4.

Proteccin de los
activos de Informacin

Relacin entre los resultados del GSI y

las responsabilidades de la Gerencia
Nivel
gerencial

Alineamiento
estratgico

Gestin del riesgo

Junta Directiva

Requerir una
alineacin comprobable

- Instituir la tolerancia al
riesgo
- Supervisar la poltica de
gestin del riesgo
- Verificar el cumplimiento
regulatorio

Requerir informacin
del costo de las
actividades de
seguridad

Requerir informacin
de le efectividad de la
seguridad

Instituir una poltica de

gestin del
conocimiento y
utilizacin de los
recursos

Supervisar la poltica de
integracin del proceso
de aseguramiento

Gerencia Ejecutiva

Instituir un proceso para

integrar la seguridad
con los objetivos del
negocio

- Asegurar que los roles y

responsabilidades
incluyan la gestin del
riesgo en todas las
actividades
- Monitorear el
cumplimiento regulatorio

Requerir el estudio de
casos de negocio de
las iniciativas de
seguridad

Requerir el monitoreo
y medicin de las
actividades de
seguridad

Garantizar un proceso
para capturar el
conocimiento y
mediciones eficientes

Proveer supervisin de
todas las funciones de
aseguramiento y planes
de integracin

Comit Gerencial

- Revisar y asistir los

esfuerzos de la
estrategia de seguridad
e integracin

Identificar riegos
emergentes, promover
las prcticas de seguridad
en la unidades de
negocio e identificar
problemas de
cumplimiento

Revisar la
adecuacin de las
iniciativas de
seguridad para cubrir
las funciones de
negocio

Revisar y proponer si
las iniciativas de
seguridad alcanzan
los objetivos de
negocio

Revisar los procesos

para captura del
conocimiento y su
divulgacin

- Identificar procesos de
negocio crticos y los
proveedores de
aseguramiento

Desarrollar la
estrategia de seguridad,
vigilar el programa y las
iniciativas y coordinar
con los dueos de los
procesos de negocio
para un alineamiento
continuo.

- Verificar las
evaluaciones del riesgo e
impacto al negocio
- Desarrollar estrategias
de mitigacin de riesgo
- Exigir el cumplimiento
de polticas y
regulaciones

Monitorear la
utilizacin y la
eficiencia de los
recursos de
seguridad

- Desarrollar le
implementar mtodos
de monitoreo y
mediciones
- Dirigir y monitorear
las actividades de
seguridad

Desarrollar tanto
mtodos para captar y
divulgar el conocimiento
y mediciones para
determinar la eficacia y
eficiencia

- Coordinar con otros

proveedores de
aseguramiento

Evaluar e informar el
grado de alineacin

Evaluar e informar sobre

las prcticas de gestin
del riego y sus resultados

Evaluar e informar
sobre la eficiencia

Evaluar e informar el
grado de mediciones
realizadas y los
indicadores utilizados

Evaluar e informar
sobre la eficiencia de la
gestin de recursos

Evaluar e informar
sobre la efectividad del
proceso de
aseguramiento
realizado por las
distintas reas de
gestin

- Garantizar que los

usuarios den apoyo a
la integracin
CISO/Gestin de
seguridad de
informacin

Ejecutivos de
Auditoria

Entrega de valor

Medicin del
desempeo

Gestin de
recursos

Aseguramiento
del proceso

- Dirigir los esfuerzos de

integracin de
aseguramiento

- Garantizar que se
identifiquen y resuelvan
las brechas, los vacos
y las deficiencias

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

Gestin de Seguridad de la Informacin

Visin General
Gestin de
Continuidad

Gestin de
Incidentes

Gestin de
Cambios

Gestin de
Configuraciones

Gestin de
Capacidad

Gestin de
Niveles de
Servicio

Monitoreo y Seguimiento

Poltica de
Seguridad

Planificacin

Implementacin

Mantenimiento

Evaluacin

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

Gestin de Seguridad de la Informacin

Interrelaciones

Visin General

Gestin de
Continuidad

Gestin de
Incidentes

Gestin de
Cambios

Gestin de
Configuraciones

Gestin de
Capacidad

Gestin de
Niveles de
Servicio

Monitoreo y
Seguimiento

Poltica de
Seguridad

Planificacin

Implementacin

Mantenimiento

Debe existir una estrecha

relacin entre la Gestin de
la seguridad y otros
procesos de TI con el
objetivo de:

Estos conozcan los

estndares de seguridad
asociados a cada servicio.

Se establezcan y cumplan
los requisitos de
seguridad necesarios para
el correcto
funcionamiento del
negocio.

Evaluacin

Fuente: ITIL v3

Copyright 2010. Juan de Dios Bel, CISA, CISM para la Universidad del Salvador Postgrado de Seguridad de la Informacin

Gestin de Seguridad de la Informacin

Visin General

Gestin de
Continuidad

Gestin de
Incidentes

Gestin de
Cambios

Gestin de
Configuraciones

Gestin de
Capacidad

Gestin de
Niveles de
Servicio

Monitoreo y
Seguimiento

Poltica de
Seguridad

Planificacin

Implementacin

Mantenimiento

Monitoreo y
Seguimiento
Todo el proceso debe ser
monitoreado para asegurar
que:

Se cumplen los requisitos

de seguridad establecidos
en los SLAs, OLAs y Ucs.

El personal est
correctamente informado
sobre los protocolos de
seguridad establecidos.

Se cumple y actualiza
regularmente el Plan de
Seguridad

Evaluacin

Copyright 2010. Juan de Dios Bel, CISA, CISM para la Universidad del Salvador Postgrado de Seguridad de la Informacin

Gestin de Seguridad de la Informacin

Visin General

Gestin de
Continuidad

Gestin de
Incidentes

Gestin de
Cambios

Gestin de
Configuraciones

Gestin de
Capacidad

Gestin de
Niveles de
Servicio

Poltica de Seguridad
de Informacin
Es fundamental establecer
una clara Poltica de
Seguridad de Informacin
que:

Sus objetivos se alineen

con la del negocio en su
conjunto.

Se coordinen
correctamente todos los
procesos de TI.

Se establezcan y asignen
recursos y
responsabilidades .

Monitoreo y
Seguimiento

Poltica de
Seguridad

Planificacin

Implementacin

Mantenimiento

Evaluacin

Copyright 2010. Juan de Dios Bel, CISA, CISM para la Universidad del Salvador Postgrado de Seguridad de la Informacin

Gestin de Seguridad de la Informacin

Planificacin

Visin General

Gestin de
Continuidad

Gestin de
Incidentes

Gestin de
Cambios

Gestin de
Configuraciones

Gestin de
Capacidad

Gestin de
Niveles de
Servicio

La Gestin de Seguridad
debe:

Elaborar un Plan de
Seguridad que rena las
necesidades de los
usuarios , los protocolos
de acceso a la
informacin.

Colaborar con la Gestin

de Niveles de Servicio en
la elaboracin de los
SLAs, contratos de
soporte.

Monitoreo y
Seguimiento

Poltica de
Seguridad

Planificacin

Implementacin

Mantenimiento

Evaluacin

Copyright 2010. Juan de Dios Bel, CISA, CISM para la Universidad del Salvador Postgrado de Seguridad de la Informacin

Gestin de Seguridad de la Informacin

Implementacin

Visin General

Gestin de
Continuidad

Gestin de
Incidentes

Gestin de
Cambios

Gestin de
Configuraciones

Gestin de
Capacidad

Gestin de
Niveles de
Servicio

Monitoreo y
Seguimiento

Poltica de
Seguridad

Planificacin

Implementacin

La Gestin de Seguridad es
responsable de:

Aplicar las medidas de

seguridad establecidas en
la poltica y Plan de
Seguridad.

Formar al personal
respecto a los
procedimientos de
seguridad y acceso a la
informacin.

Colaborar en la resolucin
de incidentes relacionados
con la seguridad

Mantenimiento

Evaluacin

Copyright 2010. Juan de Dios Bel, CISA, CISM para la Universidad del Salvador Postgrado de Seguridad de la Informacin

Gestin de Seguridad de la Informacin

Mantenimiento

Visin General

Gestin de
Continuidad

Gestin de
Incidentes

Gestin de
Cambios

Gestin de
Configuraciones

Gestin de
Capacidad

Gestin de
Niveles de
Servicio

La Gestin de Seguridad
debe supervisar todo el
proceso:

Para hacer cumplir los

estndares de seguridad
acordados con usuarios y
proveedores
internos/externos.

Para que los equipos y

procedimientos estn
actualizados.

Elevando RFCs
(Solicitudes de Cambio) a
la Gestin de Cambios
para mejorar los niveles
de seguridad o para
adecuarlos a nuevos
desarrollos tecnolgicos.

Monitoreo y
Seguimiento

Poltica de
Seguridad

Planificacin

Implementacin

Mantenimiento

Evaluacin

Copyright 2010. Juan de Dios Bel, CISA, CISM para la Universidad del Salvador Postgrado de Seguridad de la Informacin

Gestin de Seguridad de la Informacin

Evaluacin

Visin General

Gestin de
Continuidad

Gestin de
Incidentes

Gestin de
Cambios

Gestin de
Configuraciones

Gestin de
Capacidad

Gestin de
Niveles de
Servicio

La Gestin de Seguridad
debe evaluar el proceso
para:

Garantizar que se
cumplen los planes y
procedimientos
establecidos.

Informar a los usuarios y

al rea de TI de posibles
vulnerabilidades o errores
procedimentales.

Monitoreo y
Seguimiento

Poltica de
Seguridad

Planificacin

Implementacin

Mantenimiento

Evaluacin

Es recomendable que la
evaluacin interna se
complemente con auditoras
de seguridad externas
realizadas por personal
independiente de la Gestin
de Seguridad.

Copyright 2010. Juan de Dios Bel, CISA, CISM para la Universidad del Salvador Postgrado de Seguridad de la Informacin

Gestin de Seguridad de la Informacin

Introduccin y Objetivos

Los principales objetivos de la Gestin de la Seguridad

se resumen en:
Disear una poltica de seguridad, en colaboracin con
usuarios y proveedores correctamente alineada con las
necesidades del negocio.
Asegurar el cumplimiento de las normas de seguridad
acordados.
Minimizar los riesgos de seguridad que amenacen la
continuidad del servicio.

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

11

Gestin de Seguridad de la Informacin

Introduccin y Objetivos
Principales
beneficios
de una
correcta
GSI:

Se evitan interrupciones del servicio causadas por virus, ataques informticos, etctera.
Se minimiza el nmero de incidentes.
Se tiene acceso a la informacin cuando se necesita y se preserva la integridad de los
datos.
Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios.
Se cumplen los reglamentos sobre proteccin de datos.
Mejora la percepcin y confianza de clientes y usuarios en lo que respecta a la calidad
del servicio.

Principales
dificultades
a la hora de
implementar
la GSI se
resumen en:

No existe el suficiente compromiso de todos los miembros de l rea de TI con el proceso.

Se establecen polticas de seguridad excesivamente restrictivas que afectan
negativamente al negocio.
No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad
del servicio (firewalls, antivirus, ...).
El personal no recibe una formacin adecuada para la aplicacin de los protocolos de
seguridad.
Falta de coordinacin entre los diferentes procesos lo que impide una correcta evaluacin
de los riesgos.

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

12

Gestin de Seguridad de la Informacin

Proceso

La Gestin de la Seguridad esta estrechamente relacionada con

prcticamente todos los otros procesos TI y necesita para su
xito la colaboracin de toda la organizacin.
Para que esa colaboracin sea eficaz es necesario que la
Gestin de la Seguridad:
Establezca una clara y definida poltica de seguridad que sirva
de gua a todos los otros procesos.
Elabore un Plan de Seguridad que incluya los niveles de
seguridad adecuados tanto en los servicios prestados a los
clientes como en los acuerdos de servicio firmados con
proveedores internos y externos.
Implemente el Plan de Seguridad.
Monitorice y evale el cumplimiento de dicho plan.
Supervise proactivamente los niveles de seguridad analizando
tendencias, nuevos riesgos y vulnerabilidades.
Realice peridicamente auditoras de seguridad.

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

13

Control del Proceso

Entre la documentacin generada cabra destacar:

Informes sobre el cumplimiento, en lo todo lo referente al

apartado de seguridad, de los SLAs, OLAs y UCs en vigor.
Relacin de incidentes relacionados con la seguridad
calificados por su impacto sobre la calidad del servicio.
Evaluacin de los programas de formacin impartidos y sus
resultados.
Identificacin de nuevos peligros y vulnerabilidades a las
que se enfrenta la infraestructura TI.
Auditoras de seguridad.
Informes sobre el grado de implementacin y cumplimiento
de los planes de seguridad establecidos.

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

14

Auditora a la Gestin de
Seguridad de la Informacin
Auditora a la Gestin de Seguridad de la Informacin

Custodios de los datos

Administrador de la Seguridad
Usuarios de los datos
Autorizaciones documentadas
Definicin de los derechos de acceso de empleados
Estndares de acceso

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

Auditora a la seguridad
de la infraestructura de red

Auditora a los accesos remotos

Auditando los puntos de presencia en internet

Pruebas de penetracin a la red

Revisin de los anlisis realizados a toda la red

Anlisis de las redes LAN

Desarrollo y autorizacin a los cambios en la red

Cambios no autorizados

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

Auditora a los controles ambientales

Detectores de humo y agua

Extintores manuales
Sistemas de supresin de fuego
Inspeccin regular del Departamento de Bomberos
Cielorasos, paredes y pisos del sitio de
procesamiento resistentes al fuego
Protectores de voltaje

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

Exposiciones y Controles de Acceso

Fsico

Exposiciones de acceso fsico

Ingreso no autorizado
Dao, vandalismo o robo de equipos y
documentos
Copia u observacin de informacin sensitiva
Alteracin de equipos o informacin sensitiva
Revelacin pblica de informacin sensitiva
Abuso de los recursos de procesamiento de datos
Chantaje
Malversacin

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

Recapitulacin

E-mail: jbel@usal.edu.ar

Copyright 2013. Juan de Dios Bel, CISA, CISM, CRISC para la Universidad del Salvador MBA Direccin de Sistemas de Informacin

19