Guía de Estudio: Semana 2 CISM - Capítulo 1 Parte B: Estrategia de Seguridad de la Información

Guía de Estudio: Semana 2 del Plan de Certificación CISM

Capítulo 1 Parte B: Estrategia de Seguridad de la Información

¡Bienvenidos al estudio de la Semana 2!

Esta sección se centra en la **Parte B: Estrategia de Seguridad de la Información del Capítulo 1**, un componente crítico para cualquier programa de seguridad efectivo en el contexto de la certificación CISM. Al finalizar esta parte del capítulo, deberás ser capaz de responder a las siguientes preguntas:

Preguntas Clave a Responder

¿Cuál es la función principal del CMMI (Capability Maturity Model Integration) en el contexto de la seguridad de la información, y cómo contribuye a la estrategia de una empresa?

El CMMI va más allá de la ingeniería de software para ayudar a las empresas a comprender su nivel actual de capacidad y rendimiento en cualquier industria. Contribuye a la estrategia al ofrecer una guía para optimizar los resultados comerciales, facilitando un enfoque integrado y reproducible para el gobierno y la gestión, lo que lo hace útil para crear una estrategia predecible y coherente.

Define qué es una "estrategia" en el ámbito empresarial, y cuáles son los dos elementos iniciales esenciales para su desarrollo.

Una estrategia es el plan para lograr un objetivo, concepto que se ha expandido del ámbito militar al empresarial. Los dos elementos iniciales esenciales para desarrollar una estrategia son: un objetivo u objetivos definidos, y un entendimiento claro de las condiciones actuales de la empresa.

¿Por qué es crucial la clasificación de la información con base en su criticidad y sensibilidad para una estrategia de seguridad de la información efectiva?

La clasificación de la información es crucial porque permite asignar medidas de protección proporcionales al valor del negocio, lo que resulta en controles más rentables. Evita el desperdicio de recursos en la protección de datos no críticos o no confidenciales y prioriza los esfuerzos de protección limitados por el presupuesto.

Menciona y describe brevemente tres de los sesgos cognitivos o "trampas" psicológicas que pueden impactar negativamente el desarrollo de una estrategia.

Entre los sesgos que pueden influir negativamente se encuentran:

  • Exceso de confianza: Tendencia a sobrestimar la propia capacidad para hacer cálculos exactos y ser renuente a considerar una amplia gama de posibles resultados.
  • Optimismo: Inclinación a ser excesivamente optimista en los pronósticos, lo que puede llevar a proyecciones poco realistas.
  • Anclaje: La tendencia a que un cálculo posterior se vea influenciado por un número presentado previamente, incluso si no está relacionado, lo que puede anclar resultados futuros a experiencias pasadas.
  • Tendencia del status quo: La fuerte inclinación a apegarse a enfoques familiares, incluso si son ineficaces, priorizando evitar pérdidas sobre posibles ganancias.
  • Contabilidad mental: La costumbre de categorizar y tratar el dinero de manera diferente según su origen o destino.
  • Instinto gregario: La característica humana de buscar validación en otros y conformarse con las tendencias populares, que puede llevar a seguir modas en seguridad sin un análisis crítico.
  • Falso consenso: La tendencia a sobrestimar el grado en que los demás comparten los propios puntos de vista, lo que puede llevar a ignorar amenazas o debilidades importantes.
¿Qué es el "estado deseado" en el contexto de la estrategia de seguridad, y qué tipo de elementos debe incluir para ser sólido?

El "estado deseado" denota una visión completa de todas las condiciones relevantes en un punto futuro para la seguridad. Para ser sólido, debe incluir principios, políticas, marcos de referencia, procesos, estructuras organizacionales, cultura, ética y comportamiento, información, servicios, infraestructura, aplicaciones, y personas con sus habilidades y competencias.

Explica la distinción clave entre gobernanza y gestión según los principios del sistema de gobernanza de COBIT.

Según COBIT, un sistema de gobernanza debe distinguir claramente entre actividades de gobernanza y de gestión. La gobernanza se enfoca en establecer la dirección estratégica, asegurar el logro de objetivos, la gestión de riesgos y el uso responsable de recursos (responsabilidad de la alta dirección y el consejo). La gestión, por otro lado, se encarga de las actividades operativas para implementar y alcanzar esos objetivos.

Describe los cuatro elementos fundamentales del modelo BMIS (Business Model for Information Security) y cómo interactúan.

Los cuatro elementos son: Organización (Diseño/Estrategia), Personas, Procesos y Tecnología. Estos elementos están unidos por seis interconexiones dinámicas (Gobernanza, Arquitectura, Habilitación y Respaldo, Factores Humanos, Cultura y Emergencia). Si uno de ellos se modifica o no se gestiona adecuadamente, el equilibrio del modelo puede verse afectado, ya que actúan como elementos de tensión que permiten la adaptación.

¿Cuál es la diferencia fundamental entre el marco ISO/IEC 27001:2013 y el ISO/IEC 27002:2013 en relación con los controles de seguridad de la información?

ISO/IEC 27001:2013 es el estándar certificable que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI), incluyendo una lista de controles genéricos en su Anexo A. ISO/IEC 27002:2013, en cambio, es un código de prácticas que proporciona directrices y consejos detallados sobre cómo implementar los cientos de medidas de buenas prácticas de control de seguridad de la información sugeridas por el 27001.

Identifica y explica brevemente tres tipos de limitaciones que deben considerarse al desarrollar una estrategia de seguridad.

Algunos tipos de limitaciones incluyen:

  • Legales: Leyes y requisitos normativos que deben cumplirse.
  • Físicas: Limitaciones de capacidad, espacio o ambiente.
  • Éticas: Consideraciones sobre lo que es apropiado, razonable y habitual.
  • Culturales: Aspectos culturales tanto internos como externos a la empresa que pueden influir en la aceptación de la estrategia.
  • De costes: Restricciones de tiempo y dinero disponibles.
  • Personales: Resistencia al cambio o resentimiento hacia nuevas limitaciones por parte del personal.
  • Estructura organizacional: Cómo se toman las decisiones, quién las toma y la protección territorial.
  • Recursos: Limitaciones en capital, tecnología y recursos humanos.
  • De capacidades: Falta de conocimiento, capacitación, habilidades o conocimientos especializados.
  • Tiempo: Ventana de oportunidad y plazos de cumplimiento obligatorios.
  • Apetito de riesgo: El nivel de riesgo que la empresa está dispuesta a aceptar.

¡Al ser capaz de responder a estas preguntas, habrás logrado una comprensión profunda del Capítulo 1 Parte B y estarás bien preparado(a) en la Estrategia de Seguridad de la Información para la certificación CISM!

¡Mucho éxito en tu estudio!

Derechos de autor: EUD Academy.

Abrir chat
Powered by Joinchat
Hola 👋
¿Deseas asesoría profesional?