CISM 2007 - Gu A de Estudio - Resumen v1.0

)o(
ISACA CISM - 2007 Resumen
CISM 2007 - Gua de estudio Resumen

CAPTULO 1: GOBIERNO DE LA SEGURIDAD DE INFORMACION (21% - 42 preg) Definicin: Establecer y mantener un marco que garantice que las estrategias de seguridad de informacin estn acordes con los objetivos del negocio y son congruentes con las leyes y disposiciones aplicables. Objetivo: El objetivo del gobierno de la seguridad de informacin es desarrollar un sistema para la direccin y el control de las organizaciones. e integrar planes de seguridad dentro del contexto ms grande de planeacin de negocio y tecnologas de informacin (TI). El gobierno de la seguridad implica el desarrollo y la integracin de una estructura administrativa y una organizacin con procesos de presentacin de informacin que abarquen todos los aspectos de un programa exitoso de seguridad y que garanticen a la gerencia del negocio la definicin y la administracin apropiada de los riesgos. Tareas: 1. Desarrollar la estrategia de la seguridad de informacin como apoyo a la estrategia y la direccin de negocio. 2. Obtener el compromiso y patrocinio de la gerencia para la seguridad de la informacin en toda la empresa. 3. Garantizar que las actividades de gobierno de seguridad de informacin estn incluidas en las definiciones de los roles y las responsabilidades en toda la empresa. 4. Establecer canales de comunicacin y presentacin de informacin que apoyen las actividades de gobernacin de seguridad de informacin. 5. Identificar temas legales y regulatorios tanto reales como posibles que afecten la seguridad de la informacin y determinar el impacto que tendran en la empresa. 6. Establecer y mantener polticas de seguridad de informacin que ayuden a alcanzar los objetivos y las metas del negocio. 7. Desarrollar procedimientos y pautas (guidelines) que respalden las polticas de seguridad de informacin. 8. Desarrollar un caso de negocio case y anlisis de valor de la empresa que justifiquen las inversiones en los programas de seguridad de informacin. Estrategia de seguridad de informacin Complemento de la estrategia y la direccin del negocio. Basada en objetivos, procesos, mtodos, herramientas y tcnicas de seguridad. Debe mitigar riesgos, ser un apoyo para los objetivos de la organizacin y maximizar el valor para aquellos que tengan algn inters en la organizacin, y al mismo tiempo permitir el cumplimiento con los requerimientos legales, contractuales y regulatorios del negocio. Conceptos: S. I. definida en trminos de proteger Confidencialidad, integridad, disponibilidad. Clasificacin de la informacin: Relacin entre la seguridad de la informacin y las operaciones de negocio: Entender la visin, misin y valores del negocio. Entender los objetivos de negocio y procesos crticos. Obtener un entendimiento y patrocinio de la gerencia. Desarrollar procedimientos y pautas de seguridad que sean acordes con los objetivos de negocio de la organizacin. Establecer un proceso de gobierno de seguridad. Establecer un sistema de mtricas para monitorear el ndice de xito de las polticas de gobierno de seguridad de informacin. Roles y responsabilidades de Gobierno (pirmide): Comit Ejecutivo: CFO, CIO, VP IT, (CEO), COO (diseo e implementacin de la infraestructura de seguridad). Consejo Administrativo: CIO, VP Finanzas Consejo de gobierno de seguridad de la empresa: CISO, CRO Equipos de administracin operativa de servicios: CTO, VP Servicios, COO
Pgina 1 de 24
)o(
Pirmide de gobierno corporativo: Chairman -> Presidente Board of Directors -> Consejo de Administracin o Junta Directiva CEO CFO COO CTO CMO ==> executive or senior vice president. CISO ==> high level corporate manager
CIO
CEO (Chief Executive Officer) -> Consejero delegado (Es) o Director ejecutivo (LAm) Miembro del consejo en quien delega sus funciones el Presidente, convirtindose en el mximo responsable tras l. CFO (Chief Financial Officer) responsable de gestionar los riesgos financieros del negocio. Reporta al CEO COO (Chief Operating Officer) Responsable de las decisiones operativas cotidianas, y de los resultados de las operaciones en curso. Reporta a CEO. CIO (Chief Information Officer) Responsable de gestionar los recursos y procesos de tecnologas de la informacin. Reporta al CEO o COO. CTO (Chief Technical/technology Officer) Responsable de gestionar la direccin cientfico-tcnica de la empresa. En empresas no tecnolgicas reporta al CIO, pero en tecnolgicas reporta directamente al CEO. CISO (chief Information Security Officer) Responsable de la estrategia de seguridad de la informacin. En empresas no tecnolgicas reporta al CIO, pero en tecnolgicas reporta directamente al CEO. CSO (chief security officer) ejecutivo responsable de la seguridad. A veces es un perfil de seguridad fsica para diferenciarlo del CISO. CMO (Chief Marketing Officer). Responsable de las actividades de relativas al marketing. Reporta al CEO. Tcnicas para obtener el apoyo de la gerencia: Alinear los objetivos de la seguridad con los objetivos de negocio para que la gerencia comprenda y aplique las polticas y los procedimientos de seguridad. Identificar las posibles consecuencias de no alcanzar determinados objetivos relacionados con la seguridad y el cumplimiento regulatorio. (tratarlos como un riesgo) Identificar temas del presupuesto de tal forma que la gerencia pueda cuantificar los costos del programa de seguridad. Utilizar modelos de riesgos / beneficios de proyectos comnmente aceptados, tales como costo total de propiedad (TCO) o costo-beneficio, para cuantificar los beneficios y los costos de un programa de seguridad. Definir las medidas de auditoria y monitoreo que se incluirn en el programa de seguridad Definir un proceso de cumplimiento. Utilizar mtodos, como cuadros de mando (balanced scorecards business) para proporcionar a la gerencia un medio para analizar el avance del programa de seg. Requerir que la administracin de riesgos se integre a la operacin del programa de seguridad Asegurarse de que se definan claramente las responsabilidades. Asistir a juntas con el personal del departamento y hacer presentaciones. El personal notar el compromiso de los jefes departamentales durante dichas juntas. reas de Gobierno: Anlisis, evaluacin y administracin de riesgos. Administracin de clasificacin de datos. Seguridad de redes. Acceso a los sistemas. Administracin de cambios. Anlisis de impacto al negocio. Presentacin de informacin. Manejo de crisis. Continuidad de la organizacin. Monitoreo de la seguridad.
Procesos para vincular las polticas a los objetivos de negocio:
Pgina 2 de 24
)o(

Si la inversin en la seguridad de informacin es proporcional o no al perfil de riesgo de la organizacin y a sus objetivos de negocio. La clasificacin de informacin/datos que se requiere de la organizacin de manera que se puedan implementar polticas de seguridad para su proteccin. (propietario/custodia/usuario) Si las polticas de seguridad estn debidamente diseadas, implementadas y aplicadas para proteger la informacin de la organizacin.
Elementos que forman un programa de seguridad de la informacin: Polticas: declaraciones de alto nivel de conceptos y expectativas en base a un perfil de amenazas. Normas: mtricas o procesos que se utilizan para determinar si los procedimientos cumplen con los requerimientos de las polticas. Procedimientos: Entregables que incluyen en detalle los pasos necesarios para cumplir con tareas especificas y que cumplan las normas. Pautas (guidelines): Las pautas proveen recomendaciones que la gerencia de negocios debe considerar al desarrollar prcticas dentro de sus reas de control (discrecional) Los procedimientos y las pautas respaldan las polticas. Bases del modelo de mejora de procesos: Apoyo de gerencia, concienciacin, responsabilidad, evaluacin, comunicacin y control de cambios. Modelo de madurez: Mtodos de Anlisis de Valor: ROI (Return of Inversion), TCO (Total Cost of Operations), ROSI (Return on Security Investment). ROI vs ALE (expectativa de prdida anual) ALE = SLE (expectativa de prdida nica) x ARO (frecuencia esperada de ocurrencia) Realizar un Business Case mediante anlisis costo-beneficio y planes de migracin de la empresa. Standards internacionales de seguridad aceptados: BS 7799, ISO 17799. Leyes: SOX,
Pgina 3 de 24
)o(
CAPTULO 2: ADMINISTRACIN DE RIESGOS (21% - 42 preg) Definicin: Identificar y administrar los riesgos en la seguridad de informacin para alcanzar los objetivos de negocio. Objetivo: El objetivo de la administracin de riesgos es identificar, cuantificar y administrar los riesgos de la seguridad de informacin para alcanzar los objetivos de negocio mediante una serie de tareas que requieren del conocimiento del gerente de seguridad de informacin sobre tcnicas clave para la administracin de riesgos. Tareas: 1. Desarrollar un proceso de administracin de riesgos continuo, analtico y sistemtico. 2. Asegurar que las actividades de identificacin. anlisis y mitigacin de riesgos estn integradas en los procesos del ciclo de vida. 3. Aplicar los mtodos de identificacin y anlisis de riesgos. 4. Definir estrategias y priorizar las opciones para mitigar el riesgo a niveles aceptables para la empresa. 5. Presentar informacin sobre cambios significativos en los riesgos a niveles jerrquicos apropiados tanto de forma peridica como a medida que suceda algn incidente. La administracin de riesgos es el proceso de garantizar que el impacto de las amenazas que explotan las vulnerabilidades est dentro de lmites y costos aceptables. Se logra mediante un equilibrio entre la exposicin al riesgo y los costos de mitigacin. El riesgo es la probabilidad de que un incidente o transaccin ocasione prdidas financieras o datos patrimoniales a la empresa, su personal, sus activos o su reputacin en general. Riesgo = Valor (activos) x Vulnerabilidades x Amenazas Para determinar el nivel razonable de riesgo aceptable, el administrador de riesgos debe determinar el punto ptimo en el cual el costo de las prdidas se intersecta con el costo de controles. Existen cuatro opciones estratgicas: Cesar la actividad que da origen al riesgo. Transferir el riesgo a otra parte. Reducir el riesgo mediante el uso de medidas y mecanismos de control apropiados. Aceptar el riesgo. Los controles pueden atacar el riesgo directamente o pueden ser controles compensatorios que mitiguen los efectos de una incidencia. La conveniencia de los controles implica evaluar: La probabilidad de que ocurra una prdida La magnitud y el efecto del impacto Para determinar la probabilidad de la incidencia se requiere de un criterio comercial. Si el costo de los controles (gastos indirectos por controles) excede los beneficios, una organizacin puede decidir aceptar el riesgo en vez de incurrir en costos adicionales para asegurar sus sistemas. Programa sistemtico de administracin de Riesgos La poltica para la administracin de riesgos incluye los objetivos y los compromisos para la administracin de riesgos. La organizacin debe: Garantizar el programa de planeacin y recursos se establezca v mantenga. Definir los pasos a seguir para implementar un sistema efectivo de administracin de riesgos (Programa de Implementacin) Garantizar que se revise el sistema de administracin de riesgos (Revisin de Administracin) La administracin de riesgos puede aplicarse a muchos niveles de la organizacin (estratgicos u operativos). Tambin puede aplicarse a proyectos, decisiones o procesos especficos. Para cada etapa del proceso, se deben mantener controles adecuados que sean suficientes para aprobar una auditora independiente.
Pgina 4 de 24
)o(
Desarrollo del Programa de administracin de Riesgos: Establecer el propsito. Puede ser reducir el costo de seguros o reducir el nmero de daos relacionados con el programa. Es una decisin de negocio basada ms en el juicio que en mediciones cuantitativas. Designar a una persona o equipo que sea responsable del programa. El proceso debe estar dirigido por el negocio, no por la tecnologa. Categoras individuales de riesgo: Riesgo ambiental operativo y de instalaciones Riesgo de salud y seguridad Riesgo de seguridad de informacin Riesgo de marcos de control Riesgo legal y de incumplimiento regulatorio Riesgo de gobierno corporativo: incumplimiento de los directores con sus obligaciones regulatorias personales Riesgo reputacional Riesgo estratgico: No cumplir con las metas estratgicas a largo plazo Riesgo de procesamiento y desempeo: problemas con la entrega del servicio o producto Riesgo tecnolgico Riesgo de administracin de proyectos Riesgo de actos ilcitos o delictivos Riesgo de RRHH: No reclutar, desarrollar o retener a los empleados que cuenten con habilidades Riesgo de proveedores Riesgo de informacin administrativa Riesgo de tica Riesgo geogrfico Riesgo cultural Riesgo climtico Los cuatro conceptos relacionados con la identificacin y el anlisis de riesgos son: Incidente de riesgo - una posible incidencia que puede dificultar el logro de los objetivos de la organizacin. Probabilidad - la posibilidad de que el incidente de riesgo ocurra dentro de un periodo definido. Valor esperado - el impacto cuantificable que tendra el incidente de riesgo en la organizacin. Impacto - el valor tangible e intangible del efecto que tendra el incidente de riesgo en la organizacin. El resultado de cualquier vulnerabilidad que sea explotada por las amenazas. Marco para el anlisis de riesgo:
REPETIR { VALUACIN de Activos | |---> EVALUACIN de Vulnerabilidad ---> EVALUACIN de Amenazas | | |----> EVALUACIN de Riesgos <-----| | |----> EVALUACIN de Control < --- Acciones Preventivas | |----> RIESGO Residual | |----> PLAN DE ACCIN }
Pgina 5 de 24
)o(
Riesgo sin lmites: no existe limitacin en el impacto. Riesgo conjunto: Una amenaza en particular puede afectar a un gran nmero de vulnerabilidades menores que en conjunto pueden tener un impacto muy significativo. Riesgo residual: riesgo que permanece si se determina que la accin preventiva es menos que del todo efectiva. Permanecen aun despus de que se han aplicado los controles. La gerencia puede hacer uso del riesgo residual para identificar aquellas reas en las cuales se requiere de mayor control para reducir an ms el riesgo. La gerencia puede establecer un objetivo para un nivel aceptable de riesgo. Evaluar, determinar y clasificar (priorizar) el riesgo: Primero identificar y clasificar los recursos de informacin para determinar la confidencialidad de los activos. El proceso de evaluacin de activos consiste en relacionar todos los valores en una forma financiera comn. Es importante que la evaluacin incluya los posibles efectos dainos resultantes. Se requiere considerar el valor de la informacin desde la perspectiva del dao potencial o consecuencias significativas que resulten de intrusin o divulgacin no intencional. Ejemplos de activos: Informacin y datos, hardware, software, servicios, documentos, personal. Las amenazas son circunstancias o incidentes que tienen la probabilidad de ocasionar dao a un recurso de informacin al explotar las vulnerabilidades en el sistema. Muchas deficiencias en los sistemas de TI pueden sacarse a la luz mediante el uso de equipo de escaneo automatizado. Una vez que se ha establecido todos los riesgos individuales, se combinan para conformar una perspectiva general del riesgo. La clave para la administracin de riesgos est en el proceso de tratamiento o mitigacin de riesgos
Los controles pueden ser una combinacin de elementos que garantice la efectividad de las medidas (acciones, dispositivos, procedimientos o tcnicas). Responsabilidades del Gerente de Seguridad de Informacin: Garantizar que se cuente con mecanismos de medicin (mtricas) para determinar el riesgo y la efectividad de las medidas de seguridad, as como para mitigarlo. (Proceso de administracin de riesgos) Entender, tanto en lo referente a recursos internos como externos, los procesos de negocio y los recursos de informacin que son crticos para cada lnea de negocio. Entender las necesidades de confidencialidad, integridad y disponibilidad de la organizacin. Asegurar que las actividades de identificacin, anlisis y mitigacin de riesgos se integren al ciclo de vida de los procesos. Debe conocer las modificaciones propuestas. Los cambios no se deben hacer sin considerar las implicaciones que tendran en la seguridad de los recursos de informacin. Debe participar como miembro de Comit de Control de Cambios e intentar garantizar que todos los cambios significativos estn sujetos a revisin y aprobacin por parte de seguridad. Considerar la administracin de riesgos como si tuviera un ciclo de vida. Los gerentes de proyecto se pueden encargar de la administracin de riesgos. Abordar los diferentes tipos de riesgos, tales como el operativo, el fsico y el de proyecto. Manejar y presentar informacin sobre el estado de los riesgos identificados. Los mtodos de identificacin de riesgos deben: Examinar todas las reas de los recursos de informacin de una organizacin en forma sistemtica y objetiva. Ser proactivos, ms que reactivos, en su enfoque. Sintetizar todas las fuentes disponibles de informacin de riesgo tanto internas como externas. Metodologas para la valuacin de recursos de informacin: La valuacin de los activos de informacin puede oscilar desde costos por reemplazo o reconstruccin de los datos destruidos hasta posibles sanciones impuestas por las autoridades como resultado de informacin que est en peligro. En
Pgina 6 de 24
)o(
ocasiones se utiliza la valuacin discrecional o cualitativa, cuando se toma una decisin independiente con base en el conocimiento del negocio, los directores ejecutivos, perspectivas histricas, las metas de negocio y los factores ambientales. Mtodos cuantitativos y cualitativos utilizados para determinar la confidencialidad y la criticidad de los recursos de informacin, as como el impacto de incidentes adversos descritos en el marco de COBIT, NIST y Octave de CERT. Los riesgos que implican prcticas menos que adecuadas deben identificarse y documentarse claramente y despus enviarse a la gerencia para su correccin o aceptacin. El estado actual y su relacin con el estado futuro que se pretende alcanzar se pueden informar a la gerencia al codificar con colores el grado al cual cada tema est en cumplimiento o no. Se llama informe de semforo o verde-amarillo-rojo. Mitigacin de riesgos: Controles disuasivos para reducir las amenazas mediante una variedad de medios para reducir el riesgo general. Controles preventivos para reducir las vulnerabilidades y hacer que un ataque no tenga xito reducir el impacto que tendra. Controles correctivos para reducir el impacto. Controles de deteccin para identificar ataques o investigaciones que conduzcan a un ataque que desencadenen controles preventivos o correctivos. Se debe equilibrar el costo de las tcnicas de seguridad con los riesgos de los recursos de informacin que se hayan definido en el proceso de evaluacin de riesgos. El RTO se define por el negocio como el tiempo de inactividad que puede durar un recurso sin suponer un impacto grave. A menudo se tienen dos perspectivas de RTO. Una de ellas es la de las personas cuyo trabajo es utilizar la informacin, y la otra es la de la gerencia. El resultado se dividir entre el plan de continuidad de negocio y el orden de prioridad para la recuperacin de los sistemas. Una vez determinados los RTO, la organizacin puede identificar y desarrollar estrategias de contingencia que permitan alcanzar los RTO de los recursos de informacin. El gerente de seguridad de informacin debe tener conocimiento de los objetivos de tiempos de recuperacin (RTOs) para los recursos de informacin en base a las necesidades de negocio como parte de la evaluacin general de riesgo. Informar los cambios significativos en el riesgo: A medida que ocurren cambios dentro de la organizacin, la evaluacin de riesgos debe actualizarse para garantizar que sigue siendo una representacin exacta. El programa de seguridad debe incluir un proceso mediante el cual una violacin significativa a la seguridad o un incidente importante en la seguridad generen un informe especial a la gerencia. Documentacin de la poltica para la administracin de riesgos: Objetivos de la poltica y razn para la administracin de riesgos. Vnculos entre la poltica para la administracin de riesgos y los planes tanto estratgico como de negocio corporativo de la organizacin. Alcance y rango de temas a los cuales la poltica ser aplicable. Orientacin sobre lo que debe considerarse como riesgo aceptable. Quin es responsable de la administracin de riesgos. Experiencia de soporte disponible para ayudar a aquellos encargados de la administracin de riesgos. Nivel de documentacin requerido. Plan para revisar el cumplimiento con la poltica de administracin de riesgos.
Pgina 7 de 24
)o(
DEFINICIONES:
Clasificacin de datos: Asignar a los datos un nivel de confidencialidad que resulta en la especificacin de controles para cada nivel de clasificacin. Los niveles de confidencialidad de datos se asignan de acuerdo con categoras definidas previamente a medida que los datos se generan, modifican. mejoran, almacenan o transmiten. El nivel de clasificacin es un indicador del valor o importancia que tienen los datos para la organizacin. Anlisis de amenazas: Una evaluacin del tipo, alcance y naturaleza de los incidentes o acciones que pueden resultar en consecuencias adversas; identificacin de las amenazas que existen contra los activos de informacin y la tecnologa de informacin. El anlisis de amenazas suele definir tambin el nivel de amenaza y la probabilidad de que sta se materialice. Anlisis de impacto: Un anlisis de impacto es un estudio para determinar los servicios o aplicaciones ms crticos de una organizacin. En un anlisis de impacto se identifican amenazas a los activos y se determinan prdidas de negocio potenciales para diferentes periodos. Esta evaluacin se utiliza para justificar el grado de proteccin que se requiere y los tiempos de recuperacin. Este anlisis es la base para establecer una estrategia de recuperacin. Anlisis de impacto al negocio (BIA): Un ejercicio que determina el impacto de perder el soporte de cualquier recurso de una organizacin, establece el aumento de dicha prdida con el tiempo, identifica los recursos mnimos que es necesario cubrir y prioriza la recuperacin de los procesos y sistemas de soporte. Anlisis de criticidad: Un anlisis que evala los recursos o las funciones del negocio para identificar su importancia la organizacin, y el impacto que tendra si una funcin no puede llevarse a cabo o si un recurso no est disponible. Riesgo residual: La cantidad de riesgo que permanece aun despus de que se han implementado con roles y acciones preventivas. Objetivo de Tiempo de Recuperacin (RTO): Tiempo establecido para la recuperacin de una funcin o recurso del negocio despus de que ha ocurrido un desastre. Objetivo de Punto de Recuperacin (RPO): Una medicin del punto anterior a un corte de energa al cual se debe restablecer los datos. Evaluacin de riesgo: Un proceso que se utiliza para identificar y evaluar los riesgos y su posible impacto en la organizacin en trminos cuantitativos o cualitativos. Mitigacin de riesgo: La reduccin de un riesgo mediante el uso de controles y acciones preventivas. Transferencia de riesgo: El proceso de ceder el riesgo a otra organizacin, por lo general mediante la compra de una pliza de seguro. Evasin de riesgos: El proceso para evitar un riesgo en forma sistemtica
Pgina 8 de 24
)o(
CAPTULO 3: ADMINISTRACION DEL PROGRAMA DE SEGURIDAD DE INFORMACIN (21% - 42) Definicin: Disear, desarrollar y administrar un programa de seguridad de informacin con la finalidad de implementar el marco de gobierno de seguridad de informacin. Objetivo: La administracin del programa de seguridad de informacin tiene por objetivo disear. Desarrollar y administrar un programa de seguridad de informacin para implementar el marco de gobierno de seguridad de informacin. Tareas: 1. Crear y mantener planes para implementar el marco de gobiemo de seguridad de informacin. 2. Desarrollar parmetros de seguridad de informacin. 3. Desarrollar procedimientos y pautas (guidelines) que garanticen que los procesos del negocio tratan el riesgo de seguridad de informacin. 4. Desarrollar procedimientos y pautas (guidelines) para las actividades de infraestructura de TI a fin de garantizar el cumplimiento con las polticas de seguridad de informacin. 5. Integrar los requerimientos del programa de seguridad de informacin a las actividades del ciclo vital de la organizacin. 6. Desarrollar mtodos para cumplir con los requerimientos de la poltica de seguridad de informacin que consideren el impacto que tendran en los usuarios finales. 7. Promover la responsabilidad por parte de los dueos del proceso del negocio y otros que tengan inters en la empresa para administrar los riesgos de la seguridad de informacin. 8. Establecer mtricas para administrar el marco de gobierno de la seguridad de informacin. 9. Garantizar la identificacin, la asignacin y la administracin de los recursos tanto internos como externos para la seguridad de informacin. El objetivo final es garantizar que tanto los sistemas como los recursos de informacin se administren dentro del nivel de riesgo aceptable. Evaluacin de riesgo - proceso que consiste en analizar las amenazas v las vulnerabilidades de un sistema de informacin y el posible impacto que pudiera resultar de la prdida de informacin o las capacidades de un sistema. Este anlisis se utiliza como base para identificar acciones preventivas de seguridad que sean apropiadas y rentables. Opciones para tratar el riesgo: Evitarlo, transferirlo o administrarlo en base a factores tales como costo, probabilidad, impacto y mantenimiento. Opciones para la toma de decisiones: Control de seguridad vs. facilidad de uso Seguridad vs. costo Seguridad vs. probabilidad Seguridad vs. impacto Seguridad vs. mantenimiento En el anlisis de riesgo cuantitativo, el resultado son los valores numricos que indican el producto de la prdida en la que se pudiera incurrir si un determinado activo estuviera en peligro de alguna manera multiplicado por la probabilidad de prdida. En un anlisis de riesgo cualitativo el nivel de riesgo para un determinado activo se describe como alto, medio o bajo. Los objetivos de la seguridad para cumplir con los requerimientos del negocio incluyen: Garantizar la integridad de la informacin almacenada en sus sistemas de cmputo. Mantener la confidencialidad de los datos. Garantizar la continua disponibilidad de sus sistemas de informacin. Prevenir el no repudio de operaciones electrnicas Garantizar el apego a las leyes, regulaciones y normas aplicables. Elementos clave para la administracin de la seguridad de informacin: Compromiso y apoyo por parte de la gerencia Polticas Roles y responsabilidades Normas
Pgina 9 de 24
)o(

Implementacin de las medidas prcticas y procedimientos Organizacin Comunicaciones (concienciacin y capacitacin)
Responsabilidades relacionadas con la seguridad dentro de la organizacin: Direccin ejecutiva Dueos de procesos Dueos de datos Especialistas/asesores en seguridad Desarrolladores de TI Tener la responsabilidad total de la proteccin de los activos de informacin. Garantizar que las medidas de seguridad sean congruentes con la poltica organizacional y que se mantengan Determinar los niveles de clasificacin de datos para los activos de informacin para que la organizacin de seguridad pueda establecer niveles apropiados de control que satisfagan sus requerimientos de confidencialidad, integridad y disponibilidad Divulgar y ayudar con el diseo, la implementacin, administracin y la revisin de la poltica, las normas y los procedimientos. Implementar la seguridad de informacin en los productos que desarrollan e instalan Cumplir con la poltica de seguridad de la organizacin y seguir las prcticas y los procedimientos de la organizacin establecidos para aplicar la poltica de seguridad, entre otros: Mantener en secreto las claves de acceso y las contraseas Mantener actualizados los perfiles de virus Notificar sospechas de violaciones a la seguridad Mantener una seguridad fsica adecuada al mantener las puertas cerradas, salvaguardar las llaves de acceso, no divulgar las combinaciones para abrir las cerraduras de las puertas y cuestionar a personas ajenas. Apegarse a las leyes (locales y otras) y regulaciones aplicables Apegarse a las regulaciones sobre la privacidad de la informacin confidencial (p.ej. salud, legales, etc.). Brindar confianza a la gerencia en forma independiente sobre la conveniencia y la efectividad de los objetivos de seguridad de informacin Puesto que las pautas (guidelines), las polticas y los procedimientos de seguridad afectan a toda la organizacin, es necesario que los usuarios finales, la direccin ejecutiva, la administracin de seguridad, el personal de SI y los abogados respalden el programa de seguridad y hagan recomendaciones sobre cmo se puede implementar la seguridad en sus respectivos dominios para que la poltica se aplique con un impacto negativo mnimo en la funcionalidad. Por lo tanto, los individuos que representan a los diversos niveles de la gerencia deben reunirse en un comit para discutir estos temas y establecer prcticas de seguridad. El comit debe establecerse de manera formal con los trminos apropiados de referencia o estatutos y minutas regulares de juntas que incluyan acciones que se revisen en cada reunin.
Usuarios
Auditores de Sistemas de Informacin (SI).
Comit de Seguridad de SI.
Crear y mantener planes Se necesita desarrollar un plan para: Definir el marco Obtener la aprobacin por parte de la gerencia Implementar el marco de gobierno de la seguridad de informacin Monitorear su avance y hacer cambios segn se requiera El marco debe incluir tambin el desarrollo y la implementacin de la poltica, las normas y las pautas de seguridad Mtodos para desarrollar un plan de implementacin: Desarrollar el plan de implementacin o utilizar los servicios de contratistas/asesores Desarrollar una matriz para ilustrar cmo se debe proteger cada recurso de informacin
Pgina 10 de 24
)o(
Mtodos y tcnicas para la administracin del proyecto En caso de que la organizacin no tenga establecida una funcin para el patrocinio de proyectos, el gerente de seguridad de informacin deber aplicar tcnicas de administracin de proyectos generalmente aceptadas, tales como establecer metas, medir el avance, dar seguimiento a fechas limite y asignar responsabilidades en forma controlada y repetible. El plan debe analizarse para determinar el nivel de esfuerzo y los recursos que se requerirn para llevar a cabo cada tarea. Elementos: horas hombre, requerimientos de instalaciones, requerimientos de hardware y software y requerimientos de capacitacin. Se debe obtener un clculo fase por fase del nivel de esfuerzo y recursos y ampliar la suma de esfuerzos expresada en horas para obtener los gastos que implica la implementacin. El calendario se puede representar con las tablas de Gantt o los diagramas PERT. En puntos clave/incidentes el presupuesto y el calendario debern revisarse. Cualquier varianza en el presupuesto o el calendario debe analizarse para determinar la causa y la accin correctiva que se debe tomar para minimizar o eliminar la varianza del proyecto total. Las varianzas y el anlisis de stas debern informarse oportunamente a la gerencia. Parmetros (baselines) para la seguridad de informacin Los parmetros para la seguridad de informacin define la seguridad mnima aceptable que se requiere implementar para proteger los recursos de informacin de acuerdo con sus respectivos niveles de criticidad. Se utilizan los parmetros de seguridad para determinar que medidas adicionales es necesario implementar. La seguridad de informacin se puede utilizar en la forma ms eficiente posible al incluir la seguridad en el diseo, desarrollo y manejo de las aplicaciones del negocio y la infraestructura. Procesos de negocio Desarrollar procedimientos y pautas (guidelines) para garantizar que los procesos de negocio tratan el riesgo de seguridad de informacin es fundamental para la administracin de un programa de seguridad de informacin. Para desarrollar los procedimientos y pautas hay que entender el proceso del negocio, las actividades de infraestructura y el ambiente de riesgo. Actividades de la infraestructura de TI para cumplir con las polticas de seguridad Componentes de la infraestructura de TI: Procesos, fsicos, plataforma y red. Cada componente tiene requerimientos de confidencialidad, integridad, disponibilidad y no repudio de la informacin. Controles necesarios para una poltica integral: Controles Controles Controles Controles Controles de procesos fsicos de personal de plataforma (SOs, y aplicaciones especficas) de redes
Arquitecturas de seguridad Administracin de identidad (basada en reglas) Conexin nica Acceso al sistema basado en listas
Pgina 11 de 24
)o(

Puntos de la administracin de sistemas Seguridad administrada Sistemas abiertos Sistemas cerrados
El gerente de seguridad de informacin debe manejar las diferentes arquitecturas de seguridad y determinar si la organizacin debe implementar una arquitectura de seguridad. Actividades y Metodologas para el ciclo vital del desarrollo de sistemas El gerente de seguridad de informacin puede disear e implementar el programa de seguridad en forma ms eficaz si se incluye la seguridad durante el ciclo vital del desarrollo de sistemas. Se podran emplear una variedad de metodologas de desarrollo (p.ej. SDLC tradicional, establecimiento de prototipos. etc.). Cundo y cmo se considerara la seguridad durante dicho proceso variar dependiendo de la metodologa. Fases SDLC tradicional Fase 1. Factibilidad/Viabilidad Fase 2. Requerimientos Fase 3. Diseo Fase 4. Desarrollo Fase 5. Implementacin Determina los beneficios estratgicos Define el problema y los requerimientos funcionales Establece un parmetro de las especificaciones del sistema y mdulos que describan las partes del sistema Formaliza los procesos operativos de soporte del sistema Establece la operacin real del nuevo sistema de informacin con una prueba de aceptacin de usuarios (UAT)
Un desarrollo reciente en el mbito de la seguridad de informacin implica certificar y acreditar cumplimiento de las aplicaciones comerciales y la infraestructura con el marco de gobierno de la seguridad de informacin de la empresa. Desarrollar mtodos que cumplan con los requerimientos de la poltica de seguridad que reconozcan el impacto que tiene en los usuarios finales es un punto clave de cualquier programa de seguridad. Un programa de seguridad debe incluir los procesos de planificacin, realizacin, informar y dar seguimiento a las pruebas de seguridad. Hacer pruebas a tecnologas de seguridad nuevas o modificadas es fundamental para garantizar que se mantenga el acceso autorizado de una organizacin a sus recursos de informacin. El gerente de seguridad de informacin necesita priorizar los controles con base en la administracin de riesgos y los requerimientos de la organizacin. Asimismo, debe ver los costos de varios controles y compararlos contra los beneficios que la organizacin obtendr de ellos. Promover la responsabilidad por parte de los dueos del proceso de negocio y otras personas que tengan inters en la empresa para manejar los riesgos en la seguridad de informacin es un reto para la gerencia de seguridad de informacin. El gerente de seguridad de informacin debe reunirse con los dueos del proceso de negocio y con otras personas que tengan inters en la empresa para discutir sus responsabilidades en los riesgos de la seguridad de informacin. Este es un proceso de concienciacin. Mtricas Las mediciones tales como el nmero de ataques lanzados contra los sistemas o el nmero de virus o gusanos erradicados, son slo algunas de las mtricas para administrar el marco de gobierno de la seguridad. Los mayores problemas son determinar lo que es necesario medir y cmo medirlo. El gerente de seguridad de informacin necesita determinar cmo medir el nivel de riesgo de los sistemas y redes para saber qu controles de seguridad se deben implementar a fin de elevar la
Pgina 12 de 24
)o(
capacidad y la consciencia de la seguridad en los empleados y las mejoras entre una medicin y la siguiente. Recursos internos y externos para la seguridad de informacin El gerente de seguridad de informacin necesita asegurarse de que los requerimientos de seguridad estn definidos y que los recursos internos y externos cumplen con los requerimientos. Tambin debe aplicar la debida diligencia al seleccionar recurso externo para ejecutar alguna parte del programa de seguridad de la organizacin. El gerente de seguridad de informacin necesita tener conocimiento de diseo, el desarrollo y la implementacin de las mtricas de seguridad. Las mtricas deben permitir determinar si el programa de seguridad est cumpliendo con los objetivos de la organizacin. El gerente de seguridad de informacin debe contar con un proceso robusto de manejo de incidentes. El gerente de seguridad de informacin debe investigar el proceso de adquisicin aplicado por la organizacin a fin de determinar si se est realizando de acuerdo a los procedimientos. El gerente de seguridad de informacin podra solicitar el apoyo del departamento jurdico y/o de compras antes de firmar cualquier contrato. El gerente de seguridad de informacin podra desarrollar una matriz de evaluacin para calificar a cada empresa proveedora y comprobar si cumple los requerimientos.
Pgina 13 de 24
)o(
CAPTULO 4: GERENCIA DE LA SEGURIDAD DE INFORMACIN (24% - 28 preg) Definicin: Supervisar y dirigir las actividades de la seguridad de informacin para ejecutar el programa de seguridad de informacin. Objetivo: El objetivo de esta rea es enfocarse en las tareas y el conocimiento que requiere contar el gerente de seguridad de informacin para administrar de forma efectiva la seguridad de informacin dentro de una organizacin. Asimismo. se presenta una descripcin de varias tcnicas que puede utilizar el gerente de seguridad de informacin y las reas en las que debe enfocarse. Tareas: 1. Garantizar que las reglas para el uso de los sistemas de informacin cumplan con las polticas de seguridad de informacin de la empresa. 2. Garantizar que los procedimientos administrativos para los sistemas de informacin cumplan con las polticas de seguridad de informacin de la empresa. 3. Garantizar que los servicios prestados por otras empresas, entre otras proveedores externos, sean congruentes con las polticas de seguridad de informacin establecidas. 4. Utilizar mtricas para medir, monitorear y notificar la efectividad y la eficiencia de los controles de seguridad de informacin y el cumplimiento con las polticas de seguridad de informacin. 5. Garantizar que no se ponga en peligro la seguridad de informacin durante el proceso de control de cambios. 6. Garantizar que se lleven a cabo evaluaciones de la vulnerabilidad para determinar la efectividad de los controles existentes. 7. Garantizar que los temas de incumplimiento y otras varianzas se resuelvan en forma oportuna. 8. Garantizar un desarrollo y entrega de las actividades que puedan influir en la cultura y comportamiento del personal, entre otras, la formacin y la consciencia sobre la seguridad de informacin. En muchas organizaciones, el nivel de compromiso puede no ser del todo completo y el gerente de seguridad puede documentar riesgos e impactos potenciales a los que se enfrenta la organizacin, asegurndose de que la gerencia est informada de los resultados y los encuentre aceptables. El desarrollo de la poltica de seguridad de los sistemas de informacin proporciona el marco para disear y desarrollar controles administrativos, operativos y tcnicos adecuados. Es responsabilidad del nivel gerencial ms alto dentro de una organizacin. Todos los empleados y usuarios externos tienen que recibir la capacitacin apropiada antes de que se les otorgue acceso a informacin o servicios y deber formar parte de la induccin de empleados de nuevo ingreso. Los gerentes de seguridad de informacin deben conocer las actividades de monitoreo para garantizar el cumplimiento con las leyes y las regulaciones aplicables a las cuales est sujeta la organizacin. El monitoreo adecuado es un requerimiento. Tanto los parmetros de seguridad (baselines) como los recursos deben adaptarse a las amenazas cambiantes y las nuevas vulnerabilidades. Un programa de seguridad integra incluir: Estrategia de seguridad con adquisiciones por parte de la gerencia Polticas de seguridad completas y congruentes con la estrategia Normas completas para todas las polticas relevantes. Procedimientos completos y precisos para todas las operaciones importantes Asignacin de roles y responsabilidades Procesos de monitoreo efectivos Procesos efectivos de cumplimiento y aplicacin de las leyes. Capacidades de respuesta a emergencias e incidentes funcionales y probados. Plan probado de recuperacin de desastres/continuidad del negocio Aprobacin adecuada de la seguridad en lo relativo a los procesos de control de cambios. Riesgos debidamente identificados, evaluados, comunicados y administrados. Usuarios conscientes de la seguridad y capacitacin necesaria.
Pgina 14 de 24
)o(
Controles para reducir los riesgos a niveles aceptables.
La estrategia de negocio es el punto de partida para el desarrollo de una estrategia de seguridad. Las medidas de seguridad pueden ser potencialmente perjudiciales. Se debe contar con un proceso para garantizar el cumplimiento de las polticas. Las unidades operativas que hagan uso de los procedimientos a nivel operativo debern encargarse de su desarrollo o participar en l. La poltica de uso aceptable detalla en trminos cotidianos, las obligaciones y las responsabilidades de todos los usuarios de una forma concisa y sencilla. Debe proporcionarse a todo el personal de nuevo ingreso que tendr acceso a los activos de informacin, sin importar su puesto. Una norma proporciona los lmites permisibles claros para un conjunto de procedimientos o procesos, ya sean manuales o automatizados. Es fundamental que el gerente de seguridad de informacin trabaje junto con los gerentes de aplicaciones y sistemas de informacin para garantizar que los procedimientos administrativos para los sistemas de informacin cumplan con las polticas de seguridad. Mediante aplicaciones de software relacionadas con la seguridad se solicita que se otorgue autoridad a miembros del personal. Los registros de actividad se deben revisar de forma peridica. Es importante que para otorgar acceso al sistema estn sujetos a controles especficos y monitoreo para minimizar los riesgos relacionados con el acceso no autorizado. Debe quedar claro quin hace qu y quin es responsable. El gerente de seguridad de informacin debe tomar las medidas necesarias para negociar con socios en apego a las polticas de seguridad establecidas en la empresa. Cuando no sea posible garantizar la seguridad de las partes externas, podra ser necesario introducir controles y acciones preventivas internas para minimizar los riesgos. El gerente de seguridad de informacin necesita asegurar, hasta donde sea posible, que el proveedor externo cumple con las polticas de seguridad de informacin establecidas en la organizacin. El cumplimiento del proveedor con estas polticas de seguridad debe estar claramente definido en el acuerdo de nivel de servicio y en los primeros lugares en la lista de factores de decisin cuando se elija a un proveedor. Los socios comerciales que no cuentan con un programa robusto de seguridad de informacin podran presentar deficiencias en la seguridad. El acuerdo de nivel de servicio es una herramienta clave a la que puede recurrir el gerente de seguridad de informacin para asegurarse de que los proveedores de servicios de seguridad cumplan con los requerimientos de seguridad internos. Utilizar mtricas para medir, monitorear e informar sobre la efectividad y la eficacia de los controles de seguridad de informacin y el cumplimiento con las polticas de seguridad de informacin es labor continua que debe llevar a cabo el gerente de seguridad de informacin. Las mtricas permiten evaluar el riesgo de manera regular e identificar las mejoras al paso del tiempo. Tambin se pueden realizar pruebas de penetracin externas. Deben ser especficas, mesurables, alcanzables repetibles y dependientes del tiempo (SMART). El monitoreo continuo de los sistemas de deteccin de intrusos y los firewalls pueden proporcionar informacin en tiempo real sobre intentos de violaciones a las defensas perimetrales.
Pgina 15 de 24
)o(
Otras tcnicas de monitoreo posterior al hecho son el registro de incidentes, las evaluaciones de cumplimiento, los sistemas de deteccin de intrusos basados en host y las pruebas de penetracin. Las diversas tcnicas deben estar a cargo del equipo de seguridad en una nica consola. El gerente de seguridad de informacin debe contar con procesos para determinar la efectividad en general de las inversiones en la seguridad y hasta que grado se han cumplido los objetivos. El Costo Total de Propiedad (TCO) est formado por los diversos componentes de un programa de seguridad (implementacin, personal de administracin de controles, mantenimiento, actualizaciones, coste de consultores,) Las implicaciones en la seguridad deben estar incluidas en cada proceso de control de cambios que soporte la organizacin. Un riesgo comn es el desarrollo o la implementacin de una nueva aplicacin que d acceso a redes externas. Es importante que se introduzcan los elementos de seguridad en una etapa temprana del ciclo de desarrollo. Los planes de pruebas y aseguramiento de calidad (QA) tienen que sujetarse a una revisin por parte del gerente de seguridad. Personal externo debe revisar el cdigo para garantizar la independencia. Hay que actualizar con regularidad los controles de seguridad y las acciones preventivas para que se adapten a los cambios organizacionales. Hay que llevar a cabo evaluaciones de vulnerabilidades a fin de determinar la efectividad de los controles existentes. Estas incluyen: Escanear diversos controles de seguridad para determinar si existen vulnerabilidades Probar los controles que existen para determinar su efectividad. Realizar pruebas de penetracin para localizar vulnerabilidades. Formular recomendaciones para reducir las vulnerabilidades y mejorar la seguridad Tomar medidas correctivas y dar seguimiento al avance. Una vulnerabilidad para la cual no exista una amenaza no es un riesgo. Una vulnerabilidad, aun si se explota, que no tenga un impacto tampoco es un riesgo. Los proveedores han comenzado a ofrecer servicios de evaluaciones dirigidas de la vulnerabilidad, mediante los cuales se llevan a cabo evaluaciones de forma regular. Debida diligencia es la idea de que existen pasos que podra seguir una persona razonable en circunstancias similares. Para el gerente de seguridad, la norma legal podra ser ms alta y requerir de una norma profesional de debido cuidado. Como profesional, se espera que se hayan tomado todas las acciones razonables que tomara una persona con los conocimientos en el mbito requerido. No cumplir con los niveles mnimos podra considerarse negligente y conducir a la prdida de activos, vidas y/o litigios. El esfuerzo general sobre la seguridad podra beneficiarse de las revisiones peridicas y las recomendaciones hechas por los proveedores de aseguramiento. Diversas organizaciones constantemente descubren e informan sobre estas vulnerabilidades. Hay que mantener un monitoreo diario de las entidades relevantes que publican esta informacin (CERT, SANS, Carnegie Mellon, fabricantes,) Se desarrolla un programa para documentar cada tema de incumplimiento, y se asigna y registra la responsabilidad de resolverlo. Es posible identificar los temas de incumplimiento y otras diferencias a travs de una serie de mecanismos, entre otros: Monitoreo normal. Informes de auditoria. Revisiones a la seguridad. Escaneo a la vulnerabilidad. Trabajo de debida diligencia.
Pgina 16 de 24
)o(
El gerente de seguridad de informacin tiene que determinar si los planes de seguridad, los planes de prueba y la repeticin de ejecucin (revalidacin) de la organizacin requieren de alguna modificacin. Los parmetros de seguridad de la organizacin podran cambiarse por varias razones, entre otras que un proveedor identifique que un parmetro en este software o hardware tiene que cambiarse para obtener la proteccin deseada. El gerente de seguridad de informacin debe estar familiarizado con los controles de mitigacin que pudiera ser necesario utilizar en caso de que falle el control primario de la seguridad (medidas alternas). La concienciacin y la capacitacin sobre la seguridad y es ahora un requerimiento. La organizacin tiene que conocer su propia cultura, la actitud del personal hacia la seguridad de informacin y sus objetivos para hacer que el personal se comporte de una manera segura. Es un proceso continuo. El gerente de seguridad de informacin obtiene el apoyo de la gerencia y la aceptacin de la organizacin, as como el cumplimiento de las polticas y los procedimientos del programa de seguridad de informacin. Todo el personal debe recibir capacitacin sobre sus responsabilidades especficas. El gerente de seguridad de informacin debe ser capaz de trabajar con los diferentes departamentos para discutir los riesgos en la seguridad de informacin a los que se enfrentan y sugerir soluciones y asegurarse de que los procesos de control de cambios dentro de la organizacin incluyan a la seguridad de informacin (rol de consultora). Lo que se considera razonable en una cultura puede no ser aceptable en otra. Debe trabajar de manera conjunta con los departamentos de jurdico y personal para identificar conflictos y encontrar soluciones. Si las polticas no estn completas o no son concisas, es posible que no sean cumplidas. El gerente de seguridad debe definir y comunicar el programa de seguridad en forma clara. Demostrar al personal los beneficios de una seguridad de informacin permitir obtener su apoyo. Se debe considerar: pblico del programa, mensaje, resultado objetivo, mtodos de comunicacin y estructura y cultura de la organizacin. Los usuarios externos deben recibir capacitacin apropiada y actualizaciones regulares sobre la importancia de la seguridad en las polticas y los procedimientos organizacionales. Para los empleados de nuevo ingreso, esto debe llevarse a cabo antes de que se les otorgue acceso a informacin o servicios. Se aumentar la concienciacin mediante: Programas de capacitacin y concienciacin sobre seguridad basados en computadoras Recordatorios por correo electrnico y consejos sobre seguridad Polticas y procedimientos (y actualizaciones) escritos sobre seguridad Acuerdos de confidencialidad firmados por los empleados Uso de diferentes medios para promover la seguridad Cumplimiento visible de las reglas sobre seguridad Simulaciones de incidentes relacionados con la seguridad para mejorar los procedimientos relacionados Premiar a los empleados que informen sobre incidentes sospechosos Revisiones peridicas Descripciones de puesto Revisiones del desempeo Se debe medir la efectividad de la formacin y la concienciacin proporcionada al personal. La retroalimentacin obtenida debe utilizarse para mejoras continuas.
Pgina 17 de 24
)o(
CAPTULO 5: RESPUESTA GERENCIAL (13% - 26 preg.) Definicin: Desarrollar y administrar una capacidad para responder ante incidentes destructivos y perjudiciales relacionados con la seguridad de informacin y recuperarse de ellos. Objetivo: El objetivo de esta rea de prctica de trabajo es desarrollar polticas y procedimientos que permitan a la organizacin responder ante incidentes destructivos y perjudiciales relacionados con la seguridad de informacin y recuperarse de ellos. Tareas: 1. Desarrollar e implementar procesos para detectar, identificar y analizar incidentes relacionados con la seguridad. 2. Desarrollar planes de respuesta y recuperacin que incluyan organizar, capacitar y dotar a los equipos. 3. Garantizar que se realicen pruebas a los planes de respuesta y recuperacin en forma peridica, cuando sea apropiado. 4. Garantizar la ejecucin de planes de respuesta y recuperacin segn se requiera. 5. Establecer procedimientos para documentar un incidente como la base para tomar acciones posteriores, entre otras, de tipo forense, cuando sea necesario. 6. Manejar revisiones posteriores a los incidentes para identificar causas y tornar acciones correctivas. El Plan de Continuidad de Negocio (BCP) es un proceso diseado para reducir el riesgo comercial de la organizacin. Esto incluye recursos humanos / materiales que respalden las funciones / operaciones criticas y el aseguramiento de la continuidad del nivel mnimo de los servicios que se requieren para soportar las operaciones crticas. Incluye el Plan de Recuperacin de Desastre (DRP) y el Plan de Continuidad de Operaciones con estrategia congruente. El DRP es el plan que siguen los S.I. para recuperar un equipo de procesamiento de TI o las unidades de negocio para recuperar un equipo operativo. El BCP es la combinacin de la planeacin de desastre y la continuidad de las operaciones del negocio. Los planes de los sistemas de informacin tienen que ser congruentes con el plan corporativo de continuidad del negocio y sustentarlo. Definir las expectativas es responsabilidad de la gerencia. Desarrollo y mantenimiento del BCP: Anlisis de impacto al negocio (BIA) del efecto que tendra la prdida de procesos de negocio crticos Identificar/priorizar sistemas /recursos que soportan los procesos de negocio crticos Elegir estrategias apropiadas para recuperar los procesos de negocio crticos Desarrollar el plan detallado para recuperar los equipos de sistemas de informacin (DRP) Desarrollar un plan detallado de funciones de negocio crticas para continuar operando a un nivel aceptable (BCP) Capacitar al personal sobre cmo seguir los planes Probar los planes Dar mantenimiento a los planes a medida que cambia el negocio y se desarrollan los sistemas Almacenar los planes para que sean accesibles a pesar de fallar las computadoras o la red Auditar los planes Los incidentes son acciones que dejan evidencias naturales o tecnolgicas. Deben existir procesos para detectar, identificar, analizar (correlacin de eventos, categorizacin y priorizacin) y dar respuesta a incidentes. Con el anlisis se determina el impacto sobre los recursos de informacin de la organizacin para modificar el programa de seguridad segn sea necesario. Objetivos de la capacidad de respuesta a incidentes: Notificar a la gente apropiada el propsito de la recuperacin o proporcionar la informacin necesaria Recuperarse rpida y eficazmente de los incidentes relacionados con la seguridad Minimizar el impacto del incidente relacionado con la seguridad Responder en forma sistemtica y reducir la probabilidad de que el incidente vuelva a ocurrir Equilibrar los procesos operativos y de seguridad Resolver problemas legales
Pgina 18 de 24
)o(
Por lo general las actividades de manejo de amenazas se enfocan a las que se llevan a cabo inmediatamente despus de un incidente. Es importante que la informacin sobre algn incidente se comunique slo si es necesario conocerla. Los desastres son interrupciones que causan que los recursos de informacin crticos se vuelvan inoperables durante un tiempo, ocasionando un impacto adverso en las operaciones de negocio. No todas las interrupciones criticas en el servicio se clasifican corno desastres per se; sin embargo, tienen una naturaleza de alto riesgo. Se deben identificar y registrar los recursos que se requieren para continuar con el negocio despus de una interrupcin. Una vez que la gerencia aprueba las estrategias de recuperacin, el gerente de seguridad de informacin debe supervisar el desarrollo de planes integrales de respuesta y recuperacin. Se deben designar, identificar y capacitar los equipos de recuperacin. Fases de los procesos de planeacin de recuperacin de desastre: Evaluacin de riesgos y evaluacin de impacto al negocio. Definicin de la estrategia de recuperacin. Documentacin de los planes de recuperacin. Capacitacin que incluya los procedimientos de recuperacin. Actualizacin de los planes de recuperacin. Prueba de los planes de recuperacin. Auditora de los planes de recuperacin. Una estrategia de recuperacin identifica la mejor forma de recuperar un sistema en caso de desastre y proporciona una orientacin basada en los procedimientos de recuperacin detallados. La estrategia apropiada es aquella que tiene un costo por un tiempo aceptable de recuperacin que tambin es razonable comparado con el impacto y la probabilidad de ocurrencia segn se haya determinado en el anlisis de impacto al negocio. Eleccin de la Estrategia de recuperacin en base a: Criticidad de procesos, costo, seguridad, fiabilidad. Tipos de HW de respaldo: o Hot Sites: Estn completamente configurados y listos para operar dentro de muchas horas. Su costo se justifica por las aplicaciones crticas. El contrato debe incluir el tiempo necesario, la frecuencia y el tiempo especificado para la realizacin de pruebas. El uso a largo plazo daara la proteccin de otros suscriptores. o Warm Sites: Son infraestructuras completas pero que estn parcialmente configuradas en TI (NAS, cinta,...) pero sin unidad principal. o Cold Sites: Tienen slo el ambiente bsico (cableado, luz, piso) o Equipos duplicados: Desde un hot site de emergencia hasta un acuerdo reciproco con otra compaa para la instalacin. Consideraciones o Ventana de Interrupcin: Tiempo que puede esperar la compaa a partir de la falla hasta el restablecimiento de los servicios/aplicaciones crticas. o Objetivos de Tiempo de Recuperacin (RTO): Tiempo mximo para regresar completamente a las operaciones normales. o Objetivos de Punto de Recuperacin (RPO): Antigedad de los datos que necesita poder restablecer en caso de un desastre. o Objetivos de Entrega de Servicios (SDOs): Nivel de servicios que deben soportarse. o Interrupciones a la Energa elctrica mximas tolerables (MTO): Tiempo mximo que la organizacin puede soportar el procesamiento en un modo alterno. Los acuerdos recprocos se celebran entre dos o ms organizaciones que tienen equipos aplicaciones similares. Las clusulas contractuales para el uso de sitios de terceros deben incluir: Configuraciones del hardware Y software del proveedor son adecuadas. Definicin de desastre Cun pronto despus de un desastre estarn disponibles los equipos Suscriptores por sitio Suscriptores por rea
Pgina 19 de 24
)o(

Preferencia Seguro en el sitio de respaldo. Periodo de uso. Tiempo de disponibilidad. Comunicaciones Garantas Derecho a auditar Pruebas Certificar la fiabilidad del sitio de recuperacin Costos en caso de cancelacin del contrato. Sanciones. Personal de soporte provisto. Software proporcionado por el proveedor.
Alternativas de respaldo de hardware: Un proveedor o un tercero - Los proveedores de hardware son en general la mejor fuente de equipo de reemplazo o proveedor de HW de segunda mano. En existencia o disponibles de inmediato. Prevencin de desastres de redes: Enrutamiento alternativo Enrutamiento diverso Diversidad de redes de larga distancia Proteccin de recursos locales Recuperacin de voz Disponibilidad de circuitos y ancho de banda apropiados Disponibilidad comunicaciones fuera de banda El desarrollo detallado del plan de recuperacin de desastre debe tener en cuenta: Disposicin antes del desastre Procedimientos de evacuacin Cmo declarar un desastre identificar los procesos de negocio y los recursos de TI que deben recuperarse identificar las responsabilidades en el plan identificar a las personas responsables de cada funcin en el plan identificar la informacin de contacto La explicacin paso a paso de las opciones de recuperacin identificar los diversos recursos que se requieren para la recuperacin y la continuidad de las operaciones. Se deben mantener copias del plan fuera del sitio. Equipos de personal con responsabilidades asignadas: Equipo de accin ante emergencias. Evacua al personal en forma ordenada y protegiendo la vida humana. Equipo de evaluacin de daos Equipo de manejo de emergencias. Coordina las actividades de los dems equipos de recuperacin y tomar decisiones clave. o Recuperar datos vitales y crticos desde el almacenamiento fuera del sitio o Instalar y probar software y aplicaciones del sistema en el sitio de recuperacin del sistema (hot site, cold site, agencia de servicios). o Identificar, adquirir e instalar hardware en el sitio de recuperacin del sistema o Operar en el sitio de recuperacin del sistema o Volver a enrutar el trfico de comunicaciones en la red o Restablecer la red de sistemas/usuarios o Transportar a usuarios al sitio de recuperacin, si es necesario o Reconstruir bases de datos o Abastecer del equipo de oficina necesario o Organizar y pagar los gastos de reubicacin de empelados o Coordinar horarios de uso de sistemas y de trabajo de empleados Equipo de almacenamiento fuera del sitio
Pgina 20 de 24
)o(
Equipo Equipo Equipo Equipo Equipo Equipo Equipo Equipo Equipo Equipo Equipo Equipo Equipo de de de de de de de de de de de de de

software aplicaciones seguridad: monitorea seguridad de redes y sistemas. operaciones de emergencia: recuperacin de redes comunicaciones transportacin hardware de usuarios registros y preparacin de datos soporte administrativo abastecimiento: logstica proveedores. rescate reubicacin
Las tres principales divisiones que necesitan estar involucradas en la formulacin de un plan de continuidad del negocio son servicios de soporte, operaciones de negocio y soporte de procesamiento de informacin. El plan deber incluir una lista del personal con informacin de contacto. Debe cubrir tambin la notificacin del personal de sistemas de informacin y usuarios finales clave para la toma de decisiones as como quienes deben iniciar y llevar a cabo los esfuerzos de recuperacin. A su vez un directorio que debe contener: Una lista priorizada de contactos (rbol telefnico) Nmeros telefnicos y direcciones principales y para emergencias por cada persona critica de contacto Nmeros de telfono y direcciones de representantes de proveedores Nmeros de telfono de contactos dentro de compaas Nmeros de telfono de personas de contacto en los sitios de recuperacin Nmeros de telfono de personas de contacto en sitios de almacenamiento de medios fuera del sitio Nmeros telefnicos de agentes de seguros Nmeros telefnicos de contactos de servicios de contratacin de personal Es responsabilidad de la organizacin y no de las operadoras locales garantizar las capacidades de comunicacin constante. Mtodos para proporcionar la continuidad de los servicios de redes: Redundancia Enrutamiento alternativo (cable, FO) Enrutamiento diverso Diversidad de redes de larga distancia Proteccin de circuito de ultima milla Recuperacin de voz La pliza debe elaborarse modularmente y debe incluir cobertura a: Equipo e instalaciones de SI Reconstruccin de medios (software) Gastos adicionales Interrupcin del negocio Documentos y registros de valor Errores u omisiones Cobertura de fidelidad Transporte de medios (prdida o daos) Las pruebas peridicas del BCP deben ser documentadas (pre-prueba, prueba, post-prueba) incluyendo: Desarrollo de objetivos de la prueb Ejecucin de la prueba Evaluacin de la prueba Desarrollo de recomendaciones para mejorar la efectividad del proceso de prueba
Pgina 21 de 24
)o(
implementar un proceso de seguimiento que garantice que se han implementado las recomendaciones
El gerente de seguridad de informacin debe asegurarse de que un tercero independiente est presente para monitorear y evaluar la prueba. La prueba debe incluir todos los componentes crticos y simular las condiciones reales de procesamiento de mayor audiencia, aun si se lleva a cabo fuera de las horas pico. Objetivos de las pruebas: Verificar la integridad y la precisin del plan. Evaluar el desempeo del personal involucrado en el ejercicio. Evaluar el nivel demostrado de capacitacin y concienciacin de los miembros del equipo tcnico de continuidad. Evaluar la coordinacin entre el equipo de continuidad del negocio y los proveedores externos. Medir la habilidad y la capacidad del sitio alterno para realizar procesamientos recomendados Evaluar la capacidad de recuperacin de registros vitales. Evaluar el estado y la cantidad de equipo e insumos que se han reubicado al sitio de recuperacin Medicin el desempeo general de las actividades de procesamiento operativo y de sistemas de de informacin relacionados con mantener la entidad de negocio. Fases de la prueba: Antes de la prueba: acciones necesarias para establecer el escenario para la prueba real Prueba: Se ejecutan las actividades operativas reales para probar los objetivos especficos Despus de la prueba: comprende asignaciones como regresar todos los recursos a su lugar apropiado, desconectar equipo, regresar al personal a sus ubicaciones y borrar todos los datos de la compaa de los sistemas de terceros Tipos de prueba: Prueba de papel/tericas Prueba de preparacin Prueba operativa completa Se deben desarrollar mtricas (tiempo, cantidad, porcentaje, precisin) para medir el xito del plan y se debe probar otra vez contra los objetivos establecidos. Responsabilidades especificas para el mantenimiento especifico del plan: Desarrollar un programa para la revisin y el mantenimiento peridico del plan e informar al personal sobre sus roles y las fechas lmite para recibir modificaciones y comentarios Solicitar revisiones fuera del programa cuando ocurran cambios significativos Revisar las modificaciones y los comentarios y actualizar el plan dentro de un periodo razonable (p.ej. 30 das) despus de la fecha de revisin Organizar y coordinar pruebas programadas y no programadas del plan de negocio a fin de evaluar su conveniencia. Participar en las pruebas programadas del plan al menos una vez al ao y redacta evaluaciones Desarrollar un programa para capacitar al personal de recuperacin Mantener registros de las actividades de mantenimiento del plan (pruebas, capacitacin y revisiones) Actualizar, al menos cada tres meses, el directorio de notificacin para incluir los cambios en el personal, entre otros, nmeros telefnicos y responsabilidades dentro de la compaa. Para administrar efectivamente la seguridad y dar respuesta apropiada a los incidentes, se debe: Implementar un proceso de escalado o Para cada incidente, se debe describir una lista de acciones en la secuencia lgica en la que deben realizarse. Cada accin tiene una asignacin relacionada de responsabilidad y un tiempo calculado para su ejecucin. o Una situacin de alerta da lugar a notificar a las personas apropiadas dentro de la organizacin resulta en una decisin ejecutiva o el establecimiento de nuevas tareas tcnicas. Se podran emitir notificaciones de alerta a la gerencia. o La declaracin de desastre se puede enviar a las autoridades, el pblico en general. Los accionistas y los que tengan un inters en la empresa.
Pgina 22 de 24
)o(
o o
El total de tiempo transcurrido tiene que ser acorde al RTO. El proceso de escalado debe incluir priorizar la informacin del incidente y el proceso de decisin para determinar cundo alertar a varios grupos, incluso la gerencia, el pblico en general, los accionistas. Conocer y administrar las polticas y los procedimientos para la deteccin de intrusos o Si un sistema se est en peligro al nivel del sper usuario se debe reconstruir a partir del medio de instalacin original. o Se deben definir las metas, objetivos y prioridades para las actividades de deteccin de intrusos y evaluar las alternativas que cumplen mejor con dichos requerimientos. o Se debe determinar la combinacin apropiada entre los proveedores de servicios de seguridad contratados y el personal interno. Contar con procesos definidos de mesas de ayuda (Help Desk) para identificar incidentes o El reconocimiento inmediato de un incidente en progreso y su pronta canalizacin a las partes pertinentes es fundamental para minimizar el impacto que se derive de dichos incidentes. o Capacitacin adecuada tambin contribuir a reducir el riesgo de que la mesa de ayuda sea un blanco de un ataque exitoso de ingeniera social diseado para obtener acceso a cuentas. o El personal de la mesa de ayuda debe conocer los procedimientos apropiados para informar y escalar el incidente. Contar con eficaces (ej. automticos) de notificacin de incidentes o funciones que requieren de informacin relativa a incidentes: Administracin de riesgos Relaciones humanas Jurdico Relaciones pblicas Operaciones de redes o Establecer un criterio de decisin para determinar la prioridad de los incidentes y los criterios para emitir alertas no slo ayudar a otros a tomar las alertas en serio sino a garantizar que se den respuestas oportunas y coordinadas ante incidentes importantes. o Se deben definir las responsabilidades y comunicarlas al personal clave. Se deben documentar estas responsabilidades en las descripciones de puesto de los empleados. Establecer procedimientos para documentar un incidente o Existen ocasiones en las cuales puede ocurrir un incidente y el personal de seguridad necesita tener procedimientos documentados para que se pueda registrar la informacin relevante y se puedan preservar los datos. o Se deben desarrollar procedimientos para la preservacin de datos con la orientacin y la asistencia del rea jurdica. o La respuesta inicial por parte del administrador del sistema debe incluir: Recuperar la informacin necesaria para confirmar el incidente. identificar el alcance y la magnitud del ambiente afectado. Determinar el grado de prdida, modificacin o dao. ldentificar posibles rutas o medios de ataque. Respaldar todas las fuentes posibles de evidencia o informacin relevante cuando sea apropiado o Los respaldos deben realizarse slo despus de que se han considerado detenidamente los costos en comparacin con los beneficios. Presentar la evidencia sin contaminacin. (herramientas forenses) o Para garantizar la admisibilidad de la evidencia, es recomendable utilizar herramientas forenses para crear una copia byte por byte de cualquier evidencia que pudiera existir en discos duros u otros medios. o Se debe reconstruir cualquier prueba o anlisis de datos mediante la copia. El original debe entregarse a un custodio designado. o El medio original deben permanecer intacto y se deber mantener un registro de quin tiene su custodia, la "cadena de evidencia", para que dicha evidencia sea admisible en un tribunal. Llevar a cabo revisiones posteriores al incidente y procedimientos de seguimiento o Dirigir revisiones posteriores a los incidentes ayuda al gerente de seguridad de informacin a aprender del incidente y del esfuerzo resultante.
Pgina 23 de 24
)o(
o o o o

El incidente puede ser el resultado de un fallo en los controles de seguridad implementados. El equipo encargado de revisar los incidentes deber revisar cualquier evidencia y formular recomendaciones. Una vez que se haya trazado el plan de accin, se deben seguir los pasos necesarios para implementar la solucin. Estos principios bsicos reducen el tiempo que requiere el personal para reaccionar ante incidentes relacionados pudiendo invertir mas tiempo en actividades proactivas.
Incidente SI detectado con IDS / Copia forense / Reconstruir Sistema / Inspeccin de copia forense.
Pgina 24 de 24

CISM 2007 - Gu A de Estudio - Resumen v1.0

Transféré par

Informations du document

Description originale:

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CISM 2007 - Gu A de Estudio - Resumen v1.0

Transféré par

Droits d'auteur :

Formats disponibles

)o(

ISACA CISM - 2007 Resumen