Contenido

Semana 01
Principios de seguridad
Modelo de madurez de seguridad de informacin

Semana 09
Arquitectura de seguridad de la informacin
Controles fsicos y ambientales

Semana 02
Gobierno de seguridad de informacin

Semana 10
Gestin de amenazas y vulnerabilidades

Semana 03
Sistema de Gestin de Seguridad de Informacin
(SGSI)

Semana 11
Gestin de identidades y accesos

Semana 04
Concientizacin de la seguridad

Semana 12
Seguridad de telecomunicaciones y redes

Semana 05
Gestin de riesgos de seguridad de informacin

Semana 13
Seguridad de software

Semana 06
Gestin y respuesta a incidentes

Semana 14
Proteccin y privacidad de la informacin

Semana 07
Gestin de continuidad del negocio

Semana 15
Examen final

Semana 08
Evaluacin parcial

Semana 16
Trabajo final

Luis Otake

Principios de Seguridad
Semana 01

Luis Otake

El perfil ms cotizado

Luis Otake

La sobrecarga de informacin

Luis Otake

Contenido
Principios de seguridad:

La informacin. Caractersticas de la informacin til.

Seguridad informtica vs. seguridad de informacin
Evolucin de la seguridad de informacin
Consecuencias de la falta de seguridad
Principio de defensa en profundidad
El mbito de la seguridad de informacin

Modelo de madurez de la Seguridad de la Informacin

Cyber Program Management (CPM)
Niveles de madurez
Dominios

Luis Otake

La sociedad de la informacin

Luis Otake

La informacin
0 Las personas la necesitan.
0 Es esencial para resolver problemas y tomar de

decisiones.
0 No siempre es til.
0 Debe ser relevante, completa, precisa y actual.
0 Es la sangre de cualquier organizacin.

Luis Otake

Datos vs. Informacin

0 Datos

0 Materia prima en la produccin de

informacin

0 Informacin

0 Hechos o conclusiones que tienen

un significado dentro de un
contexto.

0 Los datos se manipulan mediante

la formacin de tablas, suma, resta,

divisin o cualquier otra operacin
que permita comprender mejor
una situacin.
0 En ocasiones, los datos en un
contexto se consideran
informacin en otro contexto.

Luis Otake

Entrada

Datos

Proceso

Salida

Informacin

Caractersticas de la
informacin til

Relevante

Completa

Precisa

Luis Otake

Actual

Econmica

10

El valor de la informacin

Luis Otake

11

Seguridad Informtica (IT

Security)
0 cualquier medida que impida la ejecucin de

operaciones no autorizadas sobre un sistema o red

informtica, cuyos efectos puedan conllevar daos
sobre la informacin, comprometer su
confidencialidad, autenticidad o integridad,
disminuir el rendimiento de los equipos o bloquear el
acceso de usuarios autorizados al sistema (Gmez
2011).

Luis Otake

12

Seguridad Informtica (IT

Security)
0 Se enfoca en la tecnologa y la provisin de asegurar

los servicios de TI.

0 Conocida tambin como Cibersecurity.
0 Es generalmente llevada a cabo a nivel del CIO.

Luis Otake

13

Seguridad de la Informacin
(Information Security)
0 Medidas adoptadas para evitar el uso no autorizado, el
0
0

0
0

mal uso, la modificacin o la denegacin del uso de

conocimiento, hechos, datos o capacidades.
Preservacin de la confidencialidad, integridad y
disponibilidad de la informacin.
(http://www.iso27000.es/glosario.html)
La seguridad de la informacin no garantiza la seguridad
de su organizacin, de su informacin o de sus sistemas de
cmputo. (Maiwald, 2003)
busca ofrecer una vista holstica de su relacin con
procesos, personas y tecnologas. (Cano, 2011)
La informacin puede encontrarse en diferentes medios o
formas, y no solo en medios informticos.
Luis Otake

14

Information Security vs. IT

Security

http://www.seguridadparatodos.es/2011/10/seguridad-informatica-o-seguridad-de-la.html

Luis Otake

15

Seguridad de la informacin
vs. Ciberseguridad

Luis Otake

16

El contexto de la seguridad de
informacin

(Gelbstein, 2012)

Luis Otake

17

Evolucin de la Seguridad de
Informacin

Luis Otake

18

Cul es el eslabn ms dbil

de la seguridad?

Luis Otake

19

Consecuencias de la falta de
seguridad

Luis Otake

20

Consecuencias de la falta de
seguridad
0 Algunas cuestiones:
0 qu puede ir mal?
0 con qu frecuencia puede ocurrir?
0 cules seran sus consecuencias para la organizacin?

Luis Otake

21

Consecuencias de la falta de
seguridad
0 El objetivo es lograr que un ataque contra los

recursos o la informacin protegida tenga un coste

superior para el atacante que el valor en el mercado
de estos bienes. (Gmez, 2011)

Luis Otake

22

Consecuencias de la falta de
seguridad
0 Horas de trabajo invertidas en reparaciones y
0

0
0
0
0
0
0

reconfiguracin.
Prdidas por indisponibilidad, costo de oportunidad por
no poder utilizar los recursos.
Robo de informacin confidencial.
Filtracin de datos personales (LPDP).
Impacto en la imagen de la empresa (credibilidad,
reputacin, confianza).
Retrasos en los procesos de negocio.
Daos a la salud, prdidas de vidas humanas.
Pago de indemnizaciones por daos y perjuicios a terceros.
Luis Otake

23

Principio de Defensa en
Profundidad
E

A. Encriptacin de
datos sensibles
B. Gestin de usuarios
C. Configuracin
robusta de equipos
D. Separacin de redes
(segmentacin de
LAN, creacin de
VLAN)
E. Seguridad
perimetral

D
C
B
A

Adaptado de Gomez (2011)

Luis Otake

24

El mbito de la seguridad de
informacin
Aplica tambin para las pequeas y
medianas empresas?

Luis Otake

25

Modelo de Madurez de la
Seguridad de Informacin
0 EYs Cyber Program Management (CPM) Framework
0 Niveles de madurez
0 Dominios

Luis Otake

26

EYs Cyber Program

Management (CPM) Framework
0 Es un framework para los procesos, personas y tecnologa

0
0
0

que una organizacin utiliza para establecer, implementar,

operar, monitorear, revisar, mantener y mejorar un programa
de seguridad dentro del contexto de los objetivos y
actividades de negocio de toda la organizacin.
Enfoque holstico.
Se basa en un anlisis significativo de cmo la seguridad de
informacin da forma y encaja dentro de una estructura de
gestin de riesgos a nivel de toda la organizacin.
Se enfoca en las prioridades estratgicas de la organizacin y en
los objetivos del negocio.
Evala objetivamente cualquier programa de seguridad de la
organizacin.
Luis Otake

27

EYs Cyber Program

Management (CPM) Framework

Luis Otake

28

Utilidad de CPM
0 Comprensin de la exposicin al riesgo de la organizacin.

0 Evaluacin de la madurez del programa de seguridad

ciberntica actual y la identificacin de reas de mejora.
0 Construccin de una hoja de ruta priorizada para las

inversiones en proyectos e iniciativas de cambio

organizacional.
0 Recopilacin de informacin para crear ndices de

referencia con otras organizaciones

0 Validacin de que las inversiones en seguridad han
mejorado su nivel de seguridad
Luis Otake

29

CPM ayuda en el balance de

costo, riesgo y valor

Luis Otake

30

Niveles de madurez
Nivel Nombre

Descripcin

No existente

Los procesos no existen.

Inicial / Ad-hoc

Los procesos son ad-hoc y desorganizados.

Repetible

Los procesos siguen un patrn regular.

Definido

Los procesos son consistentes, documentados y

comunicados.

Administrado

Los procesos son integrados, monitoreados y

medidos.

Optimizado

Los procesos son monitoreados, medidos y

automatizados.

Luis Otake

31

Dominios de la Gestin de la
Seguridad de Informacin
Estrategia

Gobierno y
organizacin

Polticas y
estndares

Arquitectura

Operaciones

Concientizacin
de la seguridad

Gestin de
identidades y
accesos

Amenazas y
vulnerabilidades

Gestin de
terceros

Monitoreo de la
seguridad

Gestin de
activos de TI

Seguridad de
software

Seguridad a
nivel de host

Respuesta a
incidentes

Seguridad de
redes

Proteccin de
datos

Infraestructura
de datos

Mtricas y
reportes

Luis Otake

32

Descripcin de los dominios

Estrategia

Establece la direccin general y el alcance de la funcin de seguridad, para su alineacin

con los objetivos de negocio, de manera que se cumplan las prioridades estratgicas.

Gobierno y
organizacin

Cubre la estructura del programa de seguridad de informacin.

Polticas y
estndares

Abarca el desarrollo formal, documentacin, revisin y aprobacin de las polticas,

estndares, y directrices, que define requerimientos, procesos y controles.

Arquitectura

Rene los requerimientos de negocio con las soluciones tecnolgicas, incluyendo la

seleccin de componentes e implementacin.

Operaciones

Incluye backups y recovery, servicios de recuperacin de desastres, gestin de

continuidad de negocio, seguridad fsica y del entorno.

Concientizacin
de la seguridad

Incluye a todo el personal de la organizacin (empleados, contratistas y proveedores),

dando especial atencin a los empleados con responsabilidades de seguridad
(desarrolladores, service desk, guardias de seguridad fsica, etc.)

Luis Otake

33

Descripcin de los dominios

Gestin de
identidades y
accesos

Incluye procesos asociados con la gestin de ciclo de vida completo de identidades

digitales y perfiles para las personas, procesos y tecnologa.

Amenazas y
vulnerabilidades

Describe los enfoques programticos de una organizacin para predecir amenazas,

identificar y remediar vulnerabilidades, detectar y responder a ataques, y
estratgicamente desarrollar contramedidas.

Gestin de terceros

Incluye los procesos de gestin de terceros, y la transferencia e intercambio, o

almacenamiento de informacin por terceros.

Monitoreo de la
seguridad

Abarca las capacidades de captura y monitoreo exitoso de logs desde dispositivo de

redes, hosts, archivos, base de datos, y acceso de usuarios privilegiados.

Gestin de activos
de TI

Abarca la infraestructura y procesos necesarios para la gestin efectiva, control y

proteccin de los recursos de HW y SW.

Seguridad de
software

Se enfoca en el desarrollo de SW y los roles de seguridad de informacin en dicho

desarrollo. Incluye desarrollo interno y externo.

Luis Otake

34

Descripcin de los dominios

Seguridad a
nivel de host

Cubre los mecanismos y controles de proteccin a nivel de host. Incluye anti-virus, encriptacin de disco,
proteccin de malware, control de acceso a HW, y gestin de parches.

Respuesta a
incidentes

Cubre la funcin formal para reportar y responder a incidentes que podran impactar negativamente a los
activos de la organizacin, recursos, operaciones, reputacin, posicin financiera, capital intelectual, o
informacin confidencial.

Seguridad de
redes

Captura las polticas, procesos, herramientas, y tecnologas utilizadas para mantener la seguridad a nivel
de red. Incluye gestin de accesos, gestin de vulnerabilidades, identificacin y notificacin de incidentes,
configuracin de dispositivos y gestin de parches, y arquitectura de redes.

Proteccin de
datos

Incluye la proteccin de la propiedad intelectual, datos de clientes, datos transaccionales, datos privados,
as como datos sensitivos.

Infraestructura
de datos

Abarca los repositorios de datos, warehouses, y sistemas que soportan una funcin clsica de BI dentro de
las operaciones de seguridad.

Mtricas y
reportes

Incluye el anlisis de las metas de seguridad de informacin, y define mtodos repetibles de medicin para
mostrar efectividad o progreso en el cumplimiento de las metas deseadas.

Luis Otake

35

Programa de Seguridad de la
Informacin
0 Define los objetivos de seguridad de la organizacin, as como los
0
0
0
0

mtodos y actividades que la organizacin usar para cumplir esos

objetivos.
Consiste de mltiples proyectos y actividades para implementar
una estrategia de seguridad de informacin.
Consiste en disear e implementar controles de seguridad
adecuados, y administrar y gestionar esos controles a travs de toda
la organizacin.
Debe estar alineado y soportado por objetivos del negocio.
Importancia:
0 El uso incremental de los medios electrnicos hace la
informacin de la organizacin vulnerable a ataques.

0 Responsable:
0 Gerente de Seguridad de Informacin
Luis Otake

36

Actividades
0 Formacin de grupos de trabajo
0 Explicacin del proyecto final
0 Diagnstico
0 Propuesta de solucin

Luis Otake

37

Gobierno de Seguridad de la
Informacin
Semana 02

Luis Otake

38

Contenido
0
0
0
0
0
0
0
0
0
0
0

Visin general
Importancia
Propsito
Resultados bsicos
Responsables
Metas y objetivos de negocio
Componentes
Aspectos que dificultan el GSI
GRC
Modelo de negocios para la seguridad de la informacin (BMIS)
Conceptos de seguridad de la informacin
Luis Otake

39

Visin general
Parte integral y transparente del gobierno de la
empresa.
Debe complementar o incluir el marco de gobierno de
TI.

Es cada vez ms crtico a medida que crece la

dependencia de la informacin.
Protege los activos de informacin.
Luis Otake

40

Importancia
0 Responsabilidad civil o legal por imprecisiones en la informacin o ausencia
0
0
0
0
0
0
0
0
0

del debido cuidado para protegerla.

Confianza en el cumplimiento de polticas.
Mayor previsibilidad y menor incertidumbre por reduccin de riesgos a
niveles definibles y aceptables.
Optimiza asignaciones de recursos de seguridad.
Decisiones crticas no se basan en informacin defectuosa.
Fundamento slido para gestin de riesgos y mejora de procesos y respuesta
a incidentes.
Mayor confianza con socios comerciales y clientes.
Protege reputacin de la organizacin.
Nuevas y mejores formas de procesamiento electrnico.
Establece responsabilidad para proteger la informacin durante actividades
crticas del negocio (fusiones, restauracin de procesos, regulaciones)

Luis Otake

41

Propsito del Gobierno de

Seguridad de la Informacin
0 Evaluar, dirigir y monitorear la seguridad de la

informacin para:

0 Garantizar que se cumplan las necesidades del negocio

0 Fortalecer el aseguramiento de la informacin
0 Asegurar los riesgos de la informacin han identificado

los propietarios
0 Reducir el riesgo de incumplimiento
0 Reducir el riesgo de litigios
0 Lograr confidencialidad, integridad y disponibilidad
(CIA) sostenible
(Gelbstein, 2012)
Luis Otake

42

Resultados bsicos de un
gobierno efectivo de seguridad
Alineacin
estratgica

Gestin de
riesgos

Entrega de
valor

Gestin de
recursos

Medicin de
desempeo

Integracin

Luis Otake

43

Responsables del GSI

Consejo de
direccin
Executive Committee

Direccin ejecutiva
Chief Executive
Officer
Luis Otake

44

Responsabilidades gerenciales
de la seguridad de informacin
Consejo de
Direccin
Direccin
Ejecutiva (CEO)

Debe estar activamente involucrado.

Debe implementar el GSI.

Comit
Directivo

Necesita asegurar el involucramiento de todos los

stakeholders influenciados por las consideraciones de
seguridad.

CISO

Debe disear y desarrollar la estrategia de seguridad

de informacin.

Luis Otake

45

CISO
Chief Information Security Officer: Director de
Seguridad de Informacin
Puede ser asumido por:

Chief Information Officer (CIO)

Chief Security Officer (CSO)
Chief Financial Officer (CFO)
Chief Executive Officer (CEO)
Luis Otake

46

Pesadillas de un CISO

Luis Otake

47

Metas y objetivos del negocio

0 La Seguridad de

Informacin debe
apoyar las actividades
de negocio para que sea
de valor para la
organizacin.
0 El GSI es un subconjunto
del Gobierno
Corporativo.

Luis Otake

Gobierno
Corporativo

Gobierno de
Seguridad de
Informacin

48

Componentes generales del

marco de trabajo de GSI
Estrategia
integral de
seguridad

Polticas de
gobierno de
seguridad

Estructura
organizacional de
seguridad

Luis Otake

Estndares
(procedimientos
y directrices)
para cada poltica

Mtricas y
proceso de
monitoreo

49

Relacin de los componentes

de gobierno

Luis Otake

50

Estrategia de Seguridad de
Informacin
0 Una estrategia de seguridad de la informacin

proporciona una solucin completa para cubrir la

organizacin, tales como sus procesos y tecnologa.
0 Dichas soluciones deben ser estandarizadas,
estructuradas, formalizadas, y fcilmente accesibles.
0 La seguridad de la informacin no es un evento, sino
un proceso que necesita mejoramiento constante.

Luis Otake

51

Funciones de aseguramiento
0 Una estructura efectiva de GSI ayuda a integrar las

funciones de aseguramiento significativas para

asegurarse que los procesos de seguridad de
informacin trabajen segn lo esperado.
0 Ejemplos de funciones de aseguramiento:
0 Auditoras internas y externas
0 Aseguramiento de la calidad
0 Seguridad de TI
0 Departamento legal
Luis Otake

52

GRC
0 Una organizacin puede integrar sus procesos clave

de negocio mediante el uso de GRC (Governance, Risk,

y Compliance).
0 El gobierno debe ser establecido antes de
implementar la gestin de riesgos y forzar el
cumplimiento para una efectiva seguridad de
informacin.
0 La seguridad de informacin hace uso de:
0 GRC
0 Teora de sistemas
Luis Otake

53

Governance
0 Es responsabilidad de la alta direccin ejecutiva y se

concentra en crear los mecanismos que una

organizacin utiliza para garantizar que el personal
siga polticas y procesos establecidos.

Luis Otake

54

Risk Management
0 Proceso que sigue una organizacin para establecer
tolerancia a riesgos, identificar riesgos potenciales y
sus impactos asociados, y priorizar la mitigacin de
estos basndose en los objetivos de negocio y la
tolerancia a riesgos de la organizacin.

0 Desarrolla e implementa controles internos para

gestionar y mitigar riesgos.

Luis Otake

55

Compliance
0 Proceso que registra y monitorea las polticas,

procedimientos y controles necesarios para

garantizar que las polticas y los estndares se
adhieran a l.

Luis Otake

56

Aspectos que dificultan el GSI

(Gelbstein, 2012)

Luis Otake

57

Modelo de negocios para la

seguridad de informacin

Luis Otake

58

Modelo de negocio de
seguridad de informacin

Luis Otake

59

Caractersticas de BMIS
0 Enfoque orientado al negocio
0 Enfoque sistmico
0 Interconexiones dinmicas entre sus elementos

0 Proporciona el contexto para otros marcos de trabajo

(COBIT)

Luis Otake

60

Elementos de BMIS
Diseo y
estrategia de
la
organizacin

Personas

Procesos

Tecnologa

Luis Otake

61

Diseo y estrategia de la
organizacin
0 Organizacin es una red de personas, activos y procesos

interactuando entre s.
0 Estrategia

0 Especifica metas, objetivos, valores y misiones.

0 Frmula de la empresa para el xito y establece su direccin

bsica.
0 Se debe adaptar a los factores internos y externos.

0 Recursos
0 Sirven para disear la estrategia
0 Pueden ser: personas, equipos, conocimientos tcnicos
0 El diseo define la manera en que la organizacin implementa su

estrategia.

Luis Otake

62

Personas
0 Define quin implementa (siguiendo el diseo) cada parte

de la estrategia.
0 El CISO debe trabajar con los departamentos de RRHH y
legal:
0 Estrategias de reclutamiento (pe. acceso, verificaciones de

antecedentes, entrevistas, roles y responsabilidades)

0 Aspectos relacionados con el empleo (pe. ubicacin de la
oficina, acceso a herramientas y datos, capacitacin y
concientizacin, movimiento dentro de la empresa)
0 Trmino de relaciones laborales (pe. razones de
desvinculacin, momento de la salida, roles y
responsabilidades, acceso a los sistemas)

0 Incluye clientes, proveedores, medios y partes interesadas.

Luis Otake

63

Procesos
0 Incluye mecanismos formales e informales para realizar

tareas y proporciona un vnculo vital con todas las

interconexiones dinmicas.
0 Son resultado de la estrategia.
0 Implementan la parte operacional de la organizacin.
0 Deben:

0 Satisfacer los requerimientos de negocio y estar alineados con

la poltica.
0 Considerar situaciones emergentes y adaptarse a
requerimientos cambiantes.
0 Estar documentados y ser comunicados de forma adecuada a
las personas apropiadas.
0 Ser revisados peridicamente.
Luis Otake

64

Tecnologa
0 Herramientas, aplicaciones e infraestructura que

incrementan la eficiencia de los procesos.

0 Si bien los controles tcnicos mitigan ciertos

riesgos, no debe verse como una solucin de

seguridad de informacin.
0 Muchas personas intentarn burlar los controles
tcnicos.

Luis Otake

65

Interconexiones dinmicas
Gobierno

Cultura

Habilitacin
y soporte

Surgimiento

Factores
humanos

Arquitectura

Luis Otake

66

Gobierno
0 Da direccin a la empresa y exige liderazgo

estratgico.
0 Se encarga de:

0 asegurar que se determinen y definan los objetivos

0 garantizar que los riesgos se gestionen adecuadamente
0 verificar que los recursos de la empresa se utilicen con

responsabilidad

Luis Otake

67

Cultura
0 Un patrn de conductas, convicciones, supuestos, actitudes

y manera de hacer las cosas.

0 Importancia:

0 Determina en gran medida cul informacin se considera,

cmo se interpreta esa informacin y qu se har con ella.

0 Niveles:
0 Nacional (legislacin/regulaciones, poltica y tradiciones)
0 Organizacional (polticas, estilo jerrquico y expectativas)
0 Social (familia, etiqueta)

Luis Otake

68

Habilitacin y soporte
0 Conecta el elemento tecnologa al elemento proceso.
0 Hace que los procesos sean prcticos y fciles de usar.

Luis Otake

69

Surgimiento
0 Se refiere a los patrones que surgen en la vida de la

empresa que parecen no tener una causa obvia y

cuyos resultados parecen imposibles de predecir y
controlar.
0 Es un espacio para introducir posibles soluciones.

Luis Otake

70

Factores humanos
0 Si las personas no entienden cmo utilizar la tecnologa, no

aceptan la tecnologa o no siguen las polticas pertinentes,

pueden surgir graves problemas de seguridad.
0 Asociado a amenazas internas:
0 Fuga de datos
0 Robo de datos
0 Uso indebido de datos

0 Incluye:
0 Edad
0 Nivel de experiencia
0 Experiencias culturales
Luis Otake

71

Arquitectura
0 Encapsulacin completa y formal de personas,

procesos, polticas y tecnologa.

0 La empresa puede asegurar la defensa en
profundidad.
0 Describe cmo se posicionan los controles de
seguridad y cmo se relacionan con la arquitectura
general de TI.
0 Permite a las empresas ser proactivas con las
decisiones de inversin en seguridad.
Luis Otake

72

Conceptos de seguridad de
informacin (I)
Control de acceso
Arquitectura
Ataques

Procesos, reglas y mecanismos de implementacin que

controlan el acceso a sistemas de informacin,
recursos y acceso fsico a las instalaciones.
Diseo de la estructura y las relaciones de sus
elementos.
Tipos y naturaleza de inestabilidades de seguridad.

Auditabilidad

Nivel en el cual se puede hacer seguimiento a

transacciones y auditarlas a travs de un sistema.

Autenticacin

Acto de verificar la identidad y elegibilidad de un

usuario para tener acceso a informacin
computarizada.

Autorizacin

Acceso permitido a recursos para realizar acciones

aprobadas.
Luis Otake

73

Conceptos de seguridad de
informacin (II)
Disponibilidad

Capacidad de tener acceso a y de utilizar la

informacin cuando se requiera.

Anlisis de
dependencia del
negocio

Grado al cual el negocio depende de un recurso.

Anlisis de
impacto al negocio

Evaluar los resultados y las consecuencias de la

inestabilidad.

Confidencialidad
Controles

Contramedidas

La proteccin de informacin privada o sensible contra

divulgacin no autorizada.
Cualquier accin o proceso que se utiliza para mitigar
el riesgo.
Cualquier accin o proceso que reduce la
vulnerabilidad.
Luis Otake

74

Conceptos de seguridad de
informacin (III)
Criticidad
Clasificacin de
datos
Exposiciones
Anlisis
preferencial
Gobierno

Identificacin

Importancia que tiene un recurso para el negocio.

El proceso de determinar la sensibilidad y
criticidad de la informacin.
reas que son vulnerables a impacto por parte de
una amenaza.
Diferencia entre la realidad y el objetivo.
Proporcionar control y direccin a las actividades.

Verificacin de una persona o cosa; reconocimiento.

Luis Otake

75

Conceptos de seguridad de
informacin (IV)
Impacto
Integridad
Seguridad en
capas
Gestin

No repudio

Polticas

Resultados y consecuencias de que se materialice un

riesgo.
Exactitud y validez de la informacin.
Defensa en profundidad que contenga la inestabilidad.
Supervisar las actividades para garantizar que se
alcancen los objetivos.
Certeza de que una parte no podr negar
posteriormente los datos originados; se trata de dar
pruebas de la integridad y el origen de los datos y de
que puedan ser verificadas por un tercero.
Declaracin de alto nivel sobre la intencin y la
direccin de la gerencia.
Luis Otake

76

Conceptos de seguridad de
informacin (V)
Riesgo residual
Riesgo

Riesgo que permanece despus de que se han

implementado contramedidas y controles.

Probabilidad de la explotacin de una

vulnerabilidad por parte de una amenaza.

Mtricas de
seguridad

Descripciones especficas de cmo se harn las

mediciones de una evaluacin cuantitativa y
peridica de desempeo de seguridad.

Sensibilidad

Nivel de impacto que tendra una divulgacin no

autorizada.

Estndares

Establecer los lmites permisibles de acciones y

procesos para cumplir con la poltica.

Estrategia

Pasos que se requieren para alcanzar un objetivo.

Luis Otake

77

Conceptos de seguridad de
informacin (VI)
Amenazas
Vulnerabilidades

Cualquier accin o evento que puede ocasionar

consecuencias adversas.
Deficiencias que pueden ser explotadas por
amenazas.

Arquitectura
empresarial

La lgica organizativa para los procesos de negocio

y la infraestructura de TI.

Dominios de
seguridad

reas lgicas delimitadas por diferentes niveles de

seguridad.

Modelos de
confianza

Asignan los controles y las funciones de seguridad a

diferentes niveles de seguridad.

Luis Otake

78

Referencias bibliogrficas (I)

0 Areitio, Javier. 2008. Seguridad de la Informacin.

Redes, informtica y sistemas de informacin.

Cengage Learning Paraninfo.
0 Gmez Vieites, lvaro. 2011. Enciclopedia de la
Seguridad Informtica. Segunda Edicin. Alfaomega.
0 ISACA. 2009. Manual de Preparacin al Examen CISM
2010.

Luis Otake

79

Referencias bibliogrficas (II)

0 Cano, Jeimy. 2012. Negocio de la Seguridad de la Informacin:

Revelando la Potencialidad de un Concepto. ISACA Journal. Ao

2012. Vol. 4.
[http://www.isaca.org/Journal/archives/2012/Volume4/Pages/JOnline-El-Negocio-de-la-Seguridad-de-la-InformacionRevelando-la-Potencialidad-de-un-Concepto.aspx]
0 Cano, Jeimy. 2011. La Gerencia de la Seguridad de la Informacin:
Evolucin y Retos Emergentes. ISACA Journal. Ao 2011. Vol. 5.
[http://www.isaca.org/Journal/archives/2011/Volume5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-laInformacion-Evolucion-y-Retos-Emergentes.aspx]
0 https://pages.balabit.com/rs/855-UZV-853/images/Balabittop-10-hacks.pdf
0 https://www.gov.uk/government/uploads/system/uploads/atta
chment_data/file/60943/the-cost-of-cyber-crime-full-report.pdf
Luis Otake

80

Referencias bibliogrficas
(III)
0 EY. 2016. Generando confianza en el mundo digital. Perspectivas

sobre Gobierno, Riesgo y Cumplimiento.

http://www.ey.com/Publication/vwLUAssets/Generando_confia
nza_en_el_mundo_digital/$FILE/EY-generando-confianzamundo-digital-GISS-2015.pdf
0 EY. 2015. Perspectivas sobre Gobierno, Riesgo y Cumplimiento.
Adelntese a los delitos cibernticos. Encuesta Global de
Seguridad de Informacin. Advisory Services.
http://www.ey.com/Publication/vwLUAssets/Encuesta_global_d
e_seguridad_de_informaci%C3%B3n_2014/$FILE/EY-encuestaglobal-de-seguridad-de-informacion-2014.pdf
0 Gelbstein, Ed. 2012. Strengthening Information Security
Governance. ISACA Journal. Ao 2012. Vol 2.
[http://www.isaca.org/Journal/archives/2012/Volume2/Pages/Strengthening-Information-Security-Governance.aspx]
Luis Otake

81