Preview (1) .En - Es

e
sa
El compendio más completo de conocimiento de la industria compilado por los principales

expertos en la seguridad global. Una herramienta imprescindible para aquellos que
buscan alcanzar los Sistemas de Información de Gestión de Seguridad Profesional
(ISSMP) ® credencial.
Editado por Harold F. Tipton, CISSP-ISSAP, ISSMP
UN LIBRO AU ERB ACH

OFICIAL (ISC) 2 ®
GUÍA PARA LA
ISSMP CBK
® ®
Otros libros de la (ISC) 2 SERIE DE PRENSA
®
Oficial (ISC) 2® Guía de la ISSMP ® CBK ®

Harold F. Tipton, Editor ISBN:
978-1-4200-9443-5
Oficial (ISC) 2® Guía para la SSCP ® CBK ®, Segunda edicion

978-1-4398-0483-4
Oficial (ISC) 2® Guía de la ISSAP ® CBK ®

978-1-4398-0093-5
Oficial (ISC) 2® Guía de la ISSMP ® CBK ®

978-1-4200-9443-5
Oficial (ISC) 2® Guía de la CISSP ® CBK ®, Segunda edicion

978-1-4398-0959-3
Liderazgo CISO: Principios esenciales para el éxito

Todd Fitzgerald y Micki Krause, Editores ISBN:
978-0-8493-7943-X
Construcción e implementación de una certificación de seguridad y el Programa de Acreditación:

Oficial (ISC) 2® Guía para la PAC ® CBK ®
Patrick D. Howard ISBN:

978-0-8493-2062-3
Oficial (ISC) 2® Guía de la CISSP ®- ISSEP ® CBK ®

Susan Hansche
ISBN: 978-0-8493-2341-X
Editado por
Harold F. Tipton, CISSP-ISSAP, ISSMP
Auerbach Publicaciones Taylor
& Francis Group
6000 Broken Sound Parkway NW, Suite 300 Boca
Raton, FL 33487-2742
© 2011 por Taylor y Francis Group, LLC

Auerbach Publications es una huella de Taylor & Francis Group, una empresa Informa Sin pretensión de Gobierno
EEUU originales obras impresas en los Estados Unidos de América sobre papel libre de ácido 10 9 8 7 6 5 4 3 2 1
International Standard Book Number-13: 978-1-4200-9444-2 (Ebook-PDF)
Este libro contiene información obtenida de fuentes auténticas y de gran prestigio. Se han hecho esfuerzos razonables para publicar los datos
y la información fiable, pero el autor y el editor no pueden asumir la responsabilidad de la validez de todos los materiales o las consecuencias
de su uso. Los autores y editores han tratado de rastrear los titulares de derechos de autor de todo el material reproducido en esta publicación
y pedir perdón a los titulares de derechos de autor si no se ha obtenido permiso para publicar en esta forma. Si cualquier material de derechos
de autor no ha sido reconocido por favor escriba y háganos saber para que podamos rectificar en cualquier reimpresión futuro.
A excepción de lo permitido por la Ley de Derechos de Autor de Estados Unidos, ninguna parte de este libro puede ser reproducido, la reproducción,
transmisión, o utilizarse, de ninguna forma o por cualquier medio electrónico, mecánico u otro, ahora conocidos o en los inventó, incluyendo fotocopia,
microfilmación, y la grabación, o en cualquier información dE ALMACENAJE edad o la recuperación del sistema, sin permiso por escrito de los editores.
Los permisos para copiar o utilizar material electrónicamente a partir de este trabajo, por favor acceder www.copyright.com
(http://www.copyright.com/) o contacte con el Copyright Clearance Center, Inc. (CCC), 222 Rosewood Drive, Danvers, MA 01923,
978-750-8400. CCC es una organización sin fines de lucro que pro- licencias Vides y registro para una variedad de usuarios. Para las
organizaciones que se han concedido una licencia tocopy foto- por la CCC, un sistema separado de pago ha sido arreglado.
Aviso de marca registrada: Nombres de productos y empresas pueden ser marcas comerciales o marcas comerciales registradas, y sólo se utilizan para
la identificación y explicación y sin intención de infringir.
Visita el sitio web de Taylor & Francis en

http://www.taylorandfrancis.com y el sitio Web
Auerbach en
http://www.auerbach-publications.com
Contenido
Editor ................................................. .................................................. ......... vii colaboradores
....................................... .................................................. .......... ix Prólogo ......................................
.................................................. ................ xi Introducción ................................
.................................................. .............. xiii
1 Prácticas de gestión de seguridad de la empresa ............................................ 1

JAMES LITCHKO
2 Sistemas de seguridad en toda la empresa Desarrollo .................................. 73

MAURA van der Linden
3 Supervisar el cumplimiento de las operaciones de seguridad ................................ 129

KEITH D. WILLETT
4 La comprensión de Business Continuity Planning (BCP), Desastres

Planificación de recuperación (DRP), y la continuidad de Planificación de Operaciones (COOP)
.................................... ........................................... 257
Cheryl Hennell
5 Ley de Investigación, Forense y Ética ........................................... 339

CRAIG Steven Wright
Apéndice: Respuestas a las preguntas de repaso ............................................ ....... 407
v
© 2011 por Taylor & Francis Group, LLC
Editor
Hal Tipton, Actualmente es consultor independiente, es un ex presidente de la Internacional de Sistema de

Información de Seguridad Certi ?? Consorcio de cationes y fue director de seguridad informática para
Rockwell International Corporation por cerca de 15 años. Se inició el programa de seguridad informática y
datos de Rockwell en 1977 y luego continuó a administrar, desarrollar, mejorar y ampliar el programa para
adecuarlas a las necesidades de control producidos por los avances tecnológicos hasta su retiro de
Rockwell en 1994.
Tipton ha sido miembro de la Asociación de Sistemas de Información de Seguridad (ISSA) desde

1982. Fue presidente de la sección de Los Ángeles en 1984 y el presidente de la Organización
Nacional de ISSA (1987-1989). Se le añadió al Salón de la Fama de la AISS y la AISS de Honor en
2000.
Tipton fue miembro del Instituto Nacional de Estándares y Tecnología (NIST), el ordenador y el Consejo
de Seguridad de Telecomunicaciones, y el Consejo Nacional de Investigación de asegurar los sistemas
Comité de Estudio (para la Academia Nacional de Ciencias). Recibió su BS en ingeniería de la Academia
Naval de Estados Unidos y su maestría en administración de personal de la Universidad George
Washington; también recibió su cate ?? cado en informática de la Universidad de California en Irvine. Es un
certificado ?? información ed profesional de la seguridad del sistema (CISSP), ISSAP y ISSMP.
Ha publicado varios artículos sobre temas de seguridad de la información para Auerbach Editores ( Manual de
Gestión de Seguridad de la Información Seguridad de datos Manage- ment); Diario de Información de Seguridad; Academia
Nacional de Ciencias ( Ordenadores en situación de riesgo); Pro Informes de datos; y Elsevier El acceso de la AISS revista.
Ha sido ponente en todas las grandes conferencias seguridad de la información INCLUYENDO Computer
Security Institute, la Conferencia Anual de Trabajo de la AISS, el Taller de Seguridad Informática, Conferencias de
MIS, Seguridad AIS para ciones Espacio Oper, Conferencia de Seguridad DOE ordenador, Conferencia Nacional de
Seguridad Informática , Conferencia de Seguridad IIA, EDPAA, UCCEL Seguridad y auditoría Conferencia de
Usuarios, y la Conferencia sobre temas de seguridad industrial.
Ha dirigido o participado en seminarios de seguridad de la información de (ISC) 2,

Frost & Sullivan, UCI, CSULB, seminarios de intercambio del sistema, y el Instituto de
vii
viii • Editor
La investigación internacional. Participó en el Ernst y video Young “La protección de los activos de
información.” En la actualidad es el editor de la Manual de Gestión de Información de Seguridad ( Auerbach
Publications). Preside el (ISC) 2 Comités CBK y el Comité de control de calidad. Recibió el Premio a la
Trayectoria del Instituto de Seguridad Informática en 1994, (ISC) 2 'S Premio Hal Tipton en 2001, y el
(ISC) 2 Fundadores Award en 2009.

colaboradores
James Litchko, CISSP-ISSEP, PAC, MBCI, CMAS, es senior de seguridad de expertos en Litchko &
Associates. El Sr. Litchko ha trabajado como experto en seguridad y gestión de más de 30 años. Ha sido un
ejecutivo de ?? cinco organizaciones y supervisar y apoyar la obtención de más de 200 militares, el gobierno
y com- Mercial sistemas de TI. Desde 2008, ha apoyado la obtención de sistemas de TI en el DHS, el DOE,
VHA, la NASA, la EPA, la USAF, el Departamento de Justicia, y FEMA. Jim creó y enseñó el curso de
seguridad de TI ?? primer graduado de la Universidad Johns Hopkins (JHU) y fue gerente de la NSA. Jim
tiene una maestría de la Johns Hopkins y es autor ?? cinco libros sobre temas de seguridad y gestión.
Craig S. Wright, CISSP-ISSAP, ISSMP, es un director con Información de Defensa en Australia. Él lleva a cabo
tanto en el GSE-malware y GSE-cados Cumplimiento ?? nes de ca- GIAC. Él es un estudiante perpetuo con
numerosos títulos de postgrado, incluyendo un LLM especializada en derecho comercial internacional y el
derecho de comercio electrónico, el grado de maestría en estadística matemática de Newcastle, y está
trabajando en su cuarto título de máster centrado IT-(en el desarrollo del sistema) en la Universidad Charles
Stuart , Australia, donde imparte materias en la ciencia forense digital. Él es ESCRITO ing su segundo doctorado
en la cuanti ?? cación de información de riesgo del sistema en CSU.
Cheryl Hennell, EdD, MSc, CISSP, SBCI, ha trabajado en la industria de TI durante 40 años. Su trabajo incluye el
desarrollo de sistemas para el Ministerio de Defensa, el análisis de los sistemas de la administración pública,
consultora europea para una organización de primer orden y de 20 años como profesor universitario de alto nivel.
Actualmente es responsable de TI y seguridad de la información para Openreach, BT. Obtuvo su maestría en
diseño de sistemas de información de la Universidad de Kingston, Londres, y su médico-comió de la Universidad
de Southampton, Reino Unido, y es un especialista en el Business Continuity Institute, Reino Unido. Ella es
también un embajador de Childnet.
Cheryl era el director del curso para el primer grado ?? forense digital en el Reino Unido, que creó
y entregado por la Universidad de Portsmouth. Ha sido invitado como ponente en conferencias
internacionales en Europa, Oriente Medio y África.
ix
X • colaboradores
Sus temas incluyen seguridad de la información, auditoría, riesgos y gobierno, la seguridad física y la continuidad del
negocio y recuperación de desastres.
Maura van der Linden pasado más de una década en las pruebas de software de Microsoft Corpor un ción con una
especialización en las pruebas de seguridad, incluyendo el trabajo de la Unidad de Tecnología de Seguridad en el Equipo
de Respuesta de malware. Después de servir como un revisor Nical tec- para MSDN Magazine, escribió su primer artículo ??
en la prueba de inyección SQL para Revista MSDN. A continuación, escribió su primer libro ??, Prueba de código de
seguridad,
Auerbach, Boca Ratón, Florida, con el fin de enseñar a otros probadores de la necesidad y la complejidad de las pruebas de
seguridad. OUGH que ahora trabaja como un escritor de programación, que mantiene sus estrechos vínculos con las
comunidades de prueba y de seguridad.
Keith Willett, CISSP-ISSAP, tiene más de 25 años de experiencia en la información tecnologıa que abarca el
mundo académico y comercial, locales y gobiernos nacionales. El Sr. Willett tiene una licenciatura en ciencias
de la computación de la Universidad de Towson, Maryland, una maestría en Negocios de la Universidad de
Baltimore, Maryland, y un MSIA de la Universidad de Norwich, Vermont, y él tiene las denomina- ciones CISSP
y ISSAP de (ISC) 2. Willett es el autor de Arquitectura Aseguramiento de la Información y coautor de Cómo lograr
27001 Certi cación ??, ambos publicados por Auerbach. Cuando no está trabajando, el señor Willet disfruta de
viajes mundial, la gastronomía y el vino, y ha disfrutado de todo en más de 125 ciudades en 30 países.

Prefacio
seguridad de la información es un campo ?? compleja que requiere no sólo una fuerte visión para los técnicos, sino
también la capacidad de aplicar los principios de gestión para el desarrollo e implementación de un e información © caz
programa de gestión de la seguridad. ejecutivos jefe de seguridad de la información seguridad de la información o «RCE,
ejecutivos de alto nivel de seguridad, información del jefe o« oficiales y jefes de la tecnología o «RCE-debe ser capaz de
entender los riesgos para activos de la organización y determinar la mejor manera de alo- cado financiero ?? y los
recursos de personal para lograr los objetivos de gestión de seguridad de información y ?? ll todos los requisitos de
cumplimiento ful. Tenemos una necesidad sin precedentes de líderes en este campo ?? que están equipados con el
conocimiento y la experiencia necesaria para garantizar que nuestros sistemas y redes están operando de forma segura
y fiable.
gerentes y ejecutivos de seguridad de la información se encargan de garantizar que la información de propiedad

de su organización es seguro. La imposibilidad de lograr y mantener el cumplimiento con las regulaciones
gubernamentales y la industria pueden interrumpir las operaciones de negocio cal criti-, en última instancia,
devastando la empresa, sus grupos de interés, y sus socios comerciales. Creemos que la gestión de seguridad de la
información caz e © se inicia con la certificación y la educación de la seguridad de la información mano de obra, desde
los altos ejecutivos de seguridad que construyen la base para la estructura de seguridad de una organización de
profesionales de la seguridad que están en las trincheras, protect- activamente ing nuestros sistemas y redes.
E ?? Certificación de Sistemas de Información de Seguridad ed-Información Profesional Sistema de Seguridad
Management Professional (CISSP-ISSMP) evalúa la comprensión de un individuo de prácticas de gestión de la seguridad, la
gestión de las iniciativas de cumplimiento, la continuidad del negocio y la planificación de recuperación de desastres y asuntos
legales. La obtención de la certificación CISSP-ISSMP valida que usted tiene el conocimiento para crear e implementar
programas de gestión de correo © ectantes seguridad de la información para satisfacer las necesidades de seguridad de su
organización.
Como líder mundial reconocido en el campo de la educación ?? seguridad de la información y la certi

cación ??, (ISC) 2 'S misión es promover el desarrollo de los profesionales de seguridad de la información
en todo el mundo. Es un placer para ofrecerle esta referencia comprensiva. Creemos que usted ?? nd
CISSP-ISSMP a ser un paso informativa y desafiante en la promoción de su desarrollo profesional.
xi
xii • Prefacio
A medida que revise la información de este libro y estudiar para el certificado CISSP-ISSMP ?? examen de
cationes, recuerde que aventurarse más allá de la base sólida de la certificación CISSP ?? cación en última instancia,
debería ayudar a mejorar su carrera, así como su capacidad para guiar arriba-y-venir los profesionales de seguridad
de la información.
Le deseamos éxito en su viaje hacia la obtención de la certificación CISSP-ISSMP ?? cación.
W. Hord Tipton, CISSP-ISSEP, PAC

Director ejecutivo
(ISC) ²

Introducción
(ISC) 2 'S certificado de gestión de seguridad de la información ?? cationes CISSP-ISSMP-es una

concentración de la certificación CISSP base de ?? cación que se centra en los aspectos de gestión integral
de los programas de seguridad de la información empresarial. Mientras que la certificación CISSP ??
direcciones cationes todos los aspectos de seguridad de la información, incluyendo cuestiones de gestión, la
certificación CISSP-ISSMP ?? cación explora aún más la parte de gestión para desarrollar con mayor detalle
para satisfacer las necesidades de alto nivel (director y de nivel C) nel persona-. Como requisito previo para
la obtención de la certificación CISSP-ISSMP, los medidores CISSP candi- comprensión general de los
aspectos de gestión que intervienen en la ejecución de un programa de seguridad de la información fechas,
mientras que el CISSP-ISSMP profundiza en la gestión de riesgos de seguridad, cumplimiento, las mejores
prácticas, y estrategias.
gestión de la seguridad se puede dE ?? define como el proceso de asegurar que la creación y el mantenimiento
de la estructura de seguridad de la información de una empresa protege la confidencialidad con ??, integridad y
disponibilidad de los sistemas de negocio sensibles crítica y / o, al mismo tiempo ser en cumplimiento de las políticas
internas y externas, legisla- ción y los reglamentos. Estados Unidos, el gerente de seguridad es responsable y
calificado ?? ed para llevar a cabo las funciones necesarias para lograr los objetivos de seguridad de la empresa. E
ISSMP cado ?? catión se pretende medir y evaluar la capacidad de un particular indicación a ser acreditado como un
profesional en este campo ?? exigente.
E CISSP CBK-ISSMP ha sido desarrollado para abarcar todos los elementos de conocimiento que se requiere
un individuo que posee una función de seguridad de información management. E-ISSMP CISSP cubre ?? cinco
dominios: Prácticas de gestión de la empresa de seguridad, sistema de seguridad Desarrollo de toda la empresa,
supervisar el cumplimiento de las operaciones de seguridad, Business Continuity Planning, Planificación de
recuperación de desastres y continuidad de la planificación de operaciones, y Derecho, Investigación, medicina
forense, y la ética.
Los temas tratados en el dominio prácticas de gestión de la empresa de seguridad incluyen:
xiii
xiv • Introducción
• gobierno de la empresa (Misión / Metas y Objetivos / Cultura / Negocios

Procesos / Economía y el entorno competitivo)
- los conceptos de seguridad (disponibilidad / Integridad / Con ?? confidencialidad)
- clasificación de datos ?? catiónico (Sensibilidad / criticidad / Zonas de Control)
- marco de seguridad (Política / Normas / directrices / Procedimientos / líneas de base)
• los roles y responsabilidades de seguridad (de presupuesto / retorno de la inversión de seguridad /
Madurez Programa de Seguridad / Gestión de Proyectos / Propiedad)

- programa de gestión de riesgos (Objetivos / análisis de riesgo / contramedidas)
- acuerdos de nivel de servicio de seguridad (/ Interconexión / Outsourcing) - Personal de seguridad
(Identity Management / Gestión de seguridad de la conciencia)
E toda la empresa de seguridad de dominio de Desarrollo del Sistema cubre los temas siguientes:
• la seguridad SDLC (Proyecto de Riesgo / Seguridad Diseñado en / Proyecto elemento de seguridad)
• Las pruebas del sistema (Prueba elemento de seguridad y Documentación / Con dencial ??
Los ataques de prueba de datos / información privilegiada)
• catión ?? Certi y acreditación (C & A La ayuda de proceso)
E temas tratados en el Cumplimiento Supervisar de Dominio de operaciones de seguridad incluyen:
• problemas de seguridad (operaciones de copias de seguridad / inventario de equipos y Con guración) ??
• Auditoría (Preparación / Respuesta / Archivos de registro)
• Cumplimiento (Control de Acceso / Política / Contratos y Convenios / Software

La concesión de licencias / Retención)
• Con ?? configuración de gestión (Biblioteca / Patch / Cambio de Control)

• La penetración y las pruebas de vulnerabilidad (Botnet conciencia / salida Tra «c /
Los cortafuegos de aplicación Web)
En el Business Continuity Planning, Planificación de recuperación de desastres, y Con ti- nu dad de dominio
planificación de operaciones, los temas cubiertos incluyen:
• BCP y DRP planificación del proyecto (dirección Drivers Comité / Negocio / Política /
Alcance / Requisitos de Recursos)
• análisis de impacto en el negocio (REAT Análisis de Procesos de Negocio / críticas / legales,
Obligaciones reglamentarias, contractuales y / IRD partido Dependencias / Planificación de Sucesión

Ejecutivo)
• Las estrategias de recuperación (Recomendaciones / Seguros / Funciones y responsabilidades)
• El diseño del plan (Respuesta a Emergencias / Noti cación ??)

Introducción • xv
E Ley de Investigación, análisis forense, y el dominio de Ética abarca los siguientes temas:
• leyes de seguridad de la información (licencias / Computer Crime / Propiedad Intelectual /

Importación y Exportación Leyes / Responsabilidad / Ley de Privacidad / los empleados de vigilancia / Litiga Soporte
ción)
• Elementos de investigaciones (Manejo y respuesta a incidentes / Evidencia

Preservación / Digital Forensics / Entrevista e indagaciones)
• Ética profesional
Un candidato para la certificación CISSP-cación ?? ISSMP debe demostrar un conocimiento profundo de los temas
mencionados anteriormente, mientras que la aplicación de sus conocimientos para éxito- totalmente gestionar el programa de
seguridad de la información para una empresa.
Hal Tipton

Capítulo 1
Prácticas de gestión de
seguridad de la empresa
James Litchko
Contenido
Introducción ................................................. .................................................. ....... 2

Declaraciones de misión ................................................ ........................................... 3
Funciones de negocio ................................................ ............................................ 6
Procesos grupo empresarial ............................................... ................................... 7
Gestión de Identidad ................................................ ....................................... 8
El cumplimiento ................................................. .................................................. ... 8
Las expectativas culturales ................................................ ..................................... 10
In²uences externos ................................................ ......................................... 11
Resumen In²uence ................................................ ......................................... 12
Conceptos de Seguridad de Información ............................................... ............................. 13
Requisitos de seguridad del sistema ............................................... ......................... 13
Análisis del impacto en la seguridad ............................................... .................................. 14
Seguridad del proceso Categorización ............................................... ........................dieciséis
Información Clasi cación ............................................. ?? ................................. 18
Asegurar Clasi ?? Información ed ............................................ .......................... 23
Seguridad de Límites ................................................ .......................................... 23
Programa de seguridad del sistema In²uences Resumen ............................................. ... 25
Ciclo de Vida Sistema de Desarrollo (SDLC) ........................................... .................. 26
Marco de Seguridad Enterprise System .............................................. .................. 27
Política de Seguridad de la empresa ............................................... ................................ 28
Normas y directrices ............................................... ................................. 31
Aprovechando Externos para Fabricación de funcionamiento interno ............................................. .......... 33
1
2 • O fi cial (ISC) 2 Guía ® a la ISSMP® CBK®
Programa de Gestión de Riesgos ............................................... .................................. 35

Componentes de Gestión de Riesgos ............................................... ....................... 37
Evaluación y Aseguramiento ............................................... ............................... 42
Procedimientos y Procesos ............................................... ................................ 44
Acuerdos de Nivel de Servicio ............................................... ................................. 47
Interconexiones ................................................. ............................................ 48
Contramedidas Evaluación y Recomendación ....................................... 49
Ciclos Sistema de Información de Seguridad .............................................. ...................... 51
Funciones y responsabilidades ............................................... .................................... 54
La dotación de recursos de Seguridad ................................................ ........................................ 59
La conciencia de la seguridad, la educación y la capacitación ........................................... ...... 66
Resumen del capítulo ................................................ ............................................... 69

Preguntas de revisión ................................................ ................................................ 70
Introducción
Prácticas de gestión de correo para empresas de seguridad de dominio se dirige a los requisitos fundamentales
para un programa de seguridad. Abarca los conceptos de seguridad desde una perspectiva de toda la
empresa, de ?? define el papel de la política, y apoya el establecimiento de un departamento de seguridad e
caz ©. Un experto en este campo entiende la relación entre la política de seguridad y los requisitos de negocio
de la organiza- ción como re²ected través de la misión, metas y objetivos. Además, un experto será consciente
de los objetivos individuales y, a veces con²icting de unidades de negocio Erent di © y estará familiarizado con
el requisito del debido cuidado y diligencia en la realización de operaciones a través de las fronteras políticas,
regulatorias o de mercado.
Es de dominio requiere una comprensión de la gestión de riesgos a través del riesgo, la amenaza y la evaluación del
impacto, mitigación de riesgos y controles. También se destaca el valor de clasificación de datos ?? cación, el certificado ??
cación y el proceso de acreditación, y el cambio de control.
Un gerente de seguridad de la empresa establece programas de formación y sensibilización que cubren temas tales
como la política de seguridad, funciones y responsabilidades, el uso aceptable de los recursos del sistema y los
procedimientos de seguridad. La capacitación también debe cubrir manejo de incidentes y el cumplimiento de los requisitos
legales.
tareas de gestión de correo que se enfrentarán a un gerente de seguridad de la empresa son diversas y extensa.
Mientras que las responsabilidades individuales variarán de acuerdo a las prioridades organizativas, las siguientes áreas
clave de conocimiento abarcan muchas de las funciones de un gerente de seguridad de la empresa:
• Comprender los objetivos, la misión y los objetivos de la organización de

una perspectiva empresarial.
• Aplicar los conceptos de disponibilidad, integridad, confidencialidad y en contra ?? a la empresa.
• Desarrollar una política de seguridad en toda la empresa.
• Desarrollar e implementar los procesos de seguridad.
• Desarrollar un plan de seguridad en toda la empresa.

Prácticas de gestión de seguridad de la empresa • 3
• Delimitar funciones y responsabilidades de los empleados, gerentes, propietarios de los datos, y
el personal de seguridad desde una perspectiva de seguridad.
• Desarrollar y poner en práctica los acuerdos de nivel de servicio relacionados con la seguridad.
• Desarrollar la medición del riesgo y programas de gestión.

• Integrar la seguridad del personal con las operaciones comerciales.
• Supervisar los programas de sensibilización y formación de seguridad en toda la empresa.
• Desarrollar e implementar un programa de clasi datos ?? en todo el

organización.
• Desarrollar estrategias cación y acreditación ?? cados.
• Abordar las cuestiones de privacidad y los requisitos.
• Supervisar las prácticas de evaluación de seguridad.
• programas de seguridad de mercado para la gestión y las partes interesadas.
• Medir y protección de apalancamiento de recursos de la empresa.
Declaraciones de misión
La alta dirección es responsable de establecer la misión y objetivos de la organización. Además, es

responsable de la consecución de esos objetivos, que incluye asegurando que el debido cuidado y
diligencia debida se aplicarán, según proceda. Es se logra a través de su conocimiento y comprensión de
?? financiera y operacional y la posterior gestión de ese riesgo o bien proporcionando los recursos
necesarios para remediar las carencias de ?? críticos o aceptar a sabiendas el riesgo. Es es lo que gobierno
de la empresa se trata, es decir, asegurar que un nivel adecuado de seguridad se aplica a los sistemas de
información de la organización con el fin de proteger al personal, operaciones, información y activos de la
organización, así como el cumplimiento de todas las leyes jurídico, reglamentario y las normas éticas.
E trabajo del Sistema de Información de Gestión de la Seguridad Profesional (ISSMP) es establecer,

implementar y administrar un e información © caz programa de seguridad del sistema y garantizar que la alta
dirección está provisto de un estado preciso de todos los riesgos y las alternativas a la reducción de riesgos
inaceptables . Para establecer un © ec- tivo programa de seguridad e, el ISSMP necesitará identificar los
requisitos del programa, lo que requiere un proceso muy interactivo con los directivos o los administradores del
sistema específico ?? c ser protegido. Es proceso es necesario con el fin de entender las verdaderas necesidades
de seguridad del sistema, las soluciones de seguridad potenciales y los riesgos. E paso inicial y fundamental es
que el ISSMP conocer la misión de la organización.
La alta dirección proporciona declaraciones de misión para dar dirección general y el enfoque de todas las
actividades de la organización. declaraciones de misión ESE tardar semanas o incluso meses para desarrollar,
porque las bases de alta dirección de estas declaraciones sobre el análisis de Em- presas, las tendencias del
mercado, capacidad de organización, y, lo más importante, su entendimiento de que tendrá que ?? nd los
recursos para apoyar la acordado misión. Cada grupo y sistema individual, la información dentro de la
organización debe de alguna manera apoyar la misión de la organización, por lo que el ISSMP debe
comprender la misión de la organización.

Las declaraciones de misión son simples y directas. Los siguientes son algunos ejemplos:
Declaración de la misión de Merck: “La misión de E Merck es proporcionar a la sociedad

productos superiores y servicios mediante el desarrollo de innovaciones y soluciones que mejoran la calidad
de vida y satisfacer las necesidades del cliente y para brindar ees employ- con un trabajo significativo y
oportunidades de progreso, y los inversores con una tasa de retorno superior “(Fuente:. http: //
www.merck.com/about/mission.html)
Declaración de la misión de Google: “La misión de Google es organizar la infor- del mundo
mación y hacerla universalmente accesible y útil “(Fuente: http: // www.
google.com/corporate/).
Declaración de la Misión del Hospital: “San Vicente Hospital es un institución médica
ción dedicada a la prestación de atención de calidad al paciente con la atención incesante de la excelencia
clínica, la seguridad del paciente y una pasión sin igual y compromiso para asegurar la mejor asistencia
sanitaria para aquellos a quienes servimos “(Fuente:. http: // www.stvincenthospital.com/aboutUs /estado de la
misión)
Departamento de Misión de Seguridad Nacional (DHS de): "Lo haremos
dirigir la uni ?? ed nacional e © ORT para proteger a Estados Unidos. Vamos a prevenir e impedir ataques
terroristas y proteger contra y responder a las amenazas y peligros para la nación. Vamos a garantizar
fronteras seguras y protegidas, la bienvenida a los inmigrantes legales y visitantes, y promover el libre ²ow del
comercio “. (Fuente: http: // www. Dhs.gov/xabout/strategicplan/)
Declaraciones de Misión (FTC) de la Comisión Federal de Comercio:
Misión de la competencia: “Comisión E está dedicada a esa tarea, y utiliza una

variedad de herramientas para promover la competencia y proteger a los consumidores de las fusiones
contrarias a la competencia y conducta empresarial. Rough ejecución, el estudio, la promoción y la
educación, la misión de la competencia de la FTC es eliminar impedimentos privadas o públicas que
impiden a los consumidores recibir el beneficio ?? ct de esta competencia “.
Misión de Protección al Consumidor: “E FTC protege al público de injusta, decep-

tiva, y las prácticas fraudulentas en los temas de protección del mercado y las direcciones de los
consumidores que tocan todos los estadounidenses “(Fuente:. 2008 Informe del Presidente, E FTC en
2008: Una fuerza de consumidores y la competencia, marzo de 2008, http: //www.ftc. gov / os / 2008/03 /
ChairmansReport2008.pdf)
De dónde viene el ISSMP ?? nd declaración de la misión de la organización? Dependiendo de la organización que

se puede encontrar en varios lugares:
el sitio web de la organización: todos los ejemplos anteriores se han encontrado en los sitios Web. Mayores
informes de gestión: informes anuales al Congreso (FTC 2008 silla-
Informe del hombre identificado ?? ed arriba), los accionistas, la Comisión de Bolsa y Valores (SEC), y así
sucesivamente.
Capacidades declaraciones desarrolladas para los clientes potenciales.
presentaciones de introducción de organización para empleados o grupos internos.

El plan estratégico de la organización, al igual que el ejemplo anterior DHS.
Notificación por parte de los ejemplos anteriores que la misión de una organización es amplia; esto es para permitir el
paso siguiente: la ISSMP y administrador del sistema para determinar la misión específica ?? c, metas y objetivos que se
aplican al sistema o sistemas que se están asegurados. Durante este paso, es importante que el ISSMP se centra en los
sistemas críticos ?? primera, porque rara vez es © e caz para proporcionar el mismo nivel de seguridad a todos los
sistemas de información establecidos dentro de toda la empresa de TI de una organización. políticas genéricas y
soluciones de seguridad para todos los sistemas corporativos rara vez son de costo o de derecho e © ec- tivo, ya que las
necesidades operativas y de seguridad de cada sistema son di © Erent. Metas y objetivos proporcionan más específico ??
ciudad sobre los requisitos para ese sistema. E DHS ofrece un buen ejemplo de esto:
E objetivos estratégicos para el DHS son los siguientes:
• Conciencia: Identificar y comprender las amenazas, evaluar las vulnerabilidades, determinar
impactos potenciales, y difundir información oportuna a nuestra tierra socios seguridad y el
público americano.
• Prevención: Detectar, impedir y mitigar las amenazas a nuestra tierra natal.
• Proteccion: Salvaguardar nuestro pueblo y sus libertades, la infraestructura crítica,
la propiedad y la economía de nuestra nación de los actos de terrorismo, desastres naturales u otras
emergencias.
• Respuesta: Plomo, gestionar y coordinar la respuesta nacional a los actos de ter-
rorism, desastres naturales u otras emergencias.
• Recuperación: nacional de plomo, estatales, locales y el sector privado e © Orts para restaurar ser-
vicios y reconstruir las comunidades después de los actos de terrorismo, los desastres naturales, u otras emergencias.
• Servicio: Servir al público e © caz al facilitar el comercio legítimo, los viajes,

y la inmigración.
• La excelencia de organización: Valorar nuestro recurso más importante, nuestros perso-
PLE. Crear una cultura que promueve una identidad común, la innovación, el respeto mutuo,
responsabilidad y trabajo en equipo para lograr los e «deficiencias, e © cacia y sinergias operativas.
(Fuente: proteger nuestro territorio nacional, el Departamento de Seguridad Nacional Plan de Estratégico
de 2004, http://www.dhs.gov/xlibrary/ activos / DHS_StratPlan_FINAL_spread.pdf EE.UU.)
E DHS consiste en múltiples organizaciones (es decir, US Guardacostas [USCG], Agencia Federal de
Emergencias [FEMA], Seguridad en el Transporte LA ADMINISTRACIÓN [TSA], etc.), cada uno con una
responsabilidad de apoyar a uno o varios de los objetivos anteriores .
USCG: prevención, protección, y en relación con FEMA marítima Respuesta: Respuesta

y Recuperación
CST: prevención, protección y respuesta en relación con el transporte

Dentro de la misma organización, el DHS, existen grupos internos con objetivos Erent di © y objetivos; por lo
tanto sus sistemas tendrán requisitos de seguridad Erent di ©.
objetivos de organización son muy especí ?? c a cada elemento interno de un orga- nización. Las metas son
declaraciones que indican lo que el sistema está destinado a lograr. Las metas pueden des ?? na de las finalidades del
sistema e incluyen líneas de tiempo y métricas. Ejemplos de objetivos son los siguientes:
• Proporcionar información a un grupo ?? específico o todo el mundo.
• Compartir información de investigación con otros investigadores.
• Pasar la información sensible o clasificación ?? ed sólo a sistemas autorizados.
• Vender un producto a las organizaciones de salud o todos.

• Permitir a los jugadores a apostar a través de Internet desde su PC.
• Conectar a las personas que necesitan órganos a los órganos recién cosechadas.
• Manda a la liberación de un arma nuclear a un objetivo específico ?? c. Debido a que los tipos de seguridad que se
necesita para un sistema específico ?? c varían en función de la misión, metas y objetivos de la organización, es
fundamental para el ISSMP para identificar estas desde el principio de los correos © Orts en la construcción de la seguridad
de los sistemas sistema de información plan.
Funciones de negocio
En los negocios comerciales, tanto para pro t ?? y no para pro t ??, hay grupos internos que apoyan las
funciones de negocio di © Erent, es decir, contabilidad, ventas, pro- ducción, comercialización, investigación y
desarrollo (I + D), humana recursos (HR), legales, y así sucesivamente. los requisitos de cada función tiene
requisitos de seguridad Erent di © porque cada uno tiene metas y objetivos Erent di ©. Tabla 1.1 proporciona un
ejemplo de
1.1 Tabla de funciones de negocios Impacto sobre los requisitos de seguridad
Grupo Requisito El acceso Requerimientos Requisitos de seguridad

funcional a Internet de seguridad Justi fi cación
Contabilidad Clientes / bancos Fuerte Nómina / privacidad / fi nanciero
Ventas Todo el mundo Pequeño listas de clientes sensibles
Proveedores de producción Ninguna Solicitud de piezas
Márketing Todo el mundo Ninguna Actividades de promoción
I+D Todo el mundo Moderar Propiedad intelectual
HORA Reclutadores, reclutas, Moderar la información de privacidad
compañías de seguros
Legal otros abogados Moderar información confidencial

corporativa

cómo los requisitos de seguridad del sistema de un grupo funcional cambian simplemente por la necesidad del grupo para
acceder a Internet.
Procesos Business Group

Además, dentro de cada una de estas funciones el ISSMP debe ser consciente de la especificidad ?? c Busi-
procesos y tipos de información que apoyan y son producidos por el sistema Ness. E cosas que el ISSMP tiene que
entender acerca de los procesos de negocio son los siguientes:
¿Quién está a cargo y gestiona el negocio?

¿Quién es responsable total para el control de las operaciones y los recursos del sistema? ¿Cómo funciona el
negocio?
¿Cuál es la determinación del éxito: entrada, salida, pro ?? t, número de clientes,
¿Etcétera?
¿Cómo se introduce la información? Que
recibe o lo revisa?
¿Quién hace qué con él (modificar, consolidar, eliminar, almacenar, transmitir, etc.)? A quien se
transmite la información desde y hacia dónde y por qué? ¿Hay proveedores de productos o
servicios? ¿Hay clientes o compradores externos o internos?
¿Hay algunas revisiones por la dirección y aprobaciones requeridas en los procesos? ¿Quién hace la
revisión y aprobación y lo que se aprueba? ¿Qué tan rápido estas acciones tienen que pasar? ¿Cuál es el
impacto si no se producen? ¿Quién proporciona la supervisión y con qué frecuencia?
E anterior lista no es una lista completa, pero es un excelente comienzo. A medida que se lleva a cabo la
revisión, más preguntas se harán evidentes como la ISSMP intenta obtener un entendimiento sólido en el negocio es
compatible con el sistema o va a apoyar. Con una comprensión completa de los procesos de negocio, la ISSMP puede
determinar cosas tales como
• ¿Cuál es el ²ow de la información?

• Lo que se comunica y con quién?
• ¿Qué privilegios se requieren cada persona?
• ¿Quién redacta las solicitudes y que las aprueba?
• ¿Qué tan importante son los componentes individuales del sistema y sus capacidades para
apoyar el éxito de la organización?

• ¿Qué información tipos y sensibilidades están siendo procesados en el sistema?
• Que son los proveedores y qué acuerdos están en su lugar o se necesitan?
• Quiénes son los clientes y cuáles son sus capacidades y expectativas?
• ¿Quién es el propietario de la instalación?
• ¿Quién será la persona definitiva para aceptar cualquier riesgo residual y autorizar la
sistema entre en funcionamiento o continuar operando?

E anterior son todos piezas clave de información necesarios para la ISSMP para asegurar que la mayoría de los e ©
seguridad reflexiva se aplica al sistema. Algunas personas pueden decir que este es el trabajo de un analista de sistemas y
puede que tengan razón, pero se recomienda que el ISSMP trabajar en estrecha colaboración con los analistas de sistemas
y diseñadores para asegurar que seguridad se considera durante todo el proceso de desarrollo.
Gestión de identidad
E información recopilada tiene un gran impacto en las necesidades de seguridad del sistema, específico ??
camente en el área de gestión de identidades, identificando dónde se pueden aplicar los conceptos de “privilegios
mínimos” y “seguridad basada en roles”. Ambos conceptos se demuestra en el siguiente ejemplo:
Hay tres personas que trabajan en la sección de pagos de una gran corporación. María es el supervisor, que
supervisa los esfuerzos de Sally y John. Sally y John transferencias proyecto de fondos de los bancos para pagar
las cuentas corporativas. María es el único que puede autorizar y realizar las transferencias en línea. Cada banco
tiene un método único de autenticación de María antes de su hacer una transferencia de dinero, es decir,
contraseñas de un solo uso y fichas desafío y respuesta.
Para realizar las transferencias, Sally y John revisan las facturas de los proveedores utilizando un programa
de tratamiento de textos, y el uso de esos datos que utilizan un formulario estándar de transferencia de fondos
para crear un proyecto de transferencia de fondos, que se someten a María. María revisa la transferencia de
Proyectos de Fondos y crea una transferencia de fondos finales, utilizando el programa de procesamiento de
textos. María se conecta al banco a través de Internet mediante un programa navegador de Internet. Con la
conexión con el banco, que se autentica en el banco con el libro o los procesos de autenticación de señales, que
están asegurados en una caja fuerte que sólo María tiene acceso a, y carga la transferencia de fondos finales al
banco. Tras la aceptación de la transferencia de fondos al banco envía una transferencia de Con fi rmación Aviso
al sistema. En cualquier momento durante este proceso cualquier persona puede imprimir una copia de cualquier
archivo. Para asegurar que la debida supervisión se lleva a cabo,
Sabiendo todo esto, el ISSMP ahora puede recomendar las soluciones de seguridad “basados en roles” que
pueden ser utilizados para poner en práctica el concepto de “menor privilegio”. Tabla 1.2 proporciona un resumen
de los privilegios que cada función ( “redactor” [Sally y John], “aprobador” [María], y Auditor [alta dirección, el
personal de auditoría o auditores de terceros]) se concederá en el sistema para apoyar esta hipótesis.
Nótese que en este ejemplo, María, a pesar de que está en el papel de supervisor, no tiene privilegios en el
sistema. Específicamente, no puede cambiar la Transferencia de Proyectos de Fondos Enviado o la transferencia
de Con fi rmación Aviso. Esto es para asegurar que ella no puede modificar los documentos clave requeridos por
los auditores para asegurar que el proceso y las acciones de los empleados están en plena conformidad con los
procedimientos estándar de contabilidad.
Conformidad
Además de la misión, de negocios y requisitos de funcionamiento, el ISSMP debe entender las

restricciones y exigencias legales y reglamentarias que se imponen a

Tabla 1.2 Roles y privilegios
privilegios aprobador Caballo Auditor
procesador de textos Ejecutar Ejecutar Ejecutar
facturas de los proveedores Leer Leer Leer
Fondos formularios de transferencia Leer Lectura / escritura Lectura
proyectos de transferencias de fondos Leer Lectura / escritura Lectura
proyectos de los fondos presentados transfiere Leer Leer Leer
transferencias de fondos finales Lectura / escritura Lectura Leer
proyectos de los fondos presentados transfiere Leer Leer Leer
programa navegador de Internet Ejecutar Sin acceso Sin acceso
libros de autenticación / fichas Acceso Sin acceso Sin acceso
Transferencia aviso confirmación Leer Leer Leer
Impresora Escribir Escribir Escribir
cada grupo en la organización. ESE son críticos, porque la seguridad de que el despliegue de falla para que el sistema
cumple con uno de éstos puede dar lugar a importantes multas ?? o afectar a la reputación de la organización
negativamente. E siguientes son algunas de las necesidades de cumplimiento legales y reglamentarias más comunes:
Ley de Privacidad de 1974: E finalidad de esta ley es proteger los derechos de los indivi-
ALS por imposición de restricciones a las agencias gubernamentales en cuanto a lo que pueden hacer con la
información personal (es decir, la transferencia, adaptación, etc.) y los mandatos seguridad requisitos para evitar
la divulgación no autorizada de la información.
Ley de Seguridad Informática de 1987: E Us El Congreso declaró que la mejora

la seguridad y privacidad de la información sensible en los sistemas informáticos federales era de
interés público y establecen los medios para crear prácticas de seguridad mínimas aceptables para
tales sistemas.
Directiva de 1995 de la Unión Europea (UE) (95/46 / CE): E UE emitió este
Directiva de protección de las personas con respecto al tratamiento y la libre circulación de sus datos
personales.
Ley de 1996 Portabilidad del Seguro de Salud (HIPAA): mi
propósito de HIPAA es para proteger la información de salud de un individuo de ser utilizado de manera no
ética y fraudulenta. E actúan obliga a que las juntas «oficiales y empleados de organizaciones relacionadas con
la salud (por ejemplo, hospitales, proveedores de salud, compañías de seguros, etc.) implementar medidas de
seguridad para garantizar la integridad y confidencialidad con ?? de toda la información de la salud individual, y
son violaciónes ?? castiga con multas y penas de cárcel.

Ley de Documentos Electrónicos de 2000 de Protección e Información Personal

(PIPEDA): LPRPDE es una ley canadiense de apoyar y promover el comercio electrónico mediante la
protección de la información personal, que se recaba, utiliza, o se descarga cerrada en ciertas
circunstancias, al prever la utilización de medios electrónicos para comunicar información o transacciones
de registro.
Ley Sarbanes-Oxley de 2002 (SOX): E finalidad de SOX es proteger investi-
tores mediante la mejora de la exactitud y fiabilidad de la información empresarial, conforme a las
leyes de valores, y para otros fines.
Ley Federal de Gestión de Seguridad de la Información de 2002 (FISMA): E PUR
posturas del título III de esta ley son proporcionar un marco global para asegurar el e © cacia de los controles de
seguridad de la información sobre los recursos de información que apoyan las operaciones y activos federales, e
© caz gestión y supervisión de los riesgos de seguridad de la información relacionada con todo el gobierno, y un
mecanismo para mejorar la supervisión de los programas de seguridad de la información agencia federal (es
decir, el cumplimiento de informes FISMA a la junta «Oficina de Administración y presupuesto [OMB], los grados
del Congreso Federal de seguridad Informática identi ficar estado de seguridad de la Agencia, la vinculación de ??
deficiencias con el proceso presupuestario , etc.).
Tome en cuenta que bajo FISMA, el Congreso vinculado el reporte de TI seguridad de ??
deficiencias en el proceso de presupuesto del gobierno. Es la conexión es una de las claves para
conseguir y mantener la seguridad de TI en el gobierno y los sectores comerciales. Es se discutirá más
adelante en este capítulo.
Las expectativas culturales
E ISSMP tiene que ser consciente de di cultural © erences de cada grupo en relación con seguridad, incluyendo
sus percepciones y expectativas. Estos son algunos ejemplos de las culturales di © erences y la base para las di
© erences:
Contabilidad: Se espera y la aceptación de la necesidad de seguridad, porque

la función es auditado con frecuencia, tiene tareas muy orientadas al detalle, está sujeto a muchos requisitos
reglamentarios, y así sucesivamente.
I + D: Si los investigadores están de o en una comunidad académica, querrán

muy poca seguridad porque desean un ambiente que está abierto, compartiendo, y permite que la
capacidad de buscar entradas o comentarios de sus colegas. Por otro lado, si trabajan para un grupo de
productos de investigación, defensa, o inteligencia, van a estar esperando un montón de seguridad, ya
que se utilizan para Han- dling propiedad intelectual o clasificación ?? ed información.
Producción: Se entenderá seguridad física y personal muy bien y

puede ser menos con ?? mella en el uso de ordenadores, por lo que el uso de controles de acceso físico y secuencias
de comandos de pantalla estrictas puede ser visto como métodos más aceptables de asegurar sus sistemas.

Con esta comprensión de las percepciones y expectativas de los grupos, el ISSMP puede determinar las
mejores soluciones y estrategias para promover la seguridad a cada función de negocio. Un ejemplo de cómo
funciona esto es el siguiente:
El ISSMP para una empresa de I + D con la mayoría del personal son de grupos de investigación académicos
necesarios para resolver dos problemas: uno de seguridad y uno operacional. El problema de seguridad era
proporcionar acceso controlado al edificio para reemplazar la solución llaves y códigos de alarma física existente.
El problema operativo fue para dirigir las llamadas telefónicas a las personas dondequiera que se encontraban en
el edificio. Dado que los investigadores están típicamente en los debates de la o fi cinas de otros investigadores, la
recepción sería informar al individuo sobre el sistema de megafonía. Cuando la compañía tenía 30 empleados
esto era aceptable, pero cuando la compañía creció a 100 empleados de la frecuencia de las páginas se convirtió
perjudicial. El ISSMP investigó varias soluciones y se encontró una solución que era perfecto para ambos
problemas: un sistema con tarjetas de infrarrojos (IR) que rastrear la ubicación de los individuos y las llamadas
telefónicas directas al teléfono más cercano a ellos. Después de que la solución se presenta a los investigadores,
que claramente identi fi cados que no les gustaba la idea de tener que usar un distintivo externo y tener un registro
de sus movimientos mantenidos. La solución aceptable desplegado fue emitir cada persona una tarjeta de
identificación de proximidad que podrían tener en su cartera, implementar un sistema de correo de voz, y sólo la
página a la persona si se trataba de una emergencia.
En externa fl uencias
Además de comprender los factores internos que in²uence programa de seguridad de un sistema, hay dos
in²uences externos: clientes y competidores. Cada uno de estos tiene un muy profundo in²uence en el nivel
y tipo de seguridad que se desplegará. Con los clientes, la ISSMP tiene que ser consciente de sus
capacidades (informáticos y técnicos) y, al igual que los empleados de grupos funcionales, sus
expectativas. E ISSMP debe saber lo siguiente acerca de los clientes que compran productos o servicios
de la organización a través de Internet:
• Tipo de equipo y capacidades

• ancho de banda de la conexión
• Los conocimientos técnicos y habilidades
• Lapso de atención
• expectativas de seguridad
Toda esta información se puede obtener a través de estudios de mercado y entrevistas con el personal distribuidor de
fuerza de ventas de la organización.
Lo que el ISSMP necesita saber acerca de los competidores es
• Reputación de comportamiento ético

• capacidades de espionaje industrial

• Habilidades técnicas
• el deseo competitivo
• El éxito obtención de clientes de la organización
• ¿Qué tipo de seguridad que utilizan con sus clientes
La información relacionada con el ?? primeros tres artículos se puede obtener de hacer búsquedas en Internet y
hablando con otros profesionales de la seguridad. El conocimiento de la ter Lat tres puede provenir de la investigación
de mercados realizada por análisis de la competencia de la organización.
¿Por qué es importante la información anterior sobre los clientes y los competidores? E reputación ética, las
capacidades de espionaje, capacidades técnicas, y el deseo apoyará el análisis de riesgos de la ISSMP, que
será discutido más adelante en el capítulo en las secciones de gestión de riesgos. E resto de la información es
crítica con el fin de seleccionar la solución de seguridad de la derecha. E siguiente ejemplo ayudará a explicar
esto:
Situación: Una organización decide implementar una solución de tarjeta inteligente para verificar
clientes en línea antes de que les permite comprar productos o servicios. Esta solución de tarjeta inteligente
se selecciona porque va a lograr cerca de una solución de seguridad de 100%.
Resultado: A pesar de que la publicidad de la organización está atrayendo un mayor potencial buy-
res a su sitio que a cualquiera de sus competidores, muy pocas personas compran en su sitio.
¿Por qué?: Debido a que los compradores potenciales son “compradores impulsivos” -ellos quieren comprar
ahora y no quieren esperar a una tarjeta inteligente para llegar en el correo, y los competidores están
utilizando contraseñas SSL y estáticas, lo que permite las transacciones en línea inmediata. Además, si
los compradores no conseguir la tarjeta inteligente, dónde y cómo se podría integrar en el medio
ambiente?
Durante dos ejemplos del mundo real de esto, mira la falta de éxito con el despliegue VISA y American
Express de tarjetas inteligentes a sus clientes sin costo alguno, con lectores de tarjetas inteligentes libres y
software. Sobre la base de encuestas de audiencia informales, menos del 3% han aprovechado esta libre o © er. E
otro ejemplo se discute en el libro SABERLO de Seguridad, en el que hay una discusión acerca de cómo
implementar la autenticación de cliente para un juego de casino de Internet. E casino en línea permitía a los
jugadores utilizar una contraseña estática protegida mediante cifrado SSL, ya que si se había hecho una espera de
jugador por un token de autenticación, el jugador habría ido a otro casino.
In fl uencia Resumen
ERE muchas cosas que in²uence el despliegue de la mayoría de los e «ciente y e © ec- tivo soluciones de
seguridad para un sistema individual o un sistema de la empresa. E cias in²u- discutidos anteriormente y se
resumen en la figura 1.1 están principalmente relacionados con el tipo de negocio soportados y los individuos
que interactúan con el sistema, tanto internos como externos a la organización. E ISSMP tiene que ser
consciente de ellos e incluirlos al recomendar las soluciones más reflexivos e © para un sistema de información.

En lo que influye Programa de seguridad de un sistema?
Gerencia senior
metasy y objetivos
Leyes
regulaciones
Programa Sistema de
Misión expectativas,
Información de Seguridad
Grupo Cultura y
expectativas
cliente de competencia y
Las capacidades del
Figura 1.1 Negocios influencias.
Además, esta toma de conciencia de los negocios y las culturas ayudará a promover las recomendaciones de seguridad a
todos los niveles de la organización durante las presentaciones Ment manage- altos, las solicitudes de recursos, el
conocimiento de los empleados e © Orts, y así sucesivamente.
Conceptos de Seguridad de Información
Antes de determinar qué tipo de seguridad es necesaria para asegurar un sistema específico ?? c, un ISSMP
necesita identificar lo que necesitan ser protegidos y en qué grado los activos. Para ello, el ISSMP necesita
comprender algunos conceptos básicos de seguridad. ESE conceptos son los siguientes:
Los requisitos de seguridad del sistema: disponibilidad, integridad, confidencialidad y CON ?? impacto en el
negocio de Análisis de Información Clasi ?? cationes límites de seguridad Categorización de seguridad
SECCIÓN ES proporciona una revisión exhaustiva de estos conceptos de seguridad.
Requisitos de seguridad del sistema
E tres requisitos clave de seguridad requeridos por la mayoría de los sistemas de información son la disponibilidad,
integridad y confidencialidad con ??. Ey son los objetivos de un programa de seguridad del sistema de información y
propiedades que deben ser incluidos y desplegado a

La mayoría, si no todos, los sistemas de información. E siguiente es DE ?? definiciones para estos tres atributos.
partes e dentro de las citas son de SP 800-53; FIPS 200; FIPS 199; o 44 USC, Sec. 3542.
Disponibilidad: “Garantizar el acceso oportuno y confiable y uso de la información.”

La disponibilidad es afectada por un error humano, problemas de cableado, los errores de software,
fallos de hardware, sta © ausencias, código malicioso, y las muchas otras amenazas que pueden
inhabilitar el sistema o no fiable. E requisito de alta disponibilidad es un requisito crítico para las
transacciones en línea, control ²ight, monitoreo y sistemas de mando y control (C2).
Integridad: “Protección contra modi información inadecuada ?? catión o destrucción

ción, e incluye asegurar que la información no repudio y autenticidad.”es es el requisito para
asegurar que la exactitud de la información se mantiene cuando reside en el sistema, que se
procesa correctamente, o ser transmitida desde o hacia el sistema. E objetivo es asegurar que la
información no está dañado intencional o accidentalmente. La integridad es fundamental para
comerciales de seguimiento y militar, la seguridad, la producción, y ?? sistemas financieros.
Con¤dentiality: “La preservación de las restricciones autorizadas al acceso de la información y
divulgación, que incluye medios para la protección de la intimidad personal y propiedad de la información “.
es requisito evita que la divulgación no autorizada de información, mientras que en el sistema, durante la
transmisión a otros sistemas, y durante la transferencia física de la información de un lugar a otro. Es la
propiedad es un objetivo clave en los sistemas con la propiedad intelectual, secretos comerciales, la salud
individual y personalmente identi ?? información capaz, y ?? caciones documentos ed.
Sería totalmente un costo prohibitivo para las organizaciones para que los sistemas con un nivel máximo de
protección. Afortunadamente, los sistemas Erent di © requieren di © Erent niveles de estas propiedades en función de
los requisitos legales y reglamentarias impuestas y, sobre todo, sobre el impacto que podrían resultar si una de estas
capacidades era deficiente. Es responsabilidad del ISSMP para determinar qué grado de protección en relación con
estas tres propiedades que se necesita para cumplir con los requisitos legales, regulatorios y de negocio de seguridad.
ES el ISSMP debe obtener la aprobación de la administración superior para implementar salvaguardas recomendados
Ment o aceptar el riesgo.
Análisis del impacto en la seguridad
E necesidad de estas propiedades en diversos sistemas pueden variar. Algunos sistemas requieren muy fuerte con ??
confidencialidad (alta), tales como los sistemas nacionales de inteligencia. Otros pueden requerir sin aire ?? confidencialidad,
tales como los sistemas de información pública en la Biblioteca del Congreso. Otros sistemas requerirán diferentes grados de
estafa ?? dential- dad. Del mismo modo, los niveles de disponibilidad y la integridad de un sistema utilizado para la compra de
zapatos en línea y un sistema de presentación de pistas de avión a un controlador de aire serán muy di © Erent. La
identificación de la di © rencia es fundamental para identificar el nivel de protección de una

Tabla 1.3 magnitud del impacto
Impacto Operaciones de Organizativo

potencial En general organización Bienes Las personas
Alto Catastrófico o la degradación o pérdida daños pérdida importante de la vida

grave de la capacidad Severe o potencialmente
mortales lesiones
moderado grave Signi fi degradación daño Signi fi daño no
no puede significativo fi puede
Bajo Limitado algunos Daños Menor o

degradación menores ningún daño
Fuente: Esta tabla se crea a partir de diversas descripciones proporcionadas en el NIST SP 800-
30, 800-64, 800-53, y FIPS-199.
sistema requiere. Se requiere de una mirada subjetiva en todos los ics de negocios o específica- misión de
determinar cuál de los tres se necesitan y en qué nivel: bajo, moderado o alto.
En un intento de proporcionar alguna orientación a los sectores comerciales y gubernamentales, el Instituto

Nacional de Estándares y Tecnología (NIST) publicó una guía en su serie 800 de Publicaciones Especiales
mediante la vinculación de estos niveles con la magnitud del impacto. Básicamente, los niveles son de ?? ne como
se muestra en la Tabla 1.3.
Como se mencionó anteriormente, cada sistema tiene una misión muy di © Erent, modelo de negocio, y el nivel de
impacto potencial. ërefore, Tabla 1.3 y la orientación NIST son eral muy ge-, pero dan la organización de referencia
para realizar su análisis. Es el análisis debe incluir una revisión honesta del sistema para determinar el impacto
potencial en las operaciones, activos (tangibles e intangibles, por ejemplo, la reputación), y las personas (empleados,
que rodean públicas, clientes, etc.) de modo que la administración puede comenzar a identificar el impacto y determinar
qué niveles de disponibilidad, integridad, y en contra ?? - confidencialidad son las adecuadas. Una vez más, es la
responsabilidad del ISSMP para ayudar al propietario del sistema a determinar esto y la responsabilidad de la
administración superior para aprobar ción remediación o aceptación del riesgo.
¿Cómo funciona el ISSMP hacer este análisis? Una forma es hacer un análisis de impacto. Durante la discusión de
las misiones, metas y objetivos, los sistemas con objetivos Erent di © se identifican ?? ed, cada uno requiere niveles
Erent di © de disponibilidad, integridad y seguridad. El uso de algunos de estos sistemas, a continuación se ofrece un
vistazo general a cómo un administrador de sistemas analizaría Erent © di y aproximarse a lo que podrían ser los
requisitos:
Proporcionar información al público:

Disponibilidad: Depende de cómo el tiempo importante que esta información es a la opera-
nes o necesidades de toma de decisiones del receptor: avión de seguimiento de informa- ción en Tra
«controladores C es alta, porque la gente podría morir de avión

dieciséis • O fi cial (ISC) 2 Guía ® a la ISSMP® CBK®
accidentes; venta de zapatos local en la próxima semana es baja, debido a que la información se podría
mantener durante varios días.
Integridad: Depende de la necesidad de exactitud de la información: avión

información de seguimiento es alta, ya que los datos de seguimiento inexactas pueden dar lugar a la prestación
de asesoramiento inexacta a los pilotos y los posibles accidentes de avión; informes meteorológicos para el
público es moderada, debido La exactitud de orientación mínima de los informes y de impacto.
Estafar confidencialidad?: Depende del tipo de información: la venta zapato no es apli-

cable, porque quieren que todos lo vean; información privada de una persona es moderada
o alta, debido a que es información muy sensible y existe el potencial para pleitos y ?? nes;
capacidades arma es alta, ya que podría causar la muerte o lesiones graves.
Intercambio de información de Investigación:
Disponibilidad: Baja, ya que la investigación es normalmente una metódica, a largo plazo e © ORT.
Integridad: Moderadas, ya que los resultados se utilizan para el desarrollo de solu-
ciones que tienen que ser probados.
Estafar confidencialidad?: No es aplicable si se trata de investigación a disposición del público; Moderar

o alta si la I + D apoya el desarrollo futuro de los productos; y hasta el alta si la I + D es compatible con los
sistemas de armas.
Coincidencia cosechadas órganos humanos a los pacientes que necesitan:
Disponibilidad: Altos, únicos órganos ya cosechados últimas horas.

Integridad: Alta, debido a la necesidad de obtener la información correcta para órgano
partidos y envío.
Estafar confidencialidad?: Moderada si se protege la privacidad de la información del paciente y
información de salud se identifican ?? ed, pero podría ser baja si los pacientes son identificado ?? por los
códigos.
Permitiendo a los jugadores para jugar en línea:
Disponibilidad: Alto, porque los jugadores quieren jugar ahora.

Integridad: Alta, debido a que el dinero y la reputación del casino pueden ser
impactado.
Estafar confidencialidad?: Alta, debido a la reputación del casino para proteger
con el cliente ?? confidencialidad.
NIST ha identificado ?? ed otra manera de llevar a cabo un análisis de impacto: Seguridad Categorización.
Proceso de categorización de Seguridad
En un intento de proporcionar un proceso de lista de comprobación para ayudar a las organizaciones a identificar
qué nivel de protección requiere un sistema, el NIST produjo el proceso de categorización de Seguridad y el
apoyo a las tablas para hacer una evaluación inicial sobre la base de los tipos de información del sistema y la
misión apoyado. proceso se llama Seguridad Categorización (SECCAT). Proceso E se documenta en FIPS 199,
Normas

Lista de los tipos y las operaciones de información del sistema soportada
Tipo de empresa determinación AIC Impacto
Análisis Disponibilidad Integridad Confidencialidad
Info Tipo A Bajo Moderar N/A

Tablas en el
NIST SP Info Tipo B Alto Moderar Bajo
800-60 Info Tipo C Moderar Bajo N/A
Operaciones de tipo 1 Bajo Bajo Bajo
Operaciones de tipo 2 Alto Moderar Bajo
AIC alta Agua plasma la
Disponibilidad Integridad Confidencialidad Consecuencia general
Alto Moderar Bajo Alto
En general Impacto alta de Cota
Control Las líneas de base de control Identificación de

Descripción Bajo Moderar Alto control de línea
de base mínima
Un control de No Sí Sí
Tabla en del Sistema
Control B Sí Sí Sí
NIST SP
800-53 control C No No Sí
D Control Sí No Sí
Control de E No No No
Figura 1.2 proceso de categorización de Seguridad.
Categorización para la Seguridad de la Información y Sistemas de Información Federal. Emitiendo el proceso de la serie
del NIST FIPS, el proceso es obligatorio para todos los sistemas de gobierno de Estados Unidos.
SECCAT utiliza tablas básicas ubicadas en el NIST SP 800-60, “Guía para los tipos de mapeo de Sistemas de
Información e información para las categorías de seguridad”, y NIST SP 800-53, “Controles de seguridad recomendados
para los Sistemas de Información Federal.” ESE documentos se utilizan para equiparan tipos de información y las
operaciones del sistema soportados, tanto interna como externamente, a la disponibilidad de tres seguridad, integridad,
y con ?? dencialidad (AIC) propiedades para proporcionar una calificación global del impacto del sistema de alta,
moderada o baja para cada propiedad para cada tipo y operación de información compatibles. Con esta calificación de
impacto, NIST 800-53 tablas se utilizan para proporcionar recomendaciones sobre la los tipos de controles que se
utilizará para asegurar el sistema. Figura 1.2 proporciona una presentación visual del proceso. Los siguientes son los
pasos básicos:
Sistema de Información y Operaciones soportadas: Identificar los tipos de informa-

mación y las operaciones apoyadas por el sistema de estos datos se recogieron Duran- la revisión de los
procesos de negocio soportados por el sistema, se discutió en la Sección de Procesos grupo
empresarial.

Impactos de la AIC recomendados: Usando las tablas en la serie NIST SP 800-60,

determinar los niveles de impacto (bajo, moderado o alto) para cada tipo de mación y operación
infor- compatible.
Sistema global de impacto AIC: Consolidar todos los efectos determinados en el AIC
el último paso mediante la identificación de la “marea alta” para cada propiedad AIC y, por ?? Nding la
“marea alta” con esas tres impactos, identificar el SECCAT general del sistema como de bajo impacto,
de impacto moderado o alto -Impacto. Figura 1.2 proporciona una visión simplista de este proceso de
consolidación.
Controles recomendados Baseline Security: Utilizando el sistema de SECCAT, refe-
rencia la mesa en NIST SP 800-53, Apéndice D, Seguridad mínimo Control- Resumen y seleccione la
columna relacionado con la categoría de proporcionar el min i MUM controles de seguridad requeridos para el
sistema.
controles de seguridad E son de las 17 familias de control en la gestión, operacional, y las clases de
técnicas de controles descritos en NIST SP 800-53. Tabla 1.4 proporciona una lista de estas clases de control de
seguridad y las familias.
controles mínimos para cada nivel de impacto son 100 controles para bajo impacto Systems, 212
controles para Moderado-Impact Systems, y 277 controles para sistemas de alto impacto.
Se debe tener precaución al utilizar este proceso, debido a que los “controles con- mínimos” no todos pueden
aplicar. Recuerde, el impacto global del sistema es una “medida de alta el agua de impacto.” Por ejemplo, tener un
sistema de alto impacto en el que las valoraciones globales de la AIC individuales eran de impacto de alta
disponibilidad, integridad impacto moderado, y Con ?? impacto confidencialidad no era Aplicable. Muchos de los
controles que apoyan únicos requisitos con ?? dencialidad puede no ser necesaria y algunos de los controles de
integridad puede ser excesiva para el sistema. ESE deben ser revisados, los riesgos evaluados y justificaciones ??
cationes documentado que apoya revisiones de seguridad.
Por supuesto, lo contrario también es cierto; la organización puede agregar controles adicionales con- porque la
dirección quiere que el sistema tenga menos riesgos de seguridad o de Ness o de gestión Busi- razones. Un ejemplo de
esto último es cuando todos los sistemas de la organización están utilizando dispositivos de autenticación de dos factores
y es más económico de desplegar los dispositivos en todos los sistemas, incluso los que sólo requieren contraseñas.
Información Clasi fi cación
clasificación de información ?? cación establece un proceso formal para identificar lo que necesita ser protegido de
la información y el etiquetado de la información de una manera uniforme para los individuos y los sistemas pueden
proporcionar el nivel de protección que requieren. Una información precisa y clara CLASSI ?? sistema de catión es
crítica para identificar qué información necesita ser protegido, el nivel de las prioridades de protección requerido, y
de recursos ajuste.

Tabla 1.4 Controles
Clase de control Familia de control Identi fi cador
Gestión de Certificación, Acreditación y California
Las evaluaciones de seguridad
Planificación PL
Evaluación de riesgos REAL ACADEMIA DE BELLAS ARTES
Sistema y Servicios de Adquisición SA
Operacional Sensibilización y formación A
Gestión de con fi guración CM
Planificación de contingencias CP
Respuesta al incidente IR
Mantenimiento MAMÁ
Protección de medios MP
Física y Protección del Medio Ambiente EDUCACIÓN FÍSICA
Personal de Seguridad PD
Integridad de la información del sistema y SI
Técnico Control de acceso C.A.
Auditoría y rendición de cuentas AU
Identi fi cación y autenticación IA
Protección del sistema y las Comunicaciones CAROLINA DEL SUR
ERE son varios conceptos relacionados con la clasificación de información ?? cación que necesitan ser entendidos: nivel
de impacto, “necesidad de conocer”, clasificación ?? cationes, y compartimentación. Básicamente, el ?? dos primeros son la
base para establecer los dos últimos conceptos.
Nivel de impacto: Nivel E de impacto es el resultado negativo en el éxito de la

misión o de negocios si la información no está disponible, es modi ?? ed sin autorización, o se da a
conocer a personas no autorizadas. Como se discutió en la sección anterior, el impacto puede ser en las
operaciones, activos, o individuos.
Necesito saber: E concepto de “necesidad de saber” se basa en lo que los individuos
o procesos necesitan la información para apoyar sus acciones. Privilegios mínimos asegura que sólo
aquellas personas o procesos con el acceso a la información tienen que acceder con el fin de hacer su
trabajo.

E ISSMP necesita determinar que los individuos y procesos requieren que información. Es se deriva de la
revisión procesos de negocio se ha mencionado en la sección anterior. A partir de ese examen, el ISSMP será
capaz de identificar qué información es “necesaria” y qué información es “deseado.” Una buena seguridad es el
acceso acerca mínima, por lo que el ISSMP necesita para reducir la disponibilidad de lo que se requiere, lo que
el individuo o rol realmente “necesita saber”.
Clasi ?? catión es una etiqueta usada para identificar el nivel de sensibilidad de la información basada en el impacto. ERE
puede ser de varios clasificadores ?? cationes, pero mantenerlos al mínimo hace que sea más fácil para documentar y
gestionar, y para que los empleados Deben conocerse. Las organizaciones utilizan una gran cantidad de etiquetas Erent di ©
para identificar los distintos niveles de sensibilidad. A continuación se presentan algunos ejemplos:
Sensible Con corporativa confidencial ??
Privado Información del propietario

Público producto sensible
Restringido Para uso exclusivo de la empresa
Secreto comercial Información del personal
Cada organización utiliza etiquetas que están destinados a ser comprensible por sus empleados y se relacionan
con el nivel de sensibilidad de la información. Una de las clasificación de información más conocidos ?? sistemas de
catión es el utilizado por los EE.UU. GOBIERNOS ment, que de ?? ne tres niveles de seguridad clasificación ?? catión
como sigue:
Ultra secreto: “Se aplicará a la información, la divulgación no autorizada de

que razonablemente podría esperarse para causar daño excepcionalmente grave
para la seguridad nacional que la clasificación original de la autoridad ?? catión es capaz de identificar o describir
“.
Secreto: “Se aplicará a la información, la divulgación no autorizada

razonablemente se podría esperar que causar graves daños a la seguridad nacional que la autoridad de
cationes originales ?? clasificación es capaz de identificar o describir “.
Con¤dential: “Se aplicará a la información, la divulgación no autorizada de

que razonablemente se podría esperar que causar daños para la seguridad nacional que la clasificación
original de la autoridad ?? catión es capaz de identificar o describir “(Fuente:. Orden Ejecutiva 12958,
modificada, Clasi ?? ed información de seguridad nacional, http://www.archives.gov/isoo/ -documentos de
política / EO-12958-amendment.html)
Observe que cada nivel se basa en el daño esperado (impacto) si se da a conocer la informa- ción. La
restricción de la información a aquellos individuos de confianza que han autorizado el acceso reduce la
posibilidad de que la divulgación de información y el riesgo de los daños que se produzcan. Utilizando el
concepto de compartimentación, este riesgo puede reducirse aún más. Compartimentación es de ?? ne como el
establecimiento y

gestión de la información acerca de personal, organización interna, o actividades de un componente está a

disposición de cualquier otro componente únicamente en la medida necesaria para el desempeño de las
funciones asignadas.
Compartimentación limita aún más el acceso a la información mediante la adhesión estricta a la “necesidad de saber”
concepto de seguridad y la creación de sub-compartimientos para un nivel de cationes clasifi- si ??. Un ejemplo comercial de
esto es como sigue:
Una corporación ha clasi fi cado sus diseños de productos y capacidades como producto sensible y permite
sólo los ejecutivos y directores de I + D y el departamento de producción y personal para ver la información con
esta etiqueta. También tiene información de propiedad especial que se está creando para los productos futuros
en un grupo selecto en el Departamento de I + D que está trabajando en un proyecto futuro producto llamado
“Quinto”. Esta información se denomina “producto sensible al Quinto” y se limita a sólo nueve el personal: los
ejecutivos, el jefe de departamento de I + D, y las personas en el suplemento especial de I + D.
En la figura 1.3 se puede ver cómo se reduce el riesgo de la información, debido a la disminución del
número de personal que pueda ver la información.
E gobierno también utiliza la compartimentación para apoyar el concepto de A continuación se presentan algunos
ejemplos de compartimentos y etiquetas existentes del gobierno “necesidad de saber.”:
Escenario no Compartmented Escenario compartimentada
Zona
restringido
Guarda o
producto sensible Quinto Quinto Borrado
Firewall
despejado
Producto sensible
producto sensible
despejado
Figura 1.3 Compartimentación.

SCI ( Compartmented Especial de Inteligencia)

PCII ( Protegida de infraestructuras críticas)
SSI ( Sensible Seguridad de la Información)
CVI ( Información sobre la vulnerabilidad química)

SGI ( Información salvaguardias)
En mayo de 2008, el presidente creó la nueva categorización “Controlled Unclassi ?? ed Infor ma ción” (CUI),
que establece tres categorías CUI. En esas categorías, los organismos que forman parte del entorno de intercambio
de información federal o el consejo de intercambio de información debe etiquetar unclassi datos ed ?? que se
considera sensible.
E marco establece las tres categorías de los datos para identificar con más detalle cómo la información CUI
será protegido y puesto en libertad:
1. Controlado con difusión estándar: Es la información requiere Están-

Dard medidas de salvaguardia, y se permite la difusión en la medida en que se cree para
promover una «finalidad legítima cial o o.
2. Controlado con difusión speci¤ed: Es la información requiere Safe
guardando para reducir los riesgos de revelación involuntaria y contiene cuando se les permite
instrucciones de difusión adicionales.
3. Controlado mejorado con difusión speci¤ed: es la información
requiere garantías más estrictas debido a la divulgación no autorizada podría producir un daño significante ??
no puede, y cuando se les permite contiene instrucciones adicionales diseminación. (Fuente: Casa Blanca
Memorando de los jefes de los departamentos y organismos ejecutivos, ASUNTO: Designación y recursos
compartidos of Controlled Unclassi ?? ed Información [CUI], 9 de mayo de 2008, http: // www.
Whitehouse.gov/news/releases/ 2008/05 / 20080509-6.html) E aumento en la incidencia de amenazas de identidad
se ha impulsado el gobierno de Estados Unidos a CRE comió otra etiqueta para obtener información personal de
las personas, lo personal Informa- ción capaces de identi ?? (PII). Regulaciones como la Ley de Privacidad,
FISMA e HIPAA han ordenado que se aplica cada vez más atención a la protección de la información PII por los
sectores gubernamentales y comerciales. Ejemplos de datos de PII son
• Nombre
• Fecha de nacimiento
• identi Nacional ?? número de cationes (como el número de Seguro Social)

• Número de teléfono
• Direccion de casa
• Dirección de correo electrónico
• Número de carnet de conducir
• Numero de licencia
• información sanitaria (como recetas, operaciones, diagnóstico, resultados de laboratorio,
etc.)
• números de tarjetas de crédito

Debido al aumento de la conciencia gobierno de la necesidad de proteger la información de identificación personal
informa- ción, muchos requisitos de información han recibido el mandato de los EE.UU. O «Oficina de Administración y
Presupuesto (OMB). Algunas de estas acciones ordenadas por organizaciones gubernamentales son los siguientes:
Evaluación del impacto de privacidad (PIA): Un PIA se lleva a cabo en cada información
sistema para determinar la extensión de la PII en ese sistema.
Noti¤cation pública: Un sistema de aviso de registros (SORN) se fijen públicamente

la identificación de cada sistema de procesamiento o almacenamiento de información de identificación personal.
Protección PII: PII que se transmite o físicamente será transportado

cifrada utilizando sólo NIST-cados ?? ed módulos criptográficos. (Fuente: OMB M-07-16, TEMA:
Protección Contra y la respuesta al incumplimiento de identificación personal ?? Información poder, 22
de mayo de 2007, http:. //www.whitehouse gov / OMB / memorandos / AF2007 / m07- 16.pdf)
Asegurar Información Clasi fi cada
Después de determinar los niveles de clasificación ?? cación que serán necesarios para apoyar la organización,
será necesario identificar qué controles, procedimientos, y se requerirá criterios de acceso para cada
clasificación ?? catión y el nivel de compartimentación. Obviamente, cuanto mayor es el impacto de la
clasificación ?? cación de la información, más fuerte será necesario aplicar los criterios, controles y
procedimientos. Como mínimo, la organización tendrá que documentar y asegurar la aplicación de los
siguientes requisitos obligatorios para la información:
• almacenar
• Revisión de cuentas
• Envío y transmisión
• La grabación que ha tenido acceso
• La destrucción
• Informes destrucción o pérdida

• degradación
Además, el nivel de confianza de los individuos tendrá que ser determinado y documentado para asegurar
que las personas tengan acceso a un clasi cación son capa- ?? ble y lo suficientemente confiable para proteger
la información. Es se logra a través del fondo, de crédito, de referencia, y los controles policiales y la verificación
de su identidad. procesos y procedimientos ESE tendrán que ser documentados, y los niveles de aceptación
para los individuos tendrán que ser gestionado y monitorizado.
Límites de seguridad
Al principio del proceso, el ISSMP debe determinar y documentar con exactitud cuál es el límite de seguridad para el
sistema. Es es muy crítica, ya que el correo © ORT puede crecer rápidamente a la construcción de un plan de
seguridad del sistema de información para la totalidad

empresa corporativa, si no por la Internet. Para ayudar a identificar la verdadera seguridad IES boundar-, la ISSMP debe
hacer seis cosas:
1. Comprender y centrarse en la misión, metas, objetivos y procesos de negocio del sistema como se mencionó
anteriormente.
2. coordinar estrechamente la revisión con la persona que maneja el grupo empresarial,
por ejemplo, en la terminología de NIST, el propietario del sistema.
3. Identificar los grupos de componentes del sistema que apoyan cada una de las funciones de negocio.
4. Establecer los requisitos de seguridad para cada grupo.

5. Determinar lo que está bajo el control de la organización y el grupo empresarial y lo que no, lo que
significa el control tanto a nivel operativo y ?? Scally.
6. öroughly documentar los límites de seguridad y ganar el consentimiento del propietario del sistema.
Lo que sigue es un ejemplo de cómo establecer el límite de un sistema:
Verde, Inc., vende productos de varios fabricantes a los compradores en todo el mundo a través del sitio Web
verde. Cuando Verde recibe un pedido, envía la información al fabricante del producto y los fabricante envía el
producto al comprador. El comprador paga verde a través de tarjeta de crédito para el producto y el envío y
verde paga al fabricante un precio al por mayor para el producto y el envío. fi cios del verde t es el precio al
comprador menos el precio al por mayor. Green tiene dos funciones internas de negocio: contabilidad y sitios
Web a los desarrolladores gráficos, con un personal de TI mantenimiento de los sistemas. sistemas de verdes
consisten en una conexión a Internet, un servidor de sitio Web, servidor de transacciones, tres estaciones de
trabajo de contabilidad y un servidor, cinco estaciones de trabajo gráficas de desarrollo y un servidor, y tres
estaciones de trabajo para el primer ejecutivo fi cial (CEO), Jefe de operaciones fi cial (COO), y del gerente de
oficina. ¿Cuáles son los límites de seguridad del sistema?
Primero, ¿qué no está en el límite?
Los compradores y los fabricantes no están en la frontera porque están fuera del control del verde, pero los
controles de seguridad tendrán que ser identi fi cada para proteger cualquier información confidencial que
se transmite a través de una red pública entre los fabricantes y compradores. Además, los acuerdos de
seguridad tendrán que ser formalizado entre los fabricantes y verde en forma de términos en un contrato o
un acuerdo de servicio de interconexión, que será discutido más adelante en este capítulo.
¿Cuáles son las diferentes procesos en la organización?
Gestión de control y gestión de las operaciones de venta que permiten

transacciones a través de sitio web
Lo que representa el mantenimiento de los libros y la facturación de los fabricantes de gráficos en
desarrollo nuevas páginas del sitio Web
Cuáles son los procesos PRIORIDAD y apoyar

IMPACTOS DE SISTEMAS DE SEGURIDAD?
(Ver Tabla 1.5).

Tabla 1.5 Impactos
Proceso Disponibilidad Con la integridad de prioridad confidencialidad
administración Bajo moderado Alto 3
Ventas Alto Alto Alto 1
Contabilidad Bajo Alto Alto 2
Gráficos Bajo Moderada No aplicable 4
Fuente: http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_
detail_ics.htm? csnumber = 39612.
JUSTIFICACIÓN DE LOS RESULTADOS ANTERIORES
La disponibilidad se considera baja para todos, pero las ventas, ya que el sitio web está trayendo todo
los ingresos. Los otros elementos son procesos no críticos en tiempo. Un pequeño retraso en el envío y la
facturación tendrá menos de un impacto en utilidades. Gestión y gráficos pueden trabajar en un modo
manual con un impacto mínimo.
La integridad es una clasificación alta de Ventas y Contabilidad, a causa de la necesidad de acu-
picante en pedidos, facturación, envío, y así sucesivamente. Gestión y gráficos se considera moderada,
porque la mayoría de sus salidas son revisados antes de su envío o publicación.
Confidencialidad tiene una clasificación de alta por tres procesos de gestión, porque tiene
personal e información de planificación estratégica, ventas tiene la información del comprador, y
Contabilidad tiene comprador sensible, fabricante, fi nes, y la información de nómina. Gráficos no tiene
nada que es sensible.
¿Dónde están los límites de seguridad para esta organización?
Una respuesta podría ser que todo, desde el cortafuego es hacia dentro de los límites de seguridad; porque la
organización es pequeña y todo el mundo se puede confiar, calificar el sistema en la línea de pleamar y desplegar
los controles de seguridad fuertes.
Otra respuesta podría ser la creación de cuatro diferentes límites de seguridad y asegurar cada sistema con
controles de seguridad relacionados con sus necesidades de seguridad basados en el riesgo. Esto podría requerir
rewalls fi entre sistemas o la creación de sistemas aislados e información transferir físicamente entre los sistemas.
Otras soluciones pueden estar entre las dos soluciones anteriores, como la conexión de
contabilidad, ventas y gestión, debido a sus requisitos de alta seguridad, y acaba de aislar el sistema de
gráficos. O aislar los sistemas de gestión y de gráficos, porque las ventas y contabilidad son ambos
sistemas fi nancieros y tienen requisitos comunes de alta seguridad.
Todas estas opciones son válidos los límites de seguridad; la organización sólo tiene que decidir cuál
es el más adecuado y documentar los detalles de lo acordado en los límites de seguridad.
Programa de seguridad del sistema influye Resumen
ERE son muchas cosas que afectan a los programas de seguridad de sistemas de información. Muchos de estos son
identificados ?? en la Figura 1.4. En el lado izquierdo de la figura ?? son el negocio

En total influencias
Gerencia senior
cación
Información Clasi fi
Metas y Objetivos
Información
expectativas,
Leyes y
regulaciones
Programa Sistema de Categorización
Misión
Información de Seguridad Los límites de
Grupo Cultura y seguridad
? Reats Seguridad
competencia
vulnerabilidades
expectativas del cliente de
Las capacidades y Riesgos
Figura 1.4 Total del programa de seguridad del sistema de información influencias.
in²uences y de la derecha son los in²uences operacionales. Todo esto debe ser Elimine completamente
entendido por un ISSMP antes de desarrollar un sistema de información seguridad programa, ya que con
éstos la ISSMP comprenderá el “problema real” que necesita ser resuelto.
El uso de este conocimiento de los sistemas de la organización, la ISSMP puede dar el siguiente paso de la
elaboración del Marco de seguridad del sistema Enterprise para los sistemas.
Ciclo de Vida de Desarrollo de Sistemas (SDLC)
Un programa de seguridad de sistema de la empresa debe ser compatible con los sistemas de forma continua “de la cuna a la
tumba”, debido a los entornos de sistemas, misiones, amenazas y las vulnerabilidades están cambiando constantemente a lo
largo de la vida de los sistemas. opiniones y acciones de seguridad deben tomarse medidas para garantizar que cada sistema
se mantenga segura, por lo que antes de pasar al siguiente tema, el concepto de ciclo de vida del sistema de desarrollo (SDLC)
deben entenderse para proporcionar la ISSMP con un punto de referencia para futuros temas.
E título SDLC a veces puede ser engañoso porque de la palabra “desarrollo”. Al leer el título de la
percepción inicial es que sólo es compatible con el desarrollo del sistema y se detiene en la aceptación del
sistema. En realidad, SDLC cubre el sistema desde la concepción hasta la disposición.
ERE muchos modelos SDLC utilizados para los sistemas de información, pero la mayoría de los modelos consisten de ??
cinco fases básicas:
1. Fase de iniciación: Es la fase identificó ?? it cuáles son las necesidades reales y percibidas son
para el sistema y la determinación de cómo se vinculan con la misión empresarial

siendo soportado por el sistema. medidas de seguridad durante esta fase incluyen la realización de una
categorización de seguridad y evaluación de riesgos preliminar.
2. Desarrollo / Adquisición Fase: Aquí el comunicado de requisito funcional
mentos está redactado, diversas actividades de análisis se llevan a cabo (es decir, los requisitos, las alternativas,
costo-bene ?? t, etc.), y un plan de gestión de riesgos se redactó. Actividades de seguridad incluyen la realización de
una evaluación del riesgo, un análisis funcional y assur- requisitos ANCE seguridad, planificación de la seguridad, y la
prueba de seguridad y evaluadores actividades ción.
3. Fase de implementación: Durante esta fase, se instalan sistema (s) y

inspeccionado, ?? pruebas de aceptación final se completa así como la documentación y los usuarios están
capacitados. Para mayor seguridad, ?? nales pruebas de seguridad y evaluación (ST & E) e © Orts se han completado
y documentado, y el sistema está autorizado a entrar en funcionamiento.
4. Operaciones / Fase de mantenimiento: sistemas e en el modo pleno funcionamiento se

requieren apoyo continuo mantenimiento, supervisión del rendimiento y modi ?? cationes como sea
necesario para cumplir con los requisitos de la misión. Con ?? configuración agement hombre- y la
supervisión de la seguridad del correo © cacia y la seguridad ENTORNO se llevará a cabo de forma
continua para mantener una postura de seguridad aceptable.
5. Disposición / Eliminación de fase: Cuando se determina que el sistema no es

útil más larga, se toman las decisiones acerca de cómo el sistema será transición cionado o eliminados (es decir,
intercambio, venta, transferencia, donación, etc.), de soporte y soportados elementos serán NotI ?? ed y servicios
?? nalizados, y así sucesivamente. las acciones de seguridad apoyarán preservación de la información, la
desinfección de los medios de comunicación, y la eliminación del hardware y el software.
Tenga en cuenta que gran parte de lo que se ha discutido hasta ahora incluye acciones que se identificaron ?? en la
fase de iniciación.
Como se mencionó, muchas versiones de la SDLC están siendo utilizados por las organizaciones. versiones E
puede variar de ?? ve a muchas fases. Es imperativo que el ISSMP entender el modelo SDLC utilizado dentro de la
organización para asegurarse de que el soporte de seguridad se proporciona al proceso de una manera oportuna y
seguridad se implementa desde el comienzo del ciclo hasta el final Apropiada. Así, una de las primeras acciones ??
una ISSMP debe tomar es verificar cuál es el modelo SDLC ?? específico para la organiza- ción es. Por lo general, se
puede encontrar en las políticas y procedimientos corporativos o CIO; si no, pregunte al gerente de programa del
sistema.
Marco Sistema de seguridad de la empresa
Un marco de seguridad Enterprise System se creó para garantizar que la seguridad se diseña, implementa,
autorizado, y se mantiene para proporcionar un nivel aceptable de riesgo y es costo-e © caz. Un marco
Sistema de seguridad Enterprise es una estructura

desarrollado por la organización y debe tener los siguientes componentes identidades ?? ed, desarrollado y
documentado:
• políticas
• normas
• Directrices-Buenas Prácticas
• Funciones y responsabilidades
• Procedimientos y Procesos
• Las líneas de base
• La consistencia en toda la empresa de Seguridad
Veinte - ?? ISSMPs siglo primeras son afortunados porque hay muchas herramientas y materiales disponibles a
ellos para ayudarles a construir este marco en forma de normas, directrices, líneas de base de control, ejemplos, y así
sucesivamente. Debido a que estos fueron creados por los expertos en seguridad de TI que les precedieron en varios
tipos de organizaciones (gubernamentales y comerciales), que son como los materiales (madera, ladrillo, vidrio, clavos,
etc.) disponibles para hacer una casa, es decir, todos ellos necesitan ser modificados ?? Ed y reformado para construir
el marco ?? específico para la arquitectura de seguridad del sistema de premios enter- de la organización individual.
Política de Seguridad de la empresa
Una política de seguridad de la empresa establece el marco de cómo se implementará la seguridad, mantenido y
modi ?? ed como los cambios en la seguridad y el entorno empresarial. Una política de seguridad de la empresa
con éxito proporciona respuestas a las siguientes:
• ¿Cuáles son los controles, procesos y procedimientos relacionados con el mantenimiento

una postura adecuada seguridad al cambiar el entorno, los nuevos sistemas están desplegados, y los
sistemas existentes son modificados ?? ed o dado de baja?
• ¿Cómo son estas revise el cumplimiento y se hacen cumplir?
• ¿Quién es responsable de todo lo anterior y los recursos asociados?
• ¿Cómo se comunican estas responsabilidades y monitoreados?
• ¿A quién uno cuestiones de informes, y de quien hace una nueva mejora
cación clari ???
En general, es fundamental que la política de seguridad de la empresa sea preciso, robusto y completo. Debe re²ect
con precisión las necesidades de todos los sistemas de información en la organización. La robustez es necesaria para
garantizar la política de seguridad es suficiente para apoyar las ²exible di © erences en los sistemas y los cambios en la
misión, el funcionamiento y entorno de la organización. Por último, la política de seguridad de la empresa debe cubrir
todos los requisitos de seguridad necesarios para proporcionar la mejor seguridad para los sistemas.
Para asegurar que la política de seguridad de la empresa cumple con todos estos requisitos, ISSMPs deben
tener un conocimiento profundo de los sistemas de la organización. es

Es por eso que este capítulo se inició con un enfoque en la identificación de misiones / metas de la organización y
objetivos de negocio, grupos funcionales, y límites de los sistemas individuales, las culturas y las funciones de
seguridad. Sin ellos, el ISSMP será ine © caz en la construcción de la política de seguridad de la empresa o cualquier
otro componente dentro del marco de seguridad de la empresa. Muchos han intentado usar políticas “estándar” o
“genéricas” de seguridad y han fracasado porque carecían de una comprensión del problema.
Para lograr los objetivos antes mencionados y crear la empresa de su organización política de seguridad en un
«ciente electrónico y e © manera reflexiva, ISSMPs debe incorporar el más básico de todos los principios y
metodologías de gestión. E siguientes son consideraciones “mostos” Ered absolutos:
Comprender el entorno actual: Asegúrese de que las políticas son robustos

lo suficiente para mantener el entorno operativo actual y la verdadera realidad de la organización, incluyendo
el negocio, la cultura, las expectativas, las leyes locales, regulaciones, y las necesidades operacionales.
Utilizar las prácticas estándar de gestión del proyecto: Las organizaciones deben construir su
los programas que utilizan los conceptos y procesos de gestión probadas. El desarrollo de los procesos de
gestión únicas y creativas con frecuencia resulta en una experiencia costosa y sin éxito. Es muy
recomendable para aprovechar la informa- ción proporcionada por el Project Management Institute (PMI)
para reducir los riesgos relacionados con la gestión de proyectos y programas.
Basarse en el riesgo y costo: Las políticas deben estar basadas en los resultados de las evaluaciones del riesgo
mentos y coste-beneficio ?? t análisis para asegurarse de que están en el mejor interés de la organización.
Son ejecutables: Políticas deben ser ejecutables para ser e © caz y deben abordar
lo que serán las consecuencias para aquellos que violan las políticas. No enforc- ing una política puede
degradar todas las políticas de la organización.
Ser apoyado por los ejecutivos: Políticas que no tienen el apoyo de la alta
gestión, recursos humanos, y el departamento legal no será e © caz. ërefore, todas las preocupaciones de
estos grupos deben ser abordados y resueltos antes de la liberación de cualquier política.
Representantes incluir: Para aumentar el e © cacia de la política en cualquier or-

nización, el desarrollo de la política debe contar con la participación de los que se va a utilizar la
política. representantes de los usuarios de todos los elementos (funcional, negocios, y las unidades de
apoyo) se asegurará de que las políticas son prác- cal y aplicable a todos los elementos. Además,
estos representantes pueden convertirse en grandes promotores a otros usuarios durante la aplicación
de las políticas. Es también evitará que la percepción de la gestión de la creación de políticas de alto
nivel “en el vacío” sin una comprensión de la realidad.
Comunicar la Política: Las organizaciones deben asegurarse de que todos sus empleados,
clientes y socios son plenamente conscientes de sus políticas para asegurar e © operaciones
«cientes e caz y e cumplimiento de la normativa. Se recomienda que

haya un programa de sensibilización proactiva y consistente que se extiende más allá de los adoctrinamiento
empleado e © Orts iniciales. La promoción de políticas a través de notas, correos electrónicos, boletines de noticias,
banners, presentaciones de alta dirección, reuniones en el ayuntamiento, y así sucesivamente, se puede utilizar.
Se revisará periódicamente: Como los cambios en la organización, la política tendrá que

cambiar y crecer para apoyar esos cambios. Todos los cambios de política deben ser documentado para
incluir que aprobó el cambio, cuándo y qué causó el cambio. Las razones para cambiar las políticas incluyen
cambios en la amenazas y nerabilities vul-, fusiones, adquisiciones, las pruebas y los resultados del ejercicio,
y así sucesivamente. revisión de rutina deben programarse al menos anualmente.
Realizar un seguimiento de excepciones: Aunque se supone que toda la organización para cumplir
con las políticas de la organización, hay situaciones en que se deben hacer excepciones. Siempre que
se hagan excepciones, el siguiente debe ser documentada: la exención, justifica ?? catión y el período
de tiempo para la exención, que AUTORIZADO la exención, y cuándo. Es la documentación tiene que
estar situado en el centro con los documentos de política de la empresa.
Crear una ubicación central: organización de correo debe tener una ubicación central
donde todas las políticas se mantienen para que todos puedan acceder a ellos. Es compatible con el requisito de que
todos los empleados deben estar al tanto de las políticas de la organización.
Aprovechar la tecnología y experiencia: las políticas de seguridad de la empresa siempre debe
apalancamiento dos cosas: la tecnología y la experiencia de otros expertos, por ejemplo, el ya

mencionado uso de PMI para la gestión de proyectos.
Aprovechando la tecnología para automatizar procesos y procedimientos manuales pueden ser muy costo-e © caz o
no. El tener la tecnología que sustituye a la actualización manual de cada equipo empujando hacia abajo los parches y
actualizaciones de antivirus para un sistema muy grande, dispersa se debe considerar en la construcción de una política
de seguridad. Pero no toda la tecnología se puede aprovechar sin la aplicación adicional de más controles, como el uso
de una herramienta automatizada para el personal del sistema para documentar y reportar su estado de control de
seguridad, cuando el personal del sistema de seguridad no entienden. Otro ejemplo está declarando una política que todo
el mundo va a utilizar tarjetas inteligentes para el acceso al sistema, y cuando se despliegan las tarjetas inteligentes con
los sistemas no son ?? configurada con lectores de tarjetas inteligentes. Hacer aprovechan la tecnología, pero asegúrese
de que sea práctico y no es vulnerable. También ser conscientes de lo que tendrá que hacer cuando las políticas de
seguridad establecidas premio enter- se enfrentan a la tecnología heredada de adquisiciones y fusiones. Integración de
las viejas y nuevas tecnologías puede ser muy costosa, y la planificación de la transición de las dos políticas de
seguridad puede ser muy complicado.
Aprovechando la experiencia de otros no especi ?? camente significa contratar a un experto. Recuerde que la
política para un sistema de la empresa ?? específico debe ser adaptado a cada organiza- ción, pero el ISSMP debe
tomar ventaja de los ejemplos que ya han sido probados con éxito por otros. Como se mencionó anteriormente, otros
expertos en seguridad han contribuido con sus experiencias, por lo ISSMPs no tienen que hacer los mismos errores
costosos operaciones anteriores. EY han proporcionado sus conocimientos, recomendaciones,

y procesa en forma de conferencias, documentos técnicos, normas y directrices. ISSMPs sería irresponsable
no aprovechar esta experiencia. De hecho, las normas y directrices previ- ormente documentados ofrecen
grandes recursos que ISSMPs puede utilizar para empezar a adaptar sus programas de seguridad. Además,
cuando se requiere la conformidad con las leyes y regulaciones, es obligatorio para ISSMPs para usarlos
como base para sus programas, pero los modifican para el medio ambiente y las necesidades de su
organización específica ?? c.
Así que, ¿cuáles son estas normas y directrices, y cómo las utiliza el ISSMP para construir las políticas y los
otros componentes del marco de la seguridad del sistema de la empresa?
Normas y directrices
En primer lugar vamos de De ?? ne los términos. Normas son obligatorias, es decir, que se deben seguir, y las
directrices se proporcionan como sugerencias. En muchos casos, las organizaciones publican estándares para indicar
un requisito obligatorio en general y luego publicar más directrices sobre cómo ²exible el requisito puede ser
satisfecho ?? ed. ¿Es permite una mayor ²exibility en la forma en la norma se cumplirá en el nivel de organización o
sistema.
ERE son dos conjuntos de normas y directrices: externos e internos. E los externos son creados por
organizaciones tales como el gobierno y los grupos sin ánimo de lucro ?? T, por ejemplo, el Instituto
Nacional de Estándares y Tecnología (NIST) y la Organización Internacional de Normalización y la
Comisión Electrotécnica Internacional (ISO / IEC). normas y directrices externas suelen ser impulsados por,
o demandas comerciales profesionales reguladoras.
NIST fue dirigida por el Congreso de Estados Unidos para desarrollar y emitir normas y directrices para las
organizaciones gubernamentales y las personas que trabajan con el gobierno. NIST es bien conocido por su serie 800
de Publicaciones Especiales (PE) y sus normas de elaboración obligatorio de Información Federal (FIPS) relacionados
con todos los aspectos de la seguridad informática, que se puede encontrar en http://csrc.nist.gov/publications . Para las
organizaciones asociadas ernment y el gobier- estadounidenses, NIST FIPS son estándares (obligatorio) y NIST SP son
directrices.
normas y directrices de la ISO son impulsadas por las necesidades de las comunidades internacionales para
desarrollar algo que podrían utilizar para guiarlos en la obtención de sus sistemas. Dos de ellos son bien conocidos en
la comunidad de seguridad de TI:
Se trata de una norma, la norma ISO / IEC 15408-3: 2008, Criterios de Evaluación de la Seguridad de TI,
que proporciona el marco estándar para la evaluación de productos de tecnología de información establecidos
individuales para la conformidad con los criterios internacionales comunes para la Tecnología de la Información de
Evaluación de Seguridad.
E otro es una guía, ISO / IEC 27002: 2005, Código de Prácticas de Información
Gestión de la Seguridad, que “establece las directrices y principios generales para iniciar,
implementar, mantener y mejorar la información de gestión de seguridad en una
organización.” (Fuente: http://www.iso.org/iso/iso_ Catálogo / catalogue_ics /
catalogue_detail_ics htm? csnumber = 50297)

Actualmente, el NIST está trabajando con entidades del sector público y privado para establecer
correspondencias y relaciones ?? específicas entre las normas de seguridad y las directrices elaboradas por el NIST e
ISO / IEC.
Algunas organizaciones muy grandes han publicado sus propias normas y directrices, como el Departamento
de Defensa de Estados Unidos en su serie 8500 de las directivas e instrucciones para los militares y los Estados
Unidos de Auditoría y Control de la Asociación de Sistemas de Información (ISACA) son las normas, directrices y
procedimientos para verificar y profesionales de control (Fuente:
http://www.isaca.org/AMTemplate.cfm?Section=Standards 2 y Plantilla = / ContentManagement /
ContentDisplay.cfm y ContentID = 43.089).
normas y directrices internas son creados por una organización, basado en las “mejores prácticas”, de guiar a
sus empleados y socios sobre cómo desarrollar, operar, interconexión, y mantener la seguridad de la organización.
ESE normalmente son recomendadas por la ISSMP, pero siempre están aprobados y promulgados por la alta
dirección. EY normalmente están referenciados o expresadas en la política de seguridad de la empresa, los planes
de seguridad del sistema, manuales de operación, y así sucesivamente.
Ejemplos de estándares internos incluyen los siguientes:
contraseñas: Los empleados usarán contraseñas de 12 caracteres, mediante combinación aleatoria
ciones de caracteres alfanuméricos, caracteres especiales y casos superior e inferior.

Conciencia: Todos los empleados, la perfeccionará el adoctrinamiento de seguridad antes de log
ging a cualquier sistema y la formación anual de la conciencia para mantener los privilegios de acceso. El
cumplimiento será revisado por el jefe de seguridad de la información O «CER (CISO) e informó
formalmente de manera trimestral al presidente ejecutivo de O« CER.
Contingencia prueba del plan: Los planes de contingencia serán ejercidas anualmente para
cada sistema de TI.
Ejemplos de directrices incluyen lo siguiente:
contraseñas: Los sistemas pueden utilizar la autenticación de dos factores o más alto para satisfacer la
requisitos de la norma.
Conciencia: Los empleados tendrán 30 días para completar su AWARE anual de TI
ness requisito después de NotI ?? catión de incumplimiento. Conciencia complicación Ance puede ser
reintegrado después de tomar la formación basada en ordenador o asistir al evento mensual de la conciencia de
TI.
Contingencia prueba del plan: Para cumplir con el plan de contingencia anual
requisito de ejercicio los siguientes es aceptable para los sistemas aplicables:
Sistemas de impacto baja: ejercicio de simulación de impacto moderado de
sistemas: el ejercicio paso a través de impacto de alta Sistemas: El
despliegue completo de ejercicio

Aprovechando Externos para Fabricación de funcionamiento interno
En el desarrollo de normas, directrices internas y procedimientos, ISSMPs debe utilizar libremente las fuentes externas
de normas, directrices, procedimientos y mejores prácticas para localizar las diversas opciones para identificar la mejor
solución de seguridad para sus sistemas. Un buen ejemplo es cuando se mira en la creación de un esquema de marco
de seguridad tem su empresa sis-, ISSMPs puede comenzar con el NIST SP 800-18, Guía para la elaboración de planes
de seguridad para los sistemas de información federal, que proporciona un breve esquema para la construcción de un
genérico de seguridad plan. Habiendo realizado el trabajo de identificación ?? ed ?? en el primer apartado de este
capítulo, el ISSMP puede completar fácilmente la primera ?? medio del plan que describe la misión, funciones de
negocios, metas y objetivos, interconectividad con los grupos internos y externamente con los socios, y así
sucesivamente.
E siguiente elemento en el plan es el desarrollo de las funciones y responsabilidades, políticas, normas y

directrices. Identificación de funciones y responsabilidades serán discutidos más adelante en este capítulo. E
siguientes referencias son buenas fuentes de informa- ción en relación con el desarrollo de controles de línea de base:
NIST SP 800-53, Guía para la evaluación de los controles de seguridad Federal de Infor-
Sistemas ma ción
ISO / IEC 27002-2005, Código de Prácticas para la Gestión de Seguridad de la Información
Departamento de Instrucción de Defensa (DODI) 8500.2, Aseguramiento de información
(IA) Aplicación
Cada uno de estos tres documentos proporciona una lista completa de los controles que se deben tomar
en consideración cuando se asegura un sistema de TI. Aunque el número de familias son di © Erent, la lista
total de los controles dentro de cada documento es muy similar a las otras (Figura 1.5).
Dado que cada documento fue desarrollado para un público Erent di ©, ISSMPs debe ?? nd cuál de estos
documentos se sienten cómodos con su uso y que el control ing lista- para construir un esquema de las normas,
directrices y procedimientos que tendrá que desarrollar para sus sistemas.
Nota: En el desarrollo de algo que otros tendrán que poner en práctica y vivir con, implicarlos en el desarrollo de
la solución o las opciones. ¿Por qué? La participación pro porciona la educación y la comprensión de la
necesidad y la propiedad de las soluciones finales.
Otras fuentes para las mejores prácticas incluyen los siguientes:
Comúnmente aceptadas prácticas de seguridad y Reglamentos (caspr) - Desarrollado por el Proyecto CASPR
(www.caspr.org), este correo © ORT tiene como objetivo proporcionar un conjunto de mejores prácticas que se
pueden aplicar universalmente a cualquier organización CASPR se adentra en específico “independientemente de
la industria, el tamaño o la misión.” ?? c tecno- logías, recomendar principios y prácticas fundamentales para la
creación de un estable y seguro ambiente.

NIST - SP 800-53 ISO - ISO / IEC 27002: 2005 DoD - DODI-8500.2
fi cación, acreditación y evaluaciones Politica de seguridad Diseño de seguridad y con fi

certificadas de seguridad guración
Planificación Organización de la Seguridad de Identi fi cación y

la Información autenticación
Evaluación de riesgos Gestión de activos Enclave y Computing

Environment
Sistema y Servicios de Seguridad de Recursos Enclave de Límites de

Adquisición Humanos Defensa
Sensibilización y formación Seguridad Física y Ambiental Física y Ambiental
Gestión de con fi guración Personal
Planificación de contingencias Gestión de comunicaciones y Continuidad

operaciones
Respuesta al incidente Control de acceso La vulnerabilidad y la Gestión

de Incidencias
Mantenimiento Sistemas de Información

Adquisición, desarrollo y
mantenimiento
Protección de medios Gestión de la Información de

Seguridad de incidentes
Física y Protección del Medio Gestión de Continuidad de

Ambiente Negocio
Personal de Seguridad Conformidad
Integridad de la información del

sistema y
Control de acceso
Auditoría y Responsabilidad La
identificación y autenticación
Protección del sistema y las

Comunicaciones
Figura 1.5 Diversas familias de control. (La referencia para el gráfico ISO se puede encontrar en
http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ ics.htm? Csnumber = 39.612).

Objetivos de Control para la Información y (Relacionados) Tecnología (COBIT) - Desarrollado por los auditores
de TI y puesto a disposición a través de la Asociación de Auditoría y Control de Sistemas de Información
(www.isaca.org/cobit.htm), COBIT proporciona un marco para la evaluación de un programa de seguridad, el
desarrollo de una línea base de rendimiento, y la medición de rendimiento en el tiempo .
Operativamente crítico §reat, activos y Evaluación de la vulnerabilidad SM

(OCTAVE®) -creada por el Centro de Coordinación CERT de Carnegie Mellon (www.cert.org/octave), OCTAVE
proporciona medidas basadas en las mejores prácticas aceptadas para la evaluación de los programas de
seguridad.
Publicaciones especiales (NIST http://csrc.nist.gov/publications/PubsSPs.html):

Generalmente aceptados principios y prácticas para asegurar la información
Technology Systems, NIST SP 800-14
Guía de planificación de contingencia para el Desarrollo de Sistemas Informáticos,
NIST SP 800-34
Directriz sobre la Red de Pruebas de Seguridad, NIST SP 800-42
Guía para la evaluación de los controles de seguridad de Información Federal
sistemas, NIST SP 800-53A
Equipo de seguridad de incidentes Guía de manipulación, NIST SP 800-61
E los pasos anteriores proporcionan la ISSMP con una comprensión de los sistemas de la empresa y las áreas
clave que necesitan ser revisados. Para que el programa de seguridad del sistema empresa exitosa y rentable e ©
caz, la ISSMP debe garantizar que el programa está basado en el riesgo.
Programa de Gestión de Riesgos
E concepto de programas de gestión de riesgo no es nada nuevo para las organizaciones. ESE programas
están en su lugar en la mayoría de las organizaciones de la Organización Nacional de Deportes para el
bádminton de la Aeronáutica y del Espacio (NASA). Organizaciones ?? nd que tienen programas que son
proactivos en la prevención de errores, costes innecesarios, o pérdidas son necesarias para llevar a cabo con
éxito la misión de la organiza- ción conociendo los riesgos potenciales antes de tomar decisiones. Los riesgos
relacionados con la siguiente deben ser evaluados con el fin de apoyar la toma de decisiones de gestión
óptima: la producción de un nuevo producto, revisión de nuevas estrategias de marketing, para decidir entre las
soluciones técnicas e innovadoras probadas de más edad, la determinación de la necesidad de cambios en los
procesos operativos, la identificación de problemas potenciales en el proyecto horarios,
Con esto en mente, el objetivo general de un programa de gestión de riesgos de seguridad es identificar los incidentes
de seguridad potenciales antes de que ocurran, para que

• Los controles se pueden poner en su lugar para evitar o reducir el potencial de la inci-
mella se produzca, para identificar cuándo se está produciendo un incidente, y reducir el impacto si se produce
el incidente
• Riesgo de manejo de actividades, como los planes de respuesta a incidentes y de contingencia, puede ser
en su lugar para la activación de responder o recuperarse de un incidente

• Los controles de seguridad se mantienen e © reflexiva a través de la vida del sistema
Mediante la implementación de un programa de gestión de riesgos de la empresa para la seguridad de sistemas de
información, se darán a conocer los riesgos relacionados con los sistemas de la empresa, por lo que la dirección puede tomar
decisiones basadas en el riesgo “el costo-e © reflexivo” sobre cuestiones de seguridad. El conocimiento de los riesgos de
seguridad para cada uno o la totalidad de los sistemas de la empresa permite a la administración
• Ser más proactivo en la protección de los sistemas

• Tomar decisiones con mayor nivel educativo
• Administrar la seguridad como un negocio de rutina
• Ver incidentes de seguridad como anomalías operativas
Mediante la realización de evaluaciones de riesgo para los sistemas de la empresa, utilizando los mismos cesos
pro utilizados en el programa de gestión de riesgos de la organización, la seguridad se convierte visto más como un
servicio de apoyo a las funciones de negocio de la organización, por lo tanto MAK- ing relación de seguridad más
comprensible y aceptable para la administración. Además, el ISSMP y gestión comienzan a hablar el mismo idioma y
soportan los mismos objetivos. Posteriormente, los usuarios obtienen una mayor aceptación de la necesidad de
seguridad.
ERE son muchos los modelos de gestión de riesgos que se han publicado y RESPETA como herramientas
automatizadas. Los siguientes son algunos ejemplos:
NIST SP 800-30, Guía de gestión de riesgos para la Tecnología de la Información

Sistemas y NIST SP 800-37, Revisión 1, Proyecto de guía para la Seguridad de Autorización de Sistemas
de Información Federal: un enfoque de seguridad del ciclo de vida. Ambos proporcionan un marco de gestión
de riesgos y las líneas directrices para la realización de una evaluación de riesgos y la forma de aplicar los
resultados a la obtención de un sistema de información.
ISO 13335, Gestión de Riesgos. Es directriz de ?? ne una variedad de seguridad

controla y esboza el marco para la gestión de riesgos.
AS / NZ 4360, Standard: niveles de riesgo. IS es la matriz utilizada en el Australian /
Nueva Zelanda estándar (AS / NZ) 4360 para determinar ridades pri- gestión de riesgos a través de la colocación
de las evaluaciones de riesgo en una tabla (matriz) y usando esto para destacar las áreas de importancia más
crítica con respecto a los riesgos menos críticos.
Octava (vista operativo crítico §reat, Activos y vulnerabilidad

Evaluación). IS es una herramienta automática, auto-dirigido, basado en el riesgo estratégico evalua- ción y la
planificación de la seguridad. E herramienta permite a un pequeño equipo de cionales, negocios, y las unidades de TI
opera- trabajar juntos para de ?? ne de la organización

Estado actual de la seguridad, identificar los riesgos a los activos críticos, y establecer una estrategia de seguridad.
Más en esta herramienta se puede encontrar en http://www.cert.org/octave/.
Componentes de Gestión de Riesgos
ERE tres componentes para la gestión del riesgo: evaluación de riesgos, mitigación de riesgos, y la evaluación y
aseguramiento.
Evaluación de riesgos es un proceso de nueve pasos utilizado para determinar los riesgos individuales relacionados del
sistema de información. ESE nueve pasos provienen de NIST SP 800-30. E nueve pasos son los siguientes:
Paso Caracterización 1-System: Aquí el ISSMP gana una comprensión completa

del sistema (es decir, la misión, los jugadores clave, interconexiones, límites, etc.), como se discute en la sección
?? primera de este capítulo. E información puede ser recogida mediante cuestionarios, entrevistas, herramientas
de análisis automatizados, y por Conducta- ing revisiones de documentos.
Salida de la Etapa 1: detallada Descripción del sistema
Paso 2-§reat Identi¤cation: E objetivo aquí es identificar todas las amenazas que
potencialmente puede atacar el sistema.
Salida del Paso 2: Lista de §reats
Paso 3-vulnerabilidad Identi¤cation: Al igual que el paso anterior, el objetivo es

identificar todas las vulnerabilidades relacionadas con el sistema. ESE se puede obtener de informes de auditoría y de
incidentes, resultados de pruebas, CERT y avisos proveedor de asesoría, NIST I-CAT base de datos de vulnerabilidad
(http://icat.nist.gov), y así sucesivamente.
La salida de la Etapa 3: lista de vulnerabilidades
Paso 4-Control Análisis: En este paso, el ISSMP identi ?? es todo el sistema de Cur-
alquiler y gestión planificada, operacional, y los controles de seguridad técnicos.
La salida de la Etapa 4: Lista de los controles
Paso 5-Likelihood Determinación: Utilizando los resultados de los tres últimos pasos,
determinar la probabilidad de que una amenaza ejercería una vulnerabilidad del sistema teniendo en cuenta la
dirección © cacia de los controles actuales. Trate de identificar estos cuantitativa o cualitativamente (más será
discutido más adelante en el Ca- pítulo sobre por qué uno debe usarse sobre otro en circunstancias
específicas ?? c). Cualquier método cuantitativo se puede utilizar (hay varias herramientas que se pueden
utilizar para calcular el riesgo de que también será discutido más adelante en este capítulo). Crear una
calificación lihood como- de alta, media o baja utilizando la siguiente orientación:
Alto: E fuente de amenaza es altamente motivado y su «suficientemente capaz, y actual
controles para evitar la vulnerabilidad de ser ejercido son ine © reflexivo.

Medio: fuente amenaza E está motivada y capaz, pero los controles están en
lugar que pueda impedir el ejercicio con éxito de la vulnerabilidad.
Bajo: E Fuente amenaza carece de motivación o capacidad, o los controles están en
para prevenir, o al menos signi ?? impiden cativamente, la vulnerabilidad de ser ejercido.
La salida de la Etapa 5: Lista de Clasificación de probabilidad
Paso 6-Impact Análisis: En este paso, el ISSMP determina el impacto adverso

resultante de una amenaza ejercer una vulnerabilidad específica ?? c. ¿Cuál sería el correo © ect si el sistema
pierde capacidades funcionales integridad, la disponibilidad, o en contra ?? dencialidad? Varias fuentes
ayudarán al ISSMP determinar el impacto: la descripción del sistema de la Etapa 1, análisis de impacto en el
negocio de la organización (BIA) documentos, y el dueño del negocio del sistema. Recuerde que debe tener
en cuenta otros factores, tales como la frecuencia de los ataques, el costo de un ataque, y así sucesivamente.
Además, trate de identificar estos en un hombre-ner cuantitativa o cualitativa. Recuerde que cualquier método
que utilizó en el paso anterior se debe utilizar en este paso, ya que el siguiente paso tendrá resultados
uniformes. Un método para determinar un impacto cuantitativo es de nuevo mediante el uso de alta, media y
calificaciones bajas, de la siguiente manera:
Alto en el ejercicio de la vulnerabilidad (1) puede resultar en la pérdida muy costoso

de los principales activos o recursos tangibles; (2) puede signi cativamente ?? viola, dañar o impedir la
misión de una organización, la reputación, o interés; o (3) puede resultar en la muerte humana o lesiones
graves.
Medio en el ejercicio de la vulnerabilidad (1) puede resultar en la pérdida costosa de
bienes o recursos tangibles; (2) pueda violar, dañar o impedir la misión, la reputación, o la participación
de una organiza- ción; o (3) puede resultar en lesiones humano.
Bajo en el ejercicio de la vulnerabilidad (1) puede resultar en la pérdida de algunos tan-
bienes o recursos gibles o (2) puede notablemente un © ect una misión de la organización, la
reputación, o interés.
La salida de la Etapa 6: Lista de Impactos
Etapa de determinación 7-Riesgo: E ISSMP identi ?? ca el nivel de riesgos para el

organización para cada par amenaza / vulnerabilidad viable mediante la adopción de los resultados de los dos
últimos pasos y la creación de una matriz de riesgo con probabilidad en la cal verticalmente y el impacto sobre la
horizontal. Como se muestra en la Tabla 1.6, este análisis se puede hacer cuantitativamente (mostrado como
Likelihood [0,1-1,0] e Impacto Rating [1-100]) y cualitativamente (alto, medio y bajo). Ejemplos son RESPETA
pro- en la Figura 1.6. Es muy recomendable que un grupo que consiste en la ISSMP, el personal clave del
sistema (propietario de la empresa, la seguridad del sistema de información o «cer [ISSO], etc.), y un analista de
riesgo corporativo decidir sobre el régimen general. Grupo E en un correo © ORT de colaboración también debe
identificar los valores individuales de los impactos y probabilidades. También es muy recomendable que el
ISSMP asegurar que un corto de justificación ?? catión es identificado ?? y documentado para cada acordado

Tabla 1.6 Descripción 0-5 Enfoque
No. Acción Descripción ¿Por qué?
0 Propósito / Contacto Identificar si la presentación o documento Así público sabe lo que se

es proporcionar información u obtener una espera de ellos desde el
decisión principio
1 Problema Presente un problema o asunto que se La presentación de múltiples
centran en la manera que puedan artículos con frecuencia
absorber la información o tomar una confunde a la audiencia
decisión rápida
2 A la audiencia conocer a su público y Siempre se vende a alguien

crear la presentación o papel a nivel de en sus necesidades o metas,
conocimiento y las necesidades de la no la tuya
audiencia
3 Opciones En las presentaciones a la alta El trabajo consiste en tomar
dirección, siempre dan tres decisiones, por lo que necesitan
opciones de uno puede ser “no opciones para tomar decisiones
hacer nada”, y una recomendación
4 Diapositivas / acciones Utilice sólo cuatro diapositivas de una Mantiene una presentación
presentación y cuatro acciones en una simple, clara y rápida Fácil de
página: Propósito-probl leer una página
Opciones-Recomendación
5 minutos Dar la presentación de cuatro diapositivas o La alta dirección tiene una

escribir el documento de una sola página, para agenda muy apretada, así
que puedan procesar la situación en cinco que sea rápida y respetuosa
minutos
en el valor. Es la voluntad de ayudar a proporcionar explicaciones verbales y escritas y cationes ?? justificaciones
durante las futuras revisiones y propuestas de presupuesto.
Un ejemplo de cómo éstos se utilizarían es si las calificaciones de probabilidad e impacto

cuantitativos se determinó que eran 0,4 y 15, el resultado final sería de 6, por lo que el riesgo resultante
sería calificado como “baja”. Pero si la probabilidad cuantitativa y Evaluación de impacto se determinó
que el 0,5 y el 40, entonces el riesgo sería clasificado como “moderado”. como se puede ver, mucho
depende del impacto. Si el impacto y la probabilidad calificación cualitativa se considera moderado tanto,
el riesgo resultante sería “moderado”.
Es es una manera de hacer este análisis. ERE son otras maneras, como el método discutido en AS /
NZ 4360, que proporciona una matriz Erent similar pero di © a

Impacto Cualitativo
cuantitativo Impacto
1-10 11-50 51-100 Bajo medio alto
Probabilidad Probabilidad
0,6-1,0 0,6-10 6,6-50 31-100 Alto Bajo medio alto
0,2-0,5 0,2-5 2,2-25 10,2-50 Medio Bajo Medio Medio
0,0-0,1 0-1 0-5 0-10 Bajo Bajo Bajo Bajo
Bajo = 0-10 Medio => 10-50 Alta => 50-100? ESE son resultados generales. Con justificaciones de sonido
y el consenso del grupo, los resultados pueden ser cambiados.
Figura 1.6 Ejemplos de matrices de riesgo cuantitativos y cualitativos.
determinar las prioridades de gestión de riesgos pesando tanto el impacto (consecuencia) con una
calificación de 1-5 y la probabilidad con una calificación de casi seguro que rara (véase la figura 1.7). En este
esquema los primeros ?? riesgos que deben ser mitigados son los que entran en la categoría de riesgo
extremo.
La salida de la Etapa 7: Establecimiento de prioridades con lista de riesgos de seguridad del sistema
Recomendaciones Paso 8-Control: Con la salida de la etapa anterior, la

grupo revisará posibles controles para reducir los riesgos a un nivel aceptable. análisis t Un costo-bene
?? debe llevarse a cabo en todos los controles recomendados para demostrar que el costo de la
implementación del control se justifica ?? ed por la reducción en el nivel de riesgo.
La salida del Paso 8: Se recomienda controles de mitigación de riesgos
Paso 9-Results Documentación: Por último, el ISSMP debe documentar la

resultado de la evaluación de riesgos mediante la creación de un informe de gestión y una presenta- ción para la
gestión de una lista de riesgos y recomendaciones.
La salida de la Etapa 9: Informe de evaluación del riesgo o Informe sobre Riesgos y

Presentación
Pregunta clave: ¿Qué es la mejor manera de utilizar: cualitativa o cuantitativa?
Responder: E más comprensible para la gerencia de la organización.

Consecuencia
Insigni fi cante Menor Moderado Mayor Catastrófico
Probabilidad: 1 2 3 4 5
A (casi seguro) H H mi mi mi
B (probable) METRO H H mi mi
C (posible) L METRO H mi mi
D (poco probable) L L METRO H mi
E (raro) L L METRO H H
mi Riesgo extremo: Acción inmediata requerida para mitigar el riesgo o si

decide no continuar
H Alto Riesgo: Se deben tomar medidas para compensar el riesgo
METRO Riesgo Moderado: Se deben tomar medidas para controlar el riesgo
L Bajo Riesgo: la aceptación de rutina del riesgo
Figura 1.7 AS / NZ 4360 matriz de riesgo.
Mitigación de riesgos es la segunda parte de la gestión de riesgos. Es donde es alto agement hombre- utiliza
los resultados de los informes anteriores de priorizar, evaluar y aprobar el cual será implementado las
recomendaciones del informe de evaluación de riesgos. Dado que la eliminación de todos los riesgos a menudo es
poco práctico o casi imposible, es responsabilidad de la alta dirección y los gerentes funcionales y de negocio a
utilizar la mejor relación costo-e © enfoque reflexivo basado en la reducción del riesgo a un nivel aceptable.
¿Qué nivel de riesgo sea aceptable es cómo la organización responde a las recomendaciones de la
evaluación de riesgo, por ejemplo, ¿hay opciones aceptables abierta a la gerencia? EIR decisión depende de
“apetito de riesgo” de gestión o willing- ness a aceptar el riesgo. E opciones de mitigación generales que son
susceptibles de ser gestionados son los siguientes:
Asunción de riesgos: Asumir la identificación ?? ed riesgo y no aplicar ningún adiciones

controles cionales.
Evitación de riesgo: Para dejar de hacer la acción que está causando el riesgo, como la de permitir
los empleados a tomar la información sensible casa para trabajar en el fin de semana.
Limitación del riesgo: Para implementar controles que limiten la exposición al
amenaza, al igual que la implementación de cifrado para asegurar ?? les están cifrados cuando no está siendo
visitada por los empleados.

Planificación del riesgo: Para estar preparado de modo que cuando se produce un incidente hay un incidente
respuesta y plan de contingencia para responder y recuperarse del incidente.

Transferencia del riesgo: Para tener otra organización acepten algunas o la totalidad del riesgo. mi
forma más común de hacerlo es tomar una póliza de seguros. En algunos casos, las organizaciones han transferido
los riesgos por la externalización del control. Mediante la externalización del control, la organización puede contener
otra persona responsable por las fallas.
Investigación y Reconocimiento: Para aceptar el riesgo debido al hecho de que hay

hay soluciones aceptables disponibles en el momento y continúan llevando a cabo investigaciones para una,
control © caz costo-e apropiado.
Cualquiera que sea la respuesta es, los riesgos tendrán que ser revisados y monitoreados continuamente para
mantener la seguridad del sistema a un nivel aceptable, lo que conduce a la tercera parte de los componentes de
gestión de riesgos.
Evaluación y Aseguramiento
Las evaluaciones de riesgo no sólo se realizan al comienzo del ciclo de vida del sistema de información; deben
hacerse durante todo el ciclo de vida del sistema para asegurar que el nivel de riesgo se supervisa y se toman
acciones correctivas. La realización de una evalua- ción de riesgos debe hacerse sobre una base evento y función del
tiempo:
Bases Evento: evaluación de riesgos E se lleva a cabo cuando se producen cambios signi cativos ??
al sistema, el medio ambiente (es decir, física, amenaza, vulnerabilidades, personal, etc.), los negocios, la
misión, la competencia, y así sucesivamente. E signi ?? no puede cambio no tiene que ser algo que requiere
más seguridad; que podría ser algo que reduce el tamaño de la necesidad de seguridad. Recuerde, la seguridad
se supone que es el costo e © caz. Conservando una medida de seguridad costosas que ya no se requiere no
es en el mejor interés de la organización. Además, la evaluación del riesgo podría ser una evaluación completa
como se describió anteriormente o un subconjunto, dependiendo de la magnitud del cambio.
Tiempo Base: Es bueno hacer una evaluación de riesgos periódica sólo para asegurarse de que los cambios
no han sido pasados por alto. Muchas normas de cumplimiento también requieren que las evaluaciones de riesgo se
llevaron a cabo y documentado por este motivo. La mayoría requiere una a llevarse a cabo una vez al año.
E marco de gestión de riesgos (RMF) previsto en NIST 800-37 se tantes represen- en la Figura 1.8,
que pone el RMF en perspectiva con respecto a la SDLC y los nueve pasos discutidos anteriormente.
La clave para llevar a cabo evaluaciones de riesgo continuas es cómo informar de los resultados a la alta dirección. Se
recomienda que esto también se llevó a cabo como eventos se producen en el sistema y en los medios de comunicación, y
llevó a cabo sobre una base periódica, preferiblemente cronometrado con una acción importante, como una presentación del
presupuesto, el informe de regulación, mayor

SDLC RMF
Iniciación Sistema categorizar Correr el riesgo de
evaluación del sistema en Clasificar
Seleccione Controles
Adquisición de identi fi cación
Inicial identificación ?? reat
desarrollo
Vulnerabilidad La
implementar controles
Análisis de los controles

Evaluar los controles
mantenimiento Determinación
Autorizar Sistema probabilidad de Análisis de

operación de
Impacto Determinación del
Implementación la Riesgo
ased
nto-B s controla
Eve sado
y ba
Recomendaciones
controles del monitor mpo
l tie
ne
e resultados de
disposición documentación
disposición
Figura 1.8 Marco de gestión de riesgos.
revisión por la dirección, y así sucesivamente. Más sobre cómo proporcionar informes se dis- cussed más tarde.
garantías son aquellas actividades que permita la gestión con la confianza con que algo ?? está proporcionando
o proporcionará la seguridad que se espera. Garantías se pueden obtener mediante la revisión, auditoría, evaluación,
certificación ?? cación y el contrato, y otros métodos. Es actividad proporciona la debida diligencia.
E ejemplos perfectos de la primera ?? dos, revisión y auditoría, están llevando a cabo evaluaciones de riesgo acorde a los
riesgos (Las evaluaciones de riesgo basadas en el tiempo mencionados anteriormente) o tener auditorías llevadas a cabo en el
sistema y organización.
Evaluación y certi cación ?? pueden ofrecer garantías de soluciones y servicios. Para obtener garantías de
que los productos de seguridad estarán trabajando de acuerdo con la literatura de marketing, el gobierno creó las
evaluaciones de Common Criteria. proveedores de productos pagan Common Criteria Testing Laboratories
(CCTLs), que son aprobados y autorizados por el NIST, para evaluar sus productos de seguridad contra la
protección de productos Pro ?? les con el fin de obtener un criterio común ?? certi. E certi ?? cado, con el
informe de validación asociada, CON ?? RMS que un producto informático o pro- tección pro ?? le ha sido
evaluado en un laboratorio acreditado utilizando la Metodología de Evaluación Común para la conformidad con
los criterios comunes. National Information Assurance Partnership E Criterios Comunes de Evaluación y
Validación de Esquema (CCEVS), que es administrado y sta © ed por la Agencia Nacional de Seguridad (NSA),
problemas de la certificación ?? cate en los Estados Unidos. Puede hallar más información sobre los criterios
comunes en http://www.niap-ccevs.org/cc-scheme/.

Para obtener cierta seguridad de que una empresa puede ofrecer productos y servicios de
desarrollo para sus clientes, Software Engineering Institute de Carnegie Mellon (SEI) creado un
enfoque de mejora de procesos, CMMI (Capability Maturity Model Integration®, la figura 1.9). Al
igual que en el concepto de criterios comunes, CMMI proporciona a las organizaciones los
elementos esenciales de los procesos reflexivos e © y ofrece a los clientes una comprensión de
la madurez de la capacidad de una organización para proporcionar una calidad de servicios y
productos. A medida que las organizaciones crecen, deben estar mejorando y formalizar los
procesos de la empresa mediante el aprendizaje de los correos anteriores © Orts e instituir
cambios que aumentan la calidad de su producción y la dirección © cacia de sus procesos. A
medida que pasa el tiempo,
Las evaluaciones se llevan a cabo para evaluar los procesos de una organización para determinar la forma
en que se ajustan a los requisitos de CMMI, que son de ?? ne en los Requisitos de la valoración de CMMI
documento (ARC). E evaluaciones se centran en la identificación de oportunidades de mejora y la comparación de
procesos de la organización a las mejores prácticas CMMI. Los equipos de evaluación utilizan un modelo CMMI y
el método de evaluación conformes con ARC para guiar su evaluación de la organización y sus informes de
conclusiones. se utilizan los resultados de evaluación E (por ejemplo, por un grupo de procesos) para planificar
mejoras para la organización y proporcionar a sus clientes con un nivel de fiabilidad.
(Fuente: Instituto de Ingeniería de Software, Ingeniería de Sistemas Un Modelo de Madurez de

Capacidad [SECMM] Versión 1.1, SECMM-95-01, SEI, la Carnegie Mellon University, Pittsburgh, 1995.
Compruebe el nuevo CMMI para el Desarrollo, Versión
1.2, CMMI-DEV, V1.2, CMU / SEI-2006-TR-008 ESC-TR-2006-008, mejora de procesos para obtener mejores
productos, CMMI equipo de productos, de agosto de 2006. Es es una nueva versión que puede cambiar algunos de
la información en esta sección).
Procedimientos y Procesos
CMMI evalúa una organización de la madurez de sus procedimientos y procesos, porque no importa cuán grande es la
tecnología de la empresa y el medio ambiente son, procedimientos ectantes limitada o ine © y procesa impacto qué tan
exitoso será una organización. E mismo se aplica para el éxito de un programa de seguridad de TI. E mejor encriptación,
antivirus, control de acceso, y ?? rewalls se convertirán pronto en vulnerabilidades menos que se apliquen las
actualizaciones y parches de productos adecuados, los operadores están capacitados, los controles de seguridad física
a proteger, las auditorías se llevan a cabo, y de deficiencias son ?? corregido.
En todos los documentos identi ?? ed anteriormente que proporcionan listas de los controles que se deben aplicar a los
sistemas, casi todos los controles son o requieren procedimientos y procesos ?? específicos para garantizar la seguridad se
mantiene. Algunos ejemplos son

0 1 2 3 4 5
No De manera informal planificado y Bien de fi nido cuantitativamente La mejora

realizado realizada seguido controlada continua

Prácticas de base Comprometido a De fi nir un El establecimiento de El establecimiento de
Realizado realizar la proceso estándar objetivos medibles proceso cuantitativo
Eficacia
planificación
Rendimiento Adaptación de la Proceso de determinación de Proceso de mejora de
verificar el Norma Uso de datos Capacidades para alcanzar Eficacia
rendimiento Realización de la fi las metas Gestión
Seguimiento del Proceso de nido Objetivamente

Actuación
rendimiento
Figura 1.9 escala SEI-CMMI.

Los visitantes deben pasar por un proceso de facturación, existen procedimientos

para control de visitantes en la instalación, y los registros de visitantes se mantienen en entornos de alto
valor.
Los controles de acceso requieren que se revisen las listas de control de acceso (ACL) peri
dicamente con la lista de los empleados y que el permiso específico ?? c por individuo ser
validada.
Los planes de contingencia y planes de respuesta de emergencia deben ejercerse en una cuarta parte
terly o anual, y los empleados deben ser capacitados sobre los procedimientos y sus
responsabilidades.
Antecedentes y drogas controles se llevan a cabo en los nuevos empleados, y los nuevos empleados deben
ser entrenado, probado, y leer y firmar un documento de Normas de Comportamiento antes de ser dado una
nueva responsabilidad de TI o cuenta.
El mantenimiento debe llevarse a cabo sobre los componentes del sistema y de apoyo
sistemas (es decir, UPS, generador de energía de emergencia, aire acondicionado, ?? re supre- sión, sistemas de
seguimiento, etc.).
Proceso E para la realización de evaluaciones anuales de riesgo evalúa si el estado amenazas alquiler
mentos, vulnerabilidades y contramedidas todavía representa un riesgo aceptable capaz de gestión.
Procedimientos y procesos son fundamentales para garantizar los sistemas permanecen seguros.
La externalización proporciona otro ejemplo de cómo los conceptos de garantía se puede aplicar. Con frecuencia, las
organizaciones ?? nd que se puede ahorrar dinero por la externalización de funciones a las organizaciones profesionales,
como la supervisión de seguridad, mantenimiento, auditoría, el aumento de personal, o © -sitio de copia de seguridad o
almacenamiento, y así sucesivamente. Antes de la adquisición e implementación de estos servicios, la organización debe
tomar acciones que proporcionarán con la seguridad de que la integridad y las operaciones del proveedor no añaden un
riesgo adicional para la organización. En otras palabras, la organización debe actuar con la debida diligencia. ESE
acciones deben incluir lo siguiente:
Aprobación: Alto o «funcionarios determinan si la externalización es consistente con la

metas y objetivos de la organización y es un riesgo aceptable.
Verificaciones de antecedentes: Póngase en contacto con todas las referencias proporcionadas por el proveedor, negocio,
y el cliente. Llevar a cabo una revisión de la información a disposición del público en cualquier crimi- nal, ??
financiera, y las acciones legales relacionados con el proveedor. Es la revisión debe incluir una revisión de Dun
and Bradstreet el proveedor informa.
Los comentarios financieros: Revisar los estados financieros del proveedor para determinar el ??
fortaleza fiscal del proveedor ??. Para las empresas públicas, asegúrese de incluir los informes de la
VIDER pro a la Comisión de Bolsa y Valores (SEC).
Los comentarios del sitio: Llevar a cabo una revisión inicial y periódica de las operaciones del proveedor de
garantizar que el personal están bien informados y las capacidades están en funcionamiento.
Negocio o seguro de responsabilidad civil: Compruebe si el proveedor tiene negocio o pasivo
seguro para cubrir asuntos como los errores y omisiones, pérdidas de propiedad y accidentes, y el fraude y la
falta de honradez. Además, verifique si la organización tendrá que

asumir seguro similar debido a la posibilidad de asumir la responsabilidad adicional a la subcontratación.
Contrato: Contractualmente requieren que los proveedores de implementar la seguridad específica ?? c pro
medidas tección, informan violaciónes a la organización en el momento oportuno, y permiten auditorías

periódicas de las medidas de protección. Además, ación considerable se debe dar a los socios
comerciales de la subcontratista que debe proceso, manejar, o transmitir cualquier o todos los datos de
la organización.
Comentarios legales: Los abogados de organización de correo deben revisar todos los contratos y
asegurar que los derechos y responsabilidades de ambas partes son claras y en el mejor interés de la
organización.
Todo lo anterior proporcionan mayor seguridad de que la externalización con una especificidad ?? c pro-veedor tendrá
un alto potencial para ser un éxito, alternativa de bajo riesgo para el sistema.
Acuerdos de Nivel de Servicio
Cuando la externalización de la seguridad o de apoyo (es decir, el mantenimiento de componentes o sustitución ción, o © -sitio
alternativa capacidad de procesamiento, o © -sitio instalación de almacenamiento), la mejor práctica es documentar todas las
necesidades del sistema en un documento legal llamado un nivel de servicio Acuerdo (SLA).
SLA se requiere para una o © -sitio instalación de procesamiento o almacenamiento, mantenimiento de
proveedores, transporte de emergencia de personas / componentes / datos, sta © augmen- tación, y las
comunicaciones. Como mínimo, los SLAs deben contener la información siguiente:
• Costo / estructura de tarifas (por ejemplo, el uso, administración, mantenimiento, transporte al almacenarse
edad, servicios públicos, Preparación, calendarios de pago) y costo de los servicios adicionales
• Proceso de reserva y expectativas sobre la disponibilidad del sitio
• requisitos del sistema de TI, incluidos los requisitos de datos y de telecomunicaciones,
para el hardware, el software y las necesidades especiales del sistema (hardware y software)
• De seguridad, por ejemplo, sensores, alarmas, guardias, bóvedas
• capacidades ambientales de las instalaciones, por ejemplo, aparcamiento, iluminación, temperatura,
humedad, ?? re supresión, electricidad, agua, baños

• servicios informáticos del sistema, por ejemplo, el mantenimiento, la sustitución, el tiempo de respuesta, punto de
Información del contacto
• Espacio de trabajo, por ejemplo, sillas, escritorios, teléfonos, ordenadores
• Suministros proporcionados / no se proporciona, por ejemplo, herramientas de mantenimiento, papel, bolígrafos, carpetas
• SLA modi cación ??, terminación, y el proceso de ampliación
SLA se desarrollan y ponen en su lugar antes de la implementación de un sistema informático. Durante un incidente no
es el momento de pensar en la negociación de un SLA.

interconexiones
E mayoría de los sistemas informáticos no son sistemas independientes; apoyan o requieren el apoyo de otros sistemas
de vías de comunicación, el procesamiento, o datos. Cuando consigue conectando dos sistemas hay muchas cosas a
tener en cuenta y todos ellos se relacionan con los objetivos de seguridad: disponibilidad, integridad, y en contra ??
dencialmente. Interoperabilidad de las comunicaciones, protocolos, métodos de autenticación esquema de datos,
algoritmos de cifrado y gestión de claves, normas de etiquetado, y cortes de notificación y respuesta a incidentes ??
procedimientos cationes son sólo algunos elementos técnicos que tendrán que ser resueltos, acordada, y documentada.
Al igual que la externalización y el desarrollo de los SLA, la interconexión con otros sistemas internos o
externos deben ser formalmente acordada y documentada en un documento similar al SLA: Acuerdo de
Servicio de Interconexión (ISA). E ISA debe estar en su lugar antes de ser conectados los sistemas.
E ISA contendrá toda la información relacionada con ambos sistemas y responder el qué, por qué, cómo y
quién de la conexión. Especí ?? camente, elementos como los siguientes:
• Declaración de los requisitos para la interconexión de los dos sistemas

• Descripción de los sistemas y sus puntos de contacto
• Servicios O © Ered por los sistemas (que pasan de la información a otros sistemas,
almacenamiento, procesamiento de la información, la distribución)
• Descripción información general y sensibilidad

• Criterios para permitir el acceso a la información
• especí seguridad ?? cs, por ejemplo, que pueden ver los requisitos de información, de seguridad, lo
tipo de crypto será utilizado, los requisitos de protección para el papel y almacena los medios de comunicación,
pérdida o datos comprometidos de informes
• Procedimientos para la desconexión de emergencia y volver a conectar los sistemas
La mayoría de las veces comparten datos sensibles entre sí, en cuyo caso el titular de los datos
sensibles se desea que los sistemas de recepción para proteger los datos apro- tamente. Las operaciones
pueden requerir que la información o las capacidades de otro sistema tienen un alto grado de disponibilidad
para garantizar las operaciones pueden lograr con éxito sus funciones. Recientemente, se ha provisto un
sistema comercial de la información del paciente de un hospital para que pudieran distribuir suministros
médicos a los pacientes. Hospital y se requiere que el sistema comercial de proteger la información con la
criptografía aprobada por el NIST y tienen su sistema de certificación ?? ed cado por un tercero ?? er antes
de cerrar el contrato de servicios y les envíe cualquier información del paciente. Todos estos requisitos fueron
claramente en el contrato de servicios.
Es fundamental que ambas partes tienen un conocimiento profundo y legal de las expectativas y los
requisitos previos para la conexión de cada uno.

Contramedidas Evaluación y Recomendación

Después de la evaluación de la seguridad de cualquier sistema de información, el ISSMP debe identificar
opciones sobre cómo reducir el riesgo residual mediante la identificación, evaluación y, recomendando a
las contramedidas de seguridad. Dependiendo del nivel de riesgo residual individual, el ISSMP debe
identificar varias opciones para cada riesgo. Para guardar el ISSMP algún momento de opciones para
todos los riesgos residuales investigación, se recomienda que la orientación solicitud ISSMP de la alta
dirección en lo que será financiado. En algunas organizaciones, la alta dirección ha establecido la política
de que los problemas de seguridad con bajos niveles de riesgo son aceptables y no serán corregidos. En
otros casos, la política es que cualquier problema relacionado con “Actualizaciones de software” y “??
gestión guración” será una alta prioridad y corregido tan pronto como sea posible,
Varias otras cosas hay que tener en cuenta cuando se trata de identificar las posibles
contramedidas:
No todas las soluciones son técnicas. No todas las
soluciones cuestan dinero. Cuestionar la causa básica
del riesgo.
áreas de riesgo múltiples pueden reducirse utilizando una solución de seguridad. Algunas
soluciones de seguridad pueden causar más vulnerabilidades. Una opción es no hacer nada (es
decir, aceptar el riesgo).
Todo lo anterior son evidentes, a excepción de “pregunta la causa básica del riesgo.” Algunas veces el sistema
conserva una capacidad que no se requiere para apoyar la misión actual, sino que es la causa de un riesgo
residual al sistema. Un ejemplo perfecto de esto es cuando una red está conectada a Internet y no hay ningún
requisito de negocio ment apoyar la conexión. ¿Por qué una organización gastar $ 50.000 a $ 200.000
adquisición y el apoyo a un cortafuegos ?? y conexión, y aceptar el aumento de la vulnerabilidad a las
amenazas de Internet y las posibles responsabilidades legales cuando no hay necesidad de una conexión a
Internet? Algunas organizaciones pueden ver una conexión a Internet como en el mejor interés de mantener la
moral de los empleados, ya que permite a los empleados a utilizar la Internet para búsquedas personales y
e-mail. En ese caso, la organización puede ?? nd que sea menos costoso y arriesgado si la organización pagó
por las conexiones a Internet de los empleados en sus casas. Es eliminaría el alto costo de los controles de
seguridad, las conexiones y los riesgos relacionados con la con- nection Internet y las posibles
responsabilidades legales.
por lo general se requiere de costo-bene ?? t análisis o el retorno de la inversión (ROI) para cada opción identificada
?? ed gestiones para su revisión. ERE muchos métodos para el cálculo y la realización de análisis de t un coste-bene ??
para determinar el retorno de la inversión para una solución. Uno de los mejores métodos es el método Expectativa de
pérdida anual (ALE). E ALE ofrece

una cantidad estimada de daños (en términos monetarios) que la organización puede esperar a perder al año
debido a un riesgo. El uso de la ALE, la organización puede calcular el ROI y justificar los fondos de gastos de
contramedidas para reducir la probabilidad o el impacto de un incidente. E siguientes son ejemplos de cómo
esto se puede calcular:
ALE Virus y retorno de la inversión: Una organización con 100 empleados produce $ 10.000 al día. Cada
empleado tiene un ordenador conectado a la red; la red está conectada a Internet. No hay controles antivirus
en su lugar. La organización cuenta con 200 días al año. El potencial de tener un incidente de virus en la red
infectar todos los ordenadores es una vez al día. El tiempo de recuperación de un incidente es un día. ¿Cuál
es la ALE básica y retorno de la inversión para este riesgo?
ALE = Número de incidentes potenciales / año x Pérdida Potencial / incidentes ×% de la exposición ALE = 200
días / año × 1 Incidente / día x $ 10.000 / día x 100% vulnerable
ALE = $ 2,000,000 / año
Costo de proporcionar una solución antivirus para el sistema es $ 40.000 / año.
ROI = ALE / Costo de contramedida × 100% de ROI = $

2,000,000 / $ 40.000 x 100%
ROI = 5,000%
ALE SPAM y retorno de la inversión: La misma organización no tiene ninguna protección contra el spam de correo
electrónico. El equipo de identi fi ca que en promedio cada empleado recibirá 10 e-mail Spam cada día, y se necesitará al
menos un minuto para identificar cada uno como SPAM y borrar el mensaje de spam. Esto se traduce en 10 minutos por día
de menor productividad para cada empleado. ¿Cuál es la ALE básica y retorno de la inversión para este riesgo?
ALE = Número de incidentes potenciales / año x Pérdida Potencial / incidentes × ALE% Exposición = 200
días / año x 10 incidentes / Día / Empleado × (1 minuto de trabajo /
Incidentes / 480 minutos de trabajo / día / Empleado × $ 10.000 / día) × 100% vulnerable
ALE = $ 42.000 / Año
Costo de la provisión de soluciones de filtro de SPAM fi para el sistema es $ 25.000 / año.
ROI = ALE / Costo de contramedida × 100% de ROI = $

42.000 / año / $ 25.000 x 100%
ROI = 170%
Con estos datos de rendimiento de la inversión, la ISSMP ha llevado a cabo un © coste-beneficio ?? t análisis reflexivo
para justificar las contramedidas de seguridad basados en el riesgo muy e. Recuerde que, al igual que el cálculo de riesgos,
hay muchas formas de determinar el rendimiento de la inversión y el uso de ALE en cualquier lugar de dos a muchas
variables. La elección de cuál utilizar se basa en los cuales uno será el más atractivo para la alta dirección de la organización.

Ciclos Sistema de Información de Seguridad
Antes de pasar a discutir los roles y responsabilidades de la organización, la ISSMP debe entender el
concepto general de establecer, pruebas, aprobación y supervisión de la seguridad del sistema de
información, por lo que las funciones y responsabilidades puede ser puesto en perspectiva.
Una vez más, en las publicaciones y la práctica existen diversos métodos, pero básicamente todos
tienen los mismos componentes. E siguiente es un enfoque genérico para cado sistema ?? catión y
acreditación (C & A). Ver el gráfico que acompaña para una representación visual de las fases.
Fase de iniciación: Básicamente todas las acciones descritas

hasta el momento en este capítulo se realizan durante esta fase. ESE Iniciación Veri
acciones incluyen la identificación de la misión, metas y objetivos de la
Mantenimiento fi
organización; la descripción de los componentes del sistema, límites,
funciones y las conexiones; determinar e implementar los controles de cación
seguridad que sean necesarias; y la realización de una evaluación del
Aprobación
riesgo inicial. ES, identificar a los individuos responsables y documento
de todos estos hallazgos ?? en un plan de seguridad. Disposición
Veri¤cation Fase: Una evaluación integral de la gestión, opera-

cional, y los controles de seguridad técnica en un sistema de información en apoyo de la acreditación del
sistema. IS incluye la verificación de que los controles identi ?? ed en el plan de seguridad se aplican
correctamente, operar como es debido, y producir los resultados deseados, y documentar los resultados
en un documento formal, es decir, un Informe de Evaluación de Seguridad.
Fase de aprobación: E medidas adoptadas para revisar el Plan de seguridad del sistema, Seguridad
Informe de Evaluación y plan de acción correctiva o plan de acciones e hitos (POA & M, véase el
recuadro) se completan antes de un alto management o «aprobación oficial de un sistema de
información para la ejecución u operación conti- UED. Es O «cial es responsable de la función de
negocio del sistema de información y recursos de apoyo y es conocedor de la seguridad esta- tus,
incluyendo los controles de seguridad y riesgos, y para aceptar formalmente el riesgo para los
individuos y la organización (incluyendo la misión, los activos, funciones, la imagen y la reputación).
Fase de mantenimiento: La adopción de medidas para asegurar que el ?? guración autorizada,
controles de seguridad, y el nivel de riesgo se mantienen. E acciones incluirán un programa de gestión con
configuración activa ??, asegurando que todas las actualizaciones se implementan, las evaluaciones de riesgo
se llevan a cabo de forma continua, la alta dirección se mantiene al tanto de todos los cambios en el estado de
seguridad, contingencia y

PLAN DE ACCIÓN e hitos
los procesos de gestión de proyectos proporcionan muchas herramientas que son útiles para ISSMPs. Una de
estas herramientas es el Plan de Acción e hitos (POA & M). Es es una hoja de cálculo utilizado por el director del
proyecto, la alta dirección y el personal ?? financieros para rastrear las acciones del proyecto. E POA & M tiene
normalmente al menos los datos siguientes en las columnas:
Acción para corregir una debilidad o para apoyar una necesidad misión o negocio
Prioridad de la acción en relación con las otras acciones en el POA & M

Punto de contacto para la persona que es responsable de completar
la acción
Recursos requeridos para pagar las actividades y materiales para completar
la acción
Completa por fecha para la Acción
Hitos y fechas de terminación para las actividades principales para completar
la acción
Fuente de Acción, es decir, el informe de ejercicio, la auditoría, las pruebas, y así sucesivamente
Estado a partir de la fecha de la POA & M
E & M POA proporciona una gestión con una lista de acciones prioritarias que deben llevarse a cabo y el
estado de cada uno de los propósitos de planificación y financiación. Además, el POA & M proporciona ??
personal y financieros agement hombre-alto con una lista priorizada de acciones que deben ser financiados
para reducir los riesgos de la misión o de negocios.
planes de respuesta a incidentes se ejercen, se capacita al personal, y se mantiene la seguridad Ness AWARE.
Fase de eliminación: fase se produce cuando se hace una determinación de que un infor-
Ya no se requiere sistema mación. Las acciones deben tomarse medidas para garantizar que la seguridad de
ninguna información residual está protegido y la disrupción ción permanente de los servicios no es una sorpresa
para nadie. Información que debe ser retenido para fines legales o reglamentarias debe ser transportado y está
archivada en un lugar seguro. En la eliminación de software, medios de comunicación, y el hardware, se deben
tomar medidas para garantizar que la reutilización inadecuado de licencias no se produce y que los medios de
almacenamiento son desinfectados. Que interrumpieron los servicios a otros elementos y las interconexiones
deben coordinarse cuidadosamente con antelación y durante el proceso de conexión dis-.
Otros ciclos de seguridad del sistema se sugieren en diversas publicaciones. EY tienen fases similares, pero en
realidad también son similares en las acciones que deben llevarse a cabo

Figura ciclos de seguridad del sistema 1.10 Información.
para garantizar que la seguridad de un sistema de información está correctamente implementado, mantenido y
desmontado. Figura 1.10 proporciona varios ejemplos de estos otros ciclos y cómo se relacionan con el descrito
anteriormente.
Para entender mejor cómo los ciclos de seguridad del sistema de información se relacionan con los demás ciclos
que tienen un fuerte impacto en el desarrollo, implementación, operaciones, y la seguridad de un sistema de
información véase la Figura 1.11.
De las muchas herramientas de gestión de proyectos, POA & M es uno que puede ser muy importante a un ISSMP,
ya que esta herramienta proporciona un registro vivo de las acciones prioritarias para mejorar la seguridad de un sistema
de información. E POA & M es también un documento reconocido por los directores de proyectos, la gestión y el
personal ?? financieros como una lista de acciones que deben ser financiados para reducir los riesgos de la misión o de
negocios. De hecho, en virtud de la Ley de Gestión de la Información de Seguridad Federal (FISMA), el O «Oficina de
Administración y Presupuesto (OMB) es responsable de supervisar la gestión de todos los sistemas de gobierno y de
seguridad relacionada. En apoyo de esta responsabilidad, trimestralmente, todas las organizaciones presenten su lista de
seguridad de Ciencias de sistemas de TI ?? y los planes para corregirlos a la OMB en la forma de un POA & M. E OMB
utiliza estos POA y Ms para realizar un seguimiento de las deficiencias de ?? y los fondos para corregirlos. E OMB puede
realizar un seguimiento de los fondos, ya que es responsable de revisar las solicitudes de los organismos oficiales para
financiación antes de que el presidente presentación de la solicitud de presupuesto anual al Congreso para la asignación
de fondos para el próximo año fiscal ??.

SDLC RMF Genérico
Iniciación Sistema categorizar Iniciación
Adquisición de
La verificación
desarrollo
implementar controles
Evaluar los controles

mantenimiento mantenimiento
Autorizar Sistema
operación de
Implementación la
Aprobación de
controles del monitor
disposición
Disposición
disposición
Figura 1.11 ciclos de desarrollo y de seguridad.
Ciclos, procesos y los informes son muy e © herramientas ectantes, pero como se puede ver en la OMB / POA y M
ejemplo, herramientas sólo son © e caz si los roles y responsabilidades individuales se identifican ?? ed y monitoreado.
Funciones y responsabilidades
Las organizaciones tienen estructuras de gestión para asegurar que todos los elementos trabajan juntos para cumplir
la misión, metas y objetivos de la organización en la mayoría de los e © ec- tivo y e «ciente manera posible. La
gestión en todos los niveles proporciona el liderazgo, la planificación, programación, supervisión y dirección para
asegurar que las actividades son a tiempo y en la fecha prevista. Para mantener una buena organización, funciones
y responsabilidades individuales deben ser comunicadas claramente a la especificidad ?? c individuos en los
papeles, y el resto de los individuos que trabajan con y en la organización (es decir, proveedores, socios, clientes,
etc.).
Como en tantos otros procesos discutidos en este capítulo, no hay nadie mejor estructura organizacional
para la seguridad del sistema de información. E correcta organización debe derivarse de las entradas discutidos
durante los exámenes iniciales de los sistemas en la organización, es decir, la misión, cultura, medio ambiente,
profesional, y así sucesivamente. ISSMPs puede tener poco control sobre cómo se estructura de la organización,
sino que debe tener una comprensión ?? rm de la estructura y que los individuos y grupos son responsables de la
asignación de recursos, funcionamiento, gestión, supervisión y aprobación de los sistemas de información y la
disponibilidad de los demás controles de seguridad, tales como física, ambiental, personal y técnica.
Varios documentos identifican las posiciones posibles con las funciones y responsabilidades que son necesarios
para apoyar la seguridad de los sistemas de información. E mesas para

NIST - SP 800-37 ISO - ISO / IEC 27002: 2005 DoD - DODI-8500.2
Abogado de Junta Directiva Designada autoridad de

autorización aprobación (DAA)
Autorizar O fi cial / DAA Management- general CEO / Certi fi cador y
COO certificación de equipo
Representante Jefe de Seguridad fi cial Director del programa

designado (OSC)
Jefe de Información fi CISO Representante de usuario

cial
Agencia de Seguridad de la Gestión de riesgos fi ISSO

Información de alto nivel o fi cial cial
información del propietario Unidad de Negocios de Seguridad fi Desarrollador, integrador o

cial Mantenedor
Información del sistema Los delitos informáticos de

propietario gestión de crisis (CIRT)
Gerente del Programa de
Información del Sistema de
Seguridad fi cial (ISSO)
Representante del usuario
Certificación Risk Analyst Agente
Figura 1.12 Varios modelos de organización de seguridad.
tres de estos se identifican ?? en la Figura 1.12. E específica ?? cs para cada uno se puede encontrar en los documentos de
referencia ?? identi cados en los títulos de cada columna.
Análisis de los diferentes roles en estos modelos y otros da a conocer un conjunto clave de ?? cinco funciones de
seguridad genéricos que son necesarios para asegurar el éxito de cualquier programa de información de seguridad del sistema.
ESE son la alta dirección, autoridad de aprobación, verificación ?? entidad cación, propietario del sistema y de usuario
representativo.
1. Gerencia senior: La alta dirección es la persona o individualmente

ALS que tienen la visión, la responsabilidad y la autoridad para establecer y plomo ing la
organización hacia el cumplimiento de su misión, metas y objetivos. ESE individuos tienen la
responsabilidad legal de asegurar que la organización

tiene éxito, la seguridad de los empleados y de los productos, y que todas las acciones son éticas y que
cumpla con las leyes y regulaciones apropiadas.
2. La aprobación de la Autoridad: Autoridad de aprobación E lleva a cabo la Business-
evaluación de riesgo para la seguridad del sistema y formalmente aprueba el uso operacional del sistema.
¿El individuo debe ser un empleado de alto nivel de la organiza- ción, asignado formalmente la
responsabilidad y la autoridad de revisar y aprobar los sistemas de información con todos sus riesgos
asociados para operaciones. Para tener la autoridad competente, la autoridad de aprobación debe tener
in²uence adecuado sobre ambas las operaciones de negocio y recursos para hacer la determinación t,
análisis de riesgo misión equilibrada relación costo-beneficio en el ?? la aceptabilidad de los riesgos de
seguridad del sistema residual.
3. Veri¤cation Entidad: Es una persona o grupo que lleva a cabo acciones para verificar que
lo que está documentado en el plan de seguridad del sistema aprobado es lo que se está haciendo en las
operaciones del sistema. Es se realiza mediante
norte La realización de revisiones de documentos, tales como la regulación y el cumplimiento
directivas, planes de seguridad, manuales de operaciones, registros de auditoría y revistas
norte el personal que entreviste
norte Pruebas (asignaciones del sistema, análisis de vulnerabilidad, la penetración y social
pruebas de ingeniería, etc.)
norte inspecciones in situ

Roughout, que informe a la autoridad de aprobación y el propietario del sistema, la que se identifica
vulnerabilidades y problemas de incumplimiento en el sistema y las posibles opciones para la corrección de la
misma. Es el documento se suele llamar el informe de evaluación de la seguridad.
4. Propietario Sistema: De todos los individuos en una organización responsable de

la seguridad, el propietario del sistema es responsable de más del 85% de las acciones. Es persona es
responsable de todo, desde el desarrollo, implementación, ing manag-, dotación, formación, educación,
asignación de recursos, funcionamiento, mantenimiento, itoring MON, hacer ejercicio, evaluación y presentación
de informes, a la corrección de la seguridad del sistema de información sobre una base diaria. ¿El individuo es
responsable del desarrollo y mantenimiento de todos los documentos clave de seguridad, incluyendo la seguridad
del sistema, la contingencia, la respuesta a incidentes, gestión de parches, con ?? configuración de gestión, POA
& M, y los planes presupuestarios. Además, el propietario del sistema debe reportar el estado de seguridad,
problemas, y el riesgo a la alta dirección.
5. Representante de usuario: usuarios de correo son una de las principales claves para el éxito de cualquier
programa de seguridad. representante de los usuarios E asegura que las preocupaciones incluyendo misión,
cultural, a primera línea del funcionamiento, del medio ambiente, y el usuario aceptabilidad dad están incluidos en
cualquier solución de la seguridad del sistema. Adicionalmente, se convierten en el conducto de las
comunicaciones entre la dirección y la comunidad usuario para facilitar la promoción de la seguridad de los
usuarios y ofrecer soluciones alternativas a la gestión posterior.

Todos estos varían en título y descripción de las funciones de una organización a otra. Ejemplos de
estos son
Gerencia senior puede ser el Junta Directiva, que en definitiva son res-
sable de la salud general de la empresa, o la Los gerentes generales en posiciones de nivel o
«CER (como CEO y COO), que son responsables de la toma diaria de decisiones y la infusión de
los valores y la cultura de la organización.
autoridad de aprobación en algunas organizaciones financieras ?? es el Jefe Financiero
O «cer (CFO); en otras organizaciones es el CSO recién designado; pero en la mayoría de los
casos es el CIO.
Veri¤cation Entidad ha sido uno o una combinación de auditoría interna y externa
y funciones profesionales información de seguridad del sistema, a veces llamado el Inspec tor General,
Auditoría, Cumplimiento, Certificación ?? er, o Certi cación ?? Agente / Grupo.
sistema propietario es la persona que está a cargo total de la gestión directa de la

las operaciones y de los sistemas de información es llamado por una variedad de títulos en las organizaciones
Erent di © o durante las fases di © Erent del SDLC. Algunos de estos son negocios gerente funcional o director,
o Proyecto o administrador de programas.
Representante del Usuario puede ser cualquier persona de un representante designado por el
usuarios al administrador de sistemas.
La comprensión de las funciones de cada uno de los anteriores, el ISSMP puede ver ahora por qué el nivel de la
educación y la concienciación sobre la seguridad con cada uno de estos individuos es muy importante para el éxito de
cualquier programa de seguridad del sistema. Es se discutirá más al final de este capítulo.
Algunas organizaciones tienen personal profesional adicionales que apoyan a los individuos por encima en el
establecimiento y el mantenimiento de la seguridad para un sistema. E siguientes son ejemplos de algunas de
estas:
Analista de Riesgo: E Analista de Riesgos es responsable de la gestión global del riesgo

actividades que pueden incluir ?? fiduciario, legal, regulatorio, la inversión, la salud y la seguridad, y la seguridad.
Además, esta persona conoce los métodos de referencia para el cálculo del riesgo y la forma de determinar los
distintos valores para las ecuaciones de riesgo.
Jefe de Información de Seguridad O «CER (CISO): E CISO es responsable de

desarrollar, implementar y supervisar el programa de seguridad de la información, las políticas, normas y
directrices, y la realización de evaluaciones de riesgos, las soluciones de seguridad prácticos tificar iden-, y
promover la conciencia de seguridad a todos los niveles de una organización.
Sistema de Información de Seguridad O «CER (ISSO): E es responsable de ISSO

la supervisión directa de la seguridad del sistema mediante la realización de exámenes de rutina de los registros y las
operaciones de seguridad del sistema, y proporciona consejos de seguridad para el Sistema

Propietario. A veces se les llama la unidad de negocio (Información) Seguridad O «CER (BSO /
BISO), ya que reportan a un gerente de la unidad de negocio. E ISSO o BISO veces tiene una
estructura de información adicional a la CSO o CISO para recibir orientación adicional, tareas, y la
presentación de informes.
Con la excepción de la ISSO, que normalmente trabaja con el propietario del sistema, los otros pueden trabajar para
cualquier número de altos directivos. En algunas organizaciones el analista de riesgos es una persona sta © general que
funciona para unidades de negocios individuales o múltiples, proporcionando apoyo a la evaluación del riesgo de una amplia
variedad de opiniones y los procesos de decisiones a criteria, mientras que en otros, este individuo es el Jefe de Riesgos O
«CER (CRO), proporcionando el análisis de riesgos a los Directores generales y el Consejo de Administración sobre las
cuestiones de cumplimiento y de negocios. E CISO puede trabajar para uno o más directores generales o el CIO, CFO, o CSO,
dependiendo de la estructura interna, his- toria, culturas, orientación comercial, personalidades, y la política dentro de una
organización. En la mayoría de los casos, el CISO trabaja para el CIO, ya que la seguridad del sistema es visto como una
función de la tecnología de la información. En algunos casos, el CISO trabaja para el director financiero, ya que la organización
es vista como un negocio ?? financiera y los sistemas de información son vistos sólo como un elemento de apoyo. En otros, el
CISO trabaja para la OSC, donde hay uno, debido a seguridad de la información es vista como un requisito de organización
que requiere la integración de todas las disciplinas de seguridad (personal, informáticos y físicos). A veces, el CISO no funciona
para el CIO, porque no es una preocupación para con²ict de interés, por ejemplo, el CIO podría estar más preocupados por la
disponibilidad, mientras que el CISO se ocupa de todas las funciones de seguridad (disponibilidad, integridad, y en contra? ?
confidencialidad). Otra razón podría ser una preocupación de la alta dirección que el CIO no respeta plenamente la prioridad de
los requerimientos del negocio a través de la tecnología. porque la organización es vista como un negocio ?? financiera y los
sistemas de información son vistos sólo como un elemento de apoyo. En otros, el CISO trabaja para la OSC, donde hay uno,
debido a seguridad de la información es vista como un requisito de organización que requiere la integración de todas las
disciplinas de seguridad (personal, informáticos y físicos). A veces, el CISO no funciona para el CIO, porque no es una
preocupación para con²ict de interés, por ejemplo, el CIO podría estar más preocupados por la disponibilidad, mientras que el
CISO se ocupa de todas las funciones de seguridad (disponibilidad, integridad, y en contra? ? confidencialidad). Otra razón podría ser una preoc
Cada una de las funciones anteriores sostiene una responsabilidad clave para asegurar que un sistema de informa-
ción mantiene un nivel adecuado de seguridad, pero el más fundamental es el dueño del sistema y ISSO, porque ellos son
los que se supone que hay que controlar el estado de seguridad del sistema sobre una base diaria y tienen el conocimiento
más seguridad. EY también son responsables de asegurarse de que las necesidades del sistema se re²ected en el
presupuesto de la organiza- ción y la autoridad de aprobación es consciente de los problemas de seguridad relacionados
con sus sistemas. E este último se lleva a cabo a través de informes y presentaciones a la alta dirección, para que puedan
tomar acciones para resolver cualquier problema de seguridad.
Un ISSMP tiene el potencial para apoyar o estar en la posición de cualquiera de las funciones anteriores, porque se
necesita experiencia profesional del ISSMP para asegurar el éxito de cada función. Para llegar a ser calificado ?? ed
para cualquiera de estas funciones no requieren experiencia y cationes ?? caciones adicionales y el conocimiento. Para
tener éxito en una organización, todos por encima de la necesidad de entender cómo obtener con éxito los recursos y
presentarlos a la gestión.

Seguridad de recursos
Para entender cómo obtener recursos adicionales requiere una comprensión de los conceptos y procesos de SeV
adicionales erales.
Jerarquía de las necesidades de gestión de
proyectos de Maslow
Planificación, Programación, Presupuesto y Ejecución de Necesidades de
cationes Justi ??
Jerarquía de las necesidades es el resultado de la teoría de lo que motiva a las personas a tomar las acciones que hacen
de Maslow. Maslow identificó ?? ?? ed cinco niveles de necesidades: physiologi- cal, la seguridad, el amor, la estima y
autorrealización. Figura 1.13 proporciona una representa- ción visual de los ?? niveles de VE y algunas de las necesidades
reales en cada nivel.
La teoría de Maslow es que hay que alcanzar, mantener y satisfacer los niveles más bajos antes de que uno
puede tomar en el siguiente nivel de necesidades. Es la teoría no es tan rígida como parece, porque las prioridades
de un individuo pueden ²uctuate de minuto en minuto (por ejemplo, si uno no puede respirar un rápido vuelve a
centrar en el nivel fisiológico, o si la casa de uno se pierde uno reenfoca en el nivel de seguridad hasta se obtiene
refugio), pero para la mayoría de los individuos son parte inconscientemente en uno o dos lev- els. Sabiendo que
necesitan niveles de los individuos se encuentran en es muy importante para el ISSMP, porque la comprensión de lo
que motiva a las personas es una de las claves para el desarrollo de estrategias para in²uencing, la gestión, lo que
lleva, la venta, y otros individuos convincentes. Por ejemplo,
niveles Deseo por
sabiduría, el arte, la religión

autorrealización
logro, la confianza, la independencia, la libertad, la reputación,

seguridad reconocimiento, atención, o apreciación
trabajo, educación, etc. contribuyendo a la sociedad, y añadió a la
“FF relaciones ectionate con la gente”

Amor
estabilidad, lugar para vivir, trabajo, ahorro, seguros, habilidades de

Se estima
las necesidades básicas para vivir: aire, agua, alimentos,

Fisiológico
y dormir
Figura jerarquía de necesidades de Maslow 1,13.

Situación: Un gerente de un centro fi cio pro el apoyo de un sistema de información es

con el temor de perder su trabajo. ¿Qué nivel es que en y cómo se le convence de comprar un cortafuego?
Estrategia: Él se centra en el nivel de seguridad, por lo que explican cómo la falta de un re fi

pared puede afectar adversamente el éxito de la pro fi cio central y que un incidente de seguridad puede
ser muy embarazoso para la organización, lo que resultará en la pérdida de clientes.
Situación: Un equipo de proyecto de profesionales está trabajando en un proyecto en un muy alto

industria en crecimiento con una gran cantidad de competidores que pagan sueldos más altos. Qué nivel se están,
y qué es lo que hacen para motivar a que se queden a trabajar en este proyecto tan importante?
Estrategia: En general, el equipo es financieramente estable y educado para que puedan

estar en el Nivel de Amor o el nivel de estima. Si los miembros están en el Nivel de Amor, el ISSMP
tendrá que tomar medidas para mejorar la dinámica de grupo para aumentar el sentido de pertenencia de
los individuos. El aumento de la interacción del grupo mediante la celebración de reuniones con ejercicios
interactivos sería una solución; otra acción podría ser generar un nombre para el equipo, crear un
logotipo, y producir una bandera, gorras, botones, o camisas. Si algunos o todos los miembros están en
el nivel Estima, una acción apropiada sería la de complementar los individuos en proporcionar buenas
ideas o el grupo de éxitos.
Con demasiada frecuencia, cuando se le preguntó a un gerente, “¿Cómo se puede motivar a alguien?” La
respuesta inmediata del gerente es “más dinero!” Por lo general, la mejor respuesta es determinar qué nivel la
persona está en y tomar una acción apropiada para apoyar la necesidad en ese nivel. (Fuente: Maslow, AH Un
Eőry de la motivación humana.
Psychological Review 50 (1943): 370-96).
Gestión de proyectos principios deben ser entendidos si un ISSMP va a tener éxito en la gestión o ayudar
en cualquier e © ORT media o mayor. E mejor lugar para adquirir conocimientos sobre cómo gestionar un
proyecto es del Project Management Institute (PMI), o uno de sus capítulos en 170 países. Para el PMI,
proyecto agement hombre- consiste en la comprensión de unos 45 procesos que se requieren para el
éxito-totalmente la gestión de proyectos. procesos ESE consisten en ?? cinco grupos de procesos básicos y
nueve áreas de conocimiento (ver Figura 1.14).
E grupos de procesos básicos de ?? definido por el PMI en su publicación, Una guía para la Dirección de
Proyectos del Conocimiento ( Guía del PMBOK®; 3ª edición, p. 41), son los siguientes:
Procesos de Iniciación Grupo: De ?? define y autoriza el proyecto o una fase del proyecto
Planificación de Grupo de Procesos: De ?? nes y re ?? objetivos nes y planifica el curso
de acción necesarias para alcanzar los objetivos y el alcance que el proyecto se llevó a cabo a la
dirección
Procesos de Ejecución Grupo: Se integra personas y otros recursos para llevar a cabo
el plan de gestión de proyectos para el proyecto

Procesos PM Áreas de conocimiento
iniciar
Integración
Planificación
Gestión del Alcance del Proyecto Gestión de la
Ejecución Proyecto de Gestión de Proyecto Gestión del Tiempo
seguimiento de Riesgos del Proyecto de Gestión de Calidad Costo del

Control y
Adquisiciones del Proyecto Proyecto de Gestión de
las Comunicaciones del Proyecto de Gestión de las

Clausura
Proyecto de Gestión de Recursos Humanos Gestión de
Figura 1.14 PMI cuerpo de conocimientos.
El seguimiento y control de procesos Grupo: Regularmente medidas y monitores

progreso para identificar las variaciones respecto del plan de gestión de proyectos de manera que se pueden tomar
acciones cuando sea necesario correctiva para cumplir con los objetivos del proyecto
Cierre de grupo de proceso: Formaliza la aceptación del producto, servicio o resultado

y trae el proyecto o una fase del proyecto a su fin ordenada
Tenga en cuenta que los grupos anteriores son similares a los otros ciclos de seguridad utilizando di © ER- nombres ent
pero funciones muy similares (ver Figura 1.15).
Como puede verse en la figura 1.14, las nueve áreas de conocimiento tienen procesos que son acerca de la
administración ?? especí c elementos funcionales clave, algunos de los cuales se identificaron ?? en ciclos de seguridad
anteriores. Alcance, la calidad y la gestión del riesgo son las zonas que son muy similares. Otros relacionados con los
costes de gestión, tiempo, personal, adquisiciones y las comunicaciones entre grupos son áreas en las que las habilidades
de gestión exitosas podrían apoyar en gran medida las distintas acciones que deben ser administrados en cualquiera de los
ciclos de desarrollo y de seguridad discutido previamente.
E éxito de ISSMPs puede depender de qué tan bien entienden los mayores de 45 procesos, porque este
conocimiento les permitirá gestionar proyectos y trabajar con los directores de proyectos más e caz ©. ISSMPs
busca pasar a las posiciones de alta dirección debería considerar seriamente convertirse en un certificado ?? Ed
Project Management Professional.
OBJETIVOS DE SEGURIDAD PARA profesional son:
Proporcionar la seguridad del sistema basado en el riesgo.
Recomendar costo-e de seguridad © caz. Implementar
seguridad práctica y aceptable.

OBJETIVOS DE SEGURIDAD DE PROFESIONAL NO SON:
Asumir riesgos.
Construir un sistema 100% seguro. Tiene el mayor

presupuesto o sta © posible. Implementar las soluciones
más técnicas.
PM, desarrollo y la seguridad Ciclos
Procesos PM SDLC RMF Genérico
iniciar Iniciación Sistema categorizar Iniciación
Adquisición de
Planificación La verificación
desarrollo implementar controles
evaluar los controles

ejecutar Implementación Aprobación
autorizar Sistema
el control y la Operación y
Mantenimiento
Supervisión mantenimiento
controles del monitor
disposición
Clausura Disposición
disposición
Figura 1.15 Comparación de Ciclo.
En recursos ?? uir es una habilidad que se requiere para cada ISSMP, porque todos los programas de seguridad deben
tener fondos para operar. La comprensión del proceso para la obtención de los fondos necesarios para cubrir las necesidades
actuales de seguridad (es decir, personal, infraestructura, servicios, especialistas, materiales de construcción, formación y
educación, etc.), las iniciativas y las situaciones de emergencia es muy importante. Pareciendo muy complejo en primera ??,
los procesos son fáciles de aprender, y este proceso de aprendizaje pueden proporcionar una ventaja para el ISSMP si
manipulan de forma correcta. De todas las personas de una organización, las personas que controlan o contribuyen al proceso
de presupuesto de la organización son los mas importantes a la ISSMP, porque tienen algo que decir grande que lo que se
financiado y no lo hace.
Se recomienda que el ISSMP consulte al técnico de presupuesto y solicitar un tutorial sobre

cómo el presupuesto y la ejecución de los fondos se llevan a cabo en la organización. iniciativa se
sirve a dos propósitos: proporciona una comprensión del proceso y el horario y establece una
relación de cooperación con estos individuos ential in²u-. Es muy importante, debido a que estos
individuos proporcionarán formatos e información que hará que el ISSMP éxito.

Básicamente, el proceso de financiación tiene cuatro fases: planificación, programación, presupuestación y ejecución. E
siguiente proporciona una visión general de cada una de estas fases:
Fase de planeamiento: Durante esta fase, la alta dirección identificó ?? ca el orga-

las estrategias de zación, metas y objetivos para el futuro. Dependiendo de la organi zación, esta proyección
puede ser desde 2 a 10 años fuera. ESE proyecciones son el resultado de cambios en las leyes y
reglamentos, las tendencias de negocios, análisis de mercado, el crecimiento y ?? proyecciones financieras, y
así sucesivamente. El uso de estos, el hombre orientación cuestiones agement senior (incluyendo los
objetivos futuros, objetivos, prioridades, estrategias lazos, etc.) a los gerentes de la organización, para que
puedan identificar lo que tienen que hacer en el futuro para apoyar el logro exitoso de los objetivos futuros y
objetivos.
Fase de programación: En la fase de programación, los gerentes funcionales opinión

alternativas de ampliación o reducción de los proyectos y programas existentes o desarrollar nuevas
iniciativas de apoyo a la orientación de la administración superior. ción manage- alto revisará estas
alternativas y determinar cuáles tienen el mejor potencial de éxito y que son los más costo e © caz.
OBJETIVO E de esta fase es algún tipo de programa de una decisión de la alta dirección.
Fase de presupuestos: fase presupuestos E es donde los gerentes funcionales

desarrollar estimaciones presupuestarias detalladas para los cambios aprobados en el memorando de decisión.
el personal de presupuesto E revisarán estas estimaciones presupuestarias para exactitud, integridad y el
cumplimiento del memorando de decisión. La alta dirección resuelve cualquier problema y promulga una
decisión sobre el presupuesto.
Fase de ejecución: Con la decisión sobre el presupuesto, la alta dirección asigna de fondos
ing a los gerentes funcionales para financiar los programas aprobados. Por lo general las asignaciones de fondos de
asistencia e © Orts de un año, pero a veces la financiación es compatible con una fase ?? específico de un proyecto.
E presupuesto incluye fondos para nel persona-, servicios públicos, instalaciones, servicios, materiales, publicidad,
infraestructura, y así sucesivamente, por tanto los costes directos e indirectos.
Figura 1.16 ilustra la temporización, las interacciones de la organización, y los resultados de cada fase. E especí
?? c tiempo requerido para llevar a cabo cada fase es totalmente dependiente de la organización. En algunas
organizaciones, una fase puede tomar un año, y en otros, semanas o días. E Tamaño de la organización, la diversidad
geográfica de la gestión, la complejidad del entorno empresarial, el nivel de exigencias competitivas, ²uidity del
mercado, y así sucesivamente, puede tener un gran impacto en cuánto tiempo y qué tan rápido se mueve el proceso.
Es por ello que es ISSMPs deben tomar conciencia de su especificidad ?? c orga- nización del proceso de financiación
de los individuos que controlan el proceso de presupuesto.
Una vez que se entiende el proceso, el ISSMP puede anticipar las solicitudes de presupuesto en apoyo del
proceso y llegar a ser muy sensibles a las acciones de gestión relacionados. Se recomienda que el ISSMP solicitar la
revisión del presupuesto individual y com- ción en las entradas antes de que se solicitan las entradas para asegurarse
de que las entradas son correctas y demostrar conocimiento del proceso. Además, determinar el momento en que
financian comentarios se producen durante la fase de ejecución, ya que esta es una oportunidad para

Metas, objetivos, estrategias ....

Gerencia
Fase de planeamiento
senior
....
cisiones
ntas, de
Dirección n, Pregu
Revisió
...
s.
ne
isio
Fase de programación ec
s,d
nta
gu
Pre
cias,
Decisión del n,
isió
n
..
programa
Re
ugere
..
nes
nes S
acio
s,
Fase de presupuestos
a
i fi c
ti v
yeccio
na
Mod
er
alt
s, Pro
.
s,
do…
.
ión,
...
presupuestaria
bio
ima
es
Asignación
est
ervis
am
encia
ion
e Decisión
ost
sc
ac
C Financiación
fi c
Sup
Lo
Tend
sti
Ju
Contratar, adquirir, ... Contrato. Fase ejecutar

Los gerentes
funcionales
Cronología
Figura 1.16 Planificación, programación, presupuesto, y el ciclo de ejecución.
identificar la necesidad de ahorro de financiación o resaltar adicionales iniciadas por el ISSMP. Un ejemplo de esto
está en el gobierno, cuyo objetivo es pasar todos los fondos asignados en el año fiscal ?? (1 de octubre a 30 de
septiembre), por lo que las organizaciones gubernamentales llevar a cabo un análisis de medio año en la primavera y
la financiación del contrato se aceleren en al final del verano. ISSMPs debe aprovechar estos tiempos de obtener
recursos para las mejoras financiadas. En el sector comercial, ISSMPs debe buscar momentos de entradas grandes en
efectivo a la empresa, por ejemplo, al final de cada trimestre, cuando se recibe un cheque grande de renovación de
contratos de los clientes. Cada organización es di © Erent. Sin embargo, la información puede ser adquirida por el
presupuesto o el personal ?? financieros.
Un comentario final ?? en la obtención de recursos: financiación es casi siempre disponible para las propuestas que
tienen un impacto importante en la reducción del riesgo o el aumento ?? ts pro, pero el ISSMP debe ser creíble y tienen una
fuerte justificación ?? cación para ganar ellos.
La venta de la alta dirección en la aprobación de una solución para un problema de seguridad es uno de los trabajos
más difíciles que un ISSMP tendrá que hacer. Para mucha gente, la venta no es fácil por muchas razones: están pidiendo
dinero; que tienen que dar una presentación; que ?? nd di que «culto a escribir una justificación ?? cación o determinar el
retorno de la inversión; el público hará preguntas; y muchos otros.
Sobre la base de los conceptos presentados en la jerarquía de las necesidades y las Leyes de las Organizaciones,
ISSMPs necesitará construir una estrategia para vender a su especificidad ?? c alta dirección. Una regla fundamental en
venta es que hay que vender en las necesidades del comprador, no las necesidades del vendedor. Al igual que las
organizaciones, las personas de la organización son di © Erent, por lo que el ISSMP tendrá que entender las necesidades
del jefe, jefe del jefe, la Junta, y cualquier otra persona que in²uences decisiones de compra. cationes y presentaciones
Justi ?? necesitan seguir el enfoque 0-5 a la venta, sobre la base de las técnicas de venta que se presentan en el libro SABER
Riesgo de Cyber: mediante la gestión de su seguridad de TI

Prácticas de gestión de seguridad de la empresa • sesenta y cinco
(. James P. Litchko, Al Payne SABER Book Publishing, Kensington, MD © 2004). Tabla 1.6 proporciona
los detalles de este enfoque.
enfoque e es igual que la seguridad: sencillo, práctico, y e «ciente. Nótese cómo el enfoque utiliza las
leyes de la Organización:
Los altos directivos son responsables de tomar decisiones, a fin de darles opciones y recomendaciones. Los altos
directivos tienen un tiempo limitado, a fin de darles una página y ?? cinco minutos
presentaciones.
E más arriba en la organización de las más recursos; por lo tanto, también conocer la
el jefe del jefe.
Por lo general, los nuevos tienen ISSMPs di «cultades con la aplicación del enfoque debido a los siguientes motivos de
preocupación 0-5:
¿Cómo puedo presentar todo en cuestión de minutos ¤ve? E mayoría de los hombre-alto
gerentes no son técnicos y ellos son todos acerca de la toma de decisiones. EY apreciarán el
hecho de que usted entiende y respetar el tiempo que te han dado. darles los fundamentos, y si
tienen preguntas que harán. E presentador quiere que se haga preguntas, porque consigue que
se involucren con el problema y la solución, dándoles la sensación de ser dueño de la solución.
¿Cómo puedo presentar todo en una sola página? cationes Justi ?? para adicional
los recursos deben ser no más de una página, de nuevo debido a los altos directivos no tienen un montón de tiempo.
Siempre que sea posible base de la justificación ?? cación de las necesidades de la misión o de negocios.
¿Dónde consigo el formato de un localizador? Obtener el formato de la Nan ??

ciales personal o presupuesto. Recuerde, ellos son los que va a obtener la aprobación para cambiar
la asignación de los fondos, ¿por qué no utilizar su formato y ahorrar tiempo todo el mundo?
¿Cómo sé cuáles son las necesidades y objetivos de la audiencia son? E mejor manera es hablar
a la asistente ejecutiva saber quién va a estar en la reunión y cuáles son sus orígenes y funciones son. Hacer
una búsqueda en Internet y leer artículos sobre ellos, pre sentaciones y documentos de ellos, y así
sucesivamente. Además, pregunte al Nance ?? o el personal de presupuesto y su mentor para el consejo.
Mucha gente piensa que la forma de vender a la alta dirección es presentar un sólido retorno de la inversión
(ROI), pero recuerda la jerarquía de necesidades de Maslow. Algunas personas son más impulsados por
necesidades distintas de retorno de la inversión; a veces tener éxito y ser reconocido por sus pares en una
conferencia o en un artículo es lo que los impulsa-estima. O aún sabiendo que no van a tener problemas con
sus evaluadores, la Junta, o su jefe es su objetivo con la seguridad. Recuerde, todo el mundo es di © Erent,
presente a todo el público, y no todos los problemas que tenga que tener un componente retorno de la
inversión.
¿Cómo puedo ¤nd un mentor? Se recomienda que cuando se está seleccionando un men-
tor siempre elegir a alguien que es positivo y exitoso en la organización y no siempre de
acuerdo con usted, porque usted quiere a alguien que será un desafío y dar una opinión
sincera.

E ISSMP tiene la responsabilidad de asegurar que la administración es consciente de los riesgos que afectan
a la organización en el cumplimiento de la misión o tener éxito en negocios, así como proporcionarles opciones y
recomendaciones para reducir los riesgos. E acciones tomadas por el ISSMP relacionada con ambos ganando los
recursos de seguridad de la información y la educación de manera proactiva y mantener un nivel cons- tante de la
conciencia para la seguridad de la información para todos los empleados de la organiza- ción puede ser
mutuamente bene ?? cial.
La conciencia de la seguridad, Educación y Formación
Antes de hablar de la conciencia, la educación y la formación, la ISSMP necesita entender las di ©

erences entre cada uno, ya que a menudo se confunden. NIST SP 800-50 proporciona las definiciones
siguientes ??:
Conciencia: Un proceso de aprendizaje que prepara el escenario para la formación cambiando indicación
vidual y actitudes organizacionales para darse cuenta de la importancia de la seguridad y las consecuencias
adversas de su fracaso.
Educación: la educación de seguridad de TI se centra en el desarrollo de la capacidad y la visión para
realizar complejas, las actividades multidisciplinares y las habilidades necesarias para mejorar la profesión de
seguridad de TI. Las actividades de educación incluyen la investigación y el desarrollo de seguir el ritmo de los
cambios tecnológicos y las amenazas.
Formación: Enseñar a las personas los conocimientos y habilidades que les permitan
realizar su trabajo más e caz ©. (Fuente: NIST SP 800-16, Requisitos de formación Tecnología de la
Información de Seguridad: Un roles y basado en los resultados del modelo, Apéndice C, Glosario,
Mark Wilson, Dorothea E. de Zafra, Sadie I. Lanzador, John D. Tressler, y John B. Ippolito, abril de
1998)
Así, por estos Definiciones ??, la conciencia es para todos los empleados, la formación es para las personas que utilizan
los sistemas de información, y la educación es para los profesionales de seguridad de la información. Es importante reconocer
porque afecta el objetivo y la especificidad de cada ciudad ??, por lo que el ISSMP puede adaptar los programas para cada
grupo. Por ejemplo, en relación con los virus:
Conciencia: Todos los empleados no tienen que entender cómo funcionan los virus, sólo cómo
que pueden ayudar a prevenir traer los virus en el sistema y lo que los sín- tomas son, para que
puedan reconocer cuando tienen uno ya quién informar de ello.
Formación: El personal del sistema de información necesitan conciencia de seguridad, así como
formación sobre cómo instalar, actualizar y mantener contramedidas antivirus y cómo responder a los
ataques de virus.
Educación: profesionales de la seguridad de la información necesitan tanto la conciencia como
la formación y el conocimiento de cómo funcionan los diferentes virus, las tendencias, termeasures Con-, opciones de
recuperación, recursos, y así sucesivamente.

Cada empleado tiene una profundidad Erent di © del conocimiento por lo que el empleado puede hacer su trabajo
sobre la base de sus funciones en la organización. Proporcionar un individuo con más de lo que se necesita sería ine ©
caz, costoso y contraproducente (es decir, un exceso de información puede resultar en que el individuo se aburran y
falta la instrucción de que realmente se necesita para apoyar las necesidades de seguridad de la información). Además,
los temas tratados tienen que ser relevantes para el sistema de información, ya que proporciona información de
seguridad sobre la seguridad en Internet y un ordenador portátil es innecesaria cuando un sistema de información no
está conectado a Internet o no utiliza los ordenadores portátiles. Por lo que el ISSMP debe identificar con mucho
cuidado exactamente qué nivel de sensibilización, formación, y se requiere la educación de todos los niveles de
empleados.
programa de sensibilización E debe incluir a todos, desde las instalaciones del trabajador con el presidente
de la junta. De hecho, el programa debe destacar el apoyo visible desde el alto ejecutivo de demostrar el énfasis
de la alta dirección y ment fomentados para todos los empleados para apoyar la seguridad e © Orts de la
organización.
E ISSMP tiene que utilizar todas las herramientas disponibles para aprovechar el correo © cacia de la sensibilización, la
formación, la educación y el programa de la organización. Un enfoque consiste en utilizar los resultados de las fases del ciclo
de seguridad de la información previamente discutidos (ver Figura 1.11). Lo que sigue es la forma en que se pueden utilizar
para adaptar y proporcionar insumos para el programa:
Fase de iniciación: En esta fase la misión, metas y objetivos, com- sistema

PIEZA, los límites, las conexiones, las amenazas, vulnerabilidades y los roles y responsabilidades de los empleados
se identifican ?? ed, proporcionando toda la línea de fondo perfecto para la adaptación de lo que se necesita para
cada nivel e identificar el contenido.
Veri¤cation y aprobación Fases: ESE fases identifican y aprueban lo

Se requieren controles para apoyar la seguridad del sistema de información, la identificación de todas las áreas de
conocimiento que deben ser cubiertos en los programas de educación ING y TREN de la organización.
Fase de mantenimiento: Durante la fase de mantenimiento, las pruebas, la exploración, audit-
ING, hacer ejercicio y seguimiento de los resultados de operaciones sobre el estado y e © ective- Ness de la
seguridad del sistema de información se identi ?? ed. ESE resultados identificarán de ?? deficiencias y las
frecuencias de los incidentes que se pueden utilizar para apoyar la conciencia e © Orts con ejemplos o identificar
áreas en las que es necesario un mayor énfasis. EY también se puede utilizar para hacer modi ?? cationes a la
formación y planes de estudios edu- cación para asegurar apoyo a los cambios en los procedimientos y
conocimientos adicionales de nuevos controles y amenazas crecientes.
Fase de eliminación: En esta fase, el aumento de la sensibilización y la formación será necesario
llevará a cabo para evitar que el compromiso de la información, debido a la complacencia y la falta de conocimiento de
cómo desinfectar información de diversas formas de medios de comunicación. Las buenas intenciones (como la
donación de computadoras a escuelas u organizaciones sin ánimo de lucro ?? t, o la venta de componentes de la
chatarra) conducen a la posibilidad de que la información sensible prometedora com-.

Se requieren sensibilización, la formación y la educación a lo largo de todo el ciclo de la seguridad informa- ción para
aumentar la seguridad de que todos los controles están funcionando correctamente en todo momento. Además, muchas de las
acciones descritas anteriormente se pueden utilizar para garantizar que las acciones relacionadas con estas tres áreas están
dirigidos con precisión para apoyar las necesidades del sistema y entorno de las amenazas ya que ambos evolucionan.
Conciencia es uno de los más clave de los tres, porque las acciones de sensibilización proporcionan conocimientos
y ayudar a las personas en la primera línea ?? en la defensa para poder con- conducto de ellos apropiadamente,
vigilando la situación en el lugar de trabajo, y reportar actividades sospechosas. ERE son muchos métodos para
aumentar la conciencia de los empleados. E después de haber tenido un gran éxito:
Gerencia senior: Los empleados sigan el ejemplo de la alta dirección, por lo

la administración debe demostrar visualmente que apoyan y seguir los controles de seguridad infor- mación. Es un
medio para aumentar la visibilidad de los gerentes, clientes, socios, proveedores, supervisores, los sistemas, los
operadores, los protectores y los trabajadores de mantenimiento, no sólo a los usuarios. E siguientes son métodos
de gestión puede utilizarse para hacer visible la seguridad:
Haciendo la seguridad de la información ?? sujeto primera en cualquier reunión general
agendas
Discutir los éxitos de seguridad y los cambios en la organización “reuniones de la ciudad” que requieren
cláusulas de control de seguridad que debe incluirse en todos los contratos carteles con mayor que presenta la
gestión
recompensar a las personas para informar sobre los problemas de seguridad o dar sugerencias Solicitud de
entradas de grupo sobre las opciones para las iniciativas de seguridad
Promoción: En la comercialización, la frecuencia y la diversidad de la publicidad es la clave para
aumentar el conocimiento del producto. Información de responsabilidad y las acciones de seguridad deben ser
presentados con frecuencia y en una variedad de maneras de asegurar que las ees employ- mantienen un nivel
de conciencia. E siguientes son métodos para mantener esa conciencia, pero la clave es que tienen que cambiar
de manera frecuente: si no, pueden representar la falta de interés de la organización:
banderas de sensibilización de seguridad a los usuarios antes de iniciar la sesión en los ordenadores. Sorteos:
botones, servilletas, bolígrafos, juguetes estrés, postales, cupones, y
así sucesivamente.
Carteles o exposiciones en las zonas comunes.
Libres de 30 minutos para llevar bolsa marrón con el portador de la presentación de los temas
que apoyan las necesidades personales de los empleados y subliminal promover las políticas de
seguridad de la organización. Ejercicios relacionados con los incidentes de seguridad.
Encuestas, a menudo se realizan por la alta dirección, la petición de evaluar el

el estado de la seguridad o solicitar a los problemas de seguridad o sugerencias.

Cuando un empleado se va alrededor de un control de seguridad (es decir, débil contraseña,
hojas de información sensible a la luz, deja una puerta abierta a un lugar seguro, etc.),
seguridad proporciona la orientación de los empleados sobre el comportamiento de seguridad
piado appro- y NotI ?? ca el empleado que si hay una repetición del incidente el empleado tener
que explicar sus acciones a un gerente de nivel ejecutivo (es decir, CEO, CFO, COO, OSC,
etc.).
presentaciones: Antes de dar cualquier acceso de los empleados a cualquier sistema de información o
instalación, el empleado debe completar un curso de adoctrinamiento seguridad de la organización, que Verí ?? ES
que un nivel de entendimiento ha sido adquirida por el empleado. Las presentaciones pueden ser proporcionados en
múltiples formas, tales como conferencias de un valor o «cial y la formación basada en ordenador. Las
presentaciones se pueden hacer más e caz © mediante la incorporación de los incidentes que se produjeron en la
organización.
Educación para los profesionales de la seguridad es muy importante. E ISSMP debe asegurarse de que los empleados
están ambos formados y conscientes de sus responsabilidades relacionadas con el fin de • asegurar que la seguridad de la
información se mantiene en la organización. Aprovechando las salidas de otras acciones de seguridad aumentará el correo
© cacia y e «ciencia de estas acciones. Además, ISSMPs no debe descuidar la educación de la seguridad de los miembros
del equipo de seguridad y de ellos mismos. Muchas organizaciones están exigiendo Var- profesionales ious para convertirse
en cado ?? Ed en su área de especialización y para mantener la certificación ?? cación como un requisito para el empleo.
Otras compañías también están exigiendo a sus profesionales para obtener un nuevo certificado ?? cación cada año para
conservar un empleo ya sea calificado ?? ed para la próxima promoción, bono, o subir.
Resumen del capítulo
Conceptos, procesos, ciclos, marcos, estrategias y terminologías para asegurar, desarrollo,

gestión, presupuestos, asignación de recursos, y que permitan tomar conciencia han sido
proporcionados en este capítulo. Aunque llamado algo di © Erent y procedentes de profesiones
Erent di ©, muchos de ellos siguen la misma lógica y formatos y procesos genéricos. A pesar
de que se han desarrollado para apoyar los objetivos profesionales di © Erent, debido a sus
similitudes del ISSMP debe ver cómo convenientemente se puede trabajar en paralelo para
apoyar las metas y objetivos de la ISSMP. Aún más, sus acciones pueden aumentar o sustituir
las acciones de cooperación y hacer más e © Orts e «ciente que si se hace por separado.
Además, ISSMPs con este conocimiento será capaz de relacionarse con las necesidades y los
ejecutivos de sus contrapartes más solicitudes e © caz y responsable.

Preguntas de revisión
1. Misión de las declaraciones

a. Son no técnico en la naturaleza, por lo ISSMPs no tienen que entenderlos
segundo. Se puso rápidamente en conjunto por la alta dirección
do. Proporcionar todos los miembros de la dirección general de la organización y el enfoque de sus actividades
re. Son muy especí ?? C y proporcionar metas y objetivos específicos ??
2. ¿Qué tipos de organizaciones necesitan tener una declaración de misión formalmente documentado?
a. Las empresas comerciales

segundo. organizaciones sin ánimo de lucro t ??
do. Agencias gubernamentales
re. Todo lo anterior

3. La implementación de las soluciones de seguridad de Internet que sean aceptables para los clientes requiere el
conocimiento del cliente
a. Las expectativas y la ubicación

segundo. Localización y conocimientos técnicos
do. capacidades y expectativas del sistema

re. Expectativa y conocimientos técnicos
4. Todas las soluciones de seguridad de las organizaciones están in²uenced por el siguiente:
a. Leyes, la cultura de los empleados, pro ?? t, y la competencia
segundo. Objetivos, las expectativas del cliente, regulaciones y pro t ??
do. las expectativas del grupo y del cliente y capacidades de competencia
re. Pro ?? t, objetivos de la organización, las capacidades del cliente, y la alta dirección
5. Las soluciones de seguridad de un sistema debe ser
a. Costo e © reflexivo basado en el riesgo, y aceptable
segundo. Riesgos basada y dentro de las restricciones presupuestarias división
do. Práctico y 95% e © caz

re. Aceptable por la alta gestión y proporcionar un retorno de la inversión
6. Un especí ?? pieza c de nivel de información de clasificación ?? catión depende

a. Necesito saber
segundo. Costo de producción de la información
do. Impacto si comprometida

re. Un © ordability de seguridad requerido
7. Sistema de límite de seguridad se debe determinar sobre la base de principios de todos, pero el siguiente.
a. La comprensión de la misión, metas y objetivos

segundo. La coordinación de la revisión con los usuarios finales
do. Identificar los componentes del sistema que apoyan cada una de las funciones de la empresa
re. La determinación de quién es operacionalmente y ?? Scally responsable del sistema

8. Límite de seguridad es importante para establecer

a. ¿Quién va a hacer la certi cación e ?? © ORT
segundo. La determinación del alcance de la seguridad del correo © ORT
do. La determinación de los que se aplican las normas y leyes
re. Si el sistema necesitará una conexión a Internet o no

9. Aplicación E Ciclo de Vida de Desarrollo del Sistema de fase incluye
a. La realización de una prueba de seguridad inicial
segundo. La identificación de las soluciones de seguridad
do. La determinación de si la seguridad es aceptable para operar
re. De ?? nir los requisitos de seguridad del sistema

10. El trabajo de E ISSMP es proporcionar soporte de seguridad al final de los cuales fase del ciclo de vida de
desarrollo del sistema?
a. Disposición y eliminación
segundo. Operación y mantenimiento
do. Implementación
re. Iniciación
11. La evaluación de riesgos se realizan en el que las fases del Ciclo de Vida de Desarrollo de Sistemas?
a. Iniciación
segundo. La iniciación y ejecución
do. Aplicación y disposición y eliminación
re. Iniciación, implementación y Operaciones y Mantenimiento
12. ¿Quién establece los estándares de seguridad de la información para el sector público?
a. Agencia Nacional de Seguridad (NSA)

segundo. Organización Internacional de Normalización (ISO)
do. Instituto Nacional de Estándares y Tecnología (NIST)
re. Comisión Electrotécnica Internacional (IEC)
13. Las familias de los controles se identifican ?? ed en cual de los siguientes documentos?
a. NIST Special Publication 800-53

segundo. ISO 27002
do. DODI-8500.2
14. E ISSMP decide entre usar Assessment riesgo cuantitativo y cualitativo basado en
a. E proceso presupuestario
segundo. ¨reats
do. vulnerabilidades
re. Gestión de los procesos de toma
15. Garantías son aquellas actividades que permita la gestión con lo que acerca de las soluciones de seguridad?
a. Debida diligencia
segundo. Proteccion

do. Costo e © cacia

re. ROI
16. Cuál de las siguientes proporciona una medida de qué tan bien el proceso de una organización
incluye la capacidad de mejora continua de sus procesos?
a. Los criterios comunes de evaluación y validación Esquema
segundo. OCTAVA
do. Modelo de Madurez de Capacidad del Software Engineering Institute

re. Comúnmente aceptada prácticas y normativa de seguridad
17. Las interconexiones con otros sistemas fuera de los límites de seguridad del sistema pueden tener los siguientes
correos © ECTS en un sistema:
a. El aumento de las dependencias de apoyo a los requisitos de seguridad del otro sistema
segundo. Obligación de notificar cuando se produce un evento de seguridad en su sistema
do. Obligación de informar al otro sistema cuando los cortes se van a producir
18. expectativa de pérdida anual y ROI se expresan en las siguientes unidades:
a. Moneda y porcentaje
segundo. Porcentaje y nivel de riesgo
do. Costo de la seguridad y el porcentaje

re. Porcentuales y ahorro de costes
19. Plan de Acciones e hitos (POA & M) es
a. Un plan de seguridad
segundo. Una herramienta de gestión
do. Una lista de todas las soluciones de seguridad de los sistemas
re. Una lista de acciones para la seguridad de la vigilancia durante la fase de ejecución
20. E presentación ideal para los altos directivos, que deben seguir las reglas siguientes?
a. justi 20 páginas ?? catión

segundo. cinco diapositivas
do. Responder a todas las preguntas que la audiencia podría pedir
re. Se presentará en cinco minutos ??

referencias
3 Capítulo 3: supervisar el cumplimiento de las operaciones

de seguridad
DOE-NE-STD-1004/92, Departamento de Energía de la directriz análisis de

causa Documento Guía, febrero de 1992 (estándar es actualmente inactivo,
pero todavía útil).
ISO 15489: 2001 Información y Documentación-administración de registros, 15

de septiembre de 2001.
NIST SP 800-53 Rev. 3, los controles de seguridad recomendados para Sistemas de

Información Federal y organizaciones, Agosto
2009.
Reichl, Peter y Wolfgang Haidegger, e Módulo de Evaluación de cúmulos como

mecanismo general de SLA Evaluación de los Servicios de Telecomunicaciones,
Telecomunicaciones Centro de Investigación (FTW), Viena, 2004.
Willett, Keith D., Arquitectura de Información de Garantía, Auerbach

Publications, junio de 2008.

Preview (1) .En - Es

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Preview (1) .En - Es

Transféré par

Droits d'auteur :

Formats disponibles

e

El compendio más completo de conocimiento de la industria compilado por los principales

Editado por Harold F. Tipton, CISSP-ISSAP, ISSMP

UN LIBRO AU ERB ACH

Oficial (ISC) 2® Guía de la ISSMP ® CBK ®

Oficial (ISC) 2® Guía para la SSCP ® CBK ®, Segunda edicion

Oficial (ISC) 2® Guía de la ISSAP ® CBK ®

Oficial (ISC) 2® Guía de la ISSMP ® CBK ®

Oficial (ISC) 2® Guía de la CISSP ® CBK ®, Segunda edicion

Liderazgo CISO: Principios esenciales para el éxito

Construcción e implementación de una certificación de seguridad y el Programa de Acreditación:

Patrick D. Howard ISBN:

Oficial (ISC) 2® Guía de la CISSP ®- ISSEP ® CBK ®

© 2011 por Taylor y Francis Group, LLC

International Standard Book Number-13: 978-1-4200-9444-2 (Ebook-PDF)

Visita el sitio web de Taylor & Francis en

Editor ................................................. .................................................. ......... vii colaboradores

....................................... .................................................. .......... ix Prólogo ......................................

.................................................. ................ xi Introducción ................................

.................................................. .............. xiii

1 Prácticas de gestión de seguridad de la empresa ............................................ 1

2 Sistemas de seguridad en toda la empresa Desarrollo .................................. 73

3 Supervisar el cumplimiento de las operaciones de seguridad ................................ 129

4 La comprensión de Business Continuity Planning (BCP), Desastres

5 Ley de Investigación, Forense y Ética ........................................... 339

Apéndice: Respuestas a las preguntas de repaso ............................................ ....... 407

Hal Tipton, Actualmente es consultor independiente, es un ex presidente de la Internacional de Sistema de

Tipton ha sido miembro de la Asociación de Sistemas de Información de Seguridad (ISSA) desde

Ha dirigido o participado en seminarios de seguridad de la información de (ISC) 2,

© 2011 por Taylor & Francis Group, LLC

comunidades de prueba y de seguridad.

© 2011 por Taylor & Francis Group, LLC

gerentes y ejecutivos de seguridad de la información se encargan de garantizar que la información de propiedad

E ?? Certificación de Sistemas de Información de Seguridad ed-Información Profesional Sistema de Seguridad

Management Professional (CISSP-ISSMP) evalúa la comprensión de un individuo de prácticas de gestión de la seguridad, la

Como líder mundial reconocido en el campo de la educación ?? seguridad de la información y la certi

W. Hord Tipton, CISSP-ISSEP, PAC

© 2011 por Taylor & Francis Group, LLC

(ISC) 2 'S certificado de gestión de seguridad de la información ?? cationes CISSP-ISSMP-es una

Los temas tratados en el dominio prácticas de gestión de la empresa de seguridad incluyen:

• gobierno de la empresa (Misión / Metas y Objetivos / Cultura / Negocios

- clasificación de datos ?? catiónico (Sensibilidad / criticidad / Zonas de Control)

- marco de seguridad (Política / Normas / directrices / Procedimientos / líneas de base)

• los roles y responsabilidades de seguridad (de presupuesto / retorno de la inversión de seguridad /

Madurez Programa de Seguridad / Gestión de Proyectos / Propiedad)

• la seguridad SDLC (Proyecto de Riesgo / Seguridad Diseñado en / Proyecto elemento de seguridad)

Los ataques de prueba de datos / información privilegiada)

• catión ?? Certi y acreditación (C & A La ayuda de proceso)

E temas tratados en el Cumplimiento Supervisar de Dominio de operaciones de seguridad incluyen:

• problemas de seguridad (operaciones de copias de seguridad / inventario de equipos y Con guración) ??

• Auditoría (Preparación / Respuesta / Archivos de registro)

• Cumplimiento (Control de Acceso / Política / Contratos y Convenios / Software

• Con ?? configuración de gestión (Biblioteca / Patch / Cambio de Control)

Obligaciones reglamentarias, contractuales y / IRD partido Dependencias / Planificación de Sucesión

• El diseño del plan (Respuesta a Emergencias / Noti cación ??)

© 2011 por Taylor & Francis Group, LLC

• leyes de seguridad de la información (licencias / Computer Crime / Propiedad Intelectual /

• Elementos de investigaciones (Manejo y respuesta a incidentes / Evidencia

seguridad de la información para una empresa.

© 2011 por Taylor & Francis Group, LLC

Introducción ................................................. .................................................. ....... 2

Programa de Gestión de Riesgos ............................................... .................................. 35

La conciencia de la seguridad, la educación y la capacitación ........................................... ...... 66