Aud Uni 08

  • October 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Aud Uni 08 as PDF for free.

More details

  • Words: 3,811
  • Pages: 54
SESION 9: Auditoria al Sistema de Gestión de la Seguridad de Información

AGENDA – Qué es seguridad de la información – El Porqué de la seguridad de la información – Iniciativas en al implementación de Polìticas de seguridad – Encuesta Global de Seguridad de la Información

Qué es Seguridad? ■

■ ■

“Calidad o estado de estar seguro – de estar libre de peligro” Estar protegido de adversarios Una organización exitosa debe tener múltiples capas de seguridad desplegadas: – – – – –

Seguridad Física Seguridad del Personal Seguridad de la Operaciones Seguridad de las Comunicaciones Seguridad de la Red

Qué es Seguridad de la Información? ■



■ ■

La protección de la información y de sus elementos críticos, incluyendo los sistemas y hardware que usa, almacena y transmite esa información Herramientas, tales como políticas, concientización, entrenamiento, educación, y tecnología son necesarias El triángulo CID fue el estandar basado en confidencialidad, integridad, y disponibilidad El triángulo CID se ha expandido hacia una lista de características críticas de la información

¿De quiénes debemos protegernos? Potenciales “enemigos” :” ■ ■ ■ ■ ■ ■



Crackers. Vándalos. Usuarios del sistema. Competencia. Ex-empleados. En general, de cualquier insider.

Millones de adolescentes

¿De qué nos protegemos? Objetivos de los intrusos sobre un Sistema Informático: ...? ■ ■ ■ ■ ■ ■

Robo de información confidencial. Fraude financiero. (Cronwel ?) Acceso no autorizado. Negación del servicio.

2002

2003 US $

20% 12% 38% 40%

21% 15% 45% 42%

70´ 10´ 0´5 66´

Sabotaje Corporativo. 8% 21% 5´ Infección del Sistema Informático. 85% 82% 27´ Fuente: CSI/FBI – Encuesta 2003

.

¿Qué hace a un sistema inseguro?

"El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él". Gene Spafford

¿Qué hace a un sistema inseguro? ■

Huecos de Seguridad Físicos. ■



Huecos de Seguridad en el Software.

Falta de Experiencia. ■

Ausencia de un Esquema de Seguridad.

¿Cómo se rompe la seguridad de un sistema?



Intrusión Física ■

Intrusión por Sistema ■

Intrusión Remota

Qué es Seguridad de la Información Prevenir Divulgación no autorizada de Activos de Información

Información E

C D

T

de servicios (quién, cuándo) o a datos (quien y que hace)

Información (dimensiones)

I

6 += 5

Autenticidad de quien hace uso de datos o servicios Trazabilidad del uso

E-commerce Prevenir Cambios no autorizados en Activos de Información

• Secreto impuesto de acuerdo con políticas de seguridad • SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento de leyes y compromisos)

No repudio Confiabilida d

D 7x24x365

Prevenir Destrucción no autorizada de Activos de Información

• Validez y Precisión de información y sistemas. •SINO: Información manipulada, incompleta, corrupta • Acceso en tiempo correcto y confiable a datos y recursos. y por lo tanto mal desempeño de funciones • SINO: Interrupción de Servicios o Baja Productividad

Qué es Seguridad de la Información ■

ISO13335-1: 2.14 seguridad de información :todos los aspectos relacionados para definir, alcanzar y mantener la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad de la información o de las instalaciones para su procesamiento



ISO17799 2000:2.1 Seguridad de Información – preservación de la Confidencialidad, Integridad y Disponibilidad de la información.



ISO17799 2005:2.5 Seguridad de información – preservación of Confidencialidad,Integridad y Disponibilidad de la información; adicionalmente, otras dimensiones, tales como Autenticidad, Trazabilidad, No-repudio, y Confiabilidad pueden también ser adicionadas

El Porqué de la Seguridad de la Información

Amenazas se incrementa Virus,n crackers

Expectativas se incrementan

Exposiciones se incrementan

de Mayor conectividad, Fraudes, espionaje de Clientes, socios, Mas dependencia de TI Auditores, reguladores

El Porqué de la Seguridad de la Información

En Latinoamérica : Total 445 (MS-DS) 7% 135 (TCP-epmap) 35% 6881 (bitorrent – P2P ) 1% 139 (netbios - ssn) 1%

4 % del

11/2003 11/2004 2/2006 Norte Am = 48% 39% Asia = 29% 28% Europa = 22% 27% Sud Am <1% 3% Africa <1% 1% Aust= 1% 2%

36% 25% 32% 4% 1% 2%

¿Cuál es la importancia de la seguridad informática? Muy Importante

Importante

Poco importante

Sin

importan cia

Encuesta 2003

56 %

34 %

6%

5%

Encuesta 2004

67 %

26 %

4%

3%

Servicios Financieros 2004

78 %

20 %

2%

1%

Manufactura 2004

52 %

38 %

8%

2%

la

85 %

12 %

2%

1%

Encuestados que no confían en la seguridad informática.

41 %

44 %

11 %

4%

Encuestados que confían seguridad informática.

en

Fuente: Encuesta Ernst & Young. Nov. 2004

¿Cada cuánto se reporta el estado de la seguridad informática o los incidentes de seguridad?

Encuesta 2003

Encuesta 2004

Servicios Financieros 2004

Manufactura 2004

Mensual

Cuatrimestral

Semestral

Anual

A pedido

Nunca

15 %

21 %

12 %

19 %

19 %

14 %

15 %

16 %

8%

10 %

39%

11 %

21 %

24 %

6%

8%

36 %

6%

5%

10 %

9%

14 %

46 %

16 %

CLASE 30/10/06

Qué consideran las organizaciones como sus peligros más apremiantes

Fuente: Encuesta Ernst & Young. Nov. 2004

¿Qué hacen las organizaciones para contrarrestarlas?

Porcentaje



No

¿Tienen un plan de respuesta ante incidentes?

77%

23%

¿Realizan análisis de riesgos, evaluaciones de vulnerabilidad y penetración en forma regular?

63%

37%

Están de acuerdo con que su nivel de protección es adecuado para defenderse de los ataques externos

Muy de acuerdo

De acuerdo

Neutral

En desacuerdo

13%

23%

51%

13%

Fuente: Encuesta Ernst & Young. Nov. 2004

Asociado a las amenazas de seguridad, los siguientes incidentes ocasionaron una interrupción inesperada o no programada de sus sistemas: Incidente

Ocurrencia

Interno

Externo

Falla de hardware

72%

Virus, Trojan Horse o Worms

68%

Falla de telecomunicaciones

64%

Falla de software

57%

Falla de terceros, ej. proveedor del servicio

47%

Cuestiones de capacidad del sistema

46%

Errores operativos, ej. carga de software erróneo

42%

Falla de infraestructura, ej. incendio, corte de luz

42%

Mala conducta de empleados actuales o anteriores

24%

Ataques de Denegación de Servicio

23%

Fuente: Encuesta Ernst & Young. Nov. 2004

Las 5 principales iniciativas en implementación de políticas de seguridad informática Global

Ingresos > 1 mil millones

Servicios Financieros

Salud

Manufactura

1

Hacer cumplir la política de seguridad informática

Hacer cumplir política seguridad informática

Cumplir con las exigencias regulatorias relacionadas con la seguridad de la información

Intensificar el programa de recuperación ante desastres informáticos

Mejorar la seguridad en redes

2

Intensificar el programa de recuperación ante desastres informáticos

Alinear la estrategia de seguridad con las metas y los objetivos del negocio

Intensificar el programa de recuperación ante desastres informáticos

Hacer cumplir política seguridad informática

Hacer cumplir política seguridad informática

3

Mejorar la seguridad en redes

Cumplir con las exigencias regulatorias relacionadas con la seguridad de la información

Hacer cumplir la política de seguridad informática

Alinear la estrategia de seguridad con las metas y los objetivos del negocio

Intensificar el programa de recuperación ante desastres informáticos

4

Alinear la estrategia de seguridad con las metas y los objetivos del negocio

Homogeneizar la tecnología / políticas / procedimientos de seguridad de la información

Intensificar el programa de continuidad del negocio

Homogeneizar la tecnología / políticas / procedimientos de seguridad de la información

Homogeneizar la tecnología / políticas / procedimientos de seguridad de la información

5

Intensificar el programa de continuidad del negocio

Intensificar el programa de recuperación ante desastres informáticos

Alinear la estrategia de seguridad con las metas y los objetivos del negocio

Incrementar la capacitación / concientización de los empleados en seguridad informática

Alinear la estrategia de seguridad con las metas y los objetivos del negocio

la de

la de

la de

Fuente: Encuesta Ernst & Youn Nov. 2004

¿Qué se debe Garantizar? Asegura que los datos y sus métodos de procesamiento son exactos y completos

Integridad

Acceso a los datos sólo por personal autorizado

Información

Confidencialidad

Acceso a los datos en el momento en que sean necesarios

Disponibilidad

Objetivos de la Seguridad de la Información •

Minimizar la probabilidad de ocurrencia de pérdidas económicas debido a deficiencias, fallas o eventos externos adversos sobre la información y la tecnología que soportan los procesos críticos de la Compañía.

Acerca de la Encuesta Global de Seguridad de la Información de Ernst & Young

Encuesta Global de Seguridad de Información de Ernst & Young











En 1993 efectuó primera encuesta de seguridad, en coordinación con Information Week. En 1997, Ernst & Young decide continuar con este proyecto bajo su total responsabilidad. Esta encuesta es utilizada como un benchmark de la industria a nivel local y mundial. Esta encuesta permite mejorar los programas de seguridad de las organizaciones. Cualquier empresa a nivel global puede participar de esta encuesta.

Gestión Efectiva de la Seguridad IT: Principales Obstáculos

Resultados encuesta 1994 1. Carencia de recurso humano 2. Limitaciones o restricciones de presupuesto 3.Concientización de la Gerencia

4. Herramientas y situación

Resultados encuesta 2003 1. Limitaciones o restricciones de presupuesto 2. Prioridad de recursos 3. Personal entrenado

4. Compromiso de la alta gerencia 5. Concientización de la Gerencia

Resultados encuesta 2004 1. Concientización en seguridad de los usuarios 2. Limitaciones o restricciones de presupuesto 3. Personal entrenado 4. Dificultad en asignar valor a la seguridad de información 5. Velocidad del cambio en IT

Fuente: Ernst & Young “Global Information Security Survey”

Resultados encuesta 2005 1. Concientización de la Gerencia y usuarios 2. Limitaciones o restricciones de presupuesto 3. Dificultad en asignar valor a la seguridad de información 4. Nuevas tecnologías

Resultados de la Encuesta Global de Seguridad de la Información 2005

La brecha continúa creciendo entre la aparición de nuevos riesgos como consecuencia de constantes cambios en los negocios y la manera cómo la Seguridad de

Antecedentes Demografía de la Encuesta



■ ■ ■



Participaron cerca de 1,300 organizaciones a nivel mundial. 279 fueron organizaciones latinoamericanas. 59 fueron organizaciones peruanas. 26 industrias representadas (p. ej. Sector Financiero, Manufactura, Sector Público, Telecomunicaciones). El 74% de los encuestados fueron CIOs, CISOs u otros ejecutivos de tecnología de información.

Antecedentes (cont.) Hallazgos de la Encuesta



Focalizada en cuatro áreas que indican una gran brecha en los riesgos relacionados con Seguridad de Información: – Regulación vs. Cumplimiento. – Crecimiento de la interdependencia con otras empresas. – Requerimientos del negocio ante la aparición de nuevas tecnologías. – Organización de la Seguridad de Información.



Los hallazgos resultan constantes para las 26 industrias que participaron en la encuesta.

Regulación vs. Cumplimiento

Percepción de la Importancia de la Seguridad de la Información 2%

Ningún beneficio

2%

13%

Otros

7%

Implementar mejores prácticas en Seguridad de la Información

77% 81%

Demostrar a los clientes que cumplo con buenas prácticas relacionadas a la Seguridad de la Información

68% 67%

43%

Ser comparable con otras compañías

41%

Global Perú

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

¿Cuáles son los beneficios para su organización al adquirir estándares de seguridad informática?

Impacto en la Seguridad de Información Resultados Globales vs. Locales

53%

Virus y Gusanos

34%

Nuevas Tecnologías Cumplimiento de Regulaciones

38%

Cumplimiento de los objetivos de negocios

38%

Prioridades de Seguridad Corporativa 21%

10%

Publicidad Negativa 6%

Otros Perú

0%

61% 49% 52%

33%

13% 16%

Requerimientos de Certificación en Seguridad de Información

Global

52%

34%

Phishing y Spyw are

57%

16%

10%

10%

20%

30%

40%

50%

60%

Aspectos que afectaron significativamente la Seguridad de Información en las organizaciones en los 12 últimos meses

70%

Las Oportunidades que Resultan del Cumplimiento Permanecen Desatendidas ■ Sólo el 41% está

utilizando el cumplimiento como una oportunidad para hacer cambios en sus arquitecturas de seguridad. ■ Sólo algunos están utilizando el cumplimiento para hacer cambios reales en otras áreas de Seguridad de Información.

Crear o actualizar políticas y procedimientos Capacitar y concientizar Cambiar la arquitectura Reorganizar las funciones de Seguridad de MedidasInformación de Seguridad

de Información que están siendo implementadas por las organizaciones como resultado de tener que cumplir con las regulaciones de control interno tales como Sarbanes-Oxley, la 8va. Directiva de la Unión Europea u otras equivalentes.

Crecimiento de la Interdependencia con Otras Empresas

Procesos Inmaduros e Inadecuados en la Administración del Riesgo con Proveedores

No la toman en cuenta

■ Una quinta parte

no toma en cuenta la administración del riesgo con proveedores. ■ Una tercera parte sólo tiene implementados procedimientos informales para hacerlo.

Procedimientos informales Procedimientos formales Procedimientos formales validados por un tercero

¿Cómo las organizaciones están tomando en cuenta la administración del riesgo con sus proveedores?

Procesos Inmaduros e Inadecuados en la Administración del Riesgo con Proveedores ■ Tres cuartas partes

indican que sus proveedores cuentan con la habilidad de soportar las políticas, procedimientos, estándares de sus organizaciones. ■ Sólo una sexta parte requiere revisiones de terceras partes independientes de proveedores y socios. ■ Sólo una cuarta parte requiere que proveedores y socios sean certificados.

Los proveedores tienen la capacidad de soportar sus propias políticas y estándares Los proveedores cuentan con sus propias políticas y procedimiento Los proveedores son certificados Terceras partes han revisado las prácticas de Seguridad de Información de los proveedores y las han comparado con las mejores prácticas

Requerimientos de las organizaciones para la administración del riesgo con proveedores y socios de negocio.

El Valor de los Estándares Reconocidos ■ El 25% indica que están

usando ISO 17799 y el 30% está planeando implementarlo ■ Cerca de la cuarta parte indica que están aplicando ITIL y el 22% está planeando implementarlo. ■ Más del 60% reconoce que la aplicación de estos estándares muestra a sus clientes un alto compromiso con las buenas prácticas de Seguridad de Información.

ISO 17799/BS 7799 IS Forum

CobIT

ITIL

Otros



No, lo planea

No

¿Cuándo las organizaciones planean adoptar formalmente o certificarse en uno de los siguientes estándares?

El Valor de los Estándares Reconocidos Resultados Locales ■ Tanto organizaciones

grandes como pequeñas aún tienen un largo camino en la adopción y certificación de estándares de Seguridad de Información.

Perú ISO 17799/ BS 7799

4%

44%

Information Security Forum

4%

CobIT

2%

ITIL

4%

96%

19%

12.1%

Other 0%

53%

80%

22%

74%

5%

20%

77%

40% Yes Sí- - BU

60% Yes - Enterprise Sí-Toda la

Unid.Neg. Compañía

80% No No- Plan lo to

planea

100% No

Tercerización Resultados Globales vs. Locales ¿Tienen planeado tercerizar la Seguridad de Información en alguna de las siguientes áreas? Soporte de Auditoria y Cum plim iento - Global

20%

64%

Soporte de Auditoria y Cum plim iento - Perú

22%

60%

Adm inistración de Proyectos - Global

10%

Adm inistración de Proyectos - Perú

10%

16% 18%

83%

7%

88%

2%

Entrenam iento y Concientización - Global

24%

66%

10%

Entrenam iento y Concientización - Perú

24%

66%

10%

Respuesta ante incidentes - Global

9%

Respuesta ante incidentes - Perú

72%

16%

Operaciones de Rutina - Global

12%

Operaciones de Rutina - Perú

12%

Ingenieria de Seguridad - Global

13%

Ingenieria de Seguridad - Perú Estrategia - Global Si No Actualm ente Tercerizado

Estrategia - Perú

70%

14%

67%

21%

76%

12%

72%

17%

15%

75%

8%

8%

86%

6% 0%

19%

6%

92% 10%

20%

30%

40%

50%

2% 60%

70%

80%

90%

100%

Requerimientos del Negocio Ante la Aparición de Nuevas Tecnologías

y

#

Preocupaciones en Seguridad de Información ■ La mitad de los

encuestados reconocen a la tecnología móvil como una preocupación de Seguridad de Información ■ Las preocupaciones bajan para otras tecnologías en desarrollo, a pesar de las serias amenazas que éstas conllevan.

Computación móvil Dispositivos removibles Redes inalámbricas Telefonía de Voz sobre IP Software libre Virtualización de servidores

Las principales nuevas tecnologías que las organizaciones han identificado como preocupaciones en Seguridad de Información

Preocupaciones en Seguridad de Información Resultados globales vs. locales GLOBAL - Redes Inalámbricas

54%

PERU - Redes Inalámbricas

Actualmente En 6 meses En 12 meses Desconoce

24%

43% 60%

GLOBAL - Aplicaciones Web

13% 21%

53%

19%

34%

PERU - Telefonía de voz sobre IP

36%

GLOBAL - Dispositivos removibles(e.g., USB flash drive, portable drives)

28%

20% 22%

11%

51%

18%

PERU - Nuevos Productos Windows

22%

26%

40%

GLOBAL - Computación móvil (e.g., PDA, smart phones, Black Berry)

28%

PERU - Computación móvil (e.g., PDA, smart phones, Black Berry)

26%

38%

0%

10%

20%

40%

50%

0% 9% 11%

60%

7% 12%

16%

42%

30%

9%

20%

50%

6% 11%

18%

55%

0%

12%

33%

73%

GLOBAL - Nuevos Productos Windows

10%

27%

44%

PERU -Software libre

8% 15%

61%

GLOBAL - Software libre

7% 10%

32%

GLOBAL - Redes punto a punto

6%

28%

53%

PERU - Redes punto a punto

10%

26%

43%

PERU - Dispositivos removibles (e.g., USB flash drive, portable drives)

11%

26%

31%

0% 5%

5% 22%

48%

GLOBAL -Telefonía de voz sobre IP

14%

32% 62%

PERU - Aplicaciones Web

9%

43%

GLOBAL - Servicios Web PERU -Servicios Web

14%

70%

80%

8% 21%

0%

90%

100%

No Existen Planes para Manejar los Riesgos de Seguridad de las Nuevas Tecnologías ■ Entre un cuarto y un

tercio de los encuestados indican que no planean, por lo menos en los próximos doce meses, tomar acción en las preocupaciones de seguridad relacionadas con las nuevas tecnologías.

Computación móvil Dispositivos removibles Redes inalámbricas Telefonía de Voz sobre IP Software libre Virtualización de servidores Ahora

6-12 meses

Más de 12 meses

¿Cuándo las organizaciones planean manejar las preocupaciones relacionadas con las nuevas tecnologías?

Organización de la Seguridad de Información

La Seguridad de Información en la Organización ■



En los resultados globales, dos terceras partes de los encuestados indican que cuentan con un puesto de Oficial de Seguridad de Información. Resultados en el Perú: ¿Su organización cuenta con un puesto de Oficial Seguridad de Información?



53%

No

0%

47%

10%

20%

30%

40%

50%

60%

Responsabilidad de la Función de Seguridad Informática 12%

Gerente General

14%

5% 6%

Gerente Operativo Gerente Financiero

22%

9%

31%

Gerente de Sistemas Oficial de Seguridad Oficial de Privacidad y Riesgo

7% 0%

Asesor Legal

10%

3% 5%

1% 3%

Comité de Seguridad Informática

5% 12% 13%

Otro Global

42%

Peru 0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

¿A quién le reporta la función de Seguridad Informática en su organización?

Frecuencia de Reuniones para Discutir Temas de Seguridad de Información ■ El 40% se reúne

con la Junta de Directores y Comités de Auditoría menos de una vez al año o nunca. ■ El 44% indica la misma frecuencia al reunirse con su Departamento Legal.

Mensualmente o frecuentemente Trimestralmente Dos veces al año Anualmente Menos frecuente Nunca

Junta de Directores/Comité de Auditoría

L ega l

Frecuencia de reuniones entre líderes de Seguridad de Información y su Junta de Directores/Comité de Auditoría y Departamento Legal para discutir objetivos del negocio y necesidades de Seguridad de Información.

Aprobación del Presupuesto de Seguridad Informática

31% 30%

Gerente General 3%

Gerente Operativo

7%

Gerente Financiero 8%

Gerente de Sistemas

0% 1%

Asesor Legal

3%

Comité de Seguridad Informática

2% 3%

5%

Otro Global

28%

2% 2%

Oficial de Seguridad Oficial de Privacidad y Riesgo

36%

16%

10%

13%

Peru 0%

5%

10%

15%

20%

25%

30%

35%

40%

¿Quién aprueba el Presupuesto de Seguridad Informática de su organización?

Procedimientos Formales Implementados Parcialmente Resultados Locales Promoviendo la Seguridad de 8% Información dentro del proceso de desarrollo de aplicaciones 2% Respuesta de incidentes Plan de continuidad de negocios 5% Administración del riesgo con proveedores Convergencia de la seguridad física y 4% Tecnología de información Capacitación y Concientización 9%

66%

24%

2%

71%

24%

3%

73%

15%

34%

7%

40%

24%

73%

18%

39% Procedimient os informales No afrontados

2%

5%

47% Existen procedimient os formales

5% Existen procedimientos formales validados por un tercero

Distribución del Tiempo y Presupuesto Asignados a Actividades de Seguridad ■ Más de la mitad

del tiempo y el presupuesto de Seguridad de Información se asignan a operaciones rutinarias y a responder ante incidentes. ■ Sólo el 22% del tiempo del presupuesto se asignan a estrategias.

22%

Estrategia (incluye desarrollo de políticas y procedimientos)

25%

Operaciones de rutina (administración de cuentas, de vulnerabilidades, de parches, entre otros)

38% 38%

15%

Respuesta ante incidentes cuando existe un ataque (incluye w orms y virus)

18%

18%

Actividades de cumplimiento o relacionadas a auditoría

14%

6%

Otros

4%

Global Perú

0%

5%

10%

15%

20%

25%

30%

35%

Asignación del tiempo y presupuesto para actividades de Seguridad de Información.

40%

Responsables de Ejecución de los Planes de Acción Resultados Locales Estrategia Tecnología de Información

Desarrollo de políticas y procedimientos

Arquitectura e Infraestructura

Líderes de Unidades del Negocio Gerentes Corporativos Organización de la Seguridad Auditoría Interna Área Legal Oficina de Regulaciones Otro

Cuando ocurre un cambio significativo en el entorno de la organización, quién está involucrado en la revisión de las actividades y desarrollo de los planes de acción de la Seguridad Informática?

Capacitación y Programas de Concientización - Resultados Globales ■ Dos terceras partes de

los encuestados brindan capacitación a la Gerencia sobre temas de Seguridad de Información y su respectivo impacto. ■ Sólo una tercera parte de los encuestados brinda capacitación para responder ante incidentes de seguridad. ■ Menos de la mitad de los encuestados brinda este entrenamiento a grupos generales de usuarios.

Impacto de eventos de seguridad en la organización Políticas y procedimientos Respuesta ante incidentes de seguridad

Gerencias

Grupos generales de usuarios

Capacitación y programas de concientización sobre Seguridad de Información, ofrecidos a las gerencias de la organización y grupos generales de usuarios.

Capacitación y Programas de Concientización - Resultados Locales ■ Dos terceras partes

de los encuestados brindan capacitación a la Gerencia sobre temas de Seguridad de Información y su respectivo impacto. ■ Sólo una tercera parte de los encuestados brinda capacitación para responder ante incidentes de seguridad. ■ Casi la totalidad de los encuestados brinda capacitación sobre las Políticas y Procedimientos a los Usuarios Generales.

Impacto de eventos de seguridad en la organización

60% 37%

67%

Políticas y procedimientos 86%

33%

Respuesta ante incidentes de seguridad

37%

Gerencias Grupos generales de usuarios

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Capacitación y programas de concientización sobre Seguridad de Información, ofrecidos a las gerencias de la organización y grupos generales de usuarios.

Cerrar la Brecha Medidas Resultantes de la Encuesta

Medidas Resultantes de la Encuesta ■







Regulación vs. Cumplimiento – Considerar que los requerimientos legales, contractuales y regulatorios son una oportunidad para promover la Seguridad de Información como parte integral del negocio. Crecimiento de la interdependencia con otras empresas. – Incrementar el valor de trabajar con terceros y adoptar estándares de seguridad a fin de aplicar mejores prácticas globales. Requerimientos del negocio ante la aparición de nuevas tecnologías – Tomar medidas que permitan que el negocio sea conducido de forma más segura ante la aparición de nuevas tecnologías. Desarrollar la Organización de la Seguridad de Información – Poner en marcha mejores prácticas para alinear estrechamente la Seguridad de Información con la organización.

Related Documents

Aud Uni 08
October 2019 7
Aud Uni 09
October 2019 4
Aud Uni 03
October 2019 8
Aud Uni 07
October 2019 3
Aud Uni 06
October 2019 4
Aud Uni 02
October 2019 4