Apuntes Information Security III

Posted by Unknown in , on -



Qué es administración del programa de seguridad de la información?

La administración del programa de seguridad de la información incluye dirigir, supervisar y monitorear las actividades relacionadas con la seguridad de la información para apoyar los objetivos de la organización.


Medición del Desempeño de la Gerencia de S.I.


El gerente de seguridad de la información debe saber cómo implementar procesos y mecanismos que proporcionen la capacidad de valorar el éxito alcanzado y las deficiencias de la gerencia de seguridad de la información. 
Definir objetivos cuantificables
Monitorear las métricas más apropiadas
Analizar los resultados de forma periódica para determinar los puntos de éxito y las oportunidades de mejora.


Retos

El gerente de seguridad de la información debe estar consciente de los retos comunes y las estrategias con las que deberá enfrentarlos.

  • Apoyo inadecuado de la Gerencia
  • Financiamiento Inadecuado
  • Personal Inadecuado

Pasos para el desarrollo de un programa de seguridad de la Información



Implementación

  1. Mantenimiento de Documentos
  2. Métricas y Monitoreo de la Gestión de SI
  3. Pruebas y Modificaciones de Controles
  4. Outsourcing y Proveedores de Servicios
  5. Integración en los Procesos del Ciclo de Vida
  6. Monitoreo y Comunicación
  7. Documentación
  8. Integración de las actividades de Aseguramiento
  9. Reglas Generales de uso/Política de uso Aceptable
  10. Asignación de Roles y Responsabilidades
  11. Proceso de Gestión de Cambios
  12. Evaluaciones de Vulnerabilidad
  13. Cultura

Conclusiones
  • El Monitoreo y Métricas toman principal relevancia en la administración del Programa de Seguridad.
  • A través de ellos es que se logrará una efectiva administración del Programa, verificando el cumplimiento de los procesos y controles así como se evaluará el desempeño del programa.
  • El Administrador deberá desarrollar capacidades que le permitan obtener el apoyo de la Alta Dirección de tal modo que las responsabilidades de S I de las demás unidades responsables participen activamente.
  • La Concienciación y Capacitación son actividades relevantes para conseguir el apoyo de la Alta Dirección.







Leave a Reply

Si vas a comentar recuerda que:

1) Se moderará cada uno de los comentarios antes de ser publicados.

2) Trata de comentar con tu Nombre/URL y no como usuario Anónimo.

3) No se permiten los insultos ni nada parecido.

4) No se permiten los Spoilers ni el Spam (a menos que sea recomendando tu Blog/Web).