Fundamento de Gobernanza de Ciberseguridad

Vista previa del material en texto

Diplomado de Ciberseguridad
Fundamentos de Gobernanza de la Ciberseguridad
1. Introducción a la Gobernanza Empresarial
2. Principios de la Gobernanza de Ciberseguridad
3. Marcos y Estándares de Gobernanza en Ciberseguridad
4. Alineamiento Estratégico de van der Hoof
5. Preguntas y Respuestas
AGENDA
Gobernanza Empresarial
USTED ESTA AQUÍ
Gobernanza Empresarial
[ ]
Este curso Y otros dos cursos de fundamentos más ….
Fundamentos de Gobernanza en Ciberseguridad de la Información
Introducción a la Gobernanza Empresarial
Gobernanza Empresarial
▪ “El Gobierno Empresarial es un conjunto de
responsabilidades y practicas ejercidas por la
junta de directores y la gerencia ejecutiva con la
meta de proveer dirección estratégica, garantizar
que se logren los objetivos, verificar que los
riesgos se gestionen de forma adecuada y verificar
que los recursos de la empresa se utilicen de
forma responsable” [Kotter, 1996]
▪ Las definiciones de Gobierno de TI de fines de los
años 90’ derivan principalmente del Gobierno
Empresarial y surgen como respuesta a la
capacidad de generar valor usando las tecnologías,
buscando ser generar modelos de negocios y
procesos más eficientes y eficaces.
Que decisiones toman los agentes en el Gobierno 
Decisiones Alta Gerencia
Responsable 
de TI /SI
¿Cuál es el presupuesto de SI?
¿Cuáles serán los proyectos de SI que se financiaran?
¿Cuál será la estructura organizacional de SI?
¿Cuáles son los elementos de seguridad y cuáles son los 
riesgos aceptables?
¿Cuáles serán nuestros niveles de servicios?
¿A quién debemos culpar frente a la falla de algún 
proyecto o servicio de SI?
Weill & Ross; IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, 2004.
Gobernanza Empresarial de la Ciberseguridad
Marco de reglas, políticas, y prácticas que aseguran que una organización utiliza y gestiona sus recursos de TI 
y ciberseguridad de manera efectiva y alineada con los objetivos del negocio.
Creación de Valor
Realización de 
Beneficios
Optimización 
de Recursos
Elementos del 
Sistema de 
Gobierno
Alcance del 
Sistema de 
Gobierno
Optimización 
del Riesgo
Roles, Actividades y Relaciones
Gobernanza Empresarial de la Ciberseguridad
▪ DIRIGIR La función de dirigir implica que la alta dirección y
el órgano de gobierno establezcan la dirección general y las
prioridades de ciberseguridad en la organización. Esto
incluye la definición de políticas, la asignación de
responsabilidades y la garantía de que se siguen las
prácticas de gobernanza adecuadas.
▪ EVALUAR La función de evaluar implica examinar de
manera regular y sistemática los proyectos, inversiones y
operaciones de ciberseguridad de la organización. Esto
incluye la evaluación de riesgos, el desempeño y la
efectividad de las políticas y prácticas de gobernanza.
▪ MONITOREAR La función de monitorear implica supervisar
de manera continua el desempeño y la conformidad de la
organización con las políticas y prácticas de gobernanza de
ciberseguridad. Esto incluye la identificación de áreas de
mejora y la implementación de acciones correctivas según
sea necesario.
Ejemplo de Funciones de Gobierno
Función Actividad Aplicación Ejemplo
Dirigir
Establecer una 
visión y estrategia 
claras para la 
ciberseguridad
La alta dirección y el consejo de 
administración definen la 
dirección y las prioridades en 
ciberseguridad alineadas con la 
estrategia del negocio.
Establecimiento de objetivos de ciberseguridad a 
corto, medio y largo plazo, identificación de las 
principales áreas de riesgo y priorización de 
iniciativas de ciberseguridad
Dirigir Definir roles y
responsabilidades
Se asignan responsabilidades y 
autoridades específicas en 
relación con la ciberseguridad a 
individuos o equipos dentro de 
la organización.
Definición del rol del CISO, creación de un equipo 
de respuesta a incidentes de seguridad (CSIRT), 
asignación de responsabilidades en ciberseguridad 
a los líderes de departamento
Evaluar y 
Monitorear
Implementación de 
mecanismos de 
monitoreo y 
presentación de 
informes
Se implementan sistemas de 
monitoreo 
y presentación de informes 
para evaluar y supervisar el 
desempeño de la organización 
en ciberseguridad
Establecimiento de indicadores clave de 
rendimiento (KPIs) en ciberseguridad, 
implementación de herramientas de monitoreo, 
informes periódicos al
Importancia de la Gob. En Ciberseguridad
1. Aumento de Regulaciones: En los últimos años, se han introducido regulaciones significativas como el
GDPR, que ha sido un gran desafío para las empresas y organizaciones.
2. Diversidad de Sectores y Regulaciones: Dependiendo del sector en el que opere una empresa, puede
enfrentar diferentes regulaciones y problemas de cumplimiento. Por ejemplo, en Chile el sector financiero
debe cumplir con las RAN.
3. Incremento de Filtraciones de Información y Hackeos: Casi cada semana se informa sobre nuevas
filtraciones de información y ataques cibernéticos. Estos incidentes se están convirtiendo en algo habitual y no
muestran signos de desaceleración.
4. Actualización de Normas Existentes: Además de las nuevas regulaciones gubernamentales, los organismos
del sector continúan actualizando las normas y reglamentos existentes para diferentes sectores de la industria.
Esto se hace para mantenerlos al día con las últimas amenazas y desafíos de seguridad.
5. Prevención de Escándalos Empresariales: En vista de los numerosos escándalos empresariales que se han
revelado en los últimos años, los gobiernos están introduciendo nuevas leyes para prevenir la mala conducta y
garantizar una mayor transparencia y responsabilidad.
Las razones por las que establecer prácticas de Gobernanza para la
Ciberseguridad son variadas, sin embargo, el objetivo siempre puede
ser reducido a: proteger los activos y procesos críticos necesarios
para cumplir los objetivos del negocio.
Importancia de la Gob. En Ciberseguridad
Las razones por las que establecer prácticas de Gobernanza para la
Ciberseguridad son variadas, sin embargo, el objetivo siempre puede
ser reducido a: proteger los activos y procesos críticos necesarios
para cumplir los objetivos del negocio.
Fundamentos de Gobernanza en Ciberseguridad de la Información
Marcos y Estándares de Gobernanza en Ciberseguridad
Marcos y Estándares de Gobernanza en Ciberseguridad
ISO 27001 es el estándar 
que define los componentes 
del SGSI, entre ellos, la 
responsabilidad del 
Liderazgo y ciertos 
mecanismos de Dirección, 
Evaluación y Monitoreo
El marco NIST CSF en su V2 
integra por completo una 
nueva función de Gobierno 
que establece las bases para 
la función de Seguridad de la 
Información
COBIT 2019 es el por 
excelencia para el diseño y 
establecimiento de un 
Gobierno Empresarial de las 
I&T, que puede ser 
extensible a la función de 
Cibserseguridad
Quiero saber mas Quiero saber mas Quiero saber mas
https://diplomadociberseguridad.com/implementador-lider-iso-27-001/
https://diplomadociberseguridad.com/gobierno-y-gestion-de-la-ciberseguridad-usando-nist-csf/
https://diplomadociberseguridad.com/gobierno-y-gestion-de-las-tecnologias-usando-cobit-2/
Marco COBIT 2019
Con el objetivo de cumplir con los
objetivos de gobierno y gestión, cada
empresa debe establecer, personalizar y
sostener un sistema de gobierno creado
a partir de una serie de componentes.
Estas componentes son factores que, de
forma individual y colectiva,
contribuyen al funcionamiento del
sistema de gobierno de la empresa en
cuanto a I&T.
Los componentes interactúan entre sí,
lo que da lugar a un sistema holístico de
gobierno de I&T.
Marco COBIT 2019
Objetivos de Gestión
Componentes del Sistema de Gobierno
Marcos NIST CSF v2 (1 DE 4)
Marcos NIST CSF v2 (2 DE 4)
Marcos NIST CSF v2 (3 DE 4)
Marcos NIST CSF v2 (4 DE 4)
Fundamentos de Gobernanza en Ciberseguridad de la Información
Alineamiento Estratégico
Proceso de Alineamiento - IMBOK
Alineamiento como Co-Evolución
A) Cambio motivado por la estrategia:Cuando los
cambios desde la estrategia alteran como se
desarrollan los subsistemas técnicos y sociales.
B) Rediseño de SIC-TI: Donde el subsistema social
(ej, el CIO) inicia cambios en el subsistema técnico
para acomodarse a los requerimientos de cambios
en la estrategia.
C) Cambio habilitado por las TI (en SIC): Donde los
cambios en el subsistema técnico (hardware,
software, ddbb, etc.) requiere cambios en el
subsistema social (nuevas posiciones, nuevas
habilidades, nuevos procesos)
D) Revisión Estratégica: Donde los cambios en los
subsistemas sociales y técnicos requieren que se
revise una posición estratégica que ya existe (ej:
nuevos modelos de negocio, nuevos mercados,
nuevos ecosistemas de proveedores)
Feedback en el Proceso de Alineamiento
Adaptación entre subsistemas
Alineamiento Social
Alineamiento Tecnológico
Fundamentos de Gobernanza en Ciberseguridad de la Información
Me gustaría seguir….
Continuidad de Estudios
Gobernanza 
Corporativa de la
Seguridad de la
Información
Mejores Prácticas 
enfocadas en 
Gobierno y Gestión 
de la Seguridad de la 
Información
Gobierno, Gestión y 
Auditoría a la 
Ciberseguridad
▪ Gobierno Organizacional
▪ Herramientas de alineamiento
estratégico
▪ Planificación estratégica de la
ciberseguridad
▪ Control de Gestión
▪ Implementación del SGSI
▪ Implementación de marcos de
gobierno
▪ Apoyo en el diseño del sistema
de gobierno
▪ Planificación estratégica de la
ciberseguridad
▪ Implementación de Sistemas de
Gestión
▪ Gestión de Ciber riesgos y
Cumplimiento
Diplomado en Alta Gerencia en Ciberseguridad
- Gobernanza Empresarial
- Taller de Decisiones Gerenciales
- Control de Gestión
- Taller de Evaluación de Alineamiento SGSI
- Preparación para CCISO
Diplomado en Implementación en Sistemas de
Gobierno y Gestión de Ciberseguridad
- Implementador ISO 27001 / 27002
- Implementador ISO 27035
- Implementador ISO 37301
- Implementador ISO 22301
- Implementador CIS
Diplomado en Alta Gerencia en Ciberseguridad
- Gobierno y Gestión usando NIST
- Gobierno y Gestión usando COBIT
- Gestión Estratégica de la Ciberseguridad
- Gestión de Riesgos de Ciberseguridad
Diplomado de Ciberseguridad
Fundamentos de Gobernanza de la Ciberseguridad
	Diapositiva 1: Diplomado de Ciberseguridad
	Diapositiva 2
	Diapositiva 3: Gobernanza Empresarial
	Diapositiva 4: Gobernanza Empresarial
	Diapositiva 5: Introducción a la Gobernanza Empresarial
	Diapositiva 6: Gobernanza Empresarial
	Diapositiva 7: Que decisiones toman los agentes en el Gobierno 
	Diapositiva 8: Gobernanza Empresarial de la Ciberseguridad
	Diapositiva 9: Gobernanza Empresarial de la Ciberseguridad
	Diapositiva 10: Ejemplo de Funciones de Gobierno
	Diapositiva 11: Importancia de la Gob. En Ciberseguridad
	Diapositiva 12: Importancia de la Gob. En Ciberseguridad
	Diapositiva 13: Marcos y Estándares de Gobernanza en Ciberseguridad
	Diapositiva 14: Marcos y Estándares de Gobernanza en Ciberseguridad
	Diapositiva 15: Marco COBIT 2019
	Diapositiva 16: Marco COBIT 2019
	Diapositiva 17: Marcos NIST CSF v2 (1 DE 4)
	Diapositiva 18: Marcos NIST CSF v2 (2 DE 4)
	Diapositiva 19: Marcos NIST CSF v2 (3 DE 4)
	Diapositiva 20: Marcos NIST CSF v2 (4 DE 4)
	Diapositiva 21: Alineamiento Estratégico
	Diapositiva 22: Proceso de Alineamiento - IMBOK
	Diapositiva 23: Alineamiento como Co-Evolución
	Diapositiva 24: Feedback en el Proceso de Alineamiento
	Diapositiva 25: Adaptación entre subsistemas
	Diapositiva 26: Alineamiento Social
	Diapositiva 27: Alineamiento Tecnológico
	Diapositiva 28: Me gustaría seguir….
	Diapositiva 29: Continuidad de Estudios
	Diapositiva 30: Diplomado de Ciberseguridad