MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM7.2.2 Control: El análisis desarrollado como parte de los<br />
acuerdos de monitoreo de la seguridad debe ser:<br />
a) basado <strong>en</strong> métricas de seguridad cuantitativas (por<br />
ejemplo, el número, la frecu<strong>en</strong>cia y el impacto para el<br />
negocio de los incid<strong>en</strong>tes de seguridad de la información,<br />
los hallazgos de la auditoria, las estadísticas de<br />
seguridad operacional, los costos asociados con las<br />
pérdidas financieras, multas, fraude etc.).<br />
b) pres<strong>en</strong>tados <strong>en</strong> un formato estándar (por ejemplo, el<br />
tablero balanceado de gestión u otra herrami<strong>en</strong>ta de<br />
gestión)<br />
SM7.2.3 Control: La información recopilada como parte de las<br />
medidas de vigilancia de seguridad deberá incluir<br />
detalles sobre todos los aspectos de los riesgos de<br />
información (por ejemplo, la criticidad de la información,<br />
las vulnerabilidades id<strong>en</strong>tificadas y el nivel de las<br />
am<strong>en</strong>azas, el impacto pot<strong>en</strong>cial para el negocio y el<br />
estado de los controles de seguridad implem<strong>en</strong>tados)<br />
SM7.2.4 Control: Se debe informar sobre la condición de<br />
seguridad de la organización a los principales tomadores<br />
de decisiones (incluida la<br />
la dirección, los miembros del comité directivo de<br />
seguridad, y los órganos externos)<br />
SM7.2.5 Control: Los acuerdos de monitoreo de las seguridad<br />
deberían proporcionar a los tomadores de decisiones<br />
una visión de:<br />
a) la eficacia y la efici<strong>en</strong>cia de los acuerdos de seguridad<br />
de la información<br />
b) las áreas donde se requiere mejorar<br />
c) la información y los sistemas que están <strong>en</strong> un nivel<br />
inaceptable de riesgo<br />
d) el desempeño cuantitativo fr<strong>en</strong>te a los objetivos<br />
propuestos<br />
e) las medidas necesarias para ayudar a minimizar el<br />
riesgo<br />
SM7.2.6 Control: Los acuerdos para monitorear la seguridad<br />
deb<strong>en</strong> proporcionar a los tomadores de decisiones<br />
información financiera que incluya:<br />
a) el costo de los controles de seguridad<br />
b) el impacto financiero de los incid<strong>en</strong>tes de seguridad<br />
de la información<br />
c) el retorno de la inversión <strong>en</strong> seguridad (ROSI), de los<br />
controles implem<strong>en</strong>tados (por ejemplo, los b<strong>en</strong>eficios no<br />
financieros, los b<strong>en</strong>eficios financieros y los costos)<br />
Página 174 de 207