Preparando CISM Notas: Dominio 2

Continuando con la preparación del CISM hoy las notas que me voy sacando para el Dominio 2

Dominio 2. Gestión de Riesgos de la Información y Cumplimiento

La Clasificación de los activos debe llevarse a cabo para determinar la sensibilidad de los activos en términos de riesgo para la operación del negocio de modo que las contramedidas proporcionales pueden ser implementadas de manera efectiva. Cálculo del valor de la información o de los activos (la valoración) es el primer paso en un proceso de análisis de riesgo para determinar el impacto de la organización, que es el objetivo final. Tasación (fijar el precio) se basa en identificar y entender los activos que necesitan protección.

La aceptación de un riesgo es una alternativa a tener en cuenta en el proceso de mitigación de riesgos y en un informe de mitigación de riesgos incluiría recomendaciones para esto.

El valor de un activo físico debe estar basado en su costo de reemplazo ya que esta es la cantidad que se necesitaría para reemplazar el activo si llegara a resultar dañados o destruidos.

El valor de un sistema de información debe basarse en el coste incurrido si el sistema dejara de estar disponible.

El estudio de factibilidad (estudio de viabilidad) debe incluir la evaluación de riesgos, para que el coste de los controles pueda ser estimado antes de que avance el proyecto.

El riesgo es la combinación de la probabilidad de que ocurra un evento y sus consecuencias. siendo la probabilidad de un evento una amenaza que explota la vulnerabilidad existente.Existen distintos tipos de riesgo:

  • El riesgo residual es el riesgo que permanece después de poner en marcha un programa eficaz de gestión de riesgos. El riesgo residual proporciona una gestión de la información suficiente para decidir el nivel de riesgo que una organización está dispuesta a aceptar.
  • Un riesgo aceptable se logra cuando esta cantidad se reduce al mínimo. Aceptación del riesgo es una de las alternativas a considerar en el proceso de mitigación de riesgos.
  • Riesgo transferido el riesgo que ha sido asumido por un tercero y puede no ser necesariamente igual a la forma mínima de riesgo residual.
  • El riesgo de control es el riesgo de que los controles puedan no prevenir / detectar un incidente con una medida eficaz del control y pueden no tener éxito en la prevención de un evento no deseado.
  • El riesgo inherente no puede ser minimizado.

El riesgo es mitigado a través de un gobierno efectivo de seguridad de la información con el desarrollo e implementación de políticas, estándares y procedimientos. Siendo el propósito principal de las políticas expresar las metas de un programa de protección de seguridad de la información de manera clara y concisa por lo tanto deben ser directas y fáciles de entender.

El propósito principal de un análisis de riesgos dentro de un programa de seguridad es para evaluar las exposiciones y el plan de remediación. El análisis de riesgos explora el grado en que los activos necesitan ser protegidos para que estos se puedan manejar con eficacia. El análisis de riesgos apoya indirectamente el gasto en seguridad, pero la justificación de los gastos de seguridad no es su objetivo principal. Un programa de gestión de riesgos establecido es un componente clave del gobierno eficaz

La identificación y priorización de riesgos permite a los administradores de proyectos centrar más atención en las áreas de mayor importancia e impacto. El riesgo debe abordarse lo antes posible en el ciclo de desarrollo. El riesgo también se debe considerar en la fase de especificación en la que los controles están diseñados, pero esto todavía se basara en la evaluación realizada en el estudio de viabilidad o factibilidad. Cuando el costo del control es mayor que el costo del riesgo, el riesgo debe ser aceptado.

Los gerentes de empresas están en la mejor posición para determinar el valor de los activos de información, ya que son más conocedores del impacto de los activos en el negocio. El gerente de negocios estará en la mejor posición, en base a las propuestas de evaluación y mitigación de riesgos, para decidir qué control debería o podría ser implementado, en línea con la estrategia de negocio y con el presupuesto.

El cambio es un proceso en el que los nuevos riesgos se pueden introducir en los procesos de negocio y sistemas. Por esta razón, la gestión de riesgos debe ser un componente integral del proceso de gestión del cambio.

Los objetivos de tiempo de recuperación (RTO – Recovery time objectives) son el objetivo principal de un análisis de impacto en el negocio (BIA). El RTO se relaciona con el impacto financiero de un sistema que no está disponible. El objetivo de tiempo de recuperación (RTO) se basa en la cantidad de tiempo necesario para restaurar un sistema en estado de declaración de desastre y se produce al comienzo de este período. RTO puede ser el nivel operativo mínimo aceptable, muy por debajo de las operaciones normales. El Objetivo de tiempo de recuperación (RTO) es el período de tiempo desde el momento de la interrupción, hasta el momento en el que los procesos deben estar funcionando a un nivel de servicio suficiente para limitar los impactos financieros y operativos a un nivel aceptable.

El objetivo de punto de recuperación (RPO) es el punto en el flujo de procesamiento en el que debe producirse la recuperación del sistema. Este es el estado predeterminado del procesamiento de la solicitud y los datos utilizados para restaurar el sistema y continuar el flujo de procesamiento. Objetivos de punto de recuperación (RPO) se refieren a la antigüedad de los datos necesarios para la recuperación.

Interrupción máxima tolerable (MTO – Maximum tolerable outage) es el tiempo máximo durante el cual una organización puede funcionar en un modo reducido.

Objetivos de prestación de servicios (SDO – Services delivery objectives) son los niveles de servicio requeridos en modo reducido.

Un análisis de impacto en el negocio (BIA- business impact analysis) es la mejor herramienta para el cálculo de la prioridad de la restauración de las aplicaciones y para determinar el costo adecuado del control. Un análisis de impacto en el negocio (BIA) es más probable que sea capad de identificad el impacto por ejemplo de la pérdida del servidor de correo o de un servicio en particular. El propósito principal de un BIA es medir la tolerancia al tiempo de inactividad, los recursos asociados y criticidad de una función de negocios. En un análisis BIA, el valor de un sistema de información debe basarse en el costo total de si el sistema dejara de estar disponible y el entregable mas útil de este BIA sería una lista de puntos de acción para mitigar el riesgo.

Un análisis de la brecha (A gap analysis) es lo más útil para identificar las diferencias entre el estado actual y un estado futuro ideal. Si existen requisitos reglamentarios o regulatorios, un análisis de brecha sería el primer paso para determinar el nivel de cumplimiento que existe o que se está realizando. También se utilizan para identificar las deficiencias que proporcionarían los atacantes con una oportunidad para comprometer un sistema informático.

Un Análisis DAFO/FODA Fortalezas, Oportunidades, Debilidades, Amenazas. FODA es una herramienta que se utiliza para comprender la situación actual de una empresa u organización, constituye una herramienta útil para potenciar los puntos fuertes de un determinado negocio y neutralizar los débiles una herramienta de análisis estratégico, que permite analizar elementos internos a la empresa y por tanto controlables, tales como fortaleza y debilidades, además de factores externos a la misma y por tanto no controlables, tales como oportunidad y amenazas.

Una prueba de penetración o una revisión de la línea básica de seguridad puede identificar la vulnerabilidad, pero no el remedio. Existen procesos de respuesta a incidentes para los casos en que se explotan las debilidades de seguridad.

  • Un análisis de riesgos debe tener en cuenta el potencial impacto financiero y la probabilidad de una pérdida. Una evaluación de riesgo identifica el impacto empresarial de una vulnerabilidad que sería explotada y es, por lo tanto, el proceso correcto. El análisis de riesgos se identifican los riesgos y sugiere medidas de mitigación apropiadas.
  • Análisis del impacto indicaría cuánto podría perderse si se produce una amenaza específica.

El objetivo principal de la gestión de riesgos es garantizar una organización mantiene la capacidad de alcanzar sus objetivos. Mapas de riesgo o una evaluación macro de las principales amenazas para la organización es un simple primer paso antes de realizar una evaluación de riesgos.

Los propietarios de datos (Data owners) determinan los niveles de clasificación de datos para los activos de información de manera que los niveles apropiados de los controles se pueden proporcionar para cumplir con los requisitos relativos a la confidencialidad, integridad y disponibilidad. Los propietarios de los datos deben ser notificados primero para que puedan tomar medidas para determinar la magnitud de los daños y coordinar un plan de acción correctiva con el equipo de respuesta a incidentes informáticos. Los propietarios de datos son responsables de la asignación de derechos del usuario (Derechos de los Usuarios) y se aprueba el acceso a los sistemas o aplicaciones de los que son responsables. Data owners son los responsables de aplicar la clasificación correcta de los datos.

Políticas de clasificación de datos definen el nivel de protección que debe proporcionarse para cada categoría de datos. Sin esta clasificación obligatoria del grado de protección, es difícil determinar qué controles de acceso o niveles de encriptación deben aplicarse. Una política de uso aceptable se orienta más hacia el usuario final y, por lo tanto, no permita hacer frente a los controles específicos que deben de tomarse para proteger adecuadamente la información.

Las responsabilidades de seguridad de los custodios de datos (data custodians) dentro de una organización incluyen la garantía de que las medidas de seguridad apropiadas se mantienen y son coherentes con la política de la organización.

El gerente de seguridad puede estar más preocupado por si el riesgo residual se reduciría en una cantidad mayor que el costo de la adición de controles adicionales. Al informar de un incidente a la alta dirección, la información inicial que debe ser comunicada incluirá una explicación de lo que pasó y cómo se resolvió la falla o la incidencia.

El análisis de costo-beneficio es la manera más clara de indicar si los controles específicos de reducción de riesgos deben ser implementados, se lleva a cabo para asegurar que el costo de una salvaguarda no supera el propio beneficio de implementarla y que se proporciona la mejor protección para el costo de implementación. En un análisis de costes y beneficios de contramedidas, el costo anual de las salvaguardias se compara con el coste esperado de la pérdida. Esto puede ser utilizado para justificar una medida de control específica.

El control de acceso basado en roles proporciona acceso de acuerdo con las necesidades del negocio; por lo tanto, reduce los derechos de acceso innecesario y refuerza la rendición de cuentas.

La criticidad y sensibilidad de los activos de información se determina sobre la base de la evaluación del impacto. La criticidad y sensibilidad de los activos de información depende del impacto de la probabilidad de las amenazas que explotan las vulnerabilidades en el activo, y tiene en cuenta el valor de los activos y el valor de su deterioro.

El coste total de propiedad (TCO – total cost of ownership) podría ser la pieza más relevante de la información con la que se establecería una línea base de coste y debe ser considerado para el ciclo de vida completo del control a implementar dentro cualquier análisis de costo-beneficio.

Expectativa de pérdida anual (ALE – Annual loss expectancy) (es un subconjunto de un análisis de coste-beneficio) y la frecuencia de los incidentes podrían ayudar a medir el beneficio, pero podría tener más de una relación indirecta ya que no todos los incidentes pueden ser mitigados mediante la implementación de una autenticación de dos factores.

Excepciones a las políticas están garantizados en circunstancias en que el cumplimiento puede ser difícil o imposible y el riesgo de incumplimiento se ve compensado por los beneficios.

Métricas de rendimiento del sistema pueden indicar los fallos de seguridad.

Link para el el Dominio 1 – Gobierno de Seguridad de la Información CISM

Alfonso López

Alfonso López

Instagram

MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

También te podría gustar...

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies