©copyright 2013 isaca. todos los derechos reservados. la seguridad de la información ha sido...
TRANSCRIPT
©Copyright 2013 ISACA. Todos los derechos reservados.
La seguridad de la información ha sido tradicionalmente ejecutada en silos, utilizando terminologías y estructuras de reporte distintas.• Habilitadores para convergencia son:
— Rápida expansión del ecosistema de la empresa— Migración del valor de activos físicos a activos intangibles y basados en
la información— Nuevas tecnologías de protección que eliminan fronteras funcionales— Nuevos regímenes de cumplimiento y regulatorios— Presión constante para reducir costos
• Metas para la convergencia son:— Reducir las brechas de seguridad— Minimizar la duplicación de esfuerzos— Aumentar el retorno de la inversión en seguridad
1.5.7 Integración del proceso de aseguramientoConvergencia
©Copyright 2013 ISACA. Todos los derechos reservados.
2
1.6 Conceptos y tecnologías de seguridad de la información
• Control de acceso – quién / cómo se puede acceder a recursos
• Auditabilidad – permite reconstrucción, revisión y examinación de una secuencia de eventos
• Autenticación – verificación de identidad: algo que usted sabe, algo que usted tiene y algo que usted es
• Autorización – qué puede hacer cuando ya tiene acceso
• Disponibilidad – accesible y utilizable cuando se requiera
• Confidencialidad – secreto de datos
• Integridad – asegurar que no hay modificaciones no autorizadas en procesamiento, transmisión y almacenamiento
• Seguridad en capas – defensa en profundidad
• No - repudio –imposibilidad de negar autoría
©Copyright 2013 ISACA. Todos los derechos reservados.
3
1.7 Gobierno y relaciones con terceras partes
Reglas en los procesos de:• Proveedores de servicio• Operaciones tercerizadas (outsourced)• Socios comerciales• Organizaciones fusionadas o adquiridas
©Copyright 2013 ISACA. Todos los derechos reservados.
1.8 Métricas del gobierno de la seguridad de la información
• Métrica es un término utilizado para denotar medidas basadas en una o más referencias e involucra por lo menos dos puntos, la medida y la referencia.
• Las métricas contemporáneas de seguridad normalmente fallan en informarnos acerca del estado o grado de seguridad relativa a un punto de referencia.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.8.1 Métricas de seguridad de la información
• Es muy difícil o imposible administrar cualquier actividad que no se puede medir.
• Métricas estándar de seguridad incluyen algunas:—Tiempo de inactividad producido por virus—Porcentaje de servidores parchados.—Número de penetraciones de sistemas.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.8.1 Métricas de seguridad de la información
• Ninguna métrica en sí misma puede realmente proporcionar información sobre que tan segura es la organización en realidad, sin embargo, todo lo que puede decirse es que:—Algunas organizaciones son objeto de ataques con mayor
frecuencia y/o registran mayores pérdidas que otras.—Existe una gran correlación entre la buena gestión de
seguridad y buenas prácticas y relativamente menor número de incidentes y pérdidas.
©Copyright 2013 ISACA. Todos los derechos reservados.
1.8.2 Métricas de implementación de gobierno
• Algunas formas de métricas deben utilizarse durante la implementación de un plan de gobierno.
• Indicadores clave de meta (KGIs)* e indicadores clave de desempeño (KPIs)* pueden: — Entregar información acerca de la consecución de
metas de procesos o servicios— Ayudar a determinar los hitos que son alcanzados.
* - KGIs tienden más a reflejar metas estratégicas, por ejemplo, metas estratégicas de gobierno de seguridad de información, mientras los KPI tienden a reflejar metas tácticas, tales como la reducción del número de caídas del sistema.