Charla realizada el 30-08-2017 en CIGRAS - ISACA Montevideo. Destaca la relevancia diferencial de los procesos de gobierno y gestión de la SI en la Ciberseguridad de las Organizaciones.
The document discusses summation notation and various summation formulas and properties. It defines summation as the sum of all terms in an infinite sequence, represented by ∑. Some key points summarized:
1. The sum of the first n terms of a geometric progression, where the ratio r is between -1 and 1, is Sn = a/(1-r).
2. Common properties of infinite sums include: the sum of two infinite sums is equal to the sum of the individual sums, and the sum of a constant multiplied by terms of an infinite sum is equal to the constant multiplied by the sum.
3. The sum of the first n positive integers can be represented using the formula ∑i=1n
Este documento presenta una introducción a los conceptos básicos de seguridad de la información. Explica que la seguridad de la información implica la protección de la información a través de estándares, procesos, procedimientos y recursos para proteger los activos de información de una organización. También describe por qué se necesita la seguridad de la información para proteger los activos de información de amenazas y cómo establecer requisitos de seguridad mediante la evaluación de riesgos. Además, presenta controles básicos que deben implement
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
Las regulaciones globales y locales están creciendo en volumen y en complejidad, y como resultado, la demanda de responsabilidad legal se ha intensificado, a la vez que la administración de los costos asociados a la gestión de riesgo y cumplimiento continúa siendo un reto.
Sistema de gestión de seguridad de la informaciónMiguel Diaz
Un SGSI (Sistema de Gestión de Seguridad de la Información) es un proceso sistemático y documentado para gestionar la seguridad de la información en una organización y garantizar que los riesgos se minimizan de forma estructurada. La gerencia debe comprometerse con el SGSI asignando recursos, estableciendo políticas de seguridad, y asegurando la formación del personal en seguridad de la información.
El documento proporciona información sobre la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001. Explica los beneficios de implementar un SGSI, como la reducción de riesgos, ahorro de costos y cumplimiento legal. También describe las fases de implementación de un SGSI que incluyen el establecimiento, implantación, monitoreo y mejora continua del sistema.
The document discusses summation notation and various summation formulas and properties. It defines summation as the sum of all terms in an infinite sequence, represented by ∑. Some key points summarized:
1. The sum of the first n terms of a geometric progression, where the ratio r is between -1 and 1, is Sn = a/(1-r).
2. Common properties of infinite sums include: the sum of two infinite sums is equal to the sum of the individual sums, and the sum of a constant multiplied by terms of an infinite sum is equal to the constant multiplied by the sum.
3. The sum of the first n positive integers can be represented using the formula ∑i=1n
Este documento presenta una introducción a los conceptos básicos de seguridad de la información. Explica que la seguridad de la información implica la protección de la información a través de estándares, procesos, procedimientos y recursos para proteger los activos de información de una organización. También describe por qué se necesita la seguridad de la información para proteger los activos de información de amenazas y cómo establecer requisitos de seguridad mediante la evaluación de riesgos. Además, presenta controles básicos que deben implement
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
Las regulaciones globales y locales están creciendo en volumen y en complejidad, y como resultado, la demanda de responsabilidad legal se ha intensificado, a la vez que la administración de los costos asociados a la gestión de riesgo y cumplimiento continúa siendo un reto.
Sistema de gestión de seguridad de la informaciónMiguel Diaz
Un SGSI (Sistema de Gestión de Seguridad de la Información) es un proceso sistemático y documentado para gestionar la seguridad de la información en una organización y garantizar que los riesgos se minimizan de forma estructurada. La gerencia debe comprometerse con el SGSI asignando recursos, estableciendo políticas de seguridad, y asegurando la formación del personal en seguridad de la información.
El documento proporciona información sobre la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001. Explica los beneficios de implementar un SGSI, como la reducción de riesgos, ahorro de costos y cumplimiento legal. También describe las fases de implementación de un SGSI que incluyen el establecimiento, implantación, monitoreo y mejora continua del sistema.
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
El documento describe el estándar ISO 27005 para la gestión de riesgos de seguridad de la información. Explica que el estándar incluye fases como el establecimiento del contexto, la identificación de riesgos, la estimación de riesgos, la evaluación de riesgos y la comunicación y vigilancia de los riesgos. También detalla los pasos para implementar el estándar dentro de una organización.
El documento habla sobre la norma ISO 27001, la cual establece los requisitos para un sistema de gestión de seguridad de la información. La norma ayuda a proteger los activos de información y otorga confianza a las partes interesadas. TÜV Rheinland ofrece la certificación ISO 27001, la cual brinda beneficios como el cumplimiento de requisitos internacionales y una ventaja competitiva.
Este documento describe la auditoría informática y la seguridad informática. Explica que la auditoría informática garantiza la confidencialidad, disponibilidad e integridad de la información de una organización. Detalla las etapas de una auditoría informática incluyendo la planificación, ejecución y conclusiones. También cubre las certificaciones de ISACA para auditores informáticos y marcos como COBIT. Concluye destacando la importancia de la capacitación continua y el uso de estándares para realizar auditorías informáticas efectivas.
El documento describe lo que es un Sistema de Gestión de Seguridad de la Información (SGSI), incluyendo sus principios fundamentales de confidencialidad, integridad y disponibilidad. Explica que un SGSI utiliza un enfoque sistemático y documentado para gestionar los riesgos relacionados con la información de una organización de acuerdo con la norma ISO 27001. También cubre otros elementos clave como la evaluación de riesgos, el compromiso de la dirección y la mejora continua.
Este documento introduce el concepto de seguridad informática y su importancia para las empresas. Explica que la información es un activo valioso que requiere protección contra amenazas internas y externas. También describe los objetivos de la seguridad (confidencialidad, integridad y disponibilidad), los mecanismos básicos para lograrla (autenticación, autorización, auditoría), y la necesidad de clasificar la información y los riesgos asociados. Finalmente, resalta que las empresas deben establecer políticas y procedimientos formales de
La auditoría informática evalúa la seguridad de la información y los sistemas de una empresa, realizando recomendaciones para asegurar y mejorar los procesos. Existen varios tipos como de gestión, legal, de datos, de bases de datos, de seguridad física y lógica. Un auditor informático debe tener conocimientos en auditoría financiera, informática, gestión empresarial y de cambio para realizar evaluaciones eficientes.
La seguridad de la información es un problema para todas las organizaciones que deben gestionar riesgos de forma efectiva. El Ciclo de Deming (Planificar, Hacer, Verificar, Actuar) es un enfoque de mejora continua que puede aplicarse a la seguridad de la información siguiendo los pasos de analizar riesgos, implementar controles, gestionar incidentes y analizar incidentes para mejorar. La serie de normas ISO 27000 también se basa en este ciclo para ayudar a las organizaciones a mejorar la seguridad de la información.
La seguridad de la información es un problema para todas las organizaciones que deben gestionar riesgos de forma eficaz. El Ciclo de Deming (Planificar, Hacer, Verificar, Actuar) es un enfoque útil para la mejora continua de la seguridad de la información en una organización. La serie de normas ISO 27000 se basa en este ciclo para ayudar a las organizaciones a implementar sistemas de gestión de seguridad de la información exitosos.
El documento discute la necesidad de replantear los modelos tradicionales de seguridad de la información para hacer frente a las nuevas amenazas internas y externas. Propone adoptar un enfoque de seguridad integral y basado en riesgos que identifique los activos más valiosos, evalúe las amenazas reales, proteja la información clave y habilite el desempeño del negocio de una manera segura.
Este documento describe los fundamentos de la seguridad de la información y el desarrollo de un programa de seguridad. Explica que las políticas y procedimientos de seguridad son esenciales para proteger los activos de información de una empresa. También cubre temas como infraestructura, arquitectura, controles lógicos y físicos, y marcos como COBIT para la gestión y gobierno de la tecnología de la información.
El documento describe cómo las organizaciones pueden comenzar a pensar en la seguridad corporativa mediante la implementación de un plan de seguridad que involucre a todos los niveles de la organización. Sugieren realizar un análisis inicial de la cultura operativa y de los recursos humanos para comprender mejor cómo comunicar la importancia de la seguridad de la información. Un modelo de comunicación efectivo debe estar diseñado específicamente para cada grupo (dirección, gerencia, usuarios) y sus respectivos intereses. La dirección y la alta gerencia deben reconocer la
Este documento resume las experiencias de implementar un programa nacional para mejorar la gestión de la seguridad de la información. Detalla los objetivos de la seguridad de la información, las razones legales para su implementación, y las restricciones que enfrentan las organizaciones públicas. Explica los hitos clave y factores críticos para el éxito como el compromiso de la alta dirección y la gestión del cambio cultural. El resumen proporciona una visión general de los temas principales discutidos en el documento.
Present. int. a los sgsi.... isis liconaIsis Licona
El documento introduce el concepto de Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001. Explica que un SGSI implica preservar la confidencialidad, integridad y disponibilidad de la información de una organización a través de un proceso sistemático y documentado. También describe los fundamentos de un SGSI como garantizar la confidencialidad, integridad y disponibilidad de la información, así como los beneficios de implementar un SGSI en una organización.
La ISO 27002 proporciona una guía de buenas prácticas para la seguridad de la información. Describe 14 dominios y objetivos de control que las organizaciones deberían implementar para proteger sus activos e información. Siguiendo esta norma, las organizaciones pueden mejorar la conciencia y control de seguridad, identificar vulnerabilidades, reducir riesgos legales y de costos, y ganar una ventaja competitiva.
El documento describe la importancia de alinear la estrategia de seguridad de la información con los objetivos estratégicos de las organizaciones. Explica conceptos clave como confidencialidad, integridad y disponibilidad de la información. También menciona marcos de referencia comunes como COSO, Cobit, ISO 27001 y requisitos como PCI, SOX y Basilea II. Finalmente, introduce el concepto de un Sistema Estratégico de Seguridad de la Información para definir una estrategia de seguridad alineada con los objetivos de la organiz
Este documento resume los capítulos 10 al 13 de un libro sobre gobiernos de tecnologías y sistemas de información. Brevemente describe los contenidos clave de cada capítulo, incluyendo normas de seguridad de TI, la norma ISO 27001 sobre gestión de seguridad, métricas de seguridad de información, y la norma ISO 17799 sobre códigos de buenas prácticas para sistemas de gestión de seguridad de la información.
Seguridad Informatica, Governanza De Ti Y CobitYAMJ2010
El documento discute la importancia de implementar temas relacionados con la gobernanza de TI, seguridad informática y COBIT en las empresas. Explica que la gobernanza de TI alinea las tecnologías con la estrategia del negocio, COBIT provee un marco de referencia para el control de TI y la seguridad informática asegura la integridad, confidencialidad y disponibilidad de la información de la empresa.
Los sistemas de información nacieron para controlar actividades estatales y privadas de forma económico-financiera. Actualmente son herramientas poderosas para proveer información a las organizaciones, pero deben estar sometidos a normas y estándares generales de gestión empresarial. La auditoría de sistemas de información evalúa los mecanismos de control implementados y su adecuación para lograr objetivos, realizando recomendaciones de cambio cuando sea necesario.
El documento describe los elementos clave del gobierno de TI, incluyendo que la información y tecnología son valiosas para las empresas y que el valor, riesgo y control son esenciales. Explica que el gobierno de TI garantiza que la tecnología apoye los objetivos del negocio y que COBIT proporciona buenas prácticas a través de dominios y procesos. Finalmente, señala que COBIT garantiza que la tecnología esté alineada con el negocio y que los riesgos se administren adec
Este documento presenta una discusión sobre la administración de riesgos de tecnología de la información (TI) y su importancia para la gestión de riesgos corporativos. Explica que los sistemas de TI soportan las operaciones clave de una organización y que los riesgos de TI deben considerarse en el contexto más amplio de los procesos empresariales. Además, describe el proceso de administración de riesgos de TI, incluida la identificación, evaluación y opciones de manejo de riesgos, concluyendo que la seg
Mapa conceptuales de proyectos social y productivo.pdfYudetxybethNieto
Los proyectos socio productivos constituyen una variante de formación laboral de incalculable valor formativo, que propician la participación activa, protagónica y participativa de los escolares, de conjunto con miembros de la familia y la comunidad.
Más contenido relacionado
Similar a La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en la Ciberseguridad de las organizaciones,
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
El documento describe el estándar ISO 27005 para la gestión de riesgos de seguridad de la información. Explica que el estándar incluye fases como el establecimiento del contexto, la identificación de riesgos, la estimación de riesgos, la evaluación de riesgos y la comunicación y vigilancia de los riesgos. También detalla los pasos para implementar el estándar dentro de una organización.
El documento habla sobre la norma ISO 27001, la cual establece los requisitos para un sistema de gestión de seguridad de la información. La norma ayuda a proteger los activos de información y otorga confianza a las partes interesadas. TÜV Rheinland ofrece la certificación ISO 27001, la cual brinda beneficios como el cumplimiento de requisitos internacionales y una ventaja competitiva.
Este documento describe la auditoría informática y la seguridad informática. Explica que la auditoría informática garantiza la confidencialidad, disponibilidad e integridad de la información de una organización. Detalla las etapas de una auditoría informática incluyendo la planificación, ejecución y conclusiones. También cubre las certificaciones de ISACA para auditores informáticos y marcos como COBIT. Concluye destacando la importancia de la capacitación continua y el uso de estándares para realizar auditorías informáticas efectivas.
El documento describe lo que es un Sistema de Gestión de Seguridad de la Información (SGSI), incluyendo sus principios fundamentales de confidencialidad, integridad y disponibilidad. Explica que un SGSI utiliza un enfoque sistemático y documentado para gestionar los riesgos relacionados con la información de una organización de acuerdo con la norma ISO 27001. También cubre otros elementos clave como la evaluación de riesgos, el compromiso de la dirección y la mejora continua.
Este documento introduce el concepto de seguridad informática y su importancia para las empresas. Explica que la información es un activo valioso que requiere protección contra amenazas internas y externas. También describe los objetivos de la seguridad (confidencialidad, integridad y disponibilidad), los mecanismos básicos para lograrla (autenticación, autorización, auditoría), y la necesidad de clasificar la información y los riesgos asociados. Finalmente, resalta que las empresas deben establecer políticas y procedimientos formales de
La auditoría informática evalúa la seguridad de la información y los sistemas de una empresa, realizando recomendaciones para asegurar y mejorar los procesos. Existen varios tipos como de gestión, legal, de datos, de bases de datos, de seguridad física y lógica. Un auditor informático debe tener conocimientos en auditoría financiera, informática, gestión empresarial y de cambio para realizar evaluaciones eficientes.
La seguridad de la información es un problema para todas las organizaciones que deben gestionar riesgos de forma efectiva. El Ciclo de Deming (Planificar, Hacer, Verificar, Actuar) es un enfoque de mejora continua que puede aplicarse a la seguridad de la información siguiendo los pasos de analizar riesgos, implementar controles, gestionar incidentes y analizar incidentes para mejorar. La serie de normas ISO 27000 también se basa en este ciclo para ayudar a las organizaciones a mejorar la seguridad de la información.
La seguridad de la información es un problema para todas las organizaciones que deben gestionar riesgos de forma eficaz. El Ciclo de Deming (Planificar, Hacer, Verificar, Actuar) es un enfoque útil para la mejora continua de la seguridad de la información en una organización. La serie de normas ISO 27000 se basa en este ciclo para ayudar a las organizaciones a implementar sistemas de gestión de seguridad de la información exitosos.
El documento discute la necesidad de replantear los modelos tradicionales de seguridad de la información para hacer frente a las nuevas amenazas internas y externas. Propone adoptar un enfoque de seguridad integral y basado en riesgos que identifique los activos más valiosos, evalúe las amenazas reales, proteja la información clave y habilite el desempeño del negocio de una manera segura.
Este documento describe los fundamentos de la seguridad de la información y el desarrollo de un programa de seguridad. Explica que las políticas y procedimientos de seguridad son esenciales para proteger los activos de información de una empresa. También cubre temas como infraestructura, arquitectura, controles lógicos y físicos, y marcos como COBIT para la gestión y gobierno de la tecnología de la información.
El documento describe cómo las organizaciones pueden comenzar a pensar en la seguridad corporativa mediante la implementación de un plan de seguridad que involucre a todos los niveles de la organización. Sugieren realizar un análisis inicial de la cultura operativa y de los recursos humanos para comprender mejor cómo comunicar la importancia de la seguridad de la información. Un modelo de comunicación efectivo debe estar diseñado específicamente para cada grupo (dirección, gerencia, usuarios) y sus respectivos intereses. La dirección y la alta gerencia deben reconocer la
Este documento resume las experiencias de implementar un programa nacional para mejorar la gestión de la seguridad de la información. Detalla los objetivos de la seguridad de la información, las razones legales para su implementación, y las restricciones que enfrentan las organizaciones públicas. Explica los hitos clave y factores críticos para el éxito como el compromiso de la alta dirección y la gestión del cambio cultural. El resumen proporciona una visión general de los temas principales discutidos en el documento.
Present. int. a los sgsi.... isis liconaIsis Licona
El documento introduce el concepto de Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001. Explica que un SGSI implica preservar la confidencialidad, integridad y disponibilidad de la información de una organización a través de un proceso sistemático y documentado. También describe los fundamentos de un SGSI como garantizar la confidencialidad, integridad y disponibilidad de la información, así como los beneficios de implementar un SGSI en una organización.
La ISO 27002 proporciona una guía de buenas prácticas para la seguridad de la información. Describe 14 dominios y objetivos de control que las organizaciones deberían implementar para proteger sus activos e información. Siguiendo esta norma, las organizaciones pueden mejorar la conciencia y control de seguridad, identificar vulnerabilidades, reducir riesgos legales y de costos, y ganar una ventaja competitiva.
El documento describe la importancia de alinear la estrategia de seguridad de la información con los objetivos estratégicos de las organizaciones. Explica conceptos clave como confidencialidad, integridad y disponibilidad de la información. También menciona marcos de referencia comunes como COSO, Cobit, ISO 27001 y requisitos como PCI, SOX y Basilea II. Finalmente, introduce el concepto de un Sistema Estratégico de Seguridad de la Información para definir una estrategia de seguridad alineada con los objetivos de la organiz
Este documento resume los capítulos 10 al 13 de un libro sobre gobiernos de tecnologías y sistemas de información. Brevemente describe los contenidos clave de cada capítulo, incluyendo normas de seguridad de TI, la norma ISO 27001 sobre gestión de seguridad, métricas de seguridad de información, y la norma ISO 17799 sobre códigos de buenas prácticas para sistemas de gestión de seguridad de la información.
Seguridad Informatica, Governanza De Ti Y CobitYAMJ2010
El documento discute la importancia de implementar temas relacionados con la gobernanza de TI, seguridad informática y COBIT en las empresas. Explica que la gobernanza de TI alinea las tecnologías con la estrategia del negocio, COBIT provee un marco de referencia para el control de TI y la seguridad informática asegura la integridad, confidencialidad y disponibilidad de la información de la empresa.
Los sistemas de información nacieron para controlar actividades estatales y privadas de forma económico-financiera. Actualmente son herramientas poderosas para proveer información a las organizaciones, pero deben estar sometidos a normas y estándares generales de gestión empresarial. La auditoría de sistemas de información evalúa los mecanismos de control implementados y su adecuación para lograr objetivos, realizando recomendaciones de cambio cuando sea necesario.
El documento describe los elementos clave del gobierno de TI, incluyendo que la información y tecnología son valiosas para las empresas y que el valor, riesgo y control son esenciales. Explica que el gobierno de TI garantiza que la tecnología apoye los objetivos del negocio y que COBIT proporciona buenas prácticas a través de dominios y procesos. Finalmente, señala que COBIT garantiza que la tecnología esté alineada con el negocio y que los riesgos se administren adec
Este documento presenta una discusión sobre la administración de riesgos de tecnología de la información (TI) y su importancia para la gestión de riesgos corporativos. Explica que los sistemas de TI soportan las operaciones clave de una organización y que los riesgos de TI deben considerarse en el contexto más amplio de los procesos empresariales. Además, describe el proceso de administración de riesgos de TI, incluida la identificación, evaluación y opciones de manejo de riesgos, concluyendo que la seg
Similar a La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en la Ciberseguridad de las organizaciones, (20)
Mapa conceptuales de proyectos social y productivo.pdfYudetxybethNieto
Los proyectos socio productivos constituyen una variante de formación laboral de incalculable valor formativo, que propician la participación activa, protagónica y participativa de los escolares, de conjunto con miembros de la familia y la comunidad.
FUNDAMENTOS DE ADMINISTRACION AGROPECUARIA I PARCIAL.pptx
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en la Ciberseguridad de las organizaciones,
1. El rol determinante
de los procesos de
gobierno y gestión en
la Ciberseguridad de
las organizaciones.
Reynaldo C. de la Fuente
2. 2
¿Qué queremos cambiar?
Un escenario en el que:
La Ciberseguridad se considera una responsabilidad explosiva de TI.
La Alta Dirección no esta debidamente informada.
La Alta Dirección no asume ningún rol o responsabilidad.
Creemos que existen soluciones mágicas.
Las herramientas son los Dioses.
Medimos lo que es fácil en lugar de lo que es importante.
Las auditorías son pocas, y se concentran solo en aspectos de TI.
Seguimos haciendo lo mismo de siempre, pero esperamos resultados diferentes.
3. 3
Cambiemos. La Ciberseguridad es un catalizador del
negocio y del futuro.
Nuestra campaña:
Para la Ciberseguridad de las organizaciones es esencial el contar con
procesos de gobernanza y gestión de la seguridad de la información
maduros.
Con estructuras de control interno adecuadas.
Donde la Alta dirección entienda su rol y el liderazgo requerido.
Siguiendo marcos de referencia y estándares internacionales, pero
identificando la relevancia especial de ciertos procesos.
Concentrándonos en medir lo importante.
Implementando adecuadamente las tres líneas de defensa.
Donde los Responsables de Seguridad de la Información tenga acceso a la Alta
Dirección.
Donde la auditoría tenga un rol relevante y permanente.
4. 4
Gobierno y Gestión de la SI
Gobierno- Asegurar que las
necesidades, condiciones y
objetivos de las partes interesadas
se evalúen para determinar los
objetivos empresariales
equilibrados y acordados que
deben lograrse. Establecer una
dirección a través de la
priorización y toma de decisiones,
monitoreando el desempeño y
cumplimiento de la dirección y
objetivos acordados.
Gestión – Planifica, instruye,
ejecutar y monitorea las
actividades en alineación con la
dirección establecida por el
órganos de gobierno para alcanzar
los objetivos de la empresas.
5. 5
Principios del Gobierno de la Seguridad de la
Información
El cumplir con las
necesidades de todas las
partes interesadas y
entregar valor a cada una
es fundamental para el
éxito de la seguridad de la
información en el largo
plazo.
Establecer la seguridad de la información a lo largo
y ancho de la organización.
Adoptar un enfoque basado en riesgos.
La gestión de las inversiones en seguridad.
Asegurar el cumplimiento con requisitos internos y
externos.
Cultivar un ambiente y cultura positiva de
seguridad de la información.
La revisión del desempeño de la seguridad en
relación con los objetivos del negocio.
6. 6
Procesos de Gobierno de la Seguridad de la
Información
Se establecen los procesos de:
Dirección. Monitoreo Evaluación.
Comunicación Aseguramiento.
Procesos de Gobierno
•Los procesos de gobierno tratan de
los objetivos de gobierno de las
partes interesadas: entrega de
valor, optimización del riesgo y
de recursos – e incluye prácticas
y actividades orientadas a
evaluar opciones estratégicas,
proporcionando la dirección y
supervisando la salida (Evaluar,
orientar y supervisa.
Procesos de Gestión
•En línea con la definición de
gestión, las prácticas y actividades
de los procesos de gestión cubren
las áreas de responsabilidad de
Planificar, Construir, Ejecutar y
Supervisión de SI de la empresa y
tienen que proporcionar cobertura
de extremo a extremo
7. 7
El Modelo de las 3 líneas de defensa y la Seguridad de la
Información.
El Relacionamiento entre las Áreas Operativas, Seguridad de la Información, la Auditoria
Interna y Auditorias Externas puede tener un impacto sustancial sobre la eficacia y eficiente
de los controles implementados, y por ende del nivel de los riesgos existentes.
8. 8
El rol de la gestión de riesgos.
¿Qué nivel de Ciberseguridad puede
tener una organización que nunca ha
realizado un análisis de riesgos, y en
especial vinculados a la seguridad de su
sistemas e información?
9. 9
El rol de la unidad de Seguridad de la Información.
¿Qué nivel de Ciberseguridad puede
tener una organización en la que
nadie es responsable por la gestión?
En cualquier organización la Gestión de
la Seguridad de la información requiere
de la formalización de roles y
responsabilidades que surgen
naturalmente de la implantación de
diferentes procesos de gestión, así
como políticas, procedimientos y
controles que deben ser
implementados, monitoreados y
mejorados.
La jerarquía, independencia, y acceso
a la Alta Dirección con la que cuente es
determinante para su eficacia.
Sensibilizació
n en
Seguridad de
la
Información
Gestionar los
incidentes y
riesgos de
Seguridad
Asesorar en
materia de
Seguridad de
la Información
Mantener
actualizado el
Manual de
políticas de
seguridad
Acompañar a
las áreas en la
Implementació
n de controles
Monitoreo de
Controles
Cumplimiento
Protección de
Datos
Personales
10. 10
El rol de las métricas e indicadores
¿Qué nivel de Ciberseguridad puede
tener una organización que no mide
nada?
Medir es fabuloso. Salvo que se este
midiendo lo que es fácil, en lugar de lo que
es importante. – Godin
Los procesos de Gobierno y Gestión de la SI
requieren contar con métricas e indicadores,
de eficacia y de cumplimiento.
Alineados con los objetivos, riesgos,
requisitos, y diferentes controles que han
sido implementados para generar el valor
esperado.
11. 11
El rol de la auditoría interna – externa.
¿Qué nivel de Ciberseguridad puede
tener una organización que nunca ha
recibido una auditoría interna o externa
en la materia?
La función de seguridad de la Información y
la auditoría interna debería implementar
roles complementarios.
La frecuencia y alcance de las auditorías,
así como el conocimiento en SI, es
determinante para el relacionamiento y
nivel de SI alcanzado.
13. 13
El caso de la ISO/IEC 27001:2013
La ISO-IEC 27001 estable un conjunto de
procesos clave para el gobierno y la
gestión de la seguridad de la información.
Diferencia claramente los roles de:
– La Alta Dirección.
– Las Gerencias Operativas.
– El Rol de Seguridad de la
Información.
– La Auditoría Interna.
– La Auditoría Externa (en caso de ser
contratada)
Liderazgo y
Responsabilidad
de la Alta
Dirección.
Formalización de
Objetivos y
Políticas
Gestión de Riesgos
Gestión de
Métricas e
Indicadores
Gestión de Eventos
e Incidentes.
Cultura y
Capacitación de
RRHH
Cumplimiento de
Requisitos
Dominios de
controles.
Auditoria Interna y
Externa
14. 14
COBIT 5 para la Seguridad de la Información.
COBIT 5 define un conjunto de
catalizadores para la implementación
de los procesos de Gobierno y Gestión
de la TI, que son igualmente relevantes
para la SI.
Se establecen a su vez una clara
distinción entre los procesos de
Gobierno y de Gestión de la SI, así
como de los roles involucrados en cada
caso.
15. 15
El caso del Marco de Ciberseguridad - AGESIC.
En el caso del Marco de Ciberseguridad de
AGESIC se observa claramente que los
controles vinculados a procesos de
gobernanza y gestión de la seguridad de la
información se encuentran entre aquellos con
Prioridad1, es decir que deben ser
implementados en un plazo no mayor a 1
año. En la medida que el perfil de la
organización es más avanzado el numero de
controles técnico prioritarios se incrementa.
A su vez, en la relación con el Modelo de
Madurez asociado, el primer nivel del modelo
requiere que “la Dirección ha tomado
conciencia de la necesidad de empezar a
definir procesos de seguridad de la
información.”.
0
1
2
3
4
Gestión de Activos
(ID.GA)
Ambiente de Negocio
(ID.AN)
Gobernanza (ID.GO)
Evaluación de Riesgos
(ID.ER)
Control de Acceso
(PR.CA)
Concientización y
Formación (PR.CF)
Procesos y
procedimientos para…
Tecnología de
protección (PR.TP)
Anomalías y eventos
(DE.AE)
Monitoreo contínuo
de la seguridad…
Planificación de la
respuesta (RE.PR)
Comunicaciones
(RE.CO)
Análisis (RE.AN)
Mitigación (RE.MI)
0
1
2
3
4
Gestión de Activos (ID.GA)
Ambiente de Negocio (ID.AN)
Gobernanza (ID.GO)
Evaluación de Riesgos (ID.ER)
Control de Acceso (PR.CA)
Concientización y Formación
(PR.CF)
Procesos y procedimientos
para la protección de la
información (PR.PI)
Tecnología de protección
(PR.TP)
Anomalías y eventos (DE.AE)
Monitoreo contínuo de la
seguridad (DE.MC)
Planificación de la respuesta
(RE.PR)
Comunicaciones (RE.CO)
Análisis (RE.AN)
Mitigación (RE.MI)
16. 16
Los estándares mínimos de gestión para IIF del BCU
En los EMGIIF del BCU la mención a
la Seguridad de la Información de la
Organización se destaca en los
Estándares de Gobierno
Corporativo, en las
responsabilidades del Directorio, de
la Alta Gerencia y de la Auditoría
Interna.
Luego se menciona a nivel de Riesgo
Operacional y Estándares de TI, entre
diversos controles relevantes.
18. 18
Nuestro cierre de campaña.
Los procesos de Gobierno y Gestión de la SI son indispensable
para obtener adecuados niveles de Ciberseguridad, que
permitan a la organización estar preparada.
NO es razonable esperar lo mismo de organizaciones que:
– NO cuentan con procesos de gobierno y gestión defendidos.
– NO cuentan con roles y responsabilidades de SI definidos.
– NO cuentan con presupuesto definido.
– NO cuentan con métricas e indicadores
– NO realizan análisis de riesgos.
– NO son auditadas regularmente.
La vanguardia en Ciberseguridad depende de un enfoque y un
actitud adecuada por parte de la Dirección de la Organización, no
de un proceso tecnológico.
19. 19
1. ¿Se cuenta con una dirección estratégica para la SI
definida por la alta dirección, en base a Principios y
Objetivos de SI?
2. ¿Se cuenta con Políticas de SI alienadas con los objetivos
definidos, aprobadas, difundidas e implementadas?
3. ¿Se cuenta con procesos de gestión de riesgos y de
eventos e incidentes de SI implementado y operativo, que
presenta informes periódicos a la alta dirección?
4. ¿Se cuenta con un área independiente de SI que reporta
de forma periódica a la alta dirección?
5. ¿Se han asignado roles y responsabilidades a lo largo y
ancho de la organización para la SI, que son
adecuadamente capacitados, concientizados e
empoderados?
6. ¿Se cuenta con controles operativos y de seguridad
informática debidamente implementados, en virtud de las
políticas definidas y los planes de tratamiento de riesgos
establecidos?
7. ¿Se cuenta con métrica e indicadores que permiten evaluar
el estado de situación de los controles y procesos
implementados de forma regular?
8. ¿Se cuenta con planes de Respuesta a Eventos e
Incidentes de SI y de Continuación Operativa.
9. ¿Se cuenta con un presupuesto establecido para la SI?
10. ¿Se cuenta con auditorías internas y externas que
presentan informes periódicos a la alta dirección cubriendo
de forma adecuada la SI?
Las 10 preguntas
que deseamos
responder
afirmativamente!