Académique Documents
Professionnel Documents
Culture Documents
sa
GUÍA PARA LA
ISSMP CBK
® ®
Otros libros de la (ISC) 2 SERIE DE PRENSA
®
EEUU originales obras impresas en los Estados Unidos de América sobre papel libre de ácido 10 9 8 7 6 5 4 3 2 1
Este libro contiene información obtenida de fuentes auténticas y de gran prestigio. Se han hecho esfuerzos razonables para publicar los datos
y la información fiable, pero el autor y el editor no pueden asumir la responsabilidad de la validez de todos los materiales o las consecuencias
de su uso. Los autores y editores han tratado de rastrear los titulares de derechos de autor de todo el material reproducido en esta publicación
y pedir perdón a los titulares de derechos de autor si no se ha obtenido permiso para publicar en esta forma. Si cualquier material de derechos
de autor no ha sido reconocido por favor escriba y háganos saber para que podamos rectificar en cualquier reimpresión futuro.
A excepción de lo permitido por la Ley de Derechos de Autor de Estados Unidos, ninguna parte de este libro puede ser reproducido, la reproducción,
transmisión, o utilizarse, de ninguna forma o por cualquier medio electrónico, mecánico u otro, ahora conocidos o en los inventó, incluyendo fotocopia,
microfilmación, y la grabación, o en cualquier información dE ALMACENAJE edad o la recuperación del sistema, sin permiso por escrito de los editores.
Los permisos para copiar o utilizar material electrónicamente a partir de este trabajo, por favor acceder www.copy- right.com
(http://www.copyright.com/) o contacte con el Copyright Clearance Center, Inc. (CCC), 222 Rosewood Drive, Danvers, MA 01923,
978-750-8400. CCC es una organización sin fines de lucro que pro- licencias Vides y registro para una variedad de usuarios. Para las
organizaciones que se han concedido una licencia tocopy foto- por la CCC, un sistema separado de pago ha sido arreglado.
Aviso de marca registrada: Nombres de productos y empresas pueden ser marcas comerciales o marcas comerciales registradas, y sólo se utilizan para
la identificación y explicación y sin intención de infringir.
v
© 2011 por Taylor & Francis Group, LLC
Editor
Ha publicado varios artículos sobre temas de seguridad de la información para Auerbach Editores ( Manual de
Gestión de Seguridad de la Información Seguridad de datos Manage- ment); Diario de Información de Seguridad; Academia
Nacional de Ciencias ( Ordenadores en situación de riesgo); Pro Informes de datos; y Elsevier El acceso de la AISS revista.
Ha sido ponente en todas las grandes conferencias seguridad de la información INCLUYENDO Computer
Security Institute, la Conferencia Anual de Trabajo de la AISS, el Taller de Seguridad Informática, Conferencias de
MIS, Seguridad AIS para ciones Espacio Oper, Conferencia de Seguridad DOE ordenador, Conferencia Nacional de
Seguridad Informática , Conferencia de Seguridad IIA, EDPAA, UCCEL Seguridad y auditoría Conferencia de
Usuarios, y la Conferencia sobre temas de seguridad industrial.
vii
© 2011 por Taylor & Francis Group, LLC
viii • Editor
La investigación internacional. Participó en el Ernst y video Young “La protección de los activos de
información.” En la actualidad es el editor de la Manual de Gestión de Información de Seguridad ( Auerbach
Publications). Preside el (ISC) 2 Comités CBK y el Comité de control de calidad. Recibió el Premio a la
Trayectoria del Instituto de Seguridad Informática en 1994, (ISC) 2 'S Premio Hal Tipton en 2001, y el
(ISC) 2 Fundadores Award en 2009.
James Litchko, CISSP-ISSEP, PAC, MBCI, CMAS, es senior de seguridad de expertos en Litchko &
Associates. El Sr. Litchko ha trabajado como experto en seguridad y gestión de más de 30 años. Ha sido un
ejecutivo de ?? cinco organizaciones y supervisar y apoyar la obtención de más de 200 militares, el gobierno
y com- Mercial sistemas de TI. Desde 2008, ha apoyado la obtención de sistemas de TI en el DHS, el DOE,
VHA, la NASA, la EPA, la USAF, el Departamento de Justicia, y FEMA. Jim creó y enseñó el curso de
seguridad de TI ?? primer graduado de la Universidad Johns Hopkins (JHU) y fue gerente de la NSA. Jim
tiene una maestría de la Johns Hopkins y es autor ?? cinco libros sobre temas de seguridad y gestión.
Craig S. Wright, CISSP-ISSAP, ISSMP, es un director con Información de Defensa en Australia. Él lleva a cabo
tanto en el GSE-malware y GSE-cados Cumplimiento ?? nes de ca- GIAC. Él es un estudiante perpetuo con
numerosos títulos de postgrado, incluyendo un LLM especializada en derecho comercial internacional y el
derecho de comercio electrónico, el grado de maestría en estadística matemática de Newcastle, y está
trabajando en su cuarto título de máster centrado IT-(en el desarrollo del sistema) en la Universidad Charles
Stuart , Australia, donde imparte materias en la ciencia forense digital. Él es ESCRITO ing su segundo doctorado
en la cuanti ?? cación de información de riesgo del sistema en CSU.
Cheryl Hennell, EdD, MSc, CISSP, SBCI, ha trabajado en la industria de TI durante 40 años. Su trabajo incluye el
desarrollo de sistemas para el Ministerio de Defensa, el análisis de los sistemas de la administración pública,
consultora europea para una organización de primer orden y de 20 años como profesor universitario de alto nivel.
Actualmente es responsable de TI y seguridad de la información para Openreach, BT. Obtuvo su maestría en
diseño de sistemas de información de la Universidad de Kingston, Londres, y su médico-comió de la Universidad
de Southampton, Reino Unido, y es un especialista en el Business Continuity Institute, Reino Unido. Ella es
también un embajador de Childnet.
Cheryl era el director del curso para el primer grado ?? forense digital en el Reino Unido, que creó
y entregado por la Universidad de Portsmouth. Ha sido invitado como ponente en conferencias
internacionales en Europa, Oriente Medio y África.
ix
© 2011 por Taylor & Francis Group, LLC
X • colaboradores
Sus temas incluyen seguridad de la información, auditoría, riesgos y gobierno, la seguridad física y la continuidad del
negocio y recuperación de desastres.
Maura van der Linden pasado más de una década en las pruebas de software de Microsoft Corpor un ción con una
especialización en las pruebas de seguridad, incluyendo el trabajo de la Unidad de Tecnología de Seguridad en el Equipo
de Respuesta de malware. Después de servir como un revisor Nical tec- para MSDN Magazine, escribió su primer artículo ??
en la prueba de inyección SQL para Revista MSDN. A continuación, escribió su primer libro ??, Prueba de código de
seguridad,
Auerbach, Boca Ratón, Florida, con el fin de enseñar a otros probadores de la necesidad y la complejidad de las pruebas de
seguridad. OUGH que ahora trabaja como un escritor de programación, que mantiene sus estrechos vínculos con las
Keith Willett, CISSP-ISSAP, tiene más de 25 años de experiencia en la información tecnologıa que abarca el
mundo académico y comercial, locales y gobiernos nacionales. El Sr. Willett tiene una licenciatura en ciencias
de la computación de la Universidad de Towson, Maryland, una maestría en Negocios de la Universidad de
Baltimore, Maryland, y un MSIA de la Universidad de Norwich, Vermont, y él tiene las denomina- ciones CISSP
y ISSAP de (ISC) 2. Willett es el autor de Arquitectura Aseguramiento de la Información y coautor de Cómo lograr
27001 Certi cación ??, ambos publicados por Auerbach. Cuando no está trabajando, el señor Willet disfruta de
viajes mundial, la gastronomía y el vino, y ha disfrutado de todo en más de 125 ciudades en 30 países.
seguridad de la información es un campo ?? compleja que requiere no sólo una fuerte visión para los técnicos, sino
también la capacidad de aplicar los principios de gestión para el desarrollo e implementación de un e información © caz
programa de gestión de la seguridad. ejecutivos jefe de seguridad de la información seguridad de la información o «RCE,
ejecutivos de alto nivel de seguridad, información del jefe o« oficiales y jefes de la tecnología o «RCE-debe ser capaz de
entender los riesgos para activos de la organización y determinar la mejor manera de alo- cado financiero ?? y los
recursos de personal para lograr los objetivos de gestión de seguridad de información y ?? ll todos los requisitos de
cumplimiento ful. Tenemos una necesidad sin precedentes de líderes en este campo ?? que están equipados con el
conocimiento y la experiencia necesaria para garantizar que nuestros sistemas y redes están operando de forma segura
y fiable.
gestión de las iniciativas de cumplimiento, la continuidad del negocio y la planificación de recuperación de desastres y asuntos
legales. La obtención de la certificación CISSP-ISSMP valida que usted tiene el conocimiento para crear e implementar
programas de gestión de correo © ectantes seguridad de la información para satisfacer las necesidades de seguridad de su
organización.
xi
© 2011 por Taylor & Francis Group, LLC
xii • Prefacio
A medida que revise la información de este libro y estudiar para el certificado CISSP-ISSMP ?? examen de
cationes, recuerde que aventurarse más allá de la base sólida de la certificación CISSP ?? cación en última instancia,
debería ayudar a mejorar su carrera, así como su capacidad para guiar arriba-y-venir los profesionales de seguridad
de la información.
Le deseamos éxito en su viaje hacia la obtención de la certificación CISSP-ISSMP ?? cación.
gestión de la seguridad se puede dE ?? define como el proceso de asegurar que la creación y el mantenimiento
de la estructura de seguridad de la información de una empresa protege la confidencialidad con ??, integridad y
disponibilidad de los sistemas de negocio sensibles crítica y / o, al mismo tiempo ser en cumplimiento de las políticas
internas y externas, legisla- ción y los reglamentos. Estados Unidos, el gerente de seguridad es responsable y
calificado ?? ed para llevar a cabo las funciones necesarias para lograr los objetivos de seguridad de la empresa. E
ISSMP cado ?? catión se pretende medir y evaluar la capacidad de un particular indicación a ser acreditado como un
profesional en este campo ?? exigente.
E CISSP CBK-ISSMP ha sido desarrollado para abarcar todos los ele- mentos de conocimiento que se requiere
un individuo que posee una función de seguridad de información manage- ment. E-ISSMP CISSP cubre ?? cinco
dominios: Prácticas de gestión de la empresa de seguridad, sistema de seguridad Desarrollo de toda la empresa,
supervisar el cumplimiento de las operaciones de seguridad, Business Continuity Planning, Planificación de
recuperación de desastres y continuidad de la planificación de operaciones, y Derecho, Investigación, medicina
forense, y la ética.
xiii
© 2011 por Taylor & Francis Group, LLC
xiv • Introducción
E toda la empresa de seguridad de dominio de Desarrollo del Sistema cubre los temas siguien- tes:
• Las pruebas del sistema (Prueba elemento de seguridad y Documentación / Con dencial ??
En el Business Continuity Planning, Planificación de recuperación de desastres, y Con ti- nu dad de dominio
planificación de operaciones, los temas cubiertos incluyen:
• BCP y DRP planificación del proyecto (dirección Drivers Comité / Negocio / Política /
Alcance / Requisitos de Recursos)
• análisis de impacto en el negocio (REAT Análisis de Procesos de Negocio / críticas / legales,
E Ley de Investigación, análisis forense, y el dominio de Ética abarca los siguientes temas:
ción)
Un candidato para la certificación CISSP-cación ?? ISSMP debe demostrar un conocimiento profundo de los temas
mencionados anteriormente, mientras que la aplicación de sus conocimientos para éxito- totalmente gestionar el programa de
Hal Tipton
Prácticas de gestión de
seguridad de la empresa
James Litchko
Contenido
1
© 2011 por Taylor & Francis Group, LLC
2 • O fi cial (ISC) 2 Guía ® a la ISSMP® CBK®
Introducción
Prácticas de gestión de correo para empresas de seguridad de dominio se dirige a los requisitos fundamentales
para un programa de seguridad. Abarca los conceptos de seguridad desde una perspectiva de toda la
empresa, de ?? define el papel de la política, y apoya el establecimiento de un departamento de seguridad e
caz ©. Un experto en este campo entiende la relación entre la política de seguridad y los requisitos de negocio
de la organiza- ción como re²ected través de la misión, metas y objetivos. Además, un experto será consciente
de los objetivos individuales y, a veces con²icting de unidades de negocio Erent di © y estará familiarizado con
el requisito del debido cuidado y diligencia en la realización de operaciones a través de las fronteras políticas,
regulatorias o de mercado.
Es de dominio requiere una comprensión de la gestión de riesgos a través del riesgo, la amenaza y la evaluación del
impacto, mitigación de riesgos y controles. También se destaca el valor de clasificación de datos ?? cación, el certificado ??
Un gerente de seguridad de la empresa establece programas de formación y sensibilización que cubren temas tales
como la política de seguridad, funciones y responsabilidades, el uso aceptable de los recursos del sistema y los
procedimientos de seguridad. La capacitación también debe cubrir manejo de incidentes y el cumplimiento de los requisitos
legales.
tareas de gestión de correo que se enfrentarán a un gerente de seguridad de la empresa son diversas y extensa.
Mientras que las responsabilidades individuales variarán de acuerdo a las prioridades organizativas, las siguientes áreas
clave de conocimiento abarcan muchas de las funciones de un gerente de seguridad de la empresa:
• Desarrollar y poner en práctica los acuerdos de nivel de servicio relacionados con la seguridad.
Declaraciones de misión
La alta dirección proporciona declaraciones de misión para dar dirección general y el enfoque de todas las
actividades de la organización. declaraciones de misión ESE tardar semanas o incluso meses para desarrollar,
porque las bases de alta dirección de estas declaraciones sobre el análisis de Em- presas, las tendencias del
mercado, capacidad de organización, y, lo más importante, su entendimiento de que tendrá que ?? nd los
recursos para apoyar la acordado misión. Cada grupo y sistema individual, la información dentro de la
organización debe de alguna manera apoyar la misión de la organización, por lo que el ISSMP debe
comprender la misión de la organización.
Las declaraciones de misión son simples y directas. Los siguientes son algunos ejemplos:
el sitio web de la organización: todos los ejemplos anteriores se han encontrado en los sitios Web. Mayores
informes de gestión: informes anuales al Congreso (FTC 2008 silla-
Informe del hombre identificado ?? ed arriba), los accionistas, la Comisión de Bolsa y Valores (SEC), y así
sucesivamente.
Capacidades declaraciones desarrolladas para los clientes potenciales.
Notificación por parte de los ejemplos anteriores que la misión de una organización es amplia; esto es para permitir el
paso siguiente: la ISSMP y administrador del sistema para determinar la misión específica ?? c, metas y objetivos que se
aplican al sistema o sistemas que se están asegurados. Durante este paso, es importante que el ISSMP se centra en los
sistemas críticos ?? primera, porque rara vez es © e caz para proporcionar el mismo nivel de seguridad a todos los
sistemas de información establecidos dentro de toda la empresa de TI de una organización. políticas genéricas y
soluciones de seguridad para todos los sistemas corporativos rara vez son de costo o de derecho e © ec- tivo, ya que las
necesidades operativas y de seguridad de cada sistema son di © Erent. Metas y objetivos proporcionan más específico ??
ciudad sobre los requisitos para ese sistema. E DHS ofrece un buen ejemplo de esto:
impactos potenciales, y difundir información oportuna a nuestra tierra socios seguri- dad y el
público americano.
• Prevención: Detectar, impedir y mitigar las amenazas a nuestra tierra natal.
• Proteccion: Salvaguardar nuestro pueblo y sus libertades, la infraestructura crítica,
la propiedad y la economía de nuestra nación de los actos de terrorismo, desastres naturales u otras
emergencias.
• Respuesta: Plomo, gestionar y coordinar la respuesta nacional a los actos de ter-
rorism, desastres naturales u otras emergencias.
• Recuperación: nacional de plomo, estatales, locales y el sector privado e © Orts para restaurar ser-
vicios y reconstruir las comunidades después de los actos de terrorismo, los desastres naturales, u otras emergencias.
PLE. Crear una cultura que promueve una identidad común, la innovación, el respeto mutuo,
responsabilidad y trabajo en equipo para lograr los e «deficiencias, e © cacia y sinergias operativas.
(Fuente: proteger nuestro territorio nacional, el Departamento de Seguridad Nacional Plan de Estratégico
de 2004, http://www.dhs.gov/xlibrary/ activos / DHS_StratPlan_FINAL_spread.pdf EE.UU.)
E DHS consiste en múltiples organizaciones (es decir, US Guardacostas [USCG], Agencia Federal de
Emergencias [FEMA], Seguridad en el Transporte LA ADMINISTRACIÓN [TSA], etc.), cada uno con una
responsabilidad de apoyar a uno o varios de los objetivos anteriores .
Dentro de la misma organización, el DHS, existen grupos internos con objetivos Erent di © y objetivos; por lo
tanto sus sistemas tendrán requisitos de seguridad Erent di ©.
objetivos de organización son muy especí ?? c a cada elemento interno de un orga- nización. Las metas son
declaraciones que indican lo que el sistema está destinado a lograr. Las metas pueden des ?? na de las finalidades del
sistema e incluyen líneas de tiempo y métricas. Ejemplos de objetivos son los siguientes:
• Manda a la liberación de un arma nuclear a un objetivo específico ?? c. Debido a que los tipos de seguridad que se
necesita para un sistema específico ?? c varían en función de la misión, metas y objetivos de la organización, es
fundamental para el ISSMP para identificar estas desde el principio de los correos © Orts en la construcción de la seguridad
Funciones de negocio
En los negocios comerciales, tanto para pro t ?? y no para pro t ??, hay grupos internos que apoyan las
funciones de negocio di © Erent, es decir, contabilidad, ventas, pro- ducción, comercialización, investigación y
desarrollo (I + D), humana recursos (HR), legales, y así sucesivamente. los requisitos de cada función tiene
requisitos de seguridad Erent di © porque cada uno tiene metas y objetivos Erent di ©. Tabla 1.1 proporciona un
ejemplo de
compañías de seguros
cómo los requisitos de seguridad del sistema de un grupo funcional cambian simplemente por la necesidad del grupo para
acceder a Internet.
¿Hay algunas revisiones por la dirección y aprobaciones requeridas en los procesos? ¿Quién hace la
revisión y aprobación y lo que se aprueba? ¿Qué tan rápido estas acciones tienen que pasar? ¿Cuál es el
impacto si no se producen? ¿Quién proporciona la supervisión y con qué frecuencia?
E anterior lista no es una lista completa, pero es un excelente comienzo. A medida que se lleva a cabo la
revisión, más preguntas se harán evidentes como la ISSMP intenta obtener un entendimiento sólido en el negocio es
compatible con el sistema o va a apoyar. Con una comprensión completa de los procesos de negocio, la ISSMP puede
determinar cosas tales como
• ¿Quién será la persona definitiva para aceptar cualquier riesgo residual y autorizar la
sistema entre en funcionamiento o continuar operando?
E anterior son todos piezas clave de información necesarios para la ISSMP para asegurar que la mayoría de los e ©
seguridad reflexiva se aplica al sistema. Algunas personas pueden decir que este es el trabajo de un analista de sistemas y
puede que tengan razón, pero se recomienda que el ISSMP trabajar en estrecha colaboración con los analistas de sistemas
y diseñadores para asegurar que seguri- dad se considera durante todo el proceso de desarrollo.
Gestión de identidad
E información recopilada tiene un gran impacto en las necesidades de seguridad del sistema, específico ??
camente en el área de gestión de identidades, identificando dónde se pueden aplicar los conceptos de “privilegios
mínimos” y “seguridad basada en roles”. Ambos conceptos se demuestra en el siguiente ejemplo:
Hay tres personas que trabajan en la sección de pagos de una gran corporación. María es el supervisor, que
supervisa los esfuerzos de Sally y John. Sally y John transferencias proyecto de fondos de los bancos para pagar
las cuentas corporativas. María es el único que puede autorizar y realizar las transferencias en línea. Cada banco
tiene un método único de autenticación de María antes de su hacer una transferencia de dinero, es decir,
contraseñas de un solo uso y fichas desafío y respuesta.
Para realizar las transferencias, Sally y John revisan las facturas de los proveedores utilizando un programa
de tratamiento de textos, y el uso de esos datos que utilizan un formulario estándar de transferencia de fondos
para crear un proyecto de transferencia de fondos, que se someten a María. María revisa la transferencia de
Proyectos de Fondos y crea una transferencia de fondos finales, utilizando el programa de procesamiento de
textos. María se conecta al banco a través de Internet mediante un programa navegador de Internet. Con la
conexión con el banco, que se autentica en el banco con el libro o los procesos de autenticación de señales, que
están asegurados en una caja fuerte que sólo María tiene acceso a, y carga la transferencia de fondos finales al
banco. Tras la aceptación de la transferencia de fondos al banco envía una transferencia de Con fi rmación Aviso
al sistema. En cualquier momento durante este proceso cualquier persona puede imprimir una copia de cualquier
archivo. Para asegurar que la debida supervisión se lleva a cabo,
Sabiendo todo esto, el ISSMP ahora puede recomendar las soluciones de seguridad “basados en roles” que
pueden ser utilizados para poner en práctica el concepto de “menor privilegio”. Tabla 1.2 proporciona un resumen
de los privilegios que cada función ( “redactor” [Sally y John], “aprobador” [María], y Auditor [alta dirección, el
personal de auditoría o auditores de terceros]) se concederá en el sistema para apoyar esta hipótesis.
Nótese que en este ejemplo, María, a pesar de que está en el papel de supervisor, no tiene privilegios en el
sistema. Específicamente, no puede cambiar la Transferencia de Proyectos de Fondos Enviado o la transferencia
de Con fi rmación Aviso. Esto es para asegurar que ella no puede modificar los documentos clave requeridos por
los auditores para asegurar que el proceso y las acciones de los empleados están en plena conformidad con los
procedimientos estándar de contabilidad.
Conformidad
cada grupo en la organización. ESE son críticos, porque la seguridad de que el despliegue de falla para que el sistema
cumple con uno de éstos puede dar lugar a importantes multas ?? o afectar a la reputación de la organización
negativamente. E siguientes son algunas de las necesidades de cumplimiento legales y reglamentarias más comunes:
Ley de Privacidad de 1974: E finalidad de esta ley es proteger los derechos de los indivi-
ALS por imposición de restricciones a las agencias gubernamentales en cuanto a lo que pueden hacer con la
información personal (es decir, la transferencia, adaptación, etc.) y los mandatos segu- ridad requisitos para evitar
seguridad de la información sobre los recursos de información que apoyan las operaciones y activos federales, e
© caz gestión y supervisión de los riesgos de seguridad de la información relacionada con todo el gobierno, y un
mecanismo para mejorar la supervisión de los programas de seguridad de la información agencia federal (es
decir, el cumplimiento de informes FISMA a la junta «Oficina de Administración y presupuesto [OMB], los grados
del Congreso Federal de seguridad Informática identi ficar estado de seguridad de la Agencia, la vinculación de ??
Tome en cuenta que bajo FISMA, el Congreso vinculado el reporte de TI segu- ridad de ??
deficiencias en el proceso de presupuesto del gobierno. Es la conexión es una de las claves para
conseguir y mantener la seguridad de TI en el gobierno y los sectores comer- ciales. Es se discutirá más
adelante en este capítulo.
E ISSMP tiene que ser consciente de di cultural © erences de cada grupo en relación con seguri- dad, incluyendo
sus percepciones y expectativas. Estos son algunos ejemplos de las culturales di © erences y la base para las di
© erences:
de comandos de pantalla estrictas puede ser visto como métodos más aceptables de asegurar sus sistemas.
Con esta comprensión de las percepciones y expectativas de los grupos, el ISSMP puede determinar las
mejores soluciones y estrategias para promover la seguridad a cada función de negocio. Un ejemplo de cómo
funciona esto es el siguiente:
El ISSMP para una empresa de I + D con la mayoría del personal son de grupos de investigación académicos
necesarios para resolver dos problemas: uno de seguridad y uno operacional. El problema de seguridad era
proporcionar acceso controlado al edificio para reemplazar la solución llaves y códigos de alarma física existente.
El problema operativo fue para dirigir las llamadas telefónicas a las personas dondequiera que se encontraban en
el edificio. Dado que los investigadores están típicamente en los debates de la o fi cinas de otros investigadores, la
recepción sería informar al individuo sobre el sistema de megafonía. Cuando la compañía tenía 30 empleados
esto era aceptable, pero cuando la compañía creció a 100 empleados de la frecuencia de las páginas se convirtió
perjudicial. El ISSMP investigó varias soluciones y se encontró una solución que era perfecto para ambos
problemas: un sistema con tarjetas de infrarrojos (IR) que rastrear la ubicación de los individuos y las llamadas
telefónicas directas al teléfono más cercano a ellos. Después de que la solución se presenta a los investigadores,
que claramente identi fi cados que no les gustaba la idea de tener que usar un distintivo externo y tener un registro
de sus movimientos mantenidos. La solución aceptable desplegado fue emitir cada persona una tarjeta de
identificación de proximidad que podrían tener en su cartera, implementar un sistema de correo de voz, y sólo la
página a la persona si se trataba de una emergencia.
En externa fl uencias
Además de comprender los factores internos que in²uence programa de seguridad de un sistema, hay dos
in²uences externos: clientes y competidores. Cada uno de estos tiene un muy profundo in²uence en el nivel
y tipo de seguridad que se desplegará. Con los clientes, la ISSMP tiene que ser consciente de sus
capacidades (informáticos y técnicos) y, al igual que los empleados de grupos funcionales, sus
expectativas. E ISSMP debe saber lo siguiente acerca de los clientes que compran productos o servicios
de la organización a través de Internet:
• Lapso de atención
• expectativas de seguridad
Toda esta información se puede obtener a través de estudios de mercado y entrevistas con el personal distribuidor de
fuerza de ventas de la organización.
Lo que el ISSMP necesita saber acerca de los competidores es
• Habilidades técnicas
• el deseo competitivo
• El éxito obtención de clientes de la organización
• ¿Qué tipo de seguridad que utilizan con sus clientes
La información relacionada con el ?? primeros tres artículos se puede obtener de hacer búsquedas en Internet y
hablando con otros profesionales de la seguridad. El conocimiento de la ter Lat tres puede provenir de la investigación
de mercados realizada por análisis de la competencia de la organización.
¿Por qué es importante la información anterior sobre los clientes y los competidores? E reputación ética, las
capacidades de espionaje, capacidades técnicas, y el deseo apoyará el análisis de riesgos de la ISSMP, que
será discutido más adelante en el capítulo en las secciones de gestión de riesgos. E resto de la información es
crítica con el fin de seleccionar la solución de seguridad de la derecha. E siguiente ejemplo ayudará a explicar
esto:
Situación: Una organización decide implementar una solución de tarjeta inteligente para verificar
clientes en línea antes de que les permite comprar productos o servicios. Esta solución de tarjeta inteligente
se selecciona porque va a lograr cerca de una solución de seguridad de 100%.
Resultado: A pesar de que la publicidad de la organización está atrayendo un mayor potencial buy-
res a su sitio que a cualquiera de sus competidores, muy pocas personas compran en su sitio.
¿Por qué?: Debido a que los compradores potenciales son “compradores impulsivos” -ellos quieren comprar
ahora y no quieren esperar a una tarjeta inteligente para llegar en el correo, y los competidores están
utilizando contraseñas SSL y estáticas, lo que permite las transacciones en línea inmediata. Además, si
los compradores no conseguir la tarjeta inteligente, dónde y cómo se podría integrar en el medio
ambiente?
Durante dos ejemplos del mundo real de esto, mira la falta de éxito con el despliegue VISA y American
Express de tarjetas inteligentes a sus clientes sin costo alguno, con lectores de tarjetas inteligentes libres y
software. Sobre la base de encuestas de audiencia informales, menos del 3% han aprovechado esta libre o © er. E
otro ejemplo se discute en el libro SABERLO de Seguridad, en el que hay una discusión acerca de cómo
implementar la autenticación de cliente para un juego de casino de Internet. E casino en línea permitía a los
jugadores utilizar una contraseña estática protegida mediante cifrado SSL, ya que si se había hecho una espera de
jugador por un token de autenticación, el jugador habría ido a otro casino.
In fl uencia Resumen
ERE muchas cosas que in²uence el despliegue de la mayoría de los e «ciente y e © ec- tivo soluciones de
seguridad para un sistema individual o un sistema de la empresa. E cias in²u- discutidos anteriormente y se
resumen en la figura 1.1 están principalmente relacionados con el tipo de negocio soportados y los individuos
que interactúan con el sistema, tanto internos como externos a la organización. E ISSMP tiene que ser
consciente de ellos e incluirlos al recomendar las soluciones más reflexivos e © para un sistema de información.
Gerencia senior
metasy y objetivos
Leyes
regulaciones
Programa Sistema de
Misión expectativas,
Información de Seguridad
Grupo Cultura y
expectativas
cliente de competencia y
Además, esta toma de conciencia de los negocios y las culturas ayudará a promover las recomendaciones de seguridad a
todos los niveles de la organización durante las presentaciones Ment manage- altos, las solicitudes de recursos, el
Antes de determinar qué tipo de seguridad es necesaria para asegurar un sistema específico ?? c, un ISSMP
necesita identificar lo que necesitan ser protegidos y en qué grado los activos. Para ello, el ISSMP necesita
comprender algunos conceptos básicos de seguridad. ESE conceptos son los siguientes:
Los requisitos de seguridad del sistema: disponibilidad, integridad, confidencialidad y CON ?? impacto en el
E tres requisitos clave de seguridad requeridos por la mayoría de los sistemas de información son la disponibilidad,
integridad y confidencialidad con ??. Ey son los objetivos de un programa de seguridad del sistema de información y
propiedades que deben ser incluidos y desplegado a
La mayoría, si no todos, los sistemas de información. E siguiente es DE ?? definiciones para estos tres atributos.
partes e dentro de las citas son de SP 800-53; FIPS 200; FIPS 199; o 44 USC, Sec. 3542.
divulgación, que incluye medios para la protección de la intimidad personal y propiedad de la información “.
es requisito evita que la divulgación no autorizada de información, mientras que en el sistema, durante la
transmisión a otros sistemas, y durante la transferencia física de la información de un lugar a otro. Es la
propiedad es un objetivo clave en los sistemas con la propiedad intelectual, secretos comerciales, la salud
individual y personalmente identi ?? información capaz, y ?? caciones documentos ed.
Sería totalmente un costo prohibitivo para las organizaciones para que los sistemas con un nivel máximo de
protección. Afortunadamente, los sistemas Erent di © requieren di © Erent nive- les de estas propiedades en función de
los requisitos legales y reglamentarias impuestas y, sobre todo, sobre el impacto que podrían resultar si una de estas
capacidades era deficiente. Es responsabilidad del ISSMP para determinar qué grado de protección en relación con
estas tres propiedades que se necesita para cumplir con los requisitos legales, regulatorios y de negocio de seguridad.
ES el ISSMP debe obtener la aprobación de la administración superior para implementar salvaguardas recomendados
Ment o aceptar el riesgo.
E necesidad de estas propiedades en diversos sistemas pueden variar. Algunos sistemas requieren muy fuerte con ??
confidencialidad (alta), tales como los sistemas nacionales de inteligencia. Otros pueden requerir sin aire ?? confidencialidad,
tales como los sistemas de información pública en la Biblioteca del Congreso. Otros sistemas requerirán diferentes grados de
estafa ?? dential- dad. Del mismo modo, los niveles de disponibilidad y la integridad de un sistema utilizado para la compra de
zapatos en línea y un sistema de presentación de pistas de avión a un controlador de aire serán muy di © Erent. La
mortales lesiones
Fuente: Esta tabla se crea a partir de diversas descripciones proporcionadas en el NIST SP 800-
30, 800-64, 800-53, y FIPS-199.
sistema requiere. Se requiere de una mirada subjetiva en todos los ics de negocios o específica- misión de
determinar cuál de los tres se necesitan y en qué nivel: bajo, moderado o alto.
¿Cómo funciona el ISSMP hacer este análisis? Una forma es hacer un análisis de impacto. Durante la discusión de
las misiones, metas y objetivos, los sistemas con objetivos Erent di © se identifican ?? ed, cada uno requiere niveles
Erent di © de disponibilidad, integridad y seguridad. El uso de algunos de estos sistemas, a continuación se ofrece un
vistazo general a cómo un administrador de sistemas analizaría Erent © di y aproximarse a lo que podrían ser los
requisitos:
accidentes; venta de zapatos local en la próxima semana es baja, debido a que la información se podría
de asesoramiento inexacta a los pilotos y los posibles accidentes de avión; informes meteorológicos para el
Disponibilidad: Baja, ya que la investigación es normalmente una metódica, a largo plazo e © ORT.
Integridad: Moderadas, ya que los resultados se utilizan para el desarrollo de solu-
ciones que tienen que ser probados.
códigos.
NIST ha identificado ?? ed otra manera de llevar a cabo un análisis de impacto: Seguridad Categorización.
En un intento de proporcionar un proceso de lista de comprobación para ayudar a las organizaciones a identificar
qué nivel de protección requiere un sistema, el NIST produjo el proceso de categorización de Seguridad y el
apoyo a las tablas para hacer una evaluación inicial sobre la base de los tipos de información del sistema y la
misión apoyado. proceso se llama Seguridad Categorización (SECCAT). Proceso E se documenta en FIPS 199,
Normas
D Control Sí No Sí
Control de E No No No
Categorización para la Seguridad de la Información y Sistemas de Información Federal. Emitiendo el proceso de la serie
del NIST FIPS, el proceso es obligatorio para todos los sistemas de gobierno de Estados Unidos.
SECCAT utiliza tablas básicas ubicadas en el NIST SP 800-60, “Guía para los tipos de mapeo de Sistemas de
Información e información para las categorías de seguridad”, y NIST SP 800-53, “Controles de seguridad recomendados
para los Sistemas de Información Federal.” ESE documentos se utilizan para equiparan tipos de información y las
operaciones del sistema soportados, tanto interna como externamente, a la disponibilidad de tres seguridad, integridad,
y con ?? dencialidad (AIC) propiedades para proporcionar una calificación global del impacto del sistema de alta,
moderada o baja para cada propiedad para cada tipo y operación de información compatibles. Con esta calificación de
impacto, NIST 800-53 tablas se utilizan para proporcionar recomendaciones sobre la los tipos de controles que se
utilizará para asegurar el sistema. Figura 1.2 proporciona una presentación visual del proceso. Los siguientes son los
pasos básicos:
controles de seguridad E son de las 17 familias de control en la gestión, oper- acional, y las clases de
técnicas de controles descritos en NIST SP 800-53. Tabla 1.4 proporciona una lista de estas clases de control de
seguridad y las familias.
controles mínimos para cada nivel de impacto son 100 controles para bajo impacto Systems, 212
controles para Moderado-Impact Systems, y 277 controles para sistemas de alto impacto.
Se debe tener precaución al utilizar este proceso, debido a que los “controles con- mínimos” no todos pueden
aplicar. Recuerde, el impacto global del sistema es una “medida de alta el agua de impacto.” Por ejemplo, tener un
sistema de alto impacto en el que las valoraciones globales de la AIC individuales eran de impacto de alta
disponibilidad, integridad impacto moderado, y Con ?? impacto confidencialidad no era Aplicable. Muchos de los
controles que apoyan únicos requisitos con ?? dencialidad puede no ser necesaria y algunos de los controles de
integridad puede ser excesiva para el sistema. ESE deben ser revisados, los riesgos evaluados y justificaciones ??
cationes documentado que apoya revisiones de seguridad.
Por supuesto, lo contrario también es cierto; la organización puede agregar controles adicionales con- porque la
dirección quiere que el sistema tenga menos riesgos de seguridad o de Ness o de gestión Busi- razones. Un ejemplo de
esto último es cuando todos los sistemas de la organización están utilizando dispositivos de autenticación de dos factores
y es más económico de desplegar los dispositivos en todos los sistemas, incluso los que sólo requieren contraseñas.
clasificación de información ?? cación establece un proceso formal para identificar lo que necesita ser protegido de
la información y el etiquetado de la información de una manera uniforme para los individuos y los sistemas pueden
proporcionar el nivel de protección que requieren. Una información precisa y clara CLASSI ?? sistema de catión es
crítica para identificar qué información necesita ser protegido, el nivel de las prioridades de protección requerido, y
de recursos ajuste.
Planificación PL
Planificación de contingencias CP
Respuesta al incidente IR
Mantenimiento MAMÁ
Protección de medios MP
Personal de Seguridad PD
ERE son varios conceptos relacionados con la clasificación de información ?? cación que necesitan ser entendidos: nivel
de impacto, “necesidad de conocer”, clasificación ?? cationes, y compartimentación. Básicamente, el ?? dos primeros son la
E ISSMP necesita determinar que los individuos y procesos requieren que información. Es se deriva de la
revisión procesos de negocio se ha mencionado en la sección anterior. A partir de ese examen, el ISSMP será
capaz de identificar qué información es “necesaria” y qué información es “deseado.” Una buena seguridad es el
acceso acerca mínima, por lo que el ISSMP necesita para reducir la disponibilidad de lo que se requiere, lo que
el individuo o rol realmente “necesita saber”.
Clasi ?? catión es una etiqueta usada para identificar el nivel de sensibilidad de la información basada en el impacto. ERE
puede ser de varios clasificadores ?? cationes, pero mantenerlos al mínimo hace que sea más fácil para documentar y
gestionar, y para que los empleados Deben conocerse. Las organizaciones utilizan una gran cantidad de etiquetas Erent di ©
para identificar los distintos niveles de sensibilidad. A continuación se presentan algunos ejemplos:
Cada organización utiliza etiquetas que están destinados a ser comprensible por sus empleados y se relacionan
con el nivel de sensibilidad de la información. Una de las clasificación de información más conocidos ?? sistemas de
catión es el utilizado por los EE.UU. GOBIERNOS ment, que de ?? ne tres niveles de seguridad clasificación ?? catión
como sigue:
“.
Observe que cada nivel se basa en el daño esperado (impacto) si se da a conocer la informa- ción. La
restricción de la información a aquellos individuos de confianza que han autorizado el acceso reduce la
posibilidad de que la divulgación de información y el riesgo de los daños que se produzcan. Utilizando el
concepto de compartimentación, este riesgo puede reducirse aún más. Compartimentación es de ?? ne como el
establecimiento y
concepto de seguridad y la creación de sub-compartimientos para un nivel de cationes clasifi- si ??. Un ejemplo comercial de
Una corporación ha clasi fi cado sus diseños de productos y capacidades como producto sensible y permite
sólo los ejecutivos y directores de I + D y el departamento de producción y personal para ver la información con
esta etiqueta. También tiene información de propiedad especial que se está creando para los productos futuros
en un grupo selecto en el Departamento de I + D que está trabajando en un proyecto futuro producto llamado
“Quinto”. Esta información se denomina “producto sensible al Quinto” y se limita a sólo nueve el personal: los
ejecutivos, el jefe de departamento de I + D, y las personas en el suplemento especial de I + D.
En la figura 1.3 se puede ver cómo se reduce el riesgo de la información, debido a la disminución del
número de personal que pueda ver la información.
E gobierno también utiliza la compartimentación para apoyar el concepto de A continuación se presentan algunos
Zona
restringido
Guarda o
producto sensible Quinto Quinto Borrado
Firewall
despejado
Producto sensible
producto sensible
despejado
En mayo de 2008, el presidente creó la nueva categorización “Controlled Unclassi ?? ed Infor ma ción” (CUI),
que establece tres categorías CUI. En esas categorías, los organismos que forman parte del entorno de intercambio
de información federal o el consejo de intercambio de información debe etiquetar unclassi datos ed ?? que se
considera sensible.
E marco establece las tres categorías de los datos para identificar con más detalle cómo la información CUI
será protegido y puesto en libertad:
no puede, y cuando se les permite contiene instrucciones adicionales diseminación. (Fuente: Casa Blanca
Memorando de los jefes de los departamentos y organismos ejecutivos, ASUNTO: Designación y recursos
se ha impulsado el gobierno de Estados Unidos a CRE comió otra etiqueta para obtener información personal de
las personas, lo personal Informa- ción capaces de identi ?? (PII). Regulaciones como la Ley de Privacidad,
FISMA e HIPAA han ordenado que se aplica cada vez más atención a la protección de la información PII por los
• Nombre
• Fecha de nacimiento
• Numero de licencia
• información sanitaria (como recetas, operaciones, diagnóstico, resultados de laboratorio,
etc.)
• números de tarjetas de crédito
informa- ción, muchos requisitos de información han recibido el mandato de los EE.UU. O «Oficina de Administración y
Presupuesto (OMB). Algunas de estas acciones ordenadas por organizaciones gubernamentales son los siguientes:
Evaluación del impacto de privacidad (PIA): Un PIA se lleva a cabo en cada información
sistema para determinar la extensión de la PII en ese sistema.
Después de determinar los niveles de clasificación ?? cación que serán necesarios para apoyar la organización,
será necesario identificar qué controles, procedimientos, y se requerirá criterios de acceso para cada
clasificación ?? catión y el nivel de compartimentación. Obviamente, cuanto mayor es el impacto de la
clasificación ?? cación de la información, más fuerte será necesario aplicar los criterios, controles y
procedimientos. Como mínimo, la organización tendrá que documentar y asegurar la aplicación de los
siguientes requisitos obligatorios para la información:
• almacenar
• Revisión de cuentas
• Envío y transmisión
• La grabación que ha tenido acceso
• La destrucción
Además, el nivel de confianza de los individuos tendrá que ser determinado y documentado para asegurar
que las personas tengan acceso a un clasi cación son capa- ?? ble y lo suficientemente confiable para proteger
la información. Es se logra a través del fondo, de crédito, de referencia, y los controles policiales y la verificación
de su identidad. procesos y procedimientos ESE tendrán que ser documentados, y los niveles de aceptación
para los individuos tendrán que ser gestionado y monitorizado.
Límites de seguridad
Al principio del proceso, el ISSMP debe determinar y documentar con exactitud cuál es el límite de seguridad para el
sistema. Es es muy crítica, ya que el correo © ORT puede crecer rápidamente a la construcción de un plan de
seguridad del sistema de información para la totalidad
empresa corporativa, si no por la Internet. Para ayudar a identificar la verdadera seguridad IES boundar-, la ISSMP debe
1. Comprender y centrarse en la misión, metas, objetivos y procesos de negocio del sistema como se mencionó
anteriormente.
2. coordinar estrechamente la revisión con la persona que maneja el grupo empresarial,
por ejemplo, en la terminología de NIST, el propietario del sistema.
3. Identificar los grupos de componentes del sistema que apoyan cada una de las funciones de negocio.
Verde, Inc., vende productos de varios fabricantes a los compradores en todo el mundo a través del sitio Web
verde. Cuando Verde recibe un pedido, envía la información al fabricante del producto y los fabricante envía el
producto al comprador. El comprador paga verde a través de tarjeta de crédito para el producto y el envío y
verde paga al fabricante un precio al por mayor para el producto y el envío. fi cios del verde t es el precio al
comprador menos el precio al por mayor. Green tiene dos funciones internas de negocio: contabilidad y sitios
Web a los desarrolladores gráficos, con un personal de TI mantenimiento de los sistemas. sistemas de verdes
consisten en una conexión a Internet, un servidor de sitio Web, servidor de transacciones, tres estaciones de
trabajo de contabilidad y un servidor, cinco estaciones de trabajo gráficas de desarrollo y un servidor, y tres
estaciones de trabajo para el primer ejecutivo fi cial (CEO), Jefe de operaciones fi cial (COO), y del gerente de
oficina. ¿Cuáles son los límites de seguridad del sistema?
Los compradores y los fabricantes no están en la frontera porque están fuera del control del verde, pero los
controles de seguridad tendrán que ser identi fi cada para proteger cualquier información confidencial que
se transmite a través de una red pública entre los fabricantes y compradores. Además, los acuerdos de
seguridad tendrán que ser formalizado entre los fabricantes y verde en forma de términos en un contrato o
un acuerdo de servicio de interconexión, que será discutido más adelante en este capítulo.
Fuente: http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_
detail_ics.htm? csnumber = 39612.
La disponibilidad se considera baja para todos, pero las ventas, ya que el sitio web está trayendo todo
los ingresos. Los otros elementos son procesos no críticos en tiempo. Un pequeño retraso en el envío y la
facturación tendrá menos de un impacto en utilidades. Gestión y gráficos pueden trabajar en un modo
manual con un impacto mínimo.
La integridad es una clasificación alta de Ventas y Contabilidad, a causa de la necesidad de acu-
picante en pedidos, facturación, envío, y así sucesivamente. Gestión y gráficos se considera moderada,
porque la mayoría de sus salidas son revisados antes de su envío o publicación.
Confidencialidad tiene una clasificación de alta por tres procesos de gestión, porque tiene
personal e información de planificación estratégica, ventas tiene la información del comprador, y
Contabilidad tiene comprador sensible, fabricante, fi nes, y la información de nómina. Gráficos no tiene
nada que es sensible.
Una respuesta podría ser que todo, desde el cortafuego es hacia dentro de los límites de seguridad; porque la
organización es pequeña y todo el mundo se puede confiar, calificar el sistema en la línea de pleamar y desplegar
los controles de seguridad fuertes.
Otra respuesta podría ser la creación de cuatro diferentes límites de seguridad y asegurar cada sistema con
controles de seguridad relacionados con sus necesidades de seguridad basados en el riesgo. Esto podría requerir
rewalls fi entre sistemas o la creación de sistemas aislados e información transferir físicamente entre los sistemas.
Otras soluciones pueden estar entre las dos soluciones anteriores, como la conexión de
contabilidad, ventas y gestión, debido a sus requisitos de alta seguridad, y acaba de aislar el sistema de
gráficos. O aislar los sistemas de gestión y de gráficos, porque las ventas y contabilidad son ambos
sistemas fi nancieros y tienen requisitos comunes de alta seguridad.
Todas estas opciones son válidos los límites de seguridad; la organización sólo tiene que decidir cuál
es el más adecuado y documentar los detalles de lo acordado en los límites de seguridad.
ERE son muchas cosas que afectan a los programas de seguridad de sistemas de información. Muchos de estos son
En total influencias
Gerencia senior
cación
Información Clasi fi
Metas y Objetivos
Información
expectativas,
Leyes y
regulaciones
Programa Sistema de Categorización
Misión
Información de Seguridad Los límites de
? Reats Seguridad
competencia
vulnerabilidades
expectativas del cliente de
Figura 1.4 Total del programa de seguridad del sistema de información influencias.
in²uences y de la derecha son los in²uences operacionales. Todo esto debe ser Elimine completamente
entendido por un ISSMP antes de desarrollar un sistema de información segu- ridad programa, ya que con
éstos la ISSMP comprenderá el “problema real” que necesita ser resuelto.
El uso de este conocimiento de los sistemas de la organización, la ISSMP puede dar el siguiente paso de la
elaboración del Marco de seguridad del sistema Enterprise para los sistemas.
Un programa de seguridad de sistema de la empresa debe ser compatible con los sistemas de forma continua “de la cuna a la
tumba”, debido a los entornos de sistemas, misiones, amenazas y las vulnerabilidades están cambiando constantemente a lo
largo de la vida de los sistemas. opiniones y acciones de seguridad deben tomarse medidas para garantizar que cada sistema
se mantenga segura, por lo que antes de pasar al siguiente tema, el concepto de ciclo de vida del sistema de desarrollo (SDLC)
deben entenderse para proporcionar la ISSMP con un punto de referencia para futuros temas.
E título SDLC a veces puede ser engañoso porque de la palabra “desarrollo”. Al leer el título de la
percepción inicial es que sólo es compatible con el desarrollo del sistema y se detiene en la aceptación del
sistema. En realidad, SDLC cubre el sistema desde la concepción hasta la disposición.
ERE muchos modelos SDLC utilizados para los sistemas de información, pero la mayoría de los modelos consisten de ??
1. Fase de iniciación: Es la fase identificó ?? it cuáles son las necesidades reales y percibidas son
siendo soportado por el sistema. medidas de seguridad durante esta fase incluyen la realización de una
categorización de seguridad y evaluación de riesgos preliminar.
2. Desarrollo / Adquisición Fase: Aquí el comunicado de requisito funcional
mentos está redactado, diversas actividades de análisis se llevan a cabo (es decir, los requisitos, las alternativas,
costo-bene ?? t, etc.), y un plan de gestión de riesgos se redactó. Actividades de seguridad incluyen la realización de
una evaluación del riesgo, un análisis funcional y assur- requisitos ANCE seguridad, planificación de la seguridad, y la
capacitados. Para mayor seguridad, ?? nales pruebas de seguridad y evaluación (ST & E) e © Orts se han completado
intercambio, venta, transferencia, donación, etc.), de soporte y soportados elementos serán NotI ?? ed y servicios
Tenga en cuenta que gran parte de lo que se ha discutido hasta ahora incluye acciones que se identificaron ?? en la
fase de iniciación.
Como se mencionó, muchas versiones de la SDLC están siendo utilizados por las organizaciones. versiones E
puede variar de ?? ve a muchas fases. Es imperativo que el ISSMP entender el modelo SDLC utilizado dentro de la
organización para asegurarse de que el soporte de seguridad se proporciona al proceso de una manera oportuna y
seguridad se implementa desde el comienzo del ciclo hasta el final Apropiada. Así, una de las primeras acciones ??
una ISSMP debe tomar es verificar cuál es el modelo SDLC ?? específico para la organiza- ción es. Por lo general, se
puede encontrar en las políticas y procedimientos corporativos o CIO; si no, pregunte al gerente de programa del
sistema.
Un marco de seguridad Enterprise System se creó para garantizar que la seguridad se diseña, implementa,
autorizado, y se mantiene para proporcionar un nivel aceptable de riesgo y es costo-e © caz. Un marco
Sistema de seguridad Enterprise es una estructura
desarrollado por la organización y debe tener los siguientes componentes identidades ?? ed, desarrollado y
documentado:
• políticas
• normas
• Directrices-Buenas Prácticas
• Funciones y responsabilidades
• Procedimientos y Procesos
• Las líneas de base
Veinte - ?? ISSMPs siglo primeras son afortunados porque hay muchas herramientas y materiales disponibles a
ellos para ayudarles a construir este marco en forma de normas, directrices, líneas de base de control, ejemplos, y así
sucesivamente. Debido a que estos fueron creados por los expertos en seguridad de TI que les precedieron en varios
tipos de organiza- ciones (gubernamentales y comerciales), que son como los materiales (madera, ladrillo, vidrio, clavos,
etc.) disponibles para hacer una casa, es decir, todos ellos necesitan ser modificados ?? Ed y reformado para construir
el marco ?? específico para la arquitectura de seguridad del sistema de premios enter- de la organización individual.
Una política de seguridad de la empresa establece el marco de cómo se implementará la seguridad, mantenido y
modi ?? ed como los cambios en la seguridad y el entorno empresarial. Una política de seguridad de la empresa
con éxito proporciona respuestas a las siguientes:
En general, es fundamental que la política de seguridad de la empresa sea preciso, robusto y completo. Debe re²ect
con precisión las necesidades de todos los sistemas de información en la organización. La robustez es necesaria para
garantizar la política de seguridad es suficiente para apoyar las ²exible di © erences en los sistemas y los cambios en la
misión, el funcionamiento y entorno de la organización. Por último, la política de seguridad de la empresa debe cubrir
todos los requisitos de seguridad necesarios para proporcionar la mejor seguridad para los sistemas.
Para asegurar que la política de seguridad de la empresa cumple con todos estos requisitos, ISSMPs deben
tener un conocimiento profundo de los sistemas de la organización. es
Es por eso que este capítulo se inició con un enfoque en la identificación de misiones / metas de la organización y
objetivos de negocio, grupos funcionales, y límites de los sistemas individuales, las culturas y las funciones de
seguridad. Sin ellos, el ISSMP será ine © caz en la construcción de la política de seguridad de la empresa o cualquier
otro componente dentro del marco de seguridad de la empresa. Muchos han intentado usar políticas “estándar” o
“genéricas” de seguridad y han fracasado porque carecían de una comprensión del problema.
Para lograr los objetivos antes mencionados y crear la empresa de su organización política de segu- ridad en un
«ciente electrónico y e © manera reflexiva, ISSMPs debe incorporar el más básico de todos los principios y
metodologías de gestión. E siguientes son consideraciones “mostos” Ered absolutos:
Utilizar las prácticas estándar de gestión del proyecto: Las organizaciones deben construir su
los programas que utilizan los conceptos y procesos de gestión probadas. El desarrollo de los procesos de
gestión únicas y creativas con frecuencia resulta en una experiencia costosa y sin éxito. Es muy
recomendable para aprovechar la informa- ción proporcionada por el Project Management Institute (PMI)
para reducir los riesgos relacionados con la gestión de proyectos y programas.
Basarse en el riesgo y costo: Las políticas deben estar basadas en los resultados de las evaluaciones del riesgo
mentos y coste-beneficio ?? t análisis para asegurarse de que están en el mejor interés de la organización.
Son ejecutables: Políticas deben ser ejecutables para ser e © caz y deben abordar
lo que serán las consecuencias para aquellos que violan las políticas. No enforc- ing una política puede
degradar todas las políticas de la organización.
Ser apoyado por los ejecutivos: Políticas que no tienen el apoyo de la alta
gestión, recursos humanos, y el departamento legal no será e © caz. ¨erefore, todas las preocupaciones de
estos grupos deben ser abordados y resueltos antes de la liberación de cualquier política.
Comunicar la Política: Las organizaciones deben asegurarse de que todos sus empleados,
clientes y socios son plenamente conscientes de sus políticas para asegurar e © operaciones
«cientes e caz y e cumplimiento de la normativa. Se recomienda que
haya un programa de sensibilización proactiva y consistente que se extiende más allá de los adoctrinamiento
empleado e © Orts iniciales. La promoción de políticas a través de notas, correos electrónicos, boletines de noticias,
banners, presentaciones de alta dirección, reuniones en el ayuntamiento, y así sucesivamente, se puede utilizar.
Realizar un seguimiento de excepciones: Aunque se supone que toda la organización para cumplir
con las políticas de la organización, hay situaciones en que se deben hacer excepciones. Siempre que
se hagan excepciones, el siguiente debe ser documentada: la exención, justifica ?? catión y el período
de tiempo para la exención, que AUTORIZADO la exención, y cuándo. Es la documentación tiene que
estar situado en el centro con los documentos de política de la empresa.
Crear una ubicación central: organización de correo debe tener una ubicación central
donde todas las políticas se mantienen para que todos puedan acceder a ellos. Es compatible con el requisito de que
Aprovechando la tecnología para automatizar procesos y procedimientos manuales pueden ser muy costo-e © caz o
no. El tener la tecnología que sustituye a la actualización manual de cada equipo empujando hacia abajo los parches y
actualizaciones de antivirus para un sistema muy grande, dispersa se debe considerar en la construcción de una política
de seguridad. Pero no toda la tecnología se puede aprovechar sin la aplicación adicional de más controles, como el uso
de una herramienta automatizada para el personal del sistema para documentar y reportar su estado de control de
seguridad, cuando el personal del sistema de seguridad no entienden. Otro ejemplo está declarando una política que todo
el mundo va a utilizar tarjetas inteligentes para el acceso al sistema, y cuando se despliegan las tarjetas inteligentes con
los sistemas no son ?? configurada con lectores de tarjetas inteligentes. Hacer aprovechan la tecnología, pero asegúrese
de que sea práctico y no es vulnerable. También ser conscientes de lo que tendrá que hacer cuando las políticas de
seguridad establecidas premio enter- se enfrentan a la tecnología heredada de adquisiciones y fusiones. Integración de
las viejas y nuevas tecnologías puede ser muy costosa, y la planificación de la transición de las dos políticas de
seguridad puede ser muy complicado.
Aprovechando la experiencia de otros no especi ?? camente significa contratar a un experto. Recuerde que la
política para un sistema de la empresa ?? específico debe ser adaptado a cada organiza- ción, pero el ISSMP debe
tomar ventaja de los ejemplos que ya han sido probados con éxito por otros. Como se mencionó anteriormente, otros
expertos en seguridad han contribuido con sus experiencias, por lo ISSMPs no tienen que hacer los mismos errores
costosos operaciones anteriores. EY han proporcionado sus conocimientos, recomendaciones,
y procesa en forma de conferencias, documentos técnicos, normas y directrices. ISSMPs sería irresponsable
no aprovechar esta experiencia. De hecho, las normas y directrices previ- ormente documentados ofrecen
grandes recursos que ISSMPs puede utilizar para empezar a adaptar sus programas de seguridad. Además,
cuando se requiere la conformidad con las leyes y regulaciones, es obligatorio para ISSMPs para usarlos
como base para sus programas, pero los modifican para el medio ambiente y las necesidades de su
organización específica ?? c.
Así que, ¿cuáles son estas normas y directrices, y cómo las utiliza el ISSMP para construir las políticas y los
otros componentes del marco de la seguridad del sistema de la empresa?
Normas y directrices
En primer lugar vamos de De ?? ne los términos. Normas son obligatorias, es decir, que se deben seguir, y las
directrices se proporcionan como sugerencias. En muchos casos, las organizaciones publican estándares para indicar
un requisito obligatorio en general y luego publicar más directrices sobre cómo ²exible el requisito puede ser
satisfecho ?? ed. ¿Es permite una mayor ²exibility en la forma en la norma se cumplirá en el nivel de organización o
sistema.
ERE son dos conjuntos de normas y directrices: externos e internos. E los exter- nos son creados por
organizaciones tales como el gobierno y los grupos sin ánimo de lucro ?? T, por ejemplo, el Instituto
Nacional de Estándares y Tecnología (NIST) y la Organización Internacional de Normalización y la
Comisión Electrotécnica Internacional (ISO / IEC). normas y directrices externas suelen ser impulsados por,
o demandas comerciales profesionales reguladoras.
NIST fue dirigida por el Congreso de Estados Unidos para desarrollar y emitir normas y directrices para las
organizaciones gubernamentales y las personas que trabajan con el gobierno. NIST es bien conocido por su serie 800
de Publicaciones Especiales (PE) y sus normas de elaboración obli- gatorio de Información Federal (FIPS) relacionados
con todos los aspectos de la seguridad informática, que se puede encontrar en http://csrc.nist.gov/publications . Para las
organizaciones asociadas ernment y el gobier- estadounidenses, NIST FIPS son estándares (obligatorio) y NIST SP son
directrices.
normas y directrices de la ISO son impulsadas por las necesidades de las comuni- dades internacionales para
desarrollar algo que podrían utilizar para guiarlos en la obtención de sus sistemas. Dos de ellos son bien conocidos en
la comunidad de seguridad de TI:
Se trata de una norma, la norma ISO / IEC 15408-3: 2008, Criterios de Evaluación de la Seguridad de TI,
que proporciona el marco estándar para la evaluación de productos de tecnología de información establecidos
individuales para la conformidad con los criterios internacionales comunes para la Tecnología de la Información de
Evaluación de Seguridad.
E otro es una guía, ISO / IEC 27002: 2005, Código de Prácticas de Información
Gestión de la Seguridad, que “establece las directrices y principios generales para iniciar,
implementar, mantener y mejorar la información de gestión de seguri- dad en una
organización.” (Fuente: http://www.iso.org/iso/iso_ Catálogo / catalogue_ics /
catalogue_detail_ics htm? csnumber = 50297)
Actualmente, el NIST está trabajando con entidades del sector público y privado para establecer
correspondencias y relaciones ?? específicas entre las normas de seguridad y las directrices elaboradas por el NIST e
ISO / IEC.
Algunas organizaciones muy grandes han publicado sus propias normas y directrices, como el Departamento
de Defensa de Estados Unidos en su serie 8500 de las directivas e instrucciones para los militares y los Estados
Unidos de Auditoría y Control de la Asociación de Sistemas de Información (ISACA) son las normas, directrices y
procedimientos para verificar y profesionales de control (Fuente:
http://www.isaca.org/AMTemplate.cfm?Section=Standards 2 y Plantilla = / ContentManagement /
ContentDisplay.cfm y ContentID = 43.089).
normas y directrices internas son creados por una organización, basado en las “mejores prácticas”, de guiar a
sus empleados y socios sobre cómo desarrollar, operar, interconexión, y mantener la seguridad de la organización.
ESE normalmente son recomendadas por la ISSMP, pero siempre están aprobados y promulgados por la alta
dirección. EY normalmente están referenciados o expresadas en la política de seguridad de la empresa, los planes
de seguridad del sistema, manuales de operación, y así sucesivamente.
ging a cualquier sistema y la formación anual de la conciencia para mantener los privilegios de acceso. El
cumplimiento será revisado por el jefe de seguridad de la información O «CER (CISO) e informó
formalmente de manera trimestral al presidente ejecutivo de O« CER.
Contingencia prueba del plan: Los planes de contingencia serán ejercidas anualmente para
contraseñas: Los sistemas pueden utilizar la autenticación de dos factores o más alto para satisfacer la
requisitos de la norma.
Conciencia: Los empleados tendrán 30 días para completar su AWARE anual de TI
ness requisito después de NotI ?? catión de incumplimiento. Conciencia complicación Ance puede ser
reintegrado después de tomar la formación basada en ordenador o asistir al evento mensual de la conciencia de
TI.
Contingencia prueba del plan: Para cumplir con el plan de contingencia anual
requisito de ejercicio los siguientes es aceptable para los sistemas aplicables:
Sistemas de impacto baja: ejercicio de simulación de impacto moderado de
En el desarrollo de normas, directrices internas y procedimientos, ISSMPs debe utilizar libremente las fuentes externas
de normas, directrices, procedimientos y mejores prácticas para localizar las diversas opciones para identificar la mejor
solución de seguridad para sus sistemas. Un buen ejemplo es cuando se mira en la creación de un esquema de marco
de seguridad tem su empresa sis-, ISSMPs puede comenzar con el NIST SP 800-18, Guía para la elaboración de planes
de seguridad para los sistemas de información federal, que proporciona un breve esquema para la construcción de un
genérico de seguridad plan. Habiendo realizado el trabajo de identificación ?? ed ?? en el primer apartado de este
capítulo, el ISSMP puede completar fácilmente la primera ?? medio del plan que describe la misión, funciones de
negocios, metas y objetivos, interconectividad con los grupos internos y externamente con los socios, y así
sucesivamente.
NIST SP 800-53, Guía para la evaluación de los controles de seguridad Federal de Infor-
Sistemas ma ción
ISO / IEC 27002-2005, Código de Prácticas para la Gestión de Seguridad de la Información
Departamento de Instrucción de Defensa (DODI) 8500.2, Aseguramiento de información
(IA) Aplicación
Cada uno de estos tres documentos proporciona una lista completa de los controles que se deben tomar
en consideración cuando se asegura un sistema de TI. Aunque el número de familias son di © Erent, la lista
total de los controles dentro de cada documento es muy similar a las otras (Figura 1.5).
Dado que cada documento fue desarrollado para un público Erent di ©, ISSMPs debe ?? nd cuál de estos
documentos se sienten cómodos con su uso y que el control ing lista- para construir un esquema de las normas,
directrices y procedimientos que tendrá que desarrollar para sus sistemas.
Nota: En el desarrollo de algo que otros tendrán que poner en práctica y vivir con, implicarlos en el desarrollo de
la solución o las opciones. ¿Por qué? La participación pro porciona la educación y la comprensión de la
necesidad y la propiedad de las soluciones finales.
Comúnmente aceptadas prácticas de seguridad y Reglamentos (caspr) - Desarrollado por el Proyecto CASPR
(www.caspr.org), este correo © ORT tiene como objetivo pro- porcionar un conjunto de mejores prácticas que se
la industria, el tamaño o la misión.” ?? c tecno- logías, recomendar principios y prácticas fundamentales para la
Control de acceso
Auditoría y Responsabilidad La
identificación y autenticación
Figura 1.5 Diversas familias de control. (La referencia para el gráfico ISO se puede encontrar en
http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ ics.htm? Csnumber = 39.612).
Objetivos de Control para la Información y (Relacionados) Tecnología (COBIT) - Desarrollado por los auditores
proporciona medidas basadas en las mejores prácticas aceptadas para la evaluación de los programas de
seguridad.
NIST SP 800-34
Directriz sobre la Red de Pruebas de Seguridad, NIST SP 800-42
Guía para la evaluación de los controles de seguridad de Información Federal
sistemas, NIST SP 800-53A
Equipo de seguridad de incidentes Guía de manipulación, NIST SP 800-61
E los pasos anteriores proporcionan la ISSMP con una comprensión de los sistemas de la empresa y las áreas
clave que necesitan ser revisados. Para que el programa de seguridad del sistema empresa exitosa y rentable e ©
caz, la ISSMP debe garantizar que el programa está basado en el riesgo.
E concepto de programas de gestión de riesgo no es nada nuevo para las organizaciones. ESE programas
están en su lugar en la mayoría de las organizaciones de la Organización Nacional de Deportes para el
bádminton de la Aeronáutica y del Espacio (NASA). Organizaciones ?? nd que tienen programas que son
proactivos en la prevención de errores, costes innecesarios, o pérdidas son necesarias para llevar a cabo con
éxito la misión de la organiza- ción conociendo los riesgos potenciales antes de tomar decisiones. Los riesgos
relacionados con la siguiente deben ser evaluados con el fin de apoyar la toma de decisiones de gestión
óptima: la producción de un nuevo producto, revisión de nuevas estrategias de marketing, para decidir entre las
soluciones técnicas e innovadoras probadas de más edad, la determinación de la necesidad de cambios en los
procesos operativos, la identificación de problemas potenciales en el proyecto horarios,
Con esto en mente, el objetivo general de un programa de gestión de riesgos de seguridad es identificar los incidentes
• Los controles se pueden poner en su lugar para evitar o reducir el potencial de la inci-
mella se produzca, para identificar cuándo se está produciendo un incidente, y reducir el impacto si se produce
el incidente
• Riesgo de manejo de actividades, como los planes de respuesta a incidentes y de contingencia, puede ser
información, se darán a conocer los riesgos relacionados con los sistemas de la empresa, por lo que la dirección puede tomar
decisiones basadas en el riesgo “el costo-e © reflexivo” sobre cuestiones de seguridad. El conocimiento de los riesgos de
seguridad para cada uno o la totalidad de los sistemas de la empresa permite a la administración
Mediante la realización de evaluaciones de riesgo para los sistemas de la empresa, utilizando los mismos cesos
pro utilizados en el programa de gestión de riesgos de la organización, la seguridad se convierte visto más como un
servicio de apoyo a las funciones de negocio de la organización, por lo tanto MAK- ing relación de seguridad más
comprensible y aceptable para la administración. Además, el ISSMP y gestión comienzan a hablar el mismo idioma y
soportan los mismos objetivos. Posteriormente, los usuarios obtienen una mayor aceptación de la necesidad de
seguridad.
ERE son muchos los modelos de gestión de riesgos que se han publicado y RESPETA como herramientas
de Información Federal: un enfoque de seguridad del ciclo de vida. Ambos proporcionan un marco de gestión
de riesgos y las líneas directrices para la realización de una evaluación de riesgos y la forma de aplicar los
de las evaluaciones de riesgo en una tabla (matriz) y usando esto para destacar las áreas de importancia más
planificación de la seguridad. E herramienta permite a un pequeño equipo de cionales, negocios, y las unidades de TI
Estado actual de la seguridad, identificar los riesgos a los activos críticos, y establecer una estrategia de seguridad.
ERE tres componentes para la gestión del riesgo: evaluación de riesgos, mitigación de riesgos, y la evaluación y
aseguramiento.
Evaluación de riesgos es un proceso de nueve pasos utilizado para determinar los riesgos individuales relacionados del
sistema de información. ESE nueve pasos provienen de NIST SP 800-30. E nueve pasos son los siguientes:
?? primera de este capítulo. E información puede ser recogida mediante cuestionarios, entrevistas, herramientas
Paso 2-§reat Identi¤cation: E objetivo aquí es identificar todas las amenazas que
potencialmente puede atacar el sistema.
incidentes, resultados de pruebas, CERT y avisos proveedor de asesoría, NIST I-CAT base de datos de vulnerabilidad
Paso 4-Control Análisis: En este paso, el ISSMP identi ?? es todo el sistema de Cur-
alquiler y gestión planificada, operacional, y los controles de seguridad técnicos.
La salida de la Etapa 4: Lista de los controles
Paso 5-Likelihood Determinación: Utilizando los resultados de los tres últimos pasos,
determinar la probabilidad de que una amenaza ejercería una vulnerabilidad del sistema teniendo en cuenta la
dirección © cacia de los controles actuales. Trate de identificar estos cuantitativa o cualitativamente (más será
discutido más adelante en el Ca- pítulo sobre por qué uno debe usarse sobre otro en circunstancias
específicas ?? c). Cualquier método cuantitativo se puede utilizar (hay varias herramientas que se pueden
utilizar para calcular el riesgo de que también será discutido más adelante en este capítulo). Crear una
Medio: fuente amenaza E está motivada y capaz, pero los controles están en
lugar que pueda impedir el ejercicio con éxito de la vulnerabilidad.
Bajo: E Fuente amenaza carece de motivación o capacidad, o los controles están en
para prevenir, o al menos signi ?? impiden cativamente, la vulnerabilidad de ser ejercido.
decisión rápida
4 Diapositivas / acciones Utilice sólo cuatro diapositivas de una Mantiene una presentación
presentación y cuatro acciones en una simple, clara y rápida Fácil de
página: Propósito-probl leer una página
Opciones-Recomendación
Es es una manera de hacer este análisis. ERE son otras maneras, como el método discutido en AS /
NZ 4360, que proporciona una matriz Erent similar pero di © a
Impacto Cualitativo
cuantitativo Impacto
Probabilidad Probabilidad
Bajo = 0-10 Medio => 10-50 Alta => 50-100? ESE son resultados generales. Con justificaciones de sonido
determinar las prioridades de gestión de riesgos pesando tanto el impacto (conse- cuencia) con una
calificación de 1-5 y la probabilidad con una calificación de casi seguro que rara (véase la figura 1.7). En este
esquema los primeros ?? riesgos que deben ser mitigados son los que entran en la categoría de riesgo
extremo.
La salida de la Etapa 7: Establecimiento de prioridades con lista de riesgos de seguridad del sistema
Consecuencia
Probabilidad: 1 2 3 4 5
A (casi seguro) H H mi mi mi
B (probable) METRO H H mi mi
C (posible) L METRO H mi mi
E (raro) L L METRO H H
Mitigación de riesgos es la segunda parte de la gestión de riesgos. Es donde es alto agement hombre- utiliza
los resultados de los informes anteriores de priorizar, evaluar y aprobar el cual será implementado las
recomendaciones del informe de evaluación de riesgos. Dado que la eliminación de todos los riesgos a menudo es
poco práctico o casi imposible, es responsabilidad de la alta dirección y los gerentes funcionales y de negocio a
utilizar la mejor relación costo-e © enfoque reflexivo basado en la reducción del riesgo a un nivel aceptable.
¿Qué nivel de riesgo sea aceptable es cómo la organización responde a las recomendaciones de la
evaluación de riesgo, por ejemplo, ¿hay opciones aceptables abierta a la gerencia? EIR decisión depende de
“apetito de riesgo” de gestión o willing- ness a aceptar el riesgo. E opciones de mitigación generales que son
susceptibles de ser gestionados son los siguientes:
Evitación de riesgo: Para dejar de hacer la acción que está causando el riesgo, como la de permitir
los empleados a tomar la información sensible casa para trabajar en el fin de semana.
Limitación del riesgo: Para implementar controles que limiten la exposición al
amenaza, al igual que la implementación de cifrado para asegurar ?? les están cifrados cuando no está siendo
Planificación del riesgo: Para estar preparado de modo que cuando se produce un incidente hay un incidente
forma más común de hacerlo es tomar una póliza de seguros. En algunos casos, las organizaciones han transferido
los riesgos por la externalización del control. Mediante la externalización del control, la organización puede contener
Cualquiera que sea la respuesta es, los riesgos tendrán que ser revisados y monitoreados continuamente para
mantener la seguridad del sistema a un nivel aceptable, lo que conduce a la tercera parte de los componentes de
gestión de riesgos.
Evaluación y Aseguramiento
Las evaluaciones de riesgo no sólo se realizan al comienzo del ciclo de vida del sistema de información; deben
hacerse durante todo el ciclo de vida del sistema para asegurar que el nivel de riesgo se supervisa y se toman
acciones correctivas. La realización de una evalua- ción de riesgos debe hacerse sobre una base evento y función del
tiempo:
Bases Evento: evaluación de riesgos E se lleva a cabo cuando se producen cambios signi cativos ??
al sistema, el medio ambiente (es decir, física, amenaza, vulnerabilidades, personal, etc.), los negocios, la
misión, la competencia, y así sucesivamente. E signi ?? no puede cambio no tiene que ser algo que requiere
más seguridad; que podría ser algo que reduce el tamaño de la necesidad de seguridad. Recuerde, la seguridad
se supone que es el costo e © caz. Conservando una medida de seguridad costosas que ya no se requiere no
es en el mejor interés de la organización. Además, la evaluación del riesgo podría ser una evaluación completa
como se describió anteriormente o un subconjunto, dependiendo de la magnitud del cambio.
Tiempo Base: Es bueno hacer una evaluación de riesgos periódica sólo para asegurarse de que los cambios
no han sido pasados por alto. Muchas normas de cumplimiento también requieren que las evaluaciones de riesgo se
llevaron a cabo y documentado por este motivo. La mayoría requiere una a llevarse a cabo una vez al año.
E marco de gestión de riesgos (RMF) previsto en NIST 800-37 se tantes represen- en la Figura 1.8,
que pone el RMF en perspectiva con respecto a la SDLC y los nueve pasos discutidos anteriormente.
La clave para llevar a cabo evaluaciones de riesgo continuas es cómo informar de los resultados a la alta dirección. Se
recomienda que esto también se llevó a cabo como eventos se producen en el sistema y en los medios de comunicación, y
llevó a cabo sobre una base periódica, preferiblemente cronometrado con una acción importante, como una presentación del
SDLC RMF
Seleccione Controles
Adquisición de identi fi cación
Inicial identificación ?? reat
desarrollo
Vulnerabilidad La
implementar controles
Implementación la Riesgo
ased
nto-B s controla
Eve sado
y ba
Recomendaciones
controles del monitor mpo
l tie
ne
e resultados de
disposición documentación
disposición
revisión por la dirección, y así sucesivamente. Más sobre cómo proporcionar informes se dis- cussed más tarde.
garantías son aquellas actividades que permita la gestión con la confianza con que algo ?? está proporcionando
o proporcionará la seguridad que se espera. Garantías se pueden obtener mediante la revisión, auditoría, evaluación,
certificación ?? cación y el contrato, y otros métodos. Es actividad proporciona la debida diligencia.
E ejemplos perfectos de la primera ?? dos, revisión y auditoría, están llevando a cabo evaluaciones de riesgo acorde a los
riesgos (Las evaluaciones de riesgo basadas en el tiempo mencionados anteriormente) o tener auditorías llevadas a cabo en el
sistema y organización.
Evaluación y certi cación ?? pueden ofrecer garantías de soluciones y servicios. Para obtener garantías de
que los productos de seguridad estarán trabajando de acuerdo con la literatura de marketing, el gobierno creó las
evaluaciones de Common Criteria. proveedores de productos pagan Common Criteria Testing Laboratories
(CCTLs), que son aprobados y autorizados por el NIST, para evaluar sus productos de seguridad contra la
protección de productos Pro ?? les con el fin de obtener un criterio común ?? certi. E cer- ti ?? cado, con el
informe de validación asociada, CON ?? RMS que un producto informático o pro- tección pro ?? le ha sido
evaluado en un laboratorio acreditado utilizando la Metodología de Evaluación Común para la conformidad con
los criterios comunes. National Information Assurance Partnership E Criterios Comunes de Evaluación y
Validación de Esquema (CCEVS), que es administrado y sta © ed por la Agencia Nacional de Seguridad (NSA),
problemas de la certificación ?? cate en los Estados Unidos. Puede hallar más información sobre los criterios
comunes en http://www.niap-ccevs.org/cc-scheme/.
Para obtener cierta seguridad de que una empresa puede ofrecer productos y servicios de
desarrollo para sus clientes, Software Engineering Institute de Carnegie Mellon (SEI) creado un
enfoque de mejora de procesos, CMMI (Capability Maturity Model Integration®, la figura 1.9). Al
igual que en el concepto de criterios comunes, CMMI proporciona a las organizaciones los
elementos esenciales de los procesos reflexivos e © y ofrece a los clientes una comprensión de
la madurez de la capacidad de una organización para proporcionar una calidad de servicios y
productos. A medida que las organizaciones crecen, deben estar mejorando y formalizar los
procesos de la empresa mediante el aprendizaje de los correos anteriores © Orts e instituir
cambios que aumentan la calidad de su producción y la dirección © cacia de sus procesos. A
medida que pasa el tiempo,
Las evaluaciones se llevan a cabo para evaluar los procesos de una organización para deter- minar la forma
en que se ajustan a los requisitos de CMMI, que son de ?? ne en los Requisitos de la valoración de CMMI
documento (ARC). E evaluaciones se centran en la identificación de oportunidades de mejora y la comparación de
pro- cesos de la organización a las mejores prácticas CMMI. Los equipos de evaluación utilizan un modelo CMMI y
el método de evaluación conformes con ARC para guiar su evaluación de la organización y sus informes de
conclusiones. se utilizan los resultados de evaluación E (por ejemplo, por un grupo de procesos) para planificar
mejoras para la organización y proporcionar a sus clientes con un nivel de fiabilidad.
Procedimientos y Procesos
CMMI evalúa una organización de la madurez de sus procedimientos y procesos, porque no importa cuán grande es la
tecnología de la empresa y el medio ambiente son, procedimientos ectantes limitada o ine © y procesa impacto qué tan
exitoso será una organización. E mismo se aplica para el éxito de un programa de seguridad de TI. E mejor encriptación,
antivirus, control de acceso, y ?? rewalls se convertirán pronto en vulnerabilidades menos que se apliquen las
actualizaciones y parches de productos adecuados, los operadores están capacitados, los controles de seguri- dad física
a proteger, las auditorías se llevan a cabo, y de deficiencias son ?? corregido.
En todos los documentos identi ?? ed anteriormente que proporcionan listas de los controles que se deben aplicar a los
sistemas, casi todos los controles son o requieren procedimientos y procesos ?? específicos para garantizar la seguridad se
terly o anual, y los empleados deben ser capacitados sobre los procedimientos y sus
responsabilidades.
Antecedentes y drogas controles se llevan a cabo en los nuevos empleados, y los nuevos empleados deben
ser entrenado, probado, y leer y firmar un documento de Normas de Comportamiento antes de ser dado una
El mantenimiento debe llevarse a cabo sobre los componentes del sistema y de apoyo
sistemas (es decir, UPS, generador de energía de emergencia, aire acondicionado, ?? re supre- sión, sistemas de
seguimiento, etc.).
Proceso E para la realización de evaluaciones anuales de riesgo evalúa si el estado amenazas alquiler
mentos, vulnerabilidades y contramedidas todavía representa un riesgo aceptable capaz de gestión.
Procedimientos y procesos son fundamentales para garantizar los sistemas permanecen seguros.
La externalización proporciona otro ejemplo de cómo los conceptos de garantía se puede aplicar. Con frecuencia, las
organizaciones ?? nd que se puede ahorrar dinero por la externalización de funciones a las organizaciones profesionales,
como la supervisión de seguridad, mantenimiento, auditoría, el aumento de personal, o © -sitio de copia de seguridad o
almacenamiento, y así sucesivamente. Antes de la adquisición e implementación de estos servicios, la organización debe
tomar acciones que proporcionarán con la seguridad de que la integridad y las operaciones del proveedor no añaden un
riesgo adicional para la organización. En otras palabras, la organización debe actuar con la debida diligencia. ESE
acciones deben incluir lo siguiente:
y el cliente. Llevar a cabo una revisión de la información a disposición del público en cualquier crimi- nal, ??
financiera, y las acciones legales relacionados con el proveedor. Es la revisión debe incluir una revisión de Dun
Los comentarios financieros: Revisar los estados financieros del proveedor para determinar el ??
fortaleza fiscal del proveedor ??. Para las empresas públicas, asegúrese de incluir los informes de la
VIDER pro a la Comisión de Bolsa y Valores (SEC).
Los comentarios del sitio: Llevar a cabo una revisión inicial y periódica de las operaciones del proveedor de
garantizar que el personal están bien informados y las capacidades están en funcionamiento.
seguro para cubrir asuntos como los errores y omisiones, pérdidas de propiedad y accidentes, y el fraude y la
falta de honradez. Además, verifique si la organización tendrá que
Contrato: Contractualmente requieren que los proveedores de implementar la seguridad específica ?? c pro
asegurar que los derechos y responsabilidades de ambas partes son claras y en el mejor interés de la
organización.
Todo lo anterior proporcionan mayor seguridad de que la externalización con una especificidad ?? c pro-veedor tendrá
un alto potencial para ser un éxito, alternativa de bajo riesgo para el sistema.
Cuando la externalización de la seguridad o de apoyo (es decir, el mantenimiento de componentes o sustitución ción, o © -sitio
alternativa capacidad de procesamiento, o © -sitio instalación de almacenamiento), la mejor práctica es documentar todas las
necesidades del sistema en un documento legal llamado un nivel de servicio Acuerdo (SLA).
proveedores, transporte de emergencia de personas / componentes / datos, sta © augmen- tación, y las
comunicaciones. Como mínimo, los SLAs deben contener la información si- guiente:
• Costo / estructura de tarifas (por ejemplo, el uso, administración, mantenimiento, transporte al almacenarse
edad, servicios públicos, Preparación, calendarios de pago) y costo de los servicios adicionales
para el hardware, el software y las necesidades especiales del sistema (hardware y software)
• Suministros proporcionados / no se proporciona, por ejemplo, herramientas de mantenimiento, papel, bolígrafos, carpetas
SLA se desarrollan y ponen en su lugar antes de la implementación de un sistema informático. Durante un incidente no
interconexiones
E mayoría de los sistemas informáticos no son sistemas independientes; apoyan o requieren el apoyo de otros sistemas
de vías de comunicación, el procesamiento, o datos. Cuando consigue conectando dos sistemas hay muchas cosas a
tener en cuenta y todos ellos se relacionan con los objetivos de seguridad: disponibilidad, integridad, y en contra ??
dencialmente. Interoperabilidad de las comunicaciones, protocolos, métodos de autenticación esquema de datos,
algoritmos de cifrado y gestión de claves, normas de etiquetado, y cortes de notificación y respuesta a incidentes ??
procedimientos cationes son sólo algunos elementos técnicos que tendrán que ser resueltos, acordada, y documentada.
Al igual que la externalización y el desarrollo de los SLA, la interconexión con otros sistemas internos o
externos deben ser formalmente acordada y documentada en un documento similar al SLA: Acuerdo de
Servicio de Interconexión (ISA). E ISA debe estar en su lugar antes de ser conectados los sistemas.
E ISA contendrá toda la información relacionada con ambos sistemas y responder el qué, por qué, cómo y
quién de la conexión. Especí ?? camente, elementos como los siguientes:
tipo de crypto será utilizado, los requisitos de protección para el papel y almacena los medios de comunicación,
La mayoría de las veces comparten datos sensibles entre sí, en cuyo caso el titular de los datos
sensibles se desea que los sistemas de recepción para proteger los datos apro- tamente. Las operaciones
pueden requerir que la información o las capacidades de otro sistema tienen un alto grado de disponibilidad
para garantizar las operaciones pueden lograr con éxito sus funciones. Recientemente, se ha provisto un
sistema comercial de la información del paciente de un hospital para que pudieran distribuir suministros
médicos a los pacientes. Hospital y se requiere que el sistema comercial de proteger la información con la
criptografía aprobada por el NIST y tienen su sistema de certificación ?? ed cado por un tercero ?? er antes
de cerrar el contrato de servicios y les envíe cualquier información del paciente. Todos estos requisitos fueron
claramente en el con- trato de servicios.
Es fundamental que ambas partes tienen un conocimiento profundo y legal de las expectativas y los
requisitos previos para la conexión de cada uno.
Varias otras cosas hay que tener en cuenta cuando se trata de identificar las posibles
contramedidas:
del riesgo.
áreas de riesgo múltiples pueden reducirse utilizando una solución de seguridad. Algunas
soluciones de seguridad pueden causar más vulnerabilidades. Una opción es no hacer nada (es
Todo lo anterior son evidentes, a excepción de “pregunta la causa básica del riesgo.” Algunas veces el sistema
conserva una capacidad que no se requiere para apoyar la misión actual, sino que es la causa de un riesgo
residual al sistema. Un ejemplo perfecto de esto es cuando una red está conectada a Internet y no hay ningún
requisito de negocio ment apoyar la conexión. ¿Por qué una organización gastar $ 50.000 a $ 200.000
adquisición y el apoyo a un cortafuegos ?? y conexión, y aceptar el aumento de la vulnerabilidad a las
amenazas de Internet y las posibles responsabilidades legales cuando no hay necesidad de una conexión a
Internet? Algunas organizaciones pueden ver una conexión a Internet como en el mejor interés de mantener la
moral de los empleados, ya que permite a los empleados a utilizar la Internet para búsquedas personales y
e-mail. En ese caso, la organización puede ?? nd que sea menos costoso y arriesgado si la organización pagó
por las conexiones a Internet de los empleados en sus casas. Es eliminaría el alto costo de los controles de
seguridad, las conexiones y los riesgos relacionados con la con- nection Internet y las posibles
responsabilidades legales.
por lo general se requiere de costo-bene ?? t análisis o el retorno de la inversión (ROI) para cada opción identificada
?? ed gestiones para su revisión. ERE muchos métodos para el cálculo y la realización de análisis de t un coste-bene ??
para determinar el retorno de la inversión para una solución. Uno de los mejores métodos es el método Expectativa de
una cantidad estimada de daños (en términos monetarios) que la organización puede esperar a perder al año
debido a un riesgo. El uso de la ALE, la organización puede calcular el ROI y justificar los fondos de gastos de
contramedidas para reducir la probabilidad o el impacto de un incidente. E siguientes son ejemplos de cómo
esto se puede calcular:
ALE Virus y retorno de la inversión: Una organización con 100 empleados produce $ 10.000 al día. Cada
empleado tiene un ordenador conectado a la red; la red está conectada a Internet. No hay controles antivirus
en su lugar. La organización cuenta con 200 días al año. El potencial de tener un incidente de virus en la red
infectar todos los ordenadores es una vez al día. El tiempo de recuperación de un incidente es un día. ¿Cuál
es la ALE básica y retorno de la inversión para este riesgo?
ALE = Número de incidentes potenciales / año x Pérdida Potencial / incidentes ×% de la exposición ALE = 200
días / año × 1 Incidente / día x $ 10.000 / día x 100% vulnerable
ALE = $ 2,000,000 / año
ALE SPAM y retorno de la inversión: La misma organización no tiene ninguna protección contra el spam de correo
electrónico. El equipo de identi fi ca que en promedio cada empleado recibirá 10 e-mail Spam cada día, y se necesitará al
menos un minuto para identificar cada uno como SPAM y borrar el mensaje de spam. Esto se traduce en 10 minutos por día
de menor productividad para cada empleado. ¿Cuál es la ALE básica y retorno de la inversión para este riesgo?
ALE = Número de incidentes potenciales / año x Pérdida Potencial / incidentes × ALE% Exposición = 200
días / año x 10 incidentes / Día / Empleado × (1 minuto de trabajo /
Incidentes / 480 minutos de trabajo / día / Empleado × $ 10.000 / día) × 100% vulnerable
Con estos datos de rendimiento de la inversión, la ISSMP ha llevado a cabo un © coste-beneficio ?? t análisis reflexivo
para justificar las contramedidas de seguridad basados en el riesgo muy e. Recuerde que, al igual que el cálculo de riesgos,
hay muchas formas de determinar el rendimiento de la inversión y el uso de ALE en cualquier lugar de dos a muchas
variables. La elección de cuál utilizar se basa en los cuales uno será el más atractivo para la alta dirección de la organización.
Antes de pasar a discutir los roles y responsabilidades de la organización, la ISSMP debe entender el
concepto general de establecer, pruebas, aprobación y supervisión de la seguridad del sistema de
información, por lo que las funciones y responsabilidades puede ser puesto en perspectiva.
Una vez más, en las publicaciones y la práctica existen diversos métodos, pero básicamente todos
tienen los mismos componentes. E siguiente es un enfoque genérico para cado sistema ?? catión y
acreditación (C & A). Ver el gráfico que acompaña para una representación visual de las fases.
Fase de aprobación: E medidas adoptadas para revisar el Plan de seguridad del sistema, Seguridad
Informe de Evaluación y plan de acción correctiva o plan de acciones e hitos (POA & M, véase el
recuadro) se completan antes de un alto manage- ment o «aprobación oficial de un sistema de
información para la ejecución u operación conti- UED. Es O «cial es responsable de la función de
negocio del sistema de información y recursos de apoyo y es conocedor de la seguridad esta- tus,
incluyendo los controles de seguridad y riesgos, y para aceptar formalmente el riesgo para los
individuos y la organización (incluyendo la misión, los activos, funciones, la imagen y la reputación).
controles de seguridad, y el nivel de riesgo se mantienen. E acciones incluirán un programa de gestión con
configuración activa ??, asegurando que todas las actualizaciones se implementan, las evaluaciones de riesgo
se llevan a cabo de forma continua, la alta dirección se mantiene al tanto de todos los cambios en el estado de
seguridad, contingencia y
los procesos de gestión de proyectos proporcionan muchas herramientas que son útiles para ISSMPs. Una de
estas herramientas es el Plan de Acción e hitos (POA & M). Es es una hoja de cálculo utilizado por el director del
proyecto, la alta dirección y el personal ?? financieros para rastrear las acciones del proyecto. E POA & M tiene
Acción para corregir una debilidad o para apoyar una necesidad misión o negocio
E & M POA proporciona una gestión con una lista de acciones prioritarias que deben llevarse a cabo y el
estado de cada uno de los propósitos de planificación y financiación. Además, el POA & M proporciona ??
personal y financieros agement hombre-alto con una lista priorizada de acciones que deben ser financiados
para reducir los riesgos de la misión o de negocios.
planes de respuesta a incidentes se ejercen, se capacita al personal, y se mantiene la seguridad Ness AWARE.
Fase de eliminación: fase se produce cuando se hace una determinación de que un infor-
Ya no se requiere sistema mación. Las acciones deben tomarse medidas para garantizar que la seguridad de
ninguna información residual está protegido y la disrupción ción permanente de los servicios no es una sorpresa
para nadie. Información que debe ser retenido para fines legales o reglamentarias debe ser transportado y está
tomar medidas para garantizar que la reutilización inadecuado de licencias no se produce y que los medios de
almacenamiento son desinfectados. Que interrumpieron los servicios a otros elementos y las interconexiones
Otros ciclos de seguridad del sistema se sugieren en diversas publicaciones. EY tienen fases similares, pero en
realidad también son similares en las acciones que deben llevarse a cabo
para garantizar que la seguridad de un sistema de información está correctamente implementado, mantenido y
desmontado. Figura 1.10 proporciona varios ejemplos de estos otros ciclos y cómo se relacionan con el descrito
anteriormente.
Para entender mejor cómo los ciclos de seguridad del sistema de información se relacionan con los demás ciclos
que tienen un fuerte impacto en el desarrollo, implementación, opera- ciones, y la seguridad de un sistema de
información véase la Figura 1.11.
De las muchas herramientas de gestión de proyectos, POA & M es uno que puede ser muy impor- tante a un ISSMP,
ya que esta herramienta proporciona un registro vivo de las acciones prioritarias para mejorar la seguridad de un sistema
de información. E POA & M es también un docu- mento reconocido por los directores de proyectos, la gestión y el
personal ?? financieros como una lista de acciones que deben ser financiados para reducir los riesgos de la misión o de
negocios. De hecho, en virtud de la Ley de Gestión de la Información de Seguridad Federal (FISMA), el O «Oficina de
Administración y Presupuesto (OMB) es responsable de supervisar la gestión de todos los sistemas de gobierno y de
seguridad relacionada. En apoyo de esta responsabilidad, trimestralmente, todas las organizaciones presenten su lista de
seguridad de Ciencias de sistemas de TI ?? y los planes para corregirlos a la OMB en la forma de un POA & M. E OMB
utiliza estos POA y Ms para realizar un seguimiento de las deficiencias de ?? y los fondos para corregirlos. E OMB puede
realizar un seguimiento de los fondos, ya que es responsable de revisar las solicitudes de los organismos oficiales para
financiación antes de que el presidente presentación de la solicitud de presupuesto anual al Congreso para la asignación
Seleccione Controles
Adquisición de
La verificación
desarrollo
implementar controles
Implementación la
Aprobación de
disposición
Disposición
disposición
Ciclos, procesos y los informes son muy e © herramientas ectantes, pero como se puede ver en la OMB / POA y M
ejemplo, herramientas sólo son © e caz si los roles y responsabilidades individuales se identifican ?? ed y monitoreado.
Funciones y responsabilidades
Las organizaciones tienen estructuras de gestión para asegurar que todos los elementos trabajan juntos para cumplir
la misión, metas y objetivos de la organización en la mayoría de los e © ec- tivo y e «ciente manera posible. La
gestión en todos los niveles proporciona el liderazgo, la planificación, programación, supervisión y dirección para
asegurar que las actividades son a tiempo y en la fecha prevista. Para mantener una buena organización, funciones
y responsabilidades individuales deben ser comunicadas claramente a la especificidad ?? c individuos en los
papeles, y el resto de los individuos que trabajan con y en la organización (es decir, proveedores, socios, clientes,
etc.).
Como en tantos otros procesos discutidos en este capítulo, no hay nadie mejor estructura organizacional
para la seguridad del sistema de información. E correcta organización debe derivarse de las entradas discutidos
durante los exámenes iniciales de los siste- mas en la organización, es decir, la misión, cultura, medio ambiente,
profesional, y así sucesivamente. ISSMPs puede tener poco control sobre cómo se estructura de la organización,
sino que debe tener una comprensión ?? rm de la estructura y que los individuos y grupos son responsables de la
asignación de recursos, funcionamiento, gestión, supervisión y aprobación de los sistemas de información y la
disponibilidad de los demás controles de seguridad, tales como física, ambiental, personal y técnica.
Varios documentos identifican las posiciones posibles con las funciones y responsabilidades que son necesarios
para apoyar la seguridad de los sistemas de información. E mesas para
tres de estos se identifican ?? en la Figura 1.12. E específica ?? cs para cada uno se puede encontrar en los documentos de
Análisis de los diferentes roles en estos modelos y otros da a conocer un conjunto clave de ?? cinco funciones de
seguridad genéricos que son necesarios para asegurar el éxito de cualquier programa de información de seguridad del sistema.
ESE son la alta dirección, autoridad de aprobación, verificación ?? entidad cación, propietario del sistema y de usuario
representativo.
tiene éxito, la seguridad de los empleados y de los productos, y que todas las acciones son éticas y que
cumpla con las leyes y regulaciones apropiadas.
2. La aprobación de la Autoridad: Autoridad de aprobación E lleva a cabo la Business-
evaluación de riesgo para la seguridad del sistema y formalmente aprueba el uso operacional del sistema.
¿El individuo debe ser un empleado de alto nivel de la organiza- ción, asignado formalmente la
responsabilidad y la autoridad de revisar y aprobar los sistemas de información con todos sus riesgos
asociados para opera- ciones. Para tener la autoridad competente, la autoridad de aprobación debe tener
in²uence adecuado sobre ambas las operaciones de negocio y recursos para hacer la determinación t,
análisis de riesgo misión equilibrada relación costo-beneficio en el ?? la aceptabilidad de los riesgos de
seguridad del sistema residual.
3. Veri¤cation Entidad: Es una persona o grupo que lleva a cabo acciones para verificar que
lo que está documentado en el plan de seguridad del sistema aprobado es lo que se está haciendo en las
responsable de todo, desde el desarrollo, implementación, ing manag-, dotación, formación, educación,
asignación de recursos, funcionamiento, mantenimiento, itoring MON, hacer ejercicio, evaluación y presentación
de informes, a la corrección de la seguridad del sistema de información sobre una base diaria. ¿El individuo es
responsable del desarrollo y mantenimiento de todos los documentos clave de seguridad, incluyendo la seguridad
del sistema, la contingencia, la respuesta a incidentes, gestión de parches, con ?? configuración de gestión, POA
& M, y los planes presupuestarios. Además, el propietario del sistema debe reportar el estado de seguridad,
5. Representante de usuario: usuarios de correo son una de las principales claves para el éxito de cualquier
programa de seguridad. representante de los usuarios E asegura que las preocupaciones incluyendo misión,
cultural, a primera línea del funcionamiento, del medio ambiente, y el usuario aceptabilidad dad están incluidos en
comunicaciones entre la dirección y la comuni- dad usuario para facilitar la promoción de la seguridad de los
Todos estos varían en título y descripción de las funciones de una organización a otra. Ejemplos de
estos son
Gerencia senior puede ser el Junta Directiva, que en definitiva son res-
sable de la salud general de la empresa, o la Los gerentes generales en posiciones de nivel o
«CER (como CEO y COO), que son responsables de la toma diaria de decisiones y la infusión de
los valores y la cultura de la organización.
autoridad de aprobación en algunas organizaciones financieras ?? es el Jefe Financiero
O «cer (CFO); en otras organizaciones es el CSO recién designado; pero en la mayoría de los
casos es el CIO.
Veri¤cation Entidad ha sido uno o una combinación de auditoría interna y externa
y funciones profesionales información de seguridad del sistema, a veces llamado el Inspec tor General,
Auditoría, Cumplimiento, Certificación ?? er, o Certi cación ?? Agente / Grupo.
La comprensión de las funciones de cada uno de los anteriores, el ISSMP puede ver ahora por qué el nivel de la
educación y la concienciación sobre la seguridad con cada uno de estos individuos es muy importante para el éxito de
cualquier programa de seguridad del sistema. Es se discutirá más al final de este capítulo.
Algunas organizaciones tienen personal profesional adicionales que apoyan a los individuos por encima en el
establecimiento y el mantenimiento de la seguridad para un sistema. E siguientes son ejemplos de algunas de
estas:
Además, esta persona conoce los métodos de referencia para el cálculo del riesgo y la forma de determinar los
Propietario. A veces se les llama la unidad de negocio (Información) Seguridad O «CER (BSO /
BISO), ya que reportan a un gerente de la unidad de negocio. E ISSO o BISO veces tiene una
estructura de información adicional a la CSO o CISO para recibir orientación adicional, tareas, y la
presentación de informes.
Con la excepción de la ISSO, que normalmente trabaja con el propietario del sistema, los otros pueden trabajar para
cualquier número de altos directivos. En algunas organizaciones el analista de riesgos es una persona sta © general que
funciona para unidades de negocios individuales o múltiples, proporcionando apoyo a la evaluación del riesgo de una amplia
variedad de opiniones y los procesos de decisiones a criteria, mientras que en otros, este individuo es el Jefe de Riesgos O
«CER (CRO), proporcionando el análisis de riesgos a los Directores generales y el Consejo de Administración sobre las
cuestiones de cumplimiento y de negocios. E CISO puede trabajar para uno o más directores generales o el CIO, CFO, o CSO,
dependiendo de la estructura interna, his- toria, culturas, orientación comercial, personalidades, y la política dentro de una
organización. En la mayoría de los casos, el CISO trabaja para el CIO, ya que la seguridad del sistema es visto como una
función de la tecnología de la información. En algunos casos, el CISO trabaja para el director financiero, ya que la organización
es vista como un negocio ?? financiera y los sistemas de información son vistos sólo como un elemento de apoyo. En otros, el
CISO trabaja para la OSC, donde hay uno, debido a seguridad de la información es vista como un requisito de organización
que requiere la integración de todas las disciplinas de seguridad (personal, informáticos y físicos). A veces, el CISO no funciona
para el CIO, porque no es una preocupación para con²ict de interés, por ejemplo, el CIO podría estar más preocupados por la
disponibilidad, mientras que el CISO se ocupa de todas las fun- ciones de seguridad (disponibilidad, integridad, y en contra? ?
confidencialidad). Otra razón podría ser una preocupación de la alta dirección que el CIO no respeta plenamente la prioridad de
los requerimientos del negocio a través de la tecnología. porque la organización es vista como un negocio ?? financiera y los
sistemas de información son vistos sólo como un elemento de apoyo. En otros, el CISO trabaja para la OSC, donde hay uno,
debido a seguridad de la información es vista como un requisito de organización que requiere la integración de todas las
disciplinas de seguridad (personal, informáticos y físicos). A veces, el CISO no funciona para el CIO, porque no es una
preocupación para con²ict de interés, por ejemplo, el CIO podría estar más preocupados por la disponibilidad, mientras que el
CISO se ocupa de todas las fun- ciones de seguridad (disponibilidad, integridad, y en contra? ? confidencialidad). Otra razón podría ser una preoc
Cada una de las funciones anteriores sostiene una responsabilidad clave para asegurar que un sistema de informa-
ción mantiene un nivel adecuado de seguridad, pero el más fundamental es el dueño del sistema y ISSO, porque ellos son
los que se supone que hay que controlar el estado de seguridad del sistema sobre una base diaria y tienen el conocimiento
más seguridad. EY también son responsables de asegurarse de que las necesidades del sistema se re²ected en el
presupuesto de la organiza- ción y la autoridad de aprobación es consciente de los problemas de seguridad relacionados
con sus sistemas. E este último se lleva a cabo a través de informes y presentaciones a la alta dirección, para que puedan
Un ISSMP tiene el potencial para apoyar o estar en la posición de cualquiera de las funciones anteriores, porque se
necesita experiencia profesional del ISSMP para asegurar el éxito de cada función. Para llegar a ser calificado ?? ed
para cualquiera de estas funciones no requieren experiencia y cationes ?? caciones adicionales y el conocimiento. Para
tener éxito en una organización, todos por encima de la necesidad de entender cómo obtener con éxito los recursos y
presentarlos a la gestión.
Seguridad de recursos
Para entender cómo obtener recursos adicionales requiere una comprensión de los conceptos y procesos de SeV
adicionales erales.
proyectos de Maslow
cationes Justi ??
Jerarquía de las necesidades es el resultado de la teoría de lo que motiva a las personas a tomar las acciones que hacen
de Maslow. Maslow identificó ?? ?? ed cinco niveles de necesidades: physiologi- cal, la seguridad, el amor, la estima y
autorrealización. Figura 1.13 proporciona una representa- ción visual de los ?? niveles de VE y algunas de las necesidades
La teoría de Maslow es que hay que alcanzar, mantener y satisfacer los niveles más bajos antes de que uno
puede tomar en el siguiente nivel de necesidades. Es la teoría no es tan rígida como parece, porque las prioridades
de un individuo pueden ²uctuate de minuto en minuto (por ejemplo, si uno no puede respirar un rápido vuelve a
centrar en el nivel fisiológico, o si la casa de uno se pierde uno reenfoca en el nivel de seguridad hasta se obtiene
refugio), pero para la mayoría de los individuos son parte inconscientemente en uno o dos lev- els. Sabiendo que
necesitan niveles de los individuos se encuentran en es muy importante para el ISSMP, porque la comprensión de lo
que motiva a las personas es una de las claves para el desarrollo de estrategias para in²uencing, la gestión, lo que
lleva, la venta, y otros individuos convincentes. Por ejemplo,
Con demasiada frecuencia, cuando se le preguntó a un gerente, “¿Cómo se puede motivar a alguien?” La
respuesta inmediata del gerente es “más dinero!” Por lo general, la mejor respuesta es determinar qué nivel la
persona está en y tomar una acción apropiada para apoyar la necesidad en ese nivel. (Fuente: Maslow, AH Un
Eőry de la motivación humana.
Psychological Review 50 (1943): 370-96).
Gestión de proyectos principios deben ser entendidos si un ISSMP va a tener éxito en la gestión o ayudar
en cualquier e © ORT media o mayor. E mejor lugar para adquirir conocimientos sobre cómo gestionar un
proyecto es del Project Management Institute (PMI), o uno de sus capítulos en 170 países. Para el PMI,
proyecto agement hombre- consiste en la comprensión de unos 45 procesos que se requieren para el
éxito-totalmente la gestión de proyectos. procesos ESE consisten en ?? cinco grupos de procesos básicos y
nueve áreas de conocimiento (ver Figura 1.14).
E grupos de procesos básicos de ?? definido por el PMI en su publicación, Una guía para la Dirección de
Proyectos del Conocimiento ( Guía del PMBOK®; 3ª edición, p. 41), son los siguientes:
Procesos de Iniciación Grupo: De ?? define y autoriza el proyecto o una fase del proyecto
Planificación de Grupo de Procesos: De ?? nes y re ?? objetivos nes y planifica el curso
de acción necesarias para alcanzar los objetivos y el alcance que el proyecto se llevó a cabo a la
dirección
Procesos de Ejecución Grupo: Se integra personas y otros recursos para llevar a cabo
el plan de gestión de proyectos para el proyecto
iniciar
Integración
Planificación
acciones cuando sea necesario correctiva para cumplir con los objetivos del proyecto
Tenga en cuenta que los grupos anteriores son similares a los otros ciclos de seguridad utilizando di © ER- nombres ent
Como puede verse en la figura 1.14, las nueve áreas de conocimiento tienen procesos que son acerca de la
administración ?? especí c elementos funcionales clave, algunos de los cuales se identificaron ?? en ciclos de seguridad
anteriores. Alcance, la calidad y la gestión del riesgo son las zonas que son muy similares. Otros relacionados con los
costes de gestión, tiempo, personal, adquisiciones y las comunicaciones entre grupos son áreas en las que las habilidades
de gestión exitosas podrían apoyar en gran medida las distintas acciones que deben ser administrados en cualquiera de los
E éxito de ISSMPs puede depender de qué tan bien entienden los mayores de 45 procesos, porque este
conocimiento les permitirá gestionar proyectos y trabajar con los directores de proyectos más e caz ©. ISSMPs
busca pasar a las posiciones de alta dirección debería considerar seriamente convertirse en un certificado ?? Ed
Project Management Professional.
Asumir riesgos.
Seleccione Controles
Adquisición de
Planificación La verificación
desarrollo implementar controles
el control y la Operación y
Mantenimiento
Supervisión mantenimiento
controles del monitor
disposición
Clausura Disposición
disposición
En recursos ?? uir es una habilidad que se requiere para cada ISSMP, porque todos los programas de seguridad deben
tener fondos para operar. La comprensión del proceso para la obtención de los fondos necesarios para cubrir las necesidades
actuales de seguridad (es decir, personal, infra- estructura, servicios, especialistas, materiales de construcción, formación y
educación, etc.), las iniciativas y las situaciones de emergencia es muy importante. Pareciendo muy complejo en primera ??,
los procesos son fáciles de aprender, y este proceso de aprendizaje pueden proporcionar una ventaja para el ISSMP si
manipulan de forma correcta. De todas las personas de una organización, las personas que controlan o contribuyen al proceso
de presupuesto de la organización son los mas importantes a la ISSMP, porque tienen algo que decir grande que lo que se
financiado y no lo hace.
Básicamente, el proceso de financiación tiene cuatro fases: planificación, programación, presupuestación y ejecución. E
asistencia e © Orts de un año, pero a veces la financiación es compatible con una fase ?? específico de un proyecto.
E presupuesto incluye fondos para nel persona-, servicios públicos, instalaciones, servicios, materiales, publicidad,
Figura 1.16 ilustra la temporización, las interacciones de la organización, y los resultados de cada fase. E especí
?? c tiempo requerido para llevar a cabo cada fase es totalmente dependiente de la organización. En algunas
organizaciones, una fase puede tomar un año, y en otros, semanas o días. E Tamaño de la organización, la diversidad
geográfica de la gestión, la complejidad del entorno empresarial, el nivel de exigencias competitivas, ²uidity del
mercado, y así sucesivamente, puede tener un gran impacto en cuánto tiempo y qué tan rápido se mueve el proceso.
Es por ello que es ISSMPs deben tomar conciencia de su especificidad ?? c orga- nización del proceso de financiación
de los individuos que controlan el proceso de presupuesto.
Una vez que se entiende el proceso, el ISSMP puede anticipar las solicitudes de presupuesto en apoyo del
proceso y llegar a ser muy sensibles a las acciones de gestión relacionados. Se recomienda que el ISSMP solicitar la
revisión del presupuesto individual y com- ción en las entradas antes de que se solicitan las entradas para asegurarse
de que las entradas son correctas y demostrar conocimiento del proceso. Además, determinar el momento en que
financian comentarios se producen durante la fase de ejecución, ya que esta es una oportunidad para
Decisión del n,
isió
n
..
programa
Re
ugere
..
nes
nes S
acio
s,
Fase de presupuestos
a
i fi c
ti v
yeccio
na
Mod
er
alt
s, Pro
.
s,
do…
.
ión,
...
presupuestaria
bio
ima
es
Asignación
est
ervis
am
encia
ion
e Decisión
ost
sc
ac
C Financiación
fi c
Sup
Lo
Tend
sti
Ju
funcionales
Cronología
identificar la necesidad de ahorro de financiación o resaltar adicionales iniciadas por el ISSMP. Un ejemplo de esto
está en el gobierno, cuyo objetivo es pasar todos los fondos asignados en el año fiscal ?? (1 de octubre a 30 de
septiembre), por lo que las organizaciones gubernamentales llevar a cabo un análisis de medio año en la primavera y
la financiación del contrato se aceleren en al final del verano. ISSMPs debe aprovechar estos tiempos de obtener
recursos para las mejoras financiadas. En el sector comercial, ISSMPs debe buscar momentos de entradas grandes en
efectivo a la empresa, por ejemplo, al final de cada trimestre, cuando se recibe un cheque grande de renovación de
contratos de los clientes. Cada organización es di © Erent. Sin embargo, la información puede ser adquirida por el
presupuesto o el personal ?? financieros.
Un comentario final ?? en la obtención de recursos: financiación es casi siempre disponible para las propuestas que
tienen un impacto importante en la reducción del riesgo o el aumento ?? ts pro, pero el ISSMP debe ser creíble y tienen una
La venta de la alta dirección en la aprobación de una solución para un problema de seguridad es uno de los trabajos
más difíciles que un ISSMP tendrá que hacer. Para mucha gente, la venta no es fácil por muchas razones: están pidiendo
dinero; que tienen que dar una presentación; que ?? nd di que «culto a escribir una justificación ?? cación o determinar el
Sobre la base de los conceptos presentados en la jerarquía de las necesidades y las Leyes de las Organizaciones,
ISSMPs necesitará construir una estrategia para vender a su especificidad ?? c alta dirección. Una regla fundamental en
venta es que hay que vender en las necesidades del comprador, no las necesidades del vendedor. Al igual que las
organizaciones, las personas de la organización son di © Erent, por lo que el ISSMP tendrá que entender las necesidades
del jefe, jefe del jefe, la Junta, y cualquier otra persona que in²uences decisiones de compra. cationes y presentaciones
Justi ?? necesitan seguir el enfoque 0-5 a la venta, sobre la base de las técnicas de venta que se presentan en el libro SABER
(. James P. Litchko, Al Payne SABER Book Publishing, Kensington, MD © 2004). Tabla 1.6 proporciona
los detalles de este enfoque.
enfoque e es igual que la seguridad: sencillo, práctico, y e «ciente. Nótese cómo el enfoque utiliza las
leyes de la Organización:
Los altos directivos son responsables de tomar decisiones, a fin de darles opciones y recomendaciones. Los altos
directivos tienen un tiempo limitado, a fin de darles una página y ?? cinco minutos
presentaciones.
E más arriba en la organización de las más recursos; por lo tanto, también conocer la
el jefe del jefe.
Por lo general, los nuevos tienen ISSMPs di «cultades con la aplicación del enfoque debido a los siguientes motivos de
preocupación 0-5:
¿Cómo puedo presentar todo en cuestión de minutos ¤ve? E mayoría de los hombre-alto
gerentes no son técnicos y ellos son todos acerca de la toma de decisiones. EY apreciarán el
hecho de que usted entiende y respetar el tiempo que te han dado. darles los fundamentos, y si
tienen preguntas que harán. E presentador quiere que se haga preguntas, porque consigue que
se involucren con el problema y la solución, dándoles la sensación de ser dueño de la solución.
¿Cómo puedo presentar todo en una sola página? cationes Justi ?? para adicional
los recursos deben ser no más de una página, de nuevo debido a los altos directivos no tienen un montón de tiempo.
Siempre que sea posible base de la justificación ?? cación de las necesidades de la misión o de negocios.
¿Cómo sé cuáles son las necesidades y objetivos de la audiencia son? E mejor manera es hablar
a la asistente ejecutiva saber quién va a estar en la reunión y cuáles son sus orígenes y funciones son. Hacer
una búsqueda en Internet y leer artículos sobre ellos, pre sentaciones y documentos de ellos, y así
sucesivamente. Además, pregunte al Nance ?? o el personal de presupuesto y su mentor para el consejo.
Mucha gente piensa que la forma de vender a la alta dirección es presentar un sólido retorno de la inversión
(ROI), pero recuerda la jerarquía de necesidades de Maslow. Algunas personas son más impulsados por
necesidades distintas de retorno de la inversión; a veces tener éxito y ser reconocido por sus pares en una
conferencia o en un artículo es lo que los impulsa-estima. O aún sabiendo que no van a tener problemas con
sus evaluadores, la Junta, o su jefe es su objetivo con la seguridad. Recuerde, todo el mundo es di © Erent,
presente a todo el público, y no todos los problemas que tenga que tener un componente retorno de la
inversión.
¿Cómo puedo ¤nd un mentor? Se recomienda que cuando se está seleccionando un men-
tor siempre elegir a alguien que es positivo y exitoso en la organización y no siempre de
acuerdo con usted, porque usted quiere a alguien que será un desafío y dar una opinión
sincera.
E ISSMP tiene la responsabilidad de asegurar que la administración es consciente de los riesgos que afectan
a la organización en el cumplimiento de la misión o tener éxito en negocios, así como proporcionarles opciones y
recomendaciones para reducir los riesgos. E acciones tomadas por el ISSMP relacionada con ambos ganando los
recursos de seguridad de la información y la educación de manera proactiva y mantener un nivel cons- tante de la
conciencia para la seguridad de la información para todos los empleados de la organiza- ción puede ser
mutuamente bene ?? cial.
Conciencia: Un proceso de aprendizaje que prepara el escenario para la formación cambiando indicación
vidual y actitudes organizacionales para darse cuenta de la importancia de la seguridad y las consecuencias
adversas de su fracaso.
Educación: la educación de seguridad de TI se centra en el desarrollo de la capacidad y la visión para
realizar complejas, las actividades multidisciplinares y las habilidades necesarias para mejorar la profesión de
seguridad de TI. Las actividades de educación incluyen la investigación y el desa- rrollo de seguir el ritmo de los
Formación: Enseñar a las personas los conocimientos y habilidades que les permitan
realizar su trabajo más e caz ©. (Fuente: NIST SP 800-16, Requisitos de formación Tecnología de la
Información de Seguridad: Un roles y basado en los resultados del modelo, Apéndice C, Glosario,
Mark Wilson, Dorothea E. de Zafra, Sadie I. Lanzador, John D. Tressler, y John B. Ippolito, abril de
1998)
Así, por estos Definiciones ??, la conciencia es para todos los empleados, la formación es para las personas que utilizan
los sistemas de información, y la educación es para los profesionales de seguridad de la información. Es importante reconocer
porque afecta el objetivo y la especificidad de cada ciudad ??, por lo que el ISSMP puede adaptar los programas para cada
Conciencia: Todos los empleados no tienen que entender cómo funcionan los virus, sólo cómo
que pueden ayudar a prevenir traer los virus en el sistema y lo que los sín- tomas son, para que
puedan reconocer cuando tienen uno ya quién informar de ello.
Formación: El personal del sistema de información necesitan conciencia de seguridad, así como
formación sobre cómo instalar, actualizar y mantener contramedidas antivirus y cómo responder a los
ataques de virus.
Educación: profesionales de la seguridad de la información necesitan tanto la conciencia como
la formación y el conocimiento de cómo funcionan los diferentes virus, las tendencias, termeasures Con-, opciones de
Cada empleado tiene una profundidad Erent di © del conocimiento por lo que el empleado puede hacer su trabajo
sobre la base de sus funciones en la organización. Proporcionar un individuo con más de lo que se necesita sería ine ©
caz, costoso y contraproducente (es decir, un exceso de información puede resultar en que el individuo se aburran y
falta la instrucción de que realmente se necesita para apoyar las necesidades de seguridad de la información). Además,
los temas tratados tienen que ser relevantes para el sistema de información, ya que proporciona información de
seguridad sobre la seguridad en Internet y un ordenador portátil es innecesaria cuando un sistema de información no
está conectado a Internet o no utiliza los ordenadores portátiles. Por lo que el ISSMP debe identificar con mucho
cuidado exactamente qué nivel de sensibilización, formación, y se requiere la educación de todos los niveles de
empleados.
programa de sensibilización E debe incluir a todos, desde las instalaciones del trabajador con el presidente
de la junta. De hecho, el programa debe destacar el apoyo visible desde el alto ejecutivo de demostrar el énfasis
de la alta dirección y ment fomentados para todos los empleados para apoyar la seguridad e © Orts de la
organización.
E ISSMP tiene que utilizar todas las herramientas disponibles para aprovechar el correo © cacia de la sensibilización, la
formación, la educación y el programa de la organización. Un enfoque consiste en utilizar los resultados de las fases del ciclo
de seguridad de la información previamente discutidos (ver Figura 1.11). Lo que sigue es la forma en que se pueden utilizar
se identifican ?? ed, proporcionando toda la línea de fondo perfecto para la adaptación de lo que se necesita para
conocimiento que deben ser cubiertos en los programas de educación ING y TREN de la organización.
ING, hacer ejercicio y seguimiento de los resultados de operaciones sobre el estado y e © ective- Ness de la
seguridad del sistema de información se identi ?? ed. ESE resultados identificarán de ?? deficiencias y las
frecuencias de los incidentes que se pueden utilizar para apoyar la conciencia e © Orts con ejemplos o identificar
áreas en las que es necesario un mayor énfasis. EY también se puede utilizar para hacer modi ?? cationes a la
formación y planes de estudios edu- cación para asegurar apoyo a los cambios en los procedimientos y
llevará a cabo para evitar que el compromiso de la información, debido a la complacencia y la falta de conocimiento de
cómo desinfectar información de diversas formas de medios de comunicación. Las buenas intenciones (como la
Se requieren sensibilización, la formación y la educación a lo largo de todo el ciclo de la seguridad informa- ción para
aumentar la seguridad de que todos los controles están funcionando correctamente en todo momento. Además, muchas de las
acciones descritas anteriormente se pueden utilizar para garantizar que las acciones relacionadas con estas tres áreas están
dirigidos con precisión para apoyar las necesidades del sistema y entorno de las amenazas ya que ambos evolucionan.
Conciencia es uno de los más clave de los tres, porque las acciones de sensibilización proporcionan conocimientos
y ayudar a las personas en la primera línea ?? en la defensa para poder con- conducto de ellos apropiadamente,
vigilando la situación en el lugar de trabajo, y reportar actividades sospechosas. ERE son muchos métodos para
aumentar la conciencia de los empleados. E después de haber tenido un gran éxito:
medio para aumentar la visibilidad de los gerentes, clientes, socios, proveedores, supervisores, los sistemas, los
operadores, los protectores y los trabajadores de mantenimiento, no sólo a los usuarios. E siguientes son métodos
agendas
Discutir los éxitos de seguridad y los cambios en la organización “reuniones de la ciudad” que requieren
cláusulas de control de seguridad que debe incluirse en todos los contratos carteles con mayor que presenta la
gestión
recompensar a las personas para informar sobre los problemas de seguridad o dar sugerencias Solicitud de
aumentar el conocimiento del producto. Información de responsabilidad y las acciones de seguridad deben ser
presentados con frecuencia y en una variedad de maneras de asegurar que las ees employ- mantienen un nivel
de conciencia. E siguientes son métodos para mantener esa conciencia, pero la clave es que tienen que cambiar
banderas de sensibilización de seguridad a los usuarios antes de iniciar la sesión en los ordenadores. Sorteos:
así sucesivamente.
Libres de 30 minutos para llevar bolsa marrón con el portador de la presentación de los temas
que apoyan las necesidades personales de los empleados y subliminal promover las políticas de
hojas de información sensible a la luz, deja una puerta abierta a un lugar seguro, etc.),
seguridad proporciona la orientación de los empleados sobre el comportamiento de seguridad
piado appro- y NotI ?? ca el empleado que si hay una repetición del incidente el empleado tener
que explicar sus acciones a un gerente de nivel ejecutivo (es decir, CEO, CFO, COO, OSC,
etc.).
presentaciones: Antes de dar cualquier acceso de los empleados a cualquier sistema de información o
instalación, el empleado debe completar un curso de adoctrinamiento seguridad de la organización, que Verí ?? ES
que un nivel de entendimiento ha sido adquirida por el empleado. Las presentaciones pueden ser proporcionados en
múltiples formas, tales como conferencias de un valor o «cial y la formación basada en ordenador. Las
presentaciones se pueden hacer más e caz © mediante la incorporación de los incidentes que se produjeron en la
organización.
Educación para los profesionales de la seguridad es muy importante. E ISSMP debe asegurarse de que los empleados
están ambos formados y conscientes de sus responsabilidades relacionadas con el fin de • asegurar que la seguridad de la
información se mantiene en la organización. Aprovechando las salidas de otras acciones de seguridad aumentará el correo
© cacia y e «ciencia de estas acciones. Además, ISSMPs no debe descuidar la educación de la seguridad de los miembros
del equipo de seguridad y de ellos mismos. Muchas organizaciones están exigiendo Var- profesionales ious para convertirse
en cado ?? Ed en su área de especialización y para mantener la certificación ?? cación como un requisito para el empleo.
Otras compañías también están exigiendo a sus profesionales para obtener un nuevo certificado ?? cación cada año para
Preguntas de revisión
do. Proporcionar todos los miembros de la dirección general de la organización y el enfoque de sus actividades
2. ¿Qué tipos de organizaciones necesitan tener una declaración de misión formalmente documentado?
re. Pro ?? t, objetivos de la organización, las capacidades del cliente, y la alta dirección
5. Las soluciones de seguridad de un sistema debe ser
do. Identificar los componentes del sistema que apoyan cada una de las funciones de la empresa
a. Iniciación
segundo. La iniciación y ejecución
do. Aplicación y disposición y eliminación
re. Iniciación, implementación y Operaciones y Mantenimiento
12. ¿Quién establece los estándares de seguridad de la información para el sector público?
do. DODI-8500.2
re. Todo lo anterior
14. E ISSMP decide entre usar Assessment riesgo cuantitativo y cualitativo basado en
a. E proceso presupuestario
segundo. ¨reats
do. vulnerabilidades
re. Gestión de los procesos de toma
15. Garantías son aquellas actividades que permita la gestión con lo que acerca de las soluciones de seguridad?
a. Debida diligencia
segundo. Proteccion
a. El aumento de las dependencias de apoyo a los requisitos de seguridad del otro sistema
do. Obligación de informar al otro sistema cuando los cortes se van a producir
re. Todo lo anterior
18. expectativa de pérdida anual y ROI se expresan en las siguientes unidades:
a. Moneda y porcentaje
segundo. Porcentaje y nivel de riesgo
re. Una lista de acciones para la seguridad de la vigilancia durante la fase de ejecución
20. E presentación ideal para los altos directivos, que deben seguir las reglas siguien- tes?