Infografía: Gobierno de Seguridad de la Información

Gobierno de Seguridad de la Información

Estructura, Alineación y Protección Estratégica

Sección 1: Introducción y Fundamentos

¿Qué es el Gobierno de Seguridad de la Información (GSI)?

Revisa el conjunto de conocimientos y tareas necesarias... para desarrollar una estructura de GSI alineada con los objetivos de la organización. Guía al gerente de seguridad de la información para establecer y mantener un marco de GSI que asegure la alineación de la estrategia de seguridad con las metas empresariales.

La Información y la TI en la Empresa

Información:

TI:

Gobierno vs. Gestión (según COBIT)

Gobierno Evalúa necesidades de las partes interesadas, establece dirección (priorización, toma de decisiones) y supervisa el rendimiento y cumplimiento.

↔

Gestión Planifica, construye, ejecuta y controla actividades para alcanzar los objetivos de la empresa, en consonancia con la dirección del gobierno.

Fallas de Seguridad

A menudo se consideran fallas de gobierno... no solo tecnológicas, y requieren atención de los niveles más altos de la organización.

Objetivo del Gobierno

Creación de valor para las partes interesadas... logrando beneficios con un coste óptimo de recursos y optimizando el riesgo.

Sección 2: Importancia y Resultados del GSI

¿Por qué es Crítico el Gobierno de la Seguridad de la Información?

Es esencial para la supervivencia de muchas organizaciones, ya que la información es uno de sus activos más importantes.
Es una buena práctica de negocio, además de cumplir requisitos legales y reglamentarios.

Beneficios Clave del GSI Efectivo:

Aborda la responsabilidad legal

Aborda la posible responsabilidad civil o legal de la organización y su alta dirección.

Genera confianza en cumplimiento

Genera confianza en el cumplimiento de políticas.

Aumenta la previsibilidad

Aumenta la previsibilidad y reduce la incertidumbre en las operaciones al reducir el riesgo a niveles aceptables.

Optimiza recursos limitados

Optimiza la distribución de recursos de seguridad limitados.

Decisiones informadas

Asegura que las decisiones cruciales no se basen en información errónea.

Base para gestión eficiente

Proporciona una base sólida para una gestión de riesgos eficiente, mejora de procesos, respuesta a incidentes y gestión de la continuidad.

Mejora confianza con socios

Mejora la confianza en interacciones con socios comerciales y clientes.

Protege reputación

Protege la reputación de la empresa.

Posibilita transacciones electrónicas

Posibilita nuevas y mejores formas de procesar transacciones electrónicas.

Establece responsabilidad

Establece responsabilidad por la protección de información durante actividades críticas de negocio (ej. fusiones, adquisiciones).

Gestión efectiva de recursos

Permite la gestión efectiva de recursos de seguridad de la información.

Los 6 Resultados Básicos del GSI:

1. Alineación Estratégica

2. Gestión de Riesgos

3. Entrega de Valor

4. Optimización de Recursos

5. Medición del Desempeño

6. Integración del Proceso de Aseguramiento

Sección 3: Alcance, Cultura y Requisitos

Alcance del Gobierno de la Seguridad de la Información

Ciberseguridad

Seguridad de TI

Seguridad de la Información

Es crucial que la estrategia de seguridad de la información... defina claramente el alcance y las responsabilidades, y cuente con el respaldo de la alta dirección.

Cultura de la Organización y Seguridad

Influencia de la Cultura Empresarial

La seguridad de la información está influenciada por la transparencia y rendición de cuentas de la cultura empresarial.

Construcción de una Cultura Consciente

Construir una cultura consciente de la seguridad requiere que los individuos entiendan cómo la seguridad se relaciona con su rol y protejan los activos de información.

Indicadores de Éxito

Participación del departamento de seguridad en proyectos, conocimiento de los usuarios sobre cómo reportar incidentes, y comprensión de sus roles en la protección de activos.

Reglas de Uso / Política Aceptable

Define el comportamiento aceptable, las actividades requeridas y las prohibidas. Debe comunicarse efectivamente y ser entendida por todo el personal.

Ética

Muchas empresas implementan formación sobre ética para un comportamiento lícito y apropiado. El personal de seguridad debe ser sensible a conflictos de interés y conocer el código de conducta de la empresa.

Requisitos Legales, Regulatorios y Contractuales

Amplia Gama de Requisitos

Cada empresa enfrenta una amplia gama de requisitos de leyes locales e internacionales, mandatos regulatorios y contratos específicos.

Desafíos de Contradicción

Las leyes contradictorias en diferentes regiones pueden requerir estrategias de seguridad distintas o basarse en los requisitos más restrictivos.

Cumplimiento como Riesgo de Negocio

El cumplimiento regulatorio debe tratarse como *otro riesgo de negocio*, con decisiones de alto nivel.

Responsabilidad del Gerente de Seguridad

El gerente de seguridad de la información debe informarse activamente sobre los requisitos legales y solicitar una interpretación jurídica, sin depender exclusivamente del departamento legal corporativo.

Requisitos sobre Contenido y Retención de Registros de Negocio

Comprensión de Requisitos

El gerente de seguridad debe comprender los requisitos de negocio y los legales/reglamentarios para proteger los registros empresariales.

Requisitos de Negocio vs. Legales

Los requisitos de negocio pueden exceder los legales/reglamentarios (ej., necesidad de acceso a datos antiguos).

Regulaciones y Retención

Regulaciones como Sarbanes-Oxley imponen requisitos obligatorios de retención. La información archivada debe estar adecuadamente indexada para su localización y recuperación.

Política de Destrucción de Datos

Es recomendable una política que exija la destrucción de datos cuya conservación no sea exigida por ley o razones específicas del negocio. El gerente de seguridad debe hacer cumplir y mantener esta política, conservando certificados de destrucción.

Sección 4: Estructura, Roles y Responsabilidades Organizativas

Estructura Organizativa Efectiva (Consideraciones Clave)

Formalmente establecida y con un mandato claro y documentado.
Principios operativos documentados y monitoreados.
Niveles de autoridad y responsabilidades de toma de decisiones definidos y documentados.
Provisiones para la delegación de autoridad.
Procedimientos de escalamiento definidos.
Objetivos de desempeño identificados, monitoreados y ajustados.
Interfaces con otras partes interesadas gestionadas para comunicación efectiva y asignación clara de responsabilidad.
Evaluaciones regulares para la mejora continua.

Desafíos y Convergencia

La seguridad a menudo se fragmenta en silos (ej. seguridad física, TI, riesgos, privacidad, cumplimiento), lo que no favorece resultados óptimos.

Fragmentación de Seguridad

Física TI Riesgos Privacidad

↓ Convergencia ↓

Convergencia Un enfoque holístico e integral que integra las disciplinas de seguridad con la misión del negocio para generar valor. Implica que roles como el CISO puedan ascender a CSO.

Incidentes como el del Sumitomo Mitsui Bank (fallo de seguridad física que permitió un ciberataque) refuerzan la necesidad de esta convergencia.

Roles y Responsabilidades Claras

Son fundamentales para un gobierno eficaz de la seguridad de la información.

**Rol:** Designación asignada a un individuo en virtud de una función de trabajo.
**Responsabilidad:** Descripción de un procedimiento o función que alguien es responsable de cumplir.

Matriz RACI:

	R	A	C	I
Tarea Ejemplo		X
Definir Política		X	X
Implementar Control	X			X

**R** (Responsable): Realiza la tarea.

**A** (Quien rinde cuentas): Responsabilidad final.

**C** (Consultado): Proporciona información.

**I** (Informado): Recibe datos.

Las habilidades del personal deben considerarse al desarrollar matrices RACI para asegurar la asociación con las competencias requeridas.

Roles Organizativos Clave en el GSI

Consejo de Dirección y Alta Dirección de Gobierno

Responsables de la supervisión, asegurar recursos y validar/ratificar activos clave. Deben ejercer diligencia debida en la protección de activos de información.

Alta Gerencia

Proporciona liderazgo y apoyo continuo, asegurando la disponibilidad de recursos y mediando entre TI y seguridad para un equilibrio adecuado.

Propietarios del Proceso de Negocio

Cruciales para alinear las actividades de seguridad con los objetivos del negocio.

Comité Directivo

Ayuda a lograr consenso sobre prioridades y compromisos, y asegura la alineación del programa de seguridad con los objetivos del negocio.

Director de Seguridad de la Información (CISO)

Responsable de desarrollar la estrategia de seguridad. Su rol es cada vez más ejecutivo.

Director General de Riesgo (CRO)

Generalmente a cargo de la gestión de riesgo empresarial general, incluyendo la seguridad de la información.

Director de Información (CIO)

Responsable de planificación, presupuesto y rendimiento de TI, incluyendo componentes de seguridad.

Gerente de Seguridad de la Información (ISM)

Responsable de los programas de seguridad de su empresa, actuando como consultor principal.

Propietarios de Sistemas e Información

Responsables de garantizar controles adecuados para la confidencialidad, integridad y disponibilidad de sus sistemas y datos, y se involucran en la gestión de riesgos.

Gerentes de Negocios y Operativos

Tienen autoridad para tomar decisiones de compensación de riesgos y asegurar la efectividad de la misión con un costo aceptable.

Profesionales de Seguridad de TI

Responsables de la implementación de requisitos de seguridad en sistemas de TI, apoyando el proceso de gestión de riesgos.

Capacitación en Concienciación sobre la Seguridad

Esencial para formar a usuarios y custodios de sistemas y datos para reducir riesgos y proteger recursos de TI.