PowerPoint Presentation

1.11.3 El estado deseado Otras aproximacionesEstndares de Calidad ISO (ISO 9001:2000)Six SigmaPublicaciones de NIST y ISFUS Federal Information Security Management Act (FISMA) Copyright 2013 ISACA. Todos los derechos reservados.2Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 53-56

1.11.4 Objetivos de riesgoDebe alcanzar un nivel de riesgo que la gerencia considere aceptable. Un riesgo aceptable definido determinar los objetivos de control u otras medidas de mitigacin del riesgo utilizadas. A su vez, los objetivos de control sern crticos para determinar el tipo, la naturaleza y el alcance de los controles y contramedidas que utilizar la organizacin para administrar el riesgo.Una forma con la que cuenta el administrador de seguridad de la informacin para resolver la cuestin del riesgo aceptable es mediante el desarrollo de Tiempo Objetivo de Recuperacin (RTOs) que indica el tiempo apropiado de intervencin (por ejemplo, durante un apagn).

Copyright 2013 ISACA. Todos los derechos reservados.3Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 56-57

1.11.4 Objetivos de riesgo Desarrollar los objetivos de estrategia correctos:Por lo general requiere de un enfoque iterativoBasado en un anlisis de costos para alcanzar el estado deseado y los niveles de riesgo aceptableLos controles fsicos, de procesos y procedimientos pueden ser ms efectivos y menos costosos. A menudo los riesgos de procesos implican el mayor peligro Los controles tcnicos probablemente no compensan adecuadamente la gestin deficienteCopyright 2013 ISACA. Todos los derechos reservados.4Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 56-57

1.12 Determinacin del estado actual de la seguridadLa determinacin del estado actual de la seguridad de la informacin otra actividad crtica: Las mismas metodologas o la combinacin de stas que se aplic para definir los objetivos de la estrategia o el estado deseado.Copyright 2013 ISACA. Todos los derechos reservados.5Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 571.12.1 Riesgo actualEl estado de riesgo actual se debe determinar mediante una evaluacin integral de riesgosDespus de la Valorizacin del Riesgo, debe ejecutarse una evaluacin/anlisis de impacto al negocio (BIA)Mostrar el impacto de eventos adversos (por ejemplo, apagones) sobre diferentes perodos de tiempo.Arrojar parte de la informacin que se requiere para desarrollar una estrategia eficaz.El objetivo final de seguridad es brindar confianza en el proceso de negocio y minimizar el impacto que puedan ocasionar los incidentes adversos.La estrategia debe resolver la diferencia entre niveles aceptables de impacto y el nivel actual de posibles impactos.

Copyright 2013 ISACA. Todos los derechos reservados.6Directivas para el instructor:La evaluacin del estado actual tambin debe incluir un BIA exhaustivo para ayudar a terminar de conformar la imagen del estado actual. Puesto que el objetivo final de la seguridad es brindar confianza en el proceso de negocio y minimizar el impacto que puedan ocasionar los incidentes adversos, un anlisis de impacto arrojar parte de la informacin que se requiere para desarrollar una estrategia efectiva. La estrategia debe resolver la diferencia entre niveles aceptables de impacto y el nivel actual de posibles impactos.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 57

1.13 Desarrollo de la estrategia de seguridad de la informacinPara moverse del estado actual al estado deseado. Base para elaborar una hoja de ruta. Un conjunto de objetivos de seguridad de la informacin junto con procesos, mtodos, herramientas y tcnicas disponibles proporcionan los medios para elaborar una estrategia de seguridad.

Copyright 2013 ISACA. Todos los derechos reservados.7Directivas para el instructor:Con la informacin tratada en la seccin anterior, se puede desarrollar una estrategia de seguridad significativauna estrategia para ir del estado actual al estado deseado. Saber dnde nos encontramos y hacia dnde nos dirigimos proporciona un punto de partida esencial para el desarrollo de la estrategia; facilita el marco para crear un plan de accin. El plan de accin corresponde esencialmente a los pasos que se deben dar para implementar la estrategia.

Un conjunto de objetivos de seguridad de la informacin junto con procesos, mtodos, herramientas y tcnicas disponibles proporcionan los medios para elaborar una estrategia de seguridad. Una buena estrategia de seguridad debe tratar y mitigar riesgos y al mismo tiempo cumplir con los requerimientos legales, contractuales y regulatorios del negocio, as como brindar un apoyo comprobable a los objetivos de la organizacin y maximizar el valor para aquellos que tengan algn inters en la organizacin. La estrategia de seguridad tambin necesita considerar de qu manera la organizacin va a incluir prcticas sanas de seguridad en cada uno de los procesos y reas de negocio.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 58

1.13.1 Elementos de una estrategiaUna estrategia de seguridad necesita incluir:Recursos necesarios Limitaciones Hoja de ruta:Incluye personas, procesos, tecnologas y otros recursos Una arquitectura de seguridad para definir los impulsores del negocio, las relaciones de recursos y los flujos de procesos Alcanzar el estado deseado ser una meta a largo plazo de una serie de proyectos.

Copyright 2013 ISACA. Todos los derechos reservados.8Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 58

1.13.2 Recursos y limitaciones de la estrategiaVisin generalLos recursos incluyen:PolticasEstndaresProcedimientosGuasArquitectura(s)Controlesfsicos, tcnicos, y procedimentalesContramedidasDefensas en capasTecnologasSeguridad del personalEstructura organizacionalRoles y responsabilidadesHabilidadesCopyright 2013 ISACA. Todos los derechos reservados.9Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 59

CapacitacinConcienciacin y formacinAuditorasExigencia de cumplimientoAnlisis de amenazasAnlisis de vulnerabilidadesEvaluacin de riesgoEvaluacin de impacto al negocioAnlisis de dependencia de recursosProveedores de servicios externosOtros proveedores de soporte y aseguramiento organizacionalInstalacionesSeguridad ambiental1.13.2 Recursos y limitaciones de la estrategiaVisin generalCopyright 2013 ISACA. Todos los derechos reservados.10Directivas para el instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pag. 59