PowerPoint Presentation

1.15.9 CapacidadesLas capacidades son habilitadores fundamentales del gobierno.Las capacidades incluyen recursos de la empresa, tales como capacidades de servicio (infraestructura, aplicaciones, etc.), personas e informacin.El ISM debe evaluar y utilizar:Capacidades conocidas de la organizacinConocimientos especializados y habilidades Capacidades demostradas

Copyright 2013 ISACA. Todos los derechos reservados.1Directivas para el instructor:

Los recursos con los que se cuenta para implementar una estrategia deben incluir las capacidades conocidas de la organizacin, entre otras, conocimientos especializados y habilidades. Por supuesto que una estrategia que se basa en capacidades demostradas tiene ms probabilidades de tener xito que una que no tiene esa base.

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 701.15.10 TiempoEl tiempo es una limitacin significativa en el desarrollo de una estrategia algunos ejemplos: Fechas lmite de cumplimiento Plazos para la implementacin de determinadas estrategias

Copyright 2013 ISACA. Todos los derechos reservados.2Directivas para el instructor:

El tiempo es una limitacin significativa en el desarrollo de una estrategia. Podra haber fechas lmite de cumplimiento que deben acatarse o soporte que deba asignarse a ciertas operaciones estratgicas, tales como una fusin. Es posible que las ventanas de oportunidad para actividades de negocio en particular mandaten ciertos plazos para la implementacin de ciertas estrategias.

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 701.15.11 Aceptacin y tolerancia del riesgoLa tolerancia al riesgo desempear una funcin importante en el desarrollo de una estrategia de seguridad de la informacin.Dificultades para medir: Desarrollar RTOs* para sistemas crticos . El punto ptimo se alcanza cuando el costo de reducir los RTOs es igual al valor que se deriva de operar los recursos.* RTOs estn basados en BIAs o Anlisis de Dependencia del Negocio.

Copyright 2013 ISACA. Todos los derechos reservados.3Directivas para el instructor:

La tolerancia que tenga una organizacin al riesgo desempear una funcin importante en el desarrollo de una estrategia de seguridad de la informacin. Aun cuando es difcil de medir, existen varios mtodos para llegar a aproximaciones tiles. Un mtodo consiste en desarrollar Objetivo de tiempo de recuperacin (RTOs) para sistemas crticos. Entre ms breves sean los tiempos que determinen los gerentes correspondientes, mayor ser el costo y menor ser la tolerancia al riesgo. Los RTOs se basan en un anlisis de impacto al negocio o de dependencia para determinar los tiempos de inactividad permisibles para varios recursos. En trminos generales, el punto ptimo se alcanza cuando el costo de reducir los RTOs es igual al valor que se deriva de operar los recursos.

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 701.16 Plan de accin para implementar la estrategiaImplementar una estrategia de la informacin requiera de uno o ms proyectos o iniciativas.El anlisis de brecha entre el estado actual y el estado deseado para cada mtrica definida identifica los requerimientos y prioridades para los planes generales u hojas de ruta para asegurar los objetivos y cerrar las brechas.

Copyright 2013 ISACA. Todos los derechos reservados.4Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 701.16.1 Anlisis de brechas Base para un plan de accinNecesario para diversos componentes de la estrategia: Niveles de madurez (CMM)Objetivo de controlObjetivo de riesgo e impactoPodra ser necesario repetir este ejercicio cada ao o con mayor frecuencia a fin de proporcionar mtricas de desempeo y de metas.

Copyright 2013 ISACA. Todos los derechos reservados.5Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 70-71

1.16.1 Anlisis de brechas Base para un plan de accin El estado deseado incluye (continuacin)La estrategia de seguridad cuente con la aceptacin y respaldo de la alta direccinLa estrategia de seguridad tenga un vnculo intrnseco con los objetivos de negocioLas polticas de seguridad estn completas y sean congruentes con la estrategiaSe mantengan de manera consistente normas completas para todas las polticas aplicablesSe tengan procedimientos completos y precisos para todas las operaciones importantesCopyright 2013 ISACA. Todos los derechos reservados.6Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 70-711.16.1 Anlisis de brechas Base para un plan de accin El estado deseado incluye (continuacin)Un mtodo establecido para asegurar alineacin continua con las metas y objetivos del negocioSe cuente con una estructura organizacional que otorgue una autoridad apropiada a la gestin de seguridad de la informacin sin que existan conflictos de inters inherentesLos activos de informacin han sido identificados y clasificados segn su criticidad y sensibilidadControles efectivos han sido diseados, implementados y mantenidos.Mtricas de seguridad y procesos de monitoreo efectivos se encuentran en operacin.Copyright 2013 ISACA. Todos los derechos reservados.7Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 70-711.16.1 Anlisis de brechas Base para un plan de accin El estado deseado incluye (continuacin)Procesos de cumplimiento y ejecucin efectivos.Capacidades de respuesta a incidentes y emergencias probadas y funcionalesPlanes de continuidad de negocios y recuperacin ante desastres probados.Aprobaciones de seguridad apropiadas en los procesos de gestin de cambios.Los riesgos son apropiadamente identificados, evaluados, comunicados y gestionados.

Copyright 2013 ISACA. Todos los derechos reservados.8Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 70-711.16.1 Anlisis de brechas Base para un plan de accin El estado deseado incluye (continuacin)Capacitacin y entrenamiento en seguridad apropiado para todos los usuarios.Exista un desarrollo y entrega de actividades que puedan promover la seguridad de manera positiva en la cultura y comportamiento del personalAspectos regulatorios y legales son conocidos y abordadosAbordar aspectos de seguridad con los proveedores de servicios externosLa resolucin oportuna de los problemas de incumplimiento y otras variaciones

Copyright 2013 ISACA. Todos los derechos reservados.9Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 70-711.16.2 Elaboracin de polticasUno de los aspectos ms importantes del plan de accin para ejecutar una estrategia ser crear o modificar polticas y estndares, segn sea necesario.La creacin de polticas y normas es una parte crtica del plan de accin:Las polticas deben capturar la intencin, expectativas y direccin de la gerencia. A medida que evoluciona una estrategia, es fundamental que se desarrollen polticas de apoyo y en muchos casos modificadas para articular la estrategia. Las polticas de seguridad en general deben estar relacionadas con la estrategia de seguridad.

Copyright 2013 ISACA. Todos los derechos reservados.10Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 71-72Algunos atributos de las buenas polticas:Las polticas de seguridad deben ser una articulacin de una estrategia de seguridad de la informacin bien definida y captar la intencin, las expectativas y la direccin de la gerencia.Cada poltica debe establecer solo un mandato general de seguridad.Las polticas deben ser claras y de fcil comprensin para todas las partes interesadas.Las polticas rara vez deben tener una extensin que exceda unas cuantas oraciones.Rara vez habr una razn para tener ms de una veintena de polticas.1.16.2 Elaboracin de polticasCopyright 2013 ISACA. Todos los derechos reservados.11Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 71-72

1.16.3 Elaboracin de normasLos estndares son poderosas herramientas de la gestin de seguridad. Ellos: Establecen los lmites permisibles para procedimientos y prcticas, de tecnologa y sistemas, y para personas e incidentes Son la ley desarrollada a partir de la poltica Proporcionan la vara que mide el cumplimiento de la poltica y una base slida para realizar auditoras Regulan la elaboracin de procedimientos y lineamientos

Copyright 2013 ISACA. Todos los derechos reservados.12Directivas para el instructor:Los estndares son poderosas herramientas de la gestin de seguridad. Establecen los lmites permisibles para procedimientos y prcticas de tecnologa y sistemas, y tambin para personas y eventos. Si se implementan adecuadamente, son la ley para la constitucin de la poltica. Proporcionan la vara que mide el cumplimiento de la poltica y una base slida para realizar auditoras. Asimismo, regulan la elaboracin de procedimientos y directrices.

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 721.16.4 Capacitacin y concientizacinUn plan de accin eficaz para implementar una estrategia de seguridad debe considerar un programa continuo de sensibilizacin y capacitacin sobre seguridad.

Copyright 2013 ISACA. Todos los derechos reservados.13Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 721.16.5 Mtricas del plan de accinEl plan de accin para implementar la estrategia requerir de mtodos para monitorear y medir el progreso y el logro de las etapas importantes:La alta direccin casi nunca muestra inters por las mtricas tcnicas detalladas. Se deben monitorear el progreso realizado y los costos incurridos de manera continua.Se deben llevar a cabo correcciones a mitad del camino de manera oportuna.

Copyright 2013 ISACA. Todos los derechos reservados.14Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 72-741.16.5 Mtricas del plan de accin El plan de accin debe incluir el uso de:KPIs: Resultados de las pruebas aplicadas a la eficacia del controlPlanes de pruebas a la eficacia del controlKGIs:Alcanzar mandatos de cumplimiento sobre pruebas de controles de Sarbanes-OxleyElaborar la declaracin requerida sobre la eficacia del controlCSFs (factores crticos de xito):Identificar y definir los controlesDefinir pruebas adecuadas para determinar su eficaciaCopyright 2013 ISACA. Todos los derechos reservados.15Directivas para el Instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 72-741.16.5 Mtricas del plan de accin La alta direccin quiere un resumen con la informacin importante desde un punto de vista de la gerencia:Avances de acuerdo al plan y presupuestoCambios significativos en el riesgo y posibles impactos a los objetivos del negocioResultados de las pruebas al plan de recuperacin ante desastresResultados de auditorasEstado del cumplimiento regulatorioEl ISM desear recibir informacin ms detallada (ej., mtricas del cumplimiento de polticas y estado de la aplicacin de parches).

Copyright 2013 ISACA. Todos los derechos reservados.16Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 72-74

1.16.5 Mtricas del plan de accin Las actividades de diseo y monitoreo de mtricas deben tener en consideracin:Lo que es importante para las operaciones de seguridad de la informacinLos requerimientos de la gestin de seguridad de la informacinLas necesidades de los dueos del proceso de negocioLo que desea saber la alta direccinEl ISM tambin debe crear procesos de reporte.Copyright 2013 ISACA. Todos los derechos reservados.17Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 72-74Implementando gobierno de seguridad utilizando CMM:Para definir objetivos (KGIs)Para determinar una estrategiaComo mtrica del progresoAlcanzar un CMM de nivel 4 es un estado deseado organizacional tpico1.17 Implementacin del gobiernode la seguridadEjemplo Copyright 2013 ISACA. Todos los derechos reservados.18Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 74-75

De forma alternativa, COBIT:Debera producir una lista de atributos y caractersticas.Podra no servir para delinear todos los atributos y las caractersticas del estado deseado de seguridad de informacin, sin embargo podra ser necesario aadir otros elementos.

1.17 Implementacin del gobiernode la seguridadEjemplo Copyright 2013 ISACA. Todos los derechos reservados.19Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 74-751.17 Implementacin del gobierno de la seguridadEjemplo Despus de desglosar los elementos individuales del CMM 4 se obtiene la siguiente lista:La evaluacin del riesgo es un procedimiento estndar y la gerencia de TI debera estar en capacidad de detectar cualquier desviacin en la ejecucin de este procedimiento.La gestin de TI es una funcin gerencial definida bajo la responsabilidad del nivel superior.La alta direccin y la gerencia de TI han determinado los niveles de riesgo que tolerar la organizacin y tendr medidas establecidas para las proporciones de riesgo/beneficio.Las responsabilidades en lo que respecta a la seguridad de la informacin se asignan, se gestionan y se exige su cumplimiento de forma clara.Copyright 2013 ISACA. Todos los derechos reservados.20Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 74-75