2011 CISM Review Course Ch1 - EPN (1)

7/29/2019 2011 CISM Review Course Ch1 - EPN (1)

1/159

ISACA

Confianza y valor desdeSistemas de Informacin


2/159

Curso de Preparacin 2011 CISM

Captulo 1Gobierno de la Seguridad

de la Informacin


3/159

Agenda del Curso

Objetivos de aprendizaje Discutir las tareas y las declaraciones de

conocimiento Discutir tpicos especficos dentro del

captulo

Casos de estudio Preguntas ejemplo


4/159

Asegurar que el candidato a CISMComprenda los amplios requerimientos para un gobierno eficaz deseguridad de la informacin, as como los elementos y lasacciones que se requieren para desarrollar una estrategia de

seguridad de la informacin y un plan de accin paraimplementarla.

Relevancia para el Examen

% sobre el Total de Preguntas del

Examen

Captulo 1

23%

Captulo 2

22%Captulo 3

17%

Captulo 4

24%

Captulo 5

14%

El rea contenida en este captulorepresenta aproximadamente el

23% del examen CISM (cerca de46 preguntas).


5/159

Captulo 1 Objetivos de Aprendizaje

Desarrollo de una estrategia de seguridad de la informacinalineada con metas y objetivos de negocios

Alinear la estrategia de seguridad de la informacin con el gobiernocorporativo

Desarrollo de casos de negocios que justifiquen la inversin enseguridad de la informacin

Identificar los requerimientos legales y regulatorios vigentes ypotenciales.

Identificar impulsores que afectan a la organizacin Obtener el apoyo de la alta direccin Definir roles y responsabilidades para seguridad de la informacin Establecer canales de reporte y comunicacin tanto externos como

internos


6/159

1.1 Introduccin

El objetivo de este trabajo es el anlisis detareas para asegurar que el ISM entiende:

Los amplios requerimientos para un efectivogobierno de la seguridad de la informacin.Los elementos y acciones requeridos paradesarrollar una estrategia de seguridad de lainformacin y un plan para ejecutarla.


7/159

1.4 Visin General del Gobierno de laSeguridad de la Informacin

La informacin se ha convertido en un componenteindispensable de la conduccin de los negocios devirtualmente todas las organizaciones.

De acuerdo a un estudio de The Brookings Institute, lainformacin de una organizacin y otros activosintangibles representan ms del 80% de su valor demercado.

La proteccin de los recursos de informacin es una tareade nivel de directorio como una funcin de gobierno.


8/159


(continuacin)

Adems de la importancia que tiene la informacinen el valor de mercado de la organizacin:

Los delitos y el vandalismo asociados a computadores

se han incrementado Las leyes y regulaciones, tanto nuevas y existentes,

estn demandando cada vez ms exigencia encumplimiento y mayores niveles de responsabilidad.

La proteccin de los recursos de informacin se haconvertido en una tarea de nivel de directorio.


9/159


(continuacin)

seguridad de la informacin no es lo mismo que

seguridad TI Seguridad TI es slo una pieza de la seguridad

de la informacin


10/159


(continuacin)

Seguridad de TI Focalizada en la tecnologa. Conducida a nivel del Chief Information Officer(CIO)

Seguridad de la informacin Universo de riesgos, beneficios y procesos

involucrados con la informacin Conducida por un ejecutivo y apoyada por el directorio Se refiere a los contenidos, informacin y

conocimiento


11/159


(continuacin)

Gobierno de seguridad de la informacin Se convierte en algo crecientemente crtico Responsabilidad del directorio y los miembros del

equipo ejecutivo Parte del gobierno corporativo

Consiste en:

Liderazgo Estructura Organizacional Procesos


12/159


13/159

1.4.1 Importancia del Gobierno de laSeguridad de la Informacin

(continuacin) Un gobierno de seguridad de la informacin robusto puedeofrecer muchos beneficios a una organizacin. Estosincluyen:

Abordar el creciente potencial de responsabilidad civil o legal de

la organizacin y su alta direccin como resultado de informacininexacta, la ausencia de debido cuidado en su proteccin ocumplimiento regulatorio inadecuado.

Ofrecer garantas de cumplimiento de polticas Aumentar la predictibilidad y reducir la incertidumbre en el

negocio. Disminuir riesgos a niveles definibles y aceptables


14/159


(continuacin)Un gobierno de seguridad de la informacin robustopuede ofrecer muchos beneficios a unaorganizacin. Estos incluyen:Mejora la confianza en la relacin con los clientesProtege la reputacin de la organizacinEntrega responsabilidades por el resguardo de lainformacin durante actividades crticas para el negocio


15/159


(continuacin) Una seguridad de la informacin efectiva puedeagregar valores significativos a la organizacin atravs de: Reduccin de perdidas por eventos relativos a

seguridad. Aseguramiento de que incidentes y brechas de

seguridad no sean catastrficos.


16/159

1.4.2 Resultados del Gobierno dela Seguridad de la Informacin

Los seis resultados ms importantes son: Alineamiento Estratgico

Gestin de Riesgos Generacin de Valor Gestin de Recursos Medicin de Desempeo

Integracin


17/159

1.4.2 Resultados del Gobierno de laSeguridad de la Informacin

(continuacin)

Los seis resultados ms importantes son: Alineamiento Estratgico Gestin de Riesgos Generacin de Valor Gestin de Recursos Medicin de Desempeo

Integracin


18/159

1.5 Gobierno Eficaz de Seguridadde la Informacin

Una clara estrategia organizacional para la preservacines igualmente importante y debe acompaar a laestrategia para el progreso.

De acuerdo a Aberdeen Group: Las firmas que operan en niveles best-in-class(seguridad) han

disminuido sus prdidas financieras a menos de 1% de suingresos, mientras otras organizaciones estn experimentandotasas de prdida que superan el 5%


19/159

1.5.1 Metas y Objetivos delNegocio

El gobierno corporativo es el conjunto deresponsabilidades y prcticas ejercidas por el directorio yel equipo ejecutivo

Sus metas pueden incluir: Entregar direccin estratgica Asegurar el logro de los objetivos Asegurar que los riesgos son gestionados

apropiadamente Verificar que los recursos de la compaa son

utilizados responsablemente


20/159

1.5.1 Metas y Objetivos delNegocio (continuacin)

Qu es Gobierno de seguridad de la informacin? Es un subconjunto del Gobierno Corporativo Entrega direccin estratgica a las actividades de seguridad y

asegura el logro de los objetivos.

Ayuda a asegurar que los riesgos de seguridad son gestionadosapropiadamente Tambin ayuda a asegurar que los recursos de informacin son

utilizados responsablemente.


21/159


En orden a asegurar la efectividad del Gobierno deseguridad de la informacin, la gerencia debe establecer ymantener un marco de trabajo Este marco de trabajo deber guiar el desarrollo y gestin de un

programa de seguridad de la informacin consistente que apoye losobjetivos de negocios.


22/159


El marco de trabajo de gobierno generalmenteconsistir en:

Una estrategia de seguridad completa vinculada a los

objetivos del negocio Las polticas de Seguridad deben ocuparse de cada

aspecto estratgico, controles y regulaciones Un conjunto completo de estndares para cada poltica

Una estructura organizacional libre de conflictos deintereses con la suficiente autoridad y recursos Mtricas y procesos de monitoreo para garantizar el

cumplimiento y entregar retroalimentacin


23/159

1.5.2 Roles y Responsabilidadesde la Alta Direccin

Consejo de direccin/Alta direccin Gobierno de seguridad de la informacin

Direccin ejecutiva Implementar un gobierno efectivo de seguridad y definir los objetivos

estratgicos de seguridad Comit Directivo

Asegurar que todas las partes interesadas impactadas porconsideraciones de seguridad estn involucradas.

CISO Las responsabilidades van desde el CISO (quien reporta al CEO) hasta

los administradores de sistemas que tiene una responsabilidad demedio tiempo por la gerencia de la seguridad


24/159

1.5.3 Matriz de Resultados yResponsabilidades


25/159

1.5.5 Modelo de Negocios paraseguridad de la informacin

Modelo creado por el Institute for CriticalInformation Infrastructure Protection

Un enfoque orientado a negocios para gestionar la

seguridad de la informacin. Se ve mejor como un sistema flexible, en 3-D, laestructura piramidal compuesta por cuatroelementos unidos por seis interacciones dinmicas


26/159

1.5.5 Modelo de Negocios paraseguridad de la informacin

(continuacin)


27/159

1.6 Conceptos de Seguridad de laInformacin

Acceso Arquitectura Ataques Auditabilidad Autenticacin Autorizacin

Disponibilidad Anlisis deDependencia delNegocio

Anlisis de Impacto en elNegocio

Confidencialidad

Controles Contramedidas Criticidad Clasificacin de Datos Exposicin Anlisis de Brecha Gobierno


28/159

1.6 Conceptos de Seguridad de laInformacin (continuacin)

Identificacin Impacto Integridad Capas de Seguridad Gestin No repudio Polticas Riesgo Residual Riesgo

Mtricas de Seguridad Sensibilidad Estndares Estrategia Amenazas Vulnerabilidad

Arquitectura Corporativa Dominios de Seguridad Modelos de Confianza


29/159

1.6.1 Tecnologas

Firewalls

Administracin de Cuentas deUsuario

Deteccin de Intrusos yPrevencin de Intrusos

Antivirus Antispam Infraestructura de llave pblica

(PKI) Secure Sockets Layer(SSL) Single sign-on(SSO) Biometra Cifrado Cumplimiento en Privacidad

Acceso remoto Firma Digital Intercambio Electrnico de

datos (EDI) y transferenciaelectrnica de fondos (EFT) Redes Privadas Virtuales

(VPNs) Forense

Tecnologas de Monitoreo Administracin de identidades y

accesos (IAM) Administracin de Seguridad de

informacin y eventos (SIEM)

1 7 1 R bilid d d


30/159

1.7.1 Responsabilidades deAdministracin de Seguridad de

Informacin

Las responsabilidades relativas a seguridad deinformacin pueden ser asignadas a:

El CISO, quien reporta al CEO Ejecutivos part-timequienes tienen responsabilidad

en seguridad adems de sus responsabilidadesprincipales.


31/159

1.7.1 Responsabilidades de Administracinde Seguridad de Informacin

(continuacin)


32/159

1.7.2 Compromiso de la AltaDireccin

Para que la seguridad de la informacin sea exitosa debecontar con el apoyo de la alta direccin

Una aproximacin de gestin ascendente (bottom-up) a lasactividades de seguridad de la informacin es menos

probable que tenga xito.


33/159

1.7.2 Compromiso de la AltaDireccin (continuacin)

Aspectos de Seguridad relativos a la Alta Direccin:

Regulaciones Requerimientos de Cumplimiento Posibles Sanciones


34/159


La alta direccin debe tener un alto nivel de compromisopara :Asegurar altos estndares de Gobierno CorporativoTratar a la seguridad de la informacin como un aspecto

crtico del negocio y crear un ambiente positivo para laseguridad.Demostrando a los terceros involucrados que laorganizacin cumple con seguridad de la informacin enuna forma profesional

Aplicando principios fundamentales como asumir laresponsabilidad final por seguridad de la informacin,implementando controles proporcionales al riesgo yasegurando las responsabilidades individuales


35/159


La alta direccin demuestra su compromiso con la seguridadde la informacin a travs de:

Involucrarse directamente en aspectos de seguridad de alto niveltales como la poltica de seguridad de la informacin.

Proporcionando control de alto nivel Asignado suficientes recursos a la seguridad de la informacin Revisando peridicamente la efectividad de la seguridad de la

informacin Dar el ejemplo mediante la adhesin a las polticas y las prcticas

de seguridad de la organizacin


36/159


Obteniendo la participacin de la Alta Direccin: Una presentacin formal es la manera ms ampliamente

utilizada para que el gestor de seguridad de la

informacin asegure la participacin de la alta direccin yel apoyo a las polticas de gestin, estndares yestrategias de seguridad de la informacin.


37/159


Estableciendo canales de reporte y comunicacin Antes de obtener la participacin de la Alta Gerencia,

debe establecerse un canal de comunicacin a travs

de la organizacin para asegurar la efectividad yeficiencia de todo el sistema de gobierno de seguridadde informacin.


38/159

1.8 Alcance y Estatutos delGobierno de la Seguridad de la

Informacin Seguridad de la Informacin se ocupa de todoslosaspectos de la informacin

Seguridad de TI es concerniente a la seguridad de lainformacin en los lmites del dominio de la tecnologa.


39/159

1.8.1 Integracin del Proceso deAseguramiento Convergencia

Integracin de los procesos de aseguramiento de unaorganizacin con respecto a la seguridad

La meta es reducir las brechas de seguridad resultantes dela divisin arbitraria de funciones relativas a la seguridad(por ejemplo, seguridad fsica, gestin de riesgos,privacidad y cumplimiento).

Integracin de varias actividades de seguridad centradas

en torno a la seguridad de la informacin.


40/159

1.9 Mtricas del Gobierno de laSeguridad de la Informacin

Mtrica es un trmino que se utiliza para denotar unamedida que se basa en una referencia y que implica, almenos, dos puntos: la medida y la referencia

Las mtricas actuales de seguridad normalmente fallanen

informarnos acerca del estado o grado de seguridadrelativa a un punto de referencia


41/159

1.9.1 Mtricas de Seguridad de laInformacin

Es muy difcil o imposible administrar cualquier actividadque no se puede medir.

Mtricas estndar de seguridad incluyen algunas: Tiempo de inactividad producido por virus,

Porcentaje de servidores parchados. Nmero de penetraciones de sistemas.


42/159

1.9.1 Mtricas de Seguridad de laInformacin (continuacin)

Ninguna mtrica en s misma puede realmenteproporcionar informacin sobre que tan segura es

la organizacin en realidad, sin embargo, todo loque puede decirse es que:

Algunas organizaciones son atacadas ms frecuentemente y/osufren mayores perdidas que otras.

Existe una gran correlacin entre la buena gestin deseguridad y buenas prcticas y relativamente menor nmerode incidentes y prdidas.


43/159

1.9.2 Mtricas de Implementacinde Gobierno

Algunas formas de mtricas deben utilizarse durante laimplementacin de un plan de gobierno Indicadores clave de meta (KGIs) * e indicadores clave de

desempeo (KPIs) pueden utilizarse: Entregar informacin acerca de la consecucin de metas de

procesos y servicios Ayudar a determinar los hitos que son alcanzados.

* - KGIs tienden ms a reflejar metas estratgicas, por ejemplo, metasestratgicas de gobierno de seguridad de informacin, mientras los KPItienden a reflejar metas tcticas, tales como la reduccin del nmero decadas del sistema.


44/159

1.9.3 Alineacin Estratgica

El alineamiento estratgico de seguridad de la informacinen apoyo de los objetivos organizacionales es una metaaltamente deseable aunque difcil de lograr.

El mejor indicador general de que las actividades de

seguridad estn alineadas con los objetivos de negocios esuna estrategia de seguridad que: Define Objetivos de seguridad en trminos de negocios Ayuda a asegurar que los objetivos son directamente articulados

desde la planificacin a la implementacin de polticas, estndares ,

procedimientos, procesos y tecnologa.


45/159

1.9.3 Alineacin Estratgica(continuacin)

Indicadores de alineamiento: Un programa de seguridad que demostrablemente habilite actividades

especificas del negocio. Una organizacin de seguridad que es responsable de definir

requerimientos de negocio Los objetivos organizacionales y de seguridad estn definidos y

claramente entendidos por todos los involucrados en seguridad y reasrelacionadas con el aseguramiento.

Los programas de seguridad estn mapeados con los objetivosorganizacionales y el equipo ejecutivo ha validado este mapa.

Existe un comit directivo de seguridad conformado por ejecutivos clavey cuenta con estatutos para garantizar la continua alineacin de lasactividades relacionadas con la seguridad y la estrategia de negocio.


46/159

1.9.4 Gestin de Riesgos

La gestin de Riesgos es el objetivo ltimo las actividadesde seguridad de la informacin y, de hecho, de todos losesfuerzos de aseguramiento de la organizacin.

El administrador de seguridad de la informacin debe creary mantener un programa de administracin de riesgos

Meta final Reducir los impactos adversos a un nivel aceptable.

Se deben definir los objetivos y las expectativas de

administracin de riesgos. Muchas mtricas (por ejemplo, menores impactos de

incidentes en el tiempo) son indicativas de una

administracin de riesgos efectiva


47/159

1.9.5 Entrega de Valor

La generacin de valor ocurre cuando las inversiones enseguridad son optimizadas en apoyo a los objetivosorganizacionales

Los indicadores clave (KGIy KPI) son utilizados para

demostrar la generacin de valor.


48/159

1.9.5 Entrega de Valor(continuacin)

Los KPIsy KGIspueden crearse para mostrar: Actividades de Seguridad diseadas para alcanzar ciertos

objetivos estratgicos especficos El costo de seguridad es proporcional al valor de los activos Recursos de Seguridad que son asignados por grado de riesgo

valorado e impacto potencial Los costos de proteccin que se agregan en funcin de ingresos

o valoracin de activos

Los controles que estn bien diseados sobre la base deobjetivos de control definidos y se utilizaron en su totalidad Un nmero adecuado y apropiado de controles para alcanzar los

niveles de riesgo e impacto aceptable

E d V l


49/159

1.9.5 Entrega de Valor(continuacin)

KGIs KPIspueden crearse para mostrar : Control de eficacia que se determina mediante pruebas

peridicas Polticas implantadas que requieren todos los controles a ser

reevaluados peridicamente por el costo, el cumplimiento y laeficacia Utilizacin de controles; aquellos controles que se utilizan con

poca frecuencia no es probable que sean eficaces El nmero de controles para lograr un nivel de riesgo e impacto

aceptables; para ser ms costo efectivo son necesarios pocoscontroles ms efectivos que muchos controles poco efectivos. La eficacia de los controles segn lo determinado por las

pruebas; los controles marginales no parecen ser rentables.


50/159

1.9.6 Gestin de Activos

Administracin de recursos de seguridad de lainformacin

Procesos de planeacin, asignacin y control de losrecursos de seguridad de la informacin

Incluye personal, procesos y tecnologas, para mejorar laeficiencia y la efectividad de las soluciones de negocio

1 9 6 G i d A i


51/159

1.9.6 Gestin de Activos(continuacin)

Indicadores de gestin efectiva de recursos:

Problemas infrecuentes redescubiertos Captura y difusin efectivas del conocimiento. Procesos Estandarizados Roles y responsabilidades claramente definidas para las

funciones de seguridad de la informacin Funciones de seguridad de la informacin incorporadas dentro de

todos los planes de proyectos Activos de informacin y amenazas asociadas cubiertas por

recursos de seguridad La apropiada localizacin organizacional, nivel de autoridad y

nmero de personal para la funcin de seguridad de informacin.


52/159

1.9.7 Medicin del Desempeo

Medicin, monitoreo y reporte son crticos para asegurarque los objetivos organizacionales son alcanzados Mtodos para monitorear eventos relativos a seguridad a

lo largo de toda la organizacin deben ser desarrollados Entre los tipos ms frecuentes de medidas de

desempeo son: Mtricas que entregan una seal del desempeo de la maquinaria

de seguridad Cuadros de mando de seguridad

1 9 7 M di i d l D


53/159

1.9.7 Medicin del Desempeo(continuacin)

Indicadores de Medicin del Desempeo eficaz: Tiempo tomado para detectar y reportar incidentes relativos a

seguridad. El nmero y frecuencia de incidentes no reportados descubiertos

posteriormente. Evaluacin comparativa de las organizaciones por costos y

eficacia La habilidad para determinar la efectividad/eficiencia de los

controles. Claros indicios de que los objetivos de seguridad se estn

cumpliendo

1 9 7 M di i d l D


54/159

1.9.7 Medicin del Desempeo(continuacin)

Indicadores de Medicin del Desempeo eficaz: La ausencia de eventos de seguridad inesperados Conocimiento de la inminencia de amenazas

Medios efectivos para determinar las vulnerabilidades de laorganizacin Mtodos de seguimiento de evolucin de riesgos Coherencia de la prcticas de revisin de registros Resultados de las pruebas de planificacin de continuidad de

negocios (BCP)/Recuperacin ante desastres (DR)


55/159

1.9.8 Integracin del Proceso deAseguramiento (Convergencia)

Un rea de inters conceptual emergente en relacin conuna propuesta de resultados de Gobierno de seguridadde la informacin se denomina Aseguramiento deProcesos de Negocios o Aseguramiento de la

Integracin: Esfuerzo para integrar las funciones de aseguramiento paralograr que procesos operen como se espera desde principio a fin,minimizando los riesgos ocultos.

1 9 8 Integracin del Proceso de


56/159

1.9.8 Integracin del Proceso deAseguramiento (Convergencia)

(continuacin)

Los KGIsson diseados para medir los resultadosestratgicos:

No existen brechas en la proteccin de activos de informacin.

Eliminacin de superposiciones de seguridad innecesarias La perfecta integracin de las actividades de aseguramiento Roles y responsabilidades bien definidas Comprensin por parte de los Proveedores de Aseguramiento de

su relacin con otras funciones de aseguramiento. Todas las funciones de aseguramiento son identificadas y

consideradas en la estrategia

1.10 Visin General de la


57/159

1.10 Visin General de laEstrategia de Seguridad de la

Informacin

Qu es estrategia?Kenneth Andrews define estrategia corporativa como: Elpatrn de decisiones en una compaa que determina y

revela sus objetivos, propsitos o metas, produce lasprincipales polticas y planes para conseguir las metas ydefine el rango de negocios que la compaa seguir, eltipo de organizacin econmica y humana que es ointenta ser, y la naturaleza de la contribucin econmica ono-econmica que busca entregar a sus accionistas,empleados, clientes y comunidades

1.10 Visin General de la Estrategia


58/159

1.10 Visin General de la Estrategiade Seguridad de la Informacin

(continuacin)

Una estrategia de seguridad de la informacin: Declara objetivos/propsitos/metas Delinea las polticas y planes principales para asegurar

objetivos/propsitos/metas Define:

El rango de negocios Estado deseado para los negocios

Entrega la base para los planes de accin Los planes de accin deben ser formulados basndose en los

recursos y obligaciones disponibles. Los planes de accin deben contener provisiones para el

monitoreo y mtricas para determinar el nivel de xito

1.10 Visin General de la Estrategia


59/159

1.10 Visin General de la Estrategiade Seguridad de la Informacin

(continuacin)

1 10 1 Una Perspectiva Alterna de


60/159

1.10.1 Una Perspectiva Alterna dela Estrategia

Existen visiones alternativas acerca de estrategia:

McKinsey Modelo Adaptativo Sherwood Applied Business Security Architecture(SABSA)


61/159

1.11.1 Dificultades Comunes

Exceso de Confianza Optimismo Anclaje

1 11 1 Dificultades Comunes


62/159

1.11.1 Dificultades Comunes(continuacin)

Tendencia al status quo Contabilidad Mental Instinto Gregario Falso Consenso

1 12 Obj ti d l E t t i d


63/159

1.12 Objetivos de la Estrategia deSeguridad de la Informacin

El objetivo de desarrollar una estrategia deseguridad de la informacin Se deben definir Deben estar acompaados por el desarrollo de mtricas

para determinar si los objetivos sern alcanzados.

1.12 Objetivos de la Estrategia de


64/159

j gSeguridad de la Informacin

(continuacin)

Las seis metas del gobierno son: Alineamiento Estratgico

Gestin efectiva de riesgos Generacin de Valor Gestin de Recursos

Gestin de Desempeo Integracin de Procesos de Aseguramiento


65/159

1.12.1 La Meta

La meta de la seguridad de la informacin esproteger todos los activos de informacin de laorganizacin.

Toda la informacin realmente relevante debeser: Localizada e identificada Catalogada o clasificada, por criticidad y sensibilidad

Etiquetada (por ejemplo confidencial, secreta, para uso interno) Protegida de acuerdo a su etiquetado


66/159

1.12.2 Definicin de Objetivos

La estrategia de seguridad de la informacin es la basede los planes de accin para asegurar el logro de losobjetivos de seguridad

Los objetivos de largo plazo en trminos de un Estado

Deseado Deben reflejar la visin bien articulada de los resultados

deseados de un programa de seguridad Los objetivos de la estrategia de seguridad tambin

deben ser definidos en trminos de metas especficasdirectamente orientadas a apoyar las actividades denegocios

1 12 2 Definicin de Objetivos


67/159

1.12.2 Definicin de Objetivos(continuacin)

Vnculos de Negocios Pueden iniciar desde la perspectiva de los objetivos

especficos de una determinada lnea de negocio Deben tomar en consideracin todos los flujos de

informacin que son crticos para asegurar lacontinuidad de operaciones

Pueden descubrir los problemas de seguridad de lainformacin a nivel operativo

1 12 3 Desarrollo del


68/159

1.12.3 Desarrollo delCaso de Negocios

La motivacin para iniciar un proyecto debe ser capturaday comunicada Debe incluir : Referencias Contexto Proposicin de valor

Foco Entregables Dependencias Mtricas del Proyecto

Carga de Trabajo Recursos Requeridos Apoyos


69/159

1.12.4 El Estado Deseado

El estado deseado comprende una fotografade todas las condiciones relevantes en un puntodel tiempo

Incluyendo personas, procesos y tecnologas

Un Estado deseado de seguridad debe serdefinido en trminos de atributos, caractersticas

y resultados: El desarrollo de la estrategia tendr lmites sobre lostipos de mtodos de aplicacin a considerar

1 12 4 El Estado Deseado


70/159

1.12.4 El Estado Deseado(continuacin)

El estado deseado de acuerdo a COBIT (ControlObjectives for Information and related Technologies) "La proteccin de los intereses de aquellos que confan

en la informacin, procesos, sistemas y comunicacionesque manipulan, almacenan y entregan la informacin, decualquier dao resultante de fallas de disponibilidad,confidencialidad e integridad

Focalizada en los procesos relacionados con TI desdelas perspectivas de Gobierno TI, gestin y control.



71/159


El estado deseado de la seguridad puede ser definido como el logro dealgn nivel especfico de Capability Maturity Model (CMM)

0: Inexistente La organizacin no reconoce la necesidad deseguridad.

1: Ad hoc Los riesgos son considerados sobre una base adhoc No existen procesos formales

2: Repetible pero intuitiva Comprensin emergente de riesgos ynecesidades de seguridad

3: Procesos Definidos Gestin amplia de riesgospolticas/capacitacin de seguridad

4: Gestionado y Medido Procedimientos estandarizados devalorizacin de riesgos, roles y responsabilidades asignadas,polticas y estndares implantados

5: Optimizado Procesos ampliamente implantados,monitoreados y gestionados a lo largo de toda la organizacin.



72/159


El Cuadro de Mandos Balanceados usa cuatro perspectivas



73/159


ISO/IEC 27002/ISO/IEC 27001 Las 11 DivisionesPrincipales: Poltica de Seguridad Organizando la seguridad de la informacin

Gestin de Activos Seguridad de Recursos Humanos Seguridad Fsica y Ambiental Gestin Comunicaciones y Operaciones Control de Acceso Adquisicin, desarrollo y mantencin de sistemas de informacin Gestin de incidentes de seguridad de la informacin Gestin de Continuidad de Negocios Cumplimiento



74/159


Otras aproximaciones Estndares de Calidad ISO (ISO 9001:2000) Six Sigma

Publicaciones de NIST y ISF US Federal Information Security Management Act

(FISMA)


75/159

1.12.5 Objetivos de Riesgo

Debe alcanzar un nivel de riesgo que la gerenciaconsidere aceptable

Un riesgo aceptable definido determinar los objetivos decontrol u otras medidas de mitigacin del riesgo utilizadas

Los objetivos de control sern decisivos para determinar

el tipo, la naturaleza y el alcance de los controles ycontramedidas que utilizar la organizacin paraadministrar el riesgo

Una forma con la que cuenta el administrador deseguridad de la informacin para resolver la cuestin delriesgo aceptable es mediante el desarrollo de TiempoObjetivo de Recuperacin (RTOs) que indica el tiempoapropiado de intervencin (por ejemplo, durante unapagn).

1 12 5 Objetivos de Riesgo


76/159

1.12.5 Objetivos de Riesgo(continuacin)

Desarrollar los objetivos correctos: Por lo general requiere de un enfoque iterativo Basado en un anlisis de costos para alcanzar el estado deseado

y los niveles de riesgo aceptable

Los controles fsicos, de procesos y procedimientosdeben ser ms efectivos y menos costosos A menudo los riesgos de procesos implican el mayor

peligro Es poco probable que los controles tcnicos puedan

resolver de manera adecuada una administracindeficiente


77/159

1 13 1 Ri l


78/159

1.13.1 Riesgo actual

El estado de riesgo actual se debe determinar medianteuna evaluacin integral de riesgos Despus de la Valorizacin del Riesgo, debe ejecutarse

una evaluacin/anlisis de impacto al negocio (BIA)

Mostrar el impacto de eventos adversos (por ejemplo,apagones) sobre diferentes perodos de tiempo. Arrojar parte de la informacin que se requiere para desarrollar una

estrategia eficaz

El objetivo final de seguridad es brindar confianza en el proceso

de negocio y minimizar el impacto que puedan ocasionar losincidentes adversos

La estrategia debe resolver la diferencia entre niveles aceptables deimpacto y el nivel actual de posibles impactos

1.14 Estrategia de Seguridad de la


79/159

1.14 Estrategia de Seguridad de laInformacin

Para moverse del estado actual al estadodeseado Base para elaborar una hoja de ruta

Un conjunto de objetivos de seguridad de lainformacin junto con procesos, mtodos,herramientas y tcnicas disponibles proporcionanlos medios para elaborar una estrategia de

seguridad

1.14.1 Elementos de una


80/159

1.14.1 Elementos de unaEstrategia

Una estrategia de seguridad necesita incluir: Recursos necesarios Limitaciones Hoja de ruta

Incluye personas, procesos, tecnologas y otros recursos Una arquitectura de seguridad: definir los impulsores del

negocio, las relaciones de recursos y los flujos deprocesos

Alcanzar el estado deseado ser una meta alargo plazo de una serie de proyectos

1.14.2 Recursos y Limitaciones de la


81/159

1.14.2 Recursos y Limitaciones de laEstrategia - Visin General

Polticas Normas Procedimientos Lineamientos Arquitecturas Controles - fsicos,

tcnicos y deprocedimientos

Contramedidas Defensas en capas Tecnologas Seguridad del

personal Estructura

organizacional Roles y

responsabilidades Habilidades

1.14.2 Recursos y Limitaciones de la


82/159

1.14.2 Recursos y Limitaciones de laEstrategia - Visin General

Capacitacin concienciacin y

formacin Auditoras

Exigencia decumplimiento Anlisis de amenazas Anlisis de

vulnerabilidad Evaluacin de riesgos

Evaluacin de impactoal negocio

Anlisis dedependencia derecursos

Proveedores externosde seguridad

Otros proveedores desoporte yaseguramiento

organizacional Instalaciones Seguridad ambiental


83/159

1.14.2 Recursos y Limitaciones de laE t t i Vi i G l


84/159

Estrategia - Visin General(continuacin)

Limitaciones Estructura organizacional Como son tomadas

las decisiones y por quien, turf proteccin

Recursos - de capital, tecnolgicos y humanos Capacidades - conocimiento, capacitacin,habilidades y conocimientos especializados

Tiempo - ventana de oportunidad y cumplimiento

forzoso Tolerancia al riesgo - amenazas, vulnerabilidadese impactos

1 15 R d l E t t i


85/159

1.15 Recursos de la Estrategia

El ISM debe estar al tanto de: Los recursos que estn disponibles. Culturales u otro tipo de razones (por ejemplo, la

renuencia mostrada por la gerencia a cambiar o

modificar las polticas) por las cuales determinadasopciones quedarn descartadas.

1 15 1 Polticas Normas


86/159

1.15.1 Polticas y Normas

Las polticas son declaraciones de alto nivel de laintencin, las expectativas y la direccin de lagerencia

Las normas son las mtricas, los lmitespermisibles o el proceso que se utiliza paradeterminar si los procedimientos cumplen con losrequerimientos que establecen las polticas

1.15.1 Polticas y Normas


87/159

y(continuacin)

Los procedimientos son responsabilidad deoperaciones pero se incluyen aqu para brindarmayor claridad

Las guas para ejecutar procedimientos tambinson responsabilidad de operaciones

1 15 2 Arquitecturas


88/159

1.15.2 Arquitecturas

El concepto de arquitectura de seguridad de la informacines anlogo al de arquitectura asociada a edificios Concepto

Diseo

Modelo Planos detallados, herramientas

Construccin, desarrollo

Sin embargo, no existe un consenso general sobre lo que

es la arquitectura de seguridad o por qu una organizacinpodra querer tener una

La arquitectura puede ser un poderoso elementoestratgico

1 15 3 Controles


89/159

1.15.3 Controles

Los controles se definen como las polticas,procedimientos, prcticas, y estructurasorganizacionales que estn diseados parabrindar una confianza razonable de que

Se alcanzarn los objetivos de negocio Se evitarn, o bien, detectarn y corregirn losincidentes no deseados

Los controles pueden ser fsicos, tcnicos o de

procedimientos

1 15 3 Controles (continuacin)


90/159

1.15.3 Controles (continuacin)

Los conceptos de gestin de riesgos efectivacomprende: Controles TI Controles No TI

Defensa en capas

1 15 4 Contramedidas


91/159

1.15.4 Contramedidas

Las contramedidas son las medidas de proteccinque reducen el nivel de vulnerabilidad a lasamenazas

Las contramedidas pueden ser consideradas

simplemente como controles especficos.

1 15 5 Tecnologas


92/159

1.15.5 Tecnologas

La tecnologa es una de las piedras angulares deuna estrategia de seguridad efectiva

El ISM debe familiarizarse con la forma en la que

estas tecnologas funcionarn como controlespara alcanzar el estado deseado de seguridad Para alcanzar defensas, la tecnologa debe ser

acompaada por polticas, normas y

procedimientos


93/159

1 15 7 Estructura Organizacional


94/159

1.15.7 Estructura Organizacional

De acuerdo a una encuesta, el 36 por ciento detodos los ISMs tiene una lnea de dependenciadirecta o indirectamente al CIO Podra no ser la estructura ideal y la alta direccin debe

evaluarla como parte de sus responsabilidades de gobierno Debe estar la seguridad centralizada y

estandarizada? La centralizacin/estandarizacin funciona mejor si la

estructura de la organizacin es similar

Un proceso de seguridad descentralizado permite a losadministradores de seguridad estar ms cerca de losusuarios y a comprender mejor sus problemas locales

1 15 8 Roles y Responsabilidades


95/159

1.15.8 Roles y Responsabilidades

La estrategia debe incluir un mecanismo quedefina todos los roles y responsabilidades deseguridad y que los incluya en las descripcionesde cargo de los empleados

Las mediciones relacionadas con la seguridad sepueden incluir en el desempeo laboral y losobjetivos anuales del empleado

El ISM debe coordinarse con Recursos Humanospara definir los roles y las responsabilidades deseguridad

1 15 9 Habilidades


96/159

1.15.9 Habilidades

Elegir una estrategia que utilice las habilidadescon las que ya se cuenta aparece como unaopcin ms rentable

Tener un inventario de las habilidades ocompetencias ayudara a determinar los recursosque estn disponibles para desarrollar unaestrategia de seguridad

Las pruebas de competencias pueden servir paradeterminar si se cuenta con las habilidadesrequeridas o si se pueden alcanzar mediantecapacitacin

1.15.10 Concienciacin y


97/159

Formacin

La capacitacin, la formacin y la concienciacin son elementosfundamentales para la estrategia en su conjunto porque

La seguridad con frecuencia es ms dbil al nivel del usuario final

La seguridad depende en gran medida del cumplimiento

individual Un programa recurrente de concienciacin sobre la seguridad dirigido

a usuarios finales refuerza la importancia de la seguridad de lainformacin y en la actualidad incluso se exige por ley

Los programas de concienciacin y capacitacin pueden lograr que sereconozca de un modo generalizado que la seguridad es importante Existen evidencias que indican que la mayora de los usuarios finales

no son conscientes de las polticas y estndares de seguridadexistentes


98/159

1 15 11 Auditoras


99/159

1.15.11 Auditoras

Las auditoras, tanto internas como externas, son uno de

los procesos principales que se utilizan para identificardeficiencias en la seguridad de la informacin

Las auditoras internas en la mayoras de lasorganizaciones grandes son ejecutadas por un

departamento de auditoria interna, generalmentereportando al Gerente de Riesgo (Chief Risk Officer,CRO) o a un comit de auditoria del directorio.

Las auditorias externas son generalmente iniciadas por el

departamento de finanzas. (Los resultados a menudo no se ofrecena seguridad de la informacin, pero el ISM debe ayudar a garantizar que seencuentren.)

1.15.12 Exigencia de


100/159

Cumplimiento

Es importante que el ISM desarrolleprocedimientos para manejar las violaciones decumplimiento

Es preferible un sistema de auto informe y

cumplimiento voluntario


101/159


102/159

1 15 15 Valoracin de Riesgos


103/159

1.15.15 Valoracin de Riesgos

An cuando las evaluaciones tanto deamenazas como de vulnerabilidades sontiles por s mismas, tambin es necesarioevaluar el riesgo al que est expuesta laorganizacin

1.15.16 Contratacin de


104/159

Seguros

Los tipos ms comunes de Seguros que pueden serconsiderados son: Primera Parte Tercera Parte Garanta de Fidelidad


105/159

1.15.18 Anlisis de la Dependencia


106/159

de Recursos

Tambin denominado Anlisis de Dependencia delNegocio Otra perspectiva sobre la criticidad de los recursos

de informacin Hasta cierto grado, puede utilizarse en lugar de un

anlisis de impacto (BIA) para garantizar que laestrategia incluye los recursos que son crticos

para las operaciones de negocio.


107/159

1.15.20 Otros Proveedores deSoporte y Aseguramiento


108/159

Soporte y AseguramientoOrganizacionales

Legal Cumplimiento Auditora Adquisiciones Seguros Recuperacin de desastres Seguridad fsica Capacitacin Oficina de proyectos

Recursos humanos Administracin de cambios Aseguramiento de calidad

Las consideracionesestratgicas deben incluirenfoques para garantizarque estas funciones operanperfectamente a fin deevitar brechas que puedanocasionar que la seguridadse vea comprometida


109/159

1.16.1 Requerimientos Legales yR l t i


110/159

Regulatorios

El desarrollo de una estrategia requierecomprender y considerar Temas legales y regulatorios que afectan a la seguridad

de la informacin Legislacin acerca de Privacidad, propiedad intelectual

y Contratos Negocios por Internet Transmisiones globales Implicancia de flujos de datos transfronterizos Integridad del personal

Requerimientos sobre el contenido y la retencin deregistros de negocio

1.16.1 Requerimientos Legales yRegulatorios


111/159

egu ato os(continuacin)

El ISM debe establecer diferentes estrategias deseguridad para cada divisin regional El ISM debe

Estar al da de todos los requerimientos relevantes Asegurar el cumplimiento


112/159


113/159

1.16.3 tica


114/159

La percepcin de un comportamiento tico por losclientes de una organizacin y el pblico Una estrategia eficaz por lo tanto incluye tambin

consideraciones ticas

1.16.4 Cultura


115/159

Tiene que considerarse la cultura interna de laorganizacin cuando se desarrolle una estrategiade seguridad Fallar en la consideracin de la cultura interna produce

resistencia y esto podra dificultar una implementacinexitosa.


116/159

1.16.6 Costos


117/159

El desarrollo y la implementacin de unaestrategia consumirn recursos, incluyendotiempo y dinero Debe ser rentable

La evasin de un riesgo en especfico o elcumplimiento con las regulaciones son por logeneral los principales impulsores, no el valordel proyecto El ROI no es un buen enfoque para justificar los

programas de seguridad El anlisis de costo-beneficio es el enfoque de mayor

aceptacin


118/159

1.16.8 Recursos


119/159

El ISM debe considerar y vigilar: El presupuesto con el que se cuenta Los costos de tecnologas nuevas o adicionales Los requerimientos de recursos humanos en el diseo,

implementacin, operacin y eventual retiro de controlesy contramedidas

El costo total de propiedad (TCO) debe desarrollarsepara el ciclo de vida completo de las tecnologas,procesos y recursos humanos


120/159

1.16.10 Tiempo


121/159

p

El tiempo es una limitacin significativa en eldesarrollo de una estrategia algunos ejemplos:

Fechas lmite de cumplimiento Plazos para la implementacin de determinadas

estrategias

1.16.11 Tolerancia al Riesgo


122/159

La tolerancia al riesgo desempear una funcinimportante en el desarrollo de una estrategia deseguridad de la informacin

Dificultades para medir Desarrollar RTOs*para sistemas crticos El punto ptimo se alcanza cuando el costo de reducir los

RTOses igual al valor que se deriva de operar losrecursos

* - RTOs estn basados en BIAs o Anlisis de Dependencia delNegocio.

1.17 Plan de Accin para laEstrategia


123/159

Estrategia

Implementar la estrategia requiera de uno o msproyectos o iniciativas El anlisis de brecha entre el estado actual y el

estado deseado para cada mtrica definida

identifica los requerimientos y prioridades para losplanes generales u hojas de ruta para asegurar losobjetivos y cerrar las brechas.

1.17.1 Anlisis de Brechas Basepara un Plan de Accin


124/159

para un Plan de Accin

Necesario para diversos componentes de laestrategia Niveles de madurez (CMM) Objetivo de control

Riesgo Objetivo de impacto

Podra ser necesario repetir este ejercicio cadaao o con mayor frecuencia a fin de proporcionar

mtricas de desempeo y de metas



125/159

p(continuacin)

El estado deseado incluye: La estrategia de seguridad cuente con la

aceptacin y respaldo de la alta direccin La estrategia de seguridad tenga un vnculo

intrnseco con los objetivos de negocio Las polticas de seguridad estn completas ysean congruentes con la estrategia Se mantengan de manera consistente normas

completas para todas las polticas aplicables

Se tengan procedimientos completos y precisospara todas las operaciones importantes



126/159

p(continuacin)

El estado deseado incluye (continuacin) Exista una clara asignacin de roles y responsabilidades Se cuente con una estructura organizacional que

otorgue una autoridad apropiada a la gerencia deseguridad de la informacin sin que existan conflictos deinters inherentes

Los activos de informacin han sido identificados yclasificados segn su criticidad y sensibilidad

Controles efectivos han sido diseados, implementadosy mantenidos.

Mtricas de seguridad y procesos de monitoreoefectivos se encuentran en operacin.


127/159



128/159

p(continuacin)

El estado deseado incluye (continuacin) Capacitacin y entrenamiento en seguridad

apropiado para todos los usuarios. El desarrollo y ejecucin de actividades que

puedan influir positivamente en la orientacin de

la cultura de seguridad y el comportamiento delpersonal Aspectos regulatorios y legales son conocidos y

abordados

Abordar aspectos de seguridad con losproveedores de servicios externos La resolucin oportuna de los problemas de

incumplimiento y otras variaciones

1.17.2 Elaboracin de Polticas


129/159

Uno de los aspectos ms importantes del plande accin ser crear o modificar polticas ynormas

La creacin de polticas y normas es una

parte crtica del plan de accin Las polticas deben capturar la intencin, expectativas ydireccin de la gerencia

A medida que evoluciona una estrategia, es fundamentalque se desarrollen polticas de apoyo y en muchos casos

modificadas para articular la estrategia Las polticas de seguridad en general deben estarrelacionadas con la estrategia de seguridad

1.17.2 Elaboracin de Polticas(continuacin)


130/159

(continuacin)

Algunos atributos de las buenas polticas: Deben ser una articulacin de una estrategia de seguridadde la informacin bien definida y captar la intencin, lasexpectativas y la direccin de la gerencia

Cada poltica debe establecer solo un mandato general de

seguridad Las polticas deben ser claras y de fcil comprensin paratodas las partes interesadas

Las polticas rara vez deben tener una extensin queexceda unas cuantas oraciones

Rara vez habr una razn para tener ms de dos docenas depolticas


131/159


132/159

1.17.5 Mtricas del Plan de Accin


133/159

El plan de accin para implementar la estrategiarequerir de mtodos para monitorear y medir elprogreso y el logro de las etapas importantes La alta direccin casi nunca muestra inters por las

mtricas tcnicas detalladas Se deben monitorear el progreso realizado y los

costos incurridos de manera continua Se deben llevar a cabo correcciones a mitad del

camino de manera oportuna

1.17.5 Mtricas del Plan de Accin(continuacin)


134/159

(continuacin)

El plan de accin debe incluir el uso de: KPIs(indicadores crticos de desempeo)

Resultados de las pruebas aplicadas a la eficacia del control Planes de pruebas a la eficacia del control

KGIs(indicadores crticos de meta) Alcanzar mandatos de cumplimiento sobre pruebas de

controles de Sarbanes-Oxley Elaborar la declaracin requerida sobre la eficacia del control

CSFs(factores crticos de xito) Identificar y definir los controles Definir pruebas adecuadas para determinar su eficacia


135/159


136/159


137/159


138/159

1.18 Implementacin del Gobierno deSeguridad Ejemplo (continuacin)


139/159

Seguridad Ejemplo (continuacin)Despus de desglosar los elementos individuales delCMM 4 se obtiene la siguiente lista:

1. La evaluacin del riesgo es un procedimiento estndar ylas excepciones al seguimiento del procedimientosdeberan ser informadas a la gestin de seguridad

2. La gestin de riesgos en la seguridad de la informacines una funcin gerencial definida bajo la responsabilidaddel nivel superior

3. La alta direccin y la gestin de seguridad deinformacin han determinado los niveles de riesgo que

tolerar la organizacin y tendr medidas establecidaspara las proporciones de riesgo/retorno.4. Las responsabilidades por seguridad de informacin

estn claramente asignadas, gestionadas y ejecutadas.


140/159

1.18 Implementacin del Gobierno deSeguridad Ejemplo (continuacin)


141/159

Segu dad je p o (co t uac )

La lista contina:11.El anlisis de costo-beneficio, como apoyo a la

implementacin de las medidas de seguridad, se estutilizando cada vez con mayor frecuencia

12.Los procesos de seguridad de la informacin secoordinan con la funcin de seguridad de toda laorganizacin.

13.Los reportes de informacin relativa a la seguridad de lainformacin est vinculada con los objetivos de negocio

14.Se exige el cumplimiento de las responsabilidades y lasnormas para un servicio continuo15.Las prcticas de redundancia de sistemas, incluyendo el

uso de componentes de alta disponibilidad, se utilizan demanera consistente.


142/159


143/159


144/159


145/159


146/159


147/159

1.20 Objetivos del Programa deSeguridad de la Informacin

( ti i )


148/159

(continuacin) El objetivo del programa de seguridad de la

informacin es proteger tanto los intereses deaquellos que dependen de la informacin como losprocesos, sistemas y comunicaciones que lamanejan, almacenan y entregan de sufrir algndao que sea consecuencia de fallas en Disponibilidad Confidencialidad Integridad


149/159


150/159

Pregunta de Prctica


151/159

1-2.La razn MS importante para asegurarse deque existe una buena comunicacin conrespecto a la seguridad en toda laorganizacin es:

A. hacer la seguridad ms agradable a los empleadosrenuentesB. porque la gente representa el mayor riesgo para la

seguridadC. informar a las unidades de negocio sobre la estrategia de

seguridadD. dar cumplimiento a las regulaciones que requieren que

todos los empleados estn informados acerca de laseguridad

Pregunta de Prctica


152/159

1-3. El ambiente regulatorio para la mayora de lasorganizaciones establece que se debe realizaruna variedad de actividades relacionadas conla seguridad. Lo MS importante es que el ISM:

A. recurra al rea jurdica corporativa para informarse sobrecules son las regulaciones aplicables.

B. se mantenga actualizado sobre todas las regulacionesaplicables y solicitar al rea jurdica su interpretacin.

C. requiera la participacin de todos los departamentosafectados y tratar a las regulaciones como otro riesgo.

D. ignore muchas de las disposiciones que no son realmenteefectivas.

Pregunta de Prctica


153/159

1-4. La consideracin MS importante paradesarrollar polticas de seguridad es que:

A. se basen en un perfil de amenaza

B. sean completas y no omitan ningn detalleC. la gerencia las apruebeD. todos los empleados las lean y las entiendan


154/159

Pregunta de Prctica


155/159

1-6. La asignacin de roles y responsabilidadesser MS EFECTIVA si:

A. Hay soporte de la alta gerenciaB. Las asignaciones son consistentes con las

competenciasC. Los roles estn mapeados con las competencias

requeridasD. Las responsabilidades son tomadas

voluntariamente

Pregunta de Prctica


156/159

1-7. El PRINCIPAL beneficio que obtienen lasorganizaciones de un gobierno eficaz deseguridad de la informacin es:

A. garantizar un cumplimiento regulatorio apropiadoB. garantizar niveles de interrupcin aceptablesC. priorizar la asignacin de recursos correctivosD. maximizar el retorno de la inversin en seguridad

Pregunta de Prctica


157/159

1-8. Desde el punto de vista del ISM, los factoresMS importantes con respecto a la retencin dedatos son:

A. Requerimientos regulatorios y de negocioB. Integridad y destruccin de documentosC. Disponibilidad de medios y almacenamientoD. Confidencialidad y encriptacin de datos

Pregunta de Prctica


158/159

1-9. Cul de los siguientes roles est en la MEJORposicin para revisar y confirmar que una lista deacceso de usuarios es apropiada?

A. El dueo de los datosB. El ISMC. El administrador del dominioD. El gerente de negocio


159/159

2011 CISM Review Course Ch1 - EPN (1)

Documents

Transcript of 2011 CISM Review Course Ch1 - EPN (1)