion
Ensayo de sistemas de informacion
 
Sis
SisSis
Sis
 
Introducción a los sistemas de información empresariales
Introducción a los sistemas de información empresarialesIntroducción a los sistemas de información empresariales
Introducción a los sistemas de información empresariales
 
Tema 3, parte 2 gestion empresarial
Tema 3, parte 2 gestion empresarialTema 3, parte 2 gestion empresarial
Tema 3, parte 2 gestion empresarial
 
Cobit
CobitCobit
Cobit
 
P R E S E N T A C I O N D E L A 1° U N I D A D
P R E S E N T A C I O N D E L A 1° U N I D A DP R E S E N T A C I O N D E L A 1° U N I D A D
P R E S E N T A C I O N D E L A 1° U N I D A D
 
Presentacion De La 1° Unidad
Presentacion De La 1° UnidadPresentacion De La 1° Unidad
Presentacion De La 1° Unidad
 
Actividad #1 de sistema de información
Actividad #1 de sistema de informaciónActividad #1 de sistema de información
Actividad #1 de sistema de información
 
ENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESA
ENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESAENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESA
ENSAYO INCIDENCIA DE LOS PROCESOS EN LA EMPRESA
 
La gestión de la información en las organizaciones
La gestión de la información en las organizacionesLa gestión de la información en las organizaciones
La gestión de la información en las organizaciones
 
Teoria de información
Teoria de informaciónTeoria de información
Teoria de información
 
Ensayo de Sistemas de Información
Ensayo de Sistemas de InformaciónEnsayo de Sistemas de Información
Ensayo de Sistemas de Información
 
Trabajo de sistemas y procedimientos administrativos.
Trabajo de sistemas y procedimientos administrativos.Trabajo de sistemas y procedimientos administrativos.
Trabajo de sistemas y procedimientos administrativos.
 
Administración de sistemas de Información
Administración de sistemas de InformaciónAdministración de sistemas de Información
Administración de sistemas de Información
 

Similar a Seguridad de la Información - Comunicar a la Organización

Trabajo conceptos ayudantía
Trabajo conceptos ayudantíaTrabajo conceptos ayudantía
Trabajo conceptos ayudantíaSergio Yañez
 
Presentacion Sistemas de Información
Presentacion Sistemas de InformaciónPresentacion Sistemas de Información
Presentacion Sistemas de InformaciónEnrique Cabello
 
Clase 1 - Unidad 1 (Primera Parte).pptx
Clase 1 - Unidad 1 (Primera Parte).pptxClase 1 - Unidad 1 (Primera Parte).pptx
Clase 1 - Unidad 1 (Primera Parte).pptxMaxyCarrion
 
Sistema de Información Gerencial
Sistema de Información GerencialSistema de Información Gerencial
Sistema de Información GerencialSheyla Ricaldi
 
Sistemas de información
Sistemas de informaciónSistemas de información
Sistemas de informaciónSamuel Ruiz
 
Tema 5 Gestion Del Conocimiento Km
Tema 5 Gestion Del Conocimiento KmTema 5 Gestion Del Conocimiento Km
Tema 5 Gestion Del Conocimiento Kmenekocasadoarreal
 
Presentación sobre Sistemas de Información
Presentación sobre Sistemas de InformaciónPresentación sobre Sistemas de Información
Presentación sobre Sistemas de InformaciónMoissAntonioPabnRive
 
Sistema de informacion
Sistema de informacionSistema de informacion
Sistema de informacionpau95leo
 
Karla musa 27067704
Karla musa 27067704Karla musa 27067704
Karla musa 27067704Karla Musa
 
Sistema de informacion y calidad ivan
Sistema de informacion y calidad ivanSistema de informacion y calidad ivan
Sistema de informacion y calidad ivanIvanJose87
 
Sistema de informacion y calidad ivan
Sistema de informacion y calidad ivanSistema de informacion y calidad ivan
Sistema de informacion y calidad ivanIvanJose87
 
¿Por que es importante la Gestión del Conocimiento en la Auditoria?
¿Por que es importante la Gestión del Conocimiento en la Auditoria?¿Por que es importante la Gestión del Conocimiento en la Auditoria?
¿Por que es importante la Gestión del Conocimiento en la Auditoria?Felipe Robles
 

Similar a Seguridad de la Información - Comunicar a la Organización (20)

Tic
TicTic
Tic
 
Sistemas fabrizio laveglia
Sistemas fabrizio laveglia Sistemas fabrizio laveglia
Sistemas fabrizio laveglia
 
Gestion del conocimiento.
Gestion del conocimiento.Gestion del conocimiento.
Gestion del conocimiento.
 
Gestión del conocimiento
Gestión del conocimientoGestión del conocimiento
Gestión del conocimiento
 
Trabajo conceptos ayudantía
Trabajo conceptos ayudantíaTrabajo conceptos ayudantía
Trabajo conceptos ayudantía
 
Presentacion Sistemas de Información
Presentacion Sistemas de InformaciónPresentacion Sistemas de Información
Presentacion Sistemas de Información
 
Clase 1 - Unidad 1 (Primera Parte).pptx
Clase 1 - Unidad 1 (Primera Parte).pptxClase 1 - Unidad 1 (Primera Parte).pptx
Clase 1 - Unidad 1 (Primera Parte).pptx
 
Sistema de Información Gerencial
Sistema de Información GerencialSistema de Información Gerencial
Sistema de Información Gerencial
 
Adm de sistema
Adm de sistemaAdm de sistema
Adm de sistema
 
Sistemas inform ticos_gerenciales
Sistemas inform ticos_gerencialesSistemas inform ticos_gerenciales
Sistemas inform ticos_gerenciales
 
Sistemas de información
Sistemas de informaciónSistemas de información
Sistemas de información
 
Tema 5 Gestion Del Conocimiento Km
Tema 5 Gestion Del Conocimiento KmTema 5 Gestion Del Conocimiento Km
Tema 5 Gestion Del Conocimiento Km
 
Presentación sobre Sistemas de Información
Presentación sobre Sistemas de InformaciónPresentación sobre Sistemas de Información
Presentación sobre Sistemas de Información
 
Primera solemne
Primera solemne Primera solemne
Primera solemne
 
Sistema de informacion
Sistema de informacionSistema de informacion
Sistema de informacion
 
Fundamento de sistemas unidad i
Fundamento de sistemas unidad iFundamento de sistemas unidad i
Fundamento de sistemas unidad i
 
Karla musa 27067704
Karla musa 27067704Karla musa 27067704
Karla musa 27067704
 
Sistema de informacion y calidad ivan
Sistema de informacion y calidad ivanSistema de informacion y calidad ivan
Sistema de informacion y calidad ivan
 
Sistema de informacion y calidad ivan
Sistema de informacion y calidad ivanSistema de informacion y calidad ivan
Sistema de informacion y calidad ivan
 
¿Por que es importante la Gestión del Conocimiento en la Auditoria?
¿Por que es importante la Gestión del Conocimiento en la Auditoria?¿Por que es importante la Gestión del Conocimiento en la Auditoria?
¿Por que es importante la Gestión del Conocimiento en la Auditoria?
 

Más de Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridadFabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfFabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdfFabián Descalzo
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataquesFabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Fabián Descalzo
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridadFabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍAFabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESFabián Descalzo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...Fabián Descalzo
 

Más de Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

Seguridad de la Información - Comunicar a la Organización

  • 1. http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6 27001 - Comunicar a la Organización Como generalmente pasa con todo, lo más difícil es el principio... la concientización organizacional nos lleva a plantear una estrategia de comunicación en tres diferentes niveles (Dirección - Gerencia - Usuarios) y cada uno de estos niveles va a tener un "lenguaje o idioma" referente al interés de grupo de cada uno, ya sea relacionado a lo económico/resultados como a los intereses personales. Por ello, es necesario realizar un estudio inicial referente a dos puntos de vista importantes de la Cultura de la Organización: La cultura operativa/funcional Puede verse a través de documentos (organigrama, procedimientos funcionales, certificaciones adquiridas, registros de cumplimiento de las mismas, métodos de registración de operaciones y funciones, etc.) La cultura de los recursos humanos A mi entender es la más importante para saber como iniciar un proyecto de Seguridad de la Información, es la de analizar como tratan y cumplen las personas con cada uno de los documentos arriba mencionados, nivel de compromiso, enfoque de interés (según los niveles que mencionamos) De esa forma podremos construir un modelo de comunicación para poder obtener el Seguridad de la Información – Auditoría de Sistemas apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación. El modelo de comunicación es una herramienta se debe diseñar "a medida" en función de saber y analizar la información que antes mencionamos referente a la Organización. De por sí, ya sabemos que dentro de esos grandes grupos que hemos definido como Dirección, Gerencias y Usuarios, los intereses de cada uno son diferentes: • Dirección: Objetivos e imagen de la empresa, y resultados económicos (no olvidemos que son quienes deben responder ante los Accionistas en resultados económicos y ante la Sociedad como imagen corporativa) • Gerencias: Objetivos funcionales y resultados operativos, que en caso de surgir un problema impactan directamente sobre los resultados esperados por los Directores, 1
  • 2. http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6 lo que hace que su foco esté orientado más sobre el proceso del negocio y el aseguramiento de su continuidad, disponibilidad e integridad. • Usuarios: Componentes operativos que hacen que una función cumpla con todos sus procesos de negocio y con los objetivos esperados por Gerencias y Directores. Si tenemos claro esto, nos sería fácil definir como comunicarnos y establecer la forma de comunicar la necesidad del SGSI a cada grupo de la Organización: • Dirección: Asegurar objetivos corporativos, ya sea tangible (ecnómico) como intangible (imagen en el mercado) • Gerencias: Asegurar objetivos funcionales y resguardo de los activos de la Organización • Usuarios: Tomar conocimiento y conciencia de la importancia de sus tareas y conocimientos, del trato que tienen sobre los activos de la empresa, y fomentarle el valor de su información sobre la compañía, funciones y cada uno de los procesos en los que participa. Una vez hecho el análisis anterior, el "Modelo de Comunicación" se va a completar con encuestas, presentaciones, reuniones de inducción, etc. para cada uno de los grupos mencionados, en forma independiente teniendo en cuenta que se debe iniciar con los niveles superiores primero, solapando aquellas reuniones en las cuales se presenten avances sobre el tema. Seguridad de la Información – Auditoría de Sistemas Esta comunicación va a permitir introducir vocablos y definiciones sobre el tema que, luego de haber hecho un trabajo constante, se va a establecer en algo común dentro de la Organización... como lenguaje y como cultura. Dirección y Alta Gerencia Lo primero que debe reconocer la Organización es la importancia de uno de sus principales activos: LA INFORMACIÓN, y en función de ello podrá descubrir no solo los riesgos que enfrenta a diario (los 365 días del año) sino también el INTERES de aquellos agentes internos y externos en violarla, ya sea en su Integridad, como Confidencialidad y Disponibilidad. La dirección debe reconocer que lo que se plantea es la implementación de un esquema de seguridad orientada al negocio, y la ISO 27001 es la herramienta de que dispone 2
  • 3. http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6 (como marco normativo) para implantar su política y objetivo de Seguridad de la Información. Este Sistema proporciona mecanismos para la salvaguarda: • De los Activos de Información. • De los Sistemas que los procesan. Ventajas de certificar la Seguridad de la Información Con respecto al Negocio: • Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial • Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los sistemas. • Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc... • Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa Para los Sistemas de Información: • Sistematizar las actividades de SI • Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación de los empleados • Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad Seguridad de la Información – Auditoría de Sistemas empresarial • Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad • Planificar, organizar y estructurar los recursos asignados a seguridad de la información • Identificar y clasificar los activos de información • Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización • Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información • Establecer planes para adecuada gestión de la continuidad del negocio • Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información 3