Estrategia de Ciberseguridad

UNIDAD 5
DISEÑO Y GESTIÓN DE PROGRAMA DE CIBERSEGURIDAD PARTE 2
 Temario
SEMANA UNIDAD CONTENIDO

Importancia de un programa de ciberseguridad

1,2 VISIÓN GENERAL DEL PROGRAMA DE CIBERSEGURIDAD
Programa de ciberseguridad
Principios en el diseño de programas de ciberseguridad
Diseño de programas de ciberseguridad bajos los marcos de trabajo:
INCIBE
3,4 MARCOS PARA EL DISEÑO DEL PROGRAMA DE CIBERSEGURIDAD
COBIT 5 for Information Security
ISO 27032
EFFIEC
5,6,7 FUNDAMENTOS NIST CSF Fundamentos de CSF NIST 1.1
Paso 1. Priorización y alcance del programa.
Paso 2. Orientación del programa
9 y 10 DISEÑO Y GESTIÓN DE PROGRAMA DE CIBERSEGURIDAD PARTE 1
Paso 3. Crear perfil actual de capacidades
Paso 4. Análisis de riesgo
Paso 5. Crear el perfil objetivo de capacidades
11, 12 DISEÑO Y GESTIÓN DE PROGRAMA DE CIBERSEGURIDAD PARTE 2 Paso 6. Determinar, Analizar y priorizar GAPS
Paso 7. Implementar Plan de acción
Enfoques de monitoreo
Diseño e Implementación de cuadro de mando
13, 14 MONITOREO Y MEJORA CONTINUA DEL PROGRAMA DE CIBERSEGURIDAD Lecciones aprendidas en el gobierno del programa
Lecciones aprendidas en la operación del programa
Lecciones aprendidas en el monitoreo del programa
EXPOSICIÓN DE TRABAJO
 TRABAJO
• El trabajo final debe considerar la siguiente estructura:

✓ DEFINICIÓN DEL PROGRAMA DE CIBERSEGURIDAD

• Paso 1. Priorización y alcance del programa.
• Paso 2. Orientación del programa
• Paso 3. Crear perfil actual de capacidades
• Paso 4. Análisis de riesgo
• Paso 5. Crear el perfil objetivo de capacidades
• Paso 6. Determinar, Analizar y priorizar GAPS
• Paso 7. Implementar Plan de acción

✓ MONITOREO DEL PROGRAMA DE CIBERSEGURIDAD

• Cuadro de mando del programa del ciberseguridad

• La presentación se realizará en la última sesión y tendrá una duración de 15 minutos por cada grupo.

Nota: Para el alcance considerar un mínimo de 03 Requerimientos de ciberseguridad asociado a Objetivos Estratégicos de
negocio.
En base al entendimiento de la estrategia de su organización y bajo un
enfoque de procesos:

1. Identifique una necesidad de negocio

2. Defina el requerimiento de ciberseguridad asociado a la necesidad
de negocio
3. Defina la función, categoría y subcategorías asociada al
requerimiento de ciberseguridad y establezca el nivel de relación
(Alto, Medio, Bajo)
4. Establezca el estado actual y justifique.
Omita los nombres de las organizaciones, pero analice sus ideas juntos cuando estén listos

Tiempo: 20 minutos
 DISEÑO Y GESTIÓN DE
PROGRAMA DE CIBERSEGURIDAD
PARTE 2
Paso 5. Crear el perfil objetivo de capacidades
Paso 6. Determinar, Analizar y priorizar GAPS
Paso 7. Implementar Plan de acción
Implementación
 DISEÑO Y GESTIÓN DE
PROGRAMA DE CIBERSEGURIDAD
PARTE 2
Paso 5. Crear el perfil objetivo de capacidades
 Paso 5. Crear el perfil objetivo de
capacidades
La organización crea un Perfil Objetivo que se centra en la evaluación de las Categorías
y Subcategorías del Marco que describen los resultados deseados de seguridad
cibernética de la organización.

La organización también puede considerar las influencias y los requisitos de las partes
interesadas externas, como las entidades del sector, los clientes y los socios
empresariales, al crear un Perfil objetivo.

Las organizaciones también pueden desarrollar sus propias Categorías adicionales y

Subcategorías para tener en cuenta los riesgos únicos de la organización.

El Perfil Objetivo debe reflejar adecuadamente los criterios dentro del Nivel de
Implementación objetivo.
 Paso 5. Crear el perfil objetivo de
capacidades
Entradas: Salidas:
• Activos de información | Repositorios • Misión | Visión
• Nivel de madurez de marco de trabajo
• Objetivos Estratégicos / Específicos del
• Mapa de Riesgos
programa por cada función
• Perfil Actual Funciones | Categorías |
Subcategorías • Definir OKR | KPI | KRI
• Perfil Objetivo de Funciones | Categorías
| Subcategorías

Herramientas:
• Táctico: Talleres de riesgo con áreas de
tecnologías y relacionadas a procesos de
negocio del alcance.
• Estratégico: Talleres de validación de riesgo
con alta gerencia
• Herramienta: Tabla de Riesgos declarados
 Paso 5. Crear el perfil objetivo de
capacidades
La creación del perfil objetivos requiere las siguientes actividades:

• Determinar la misión y visión de ciberseguridad alineada a las necesidad de la

organización.

• Definir objetivos estratégicos / específicos basados en el listado de requerimientos

de la organización, los riesgos asociados y las capacidades actuales en
ciberseguridad. En este punto, se deben definir los indicadores KPI relacionados.

• Definir entregables para que permitan alcanzar los objetivos previstos.

 Paso 5. Crear el perfil objetivo de
capacidades
• Definir misión y visión del programa
 Paso 5. Crear el perfil objetivo de
capacidades
• Definir Objetivos Estratégicos / Específicos del programa por cada función
 Paso 5. Crear el perfil objetivo de
capacidades
• Definir Objetivos Estratégicos / Específicos del programa por cada función
 Paso 5. Crear el perfil objetivo de
capacidades
• Definir Objetivos Estratégicos / Específicos del programa por cada función
Principio Objetivo Descripción
1. Soporte al negocio. Concentrarse en el negocio. Garantizar que la seguridad de la información esté integrada a las actividades esenciales del
negocio.
Ofrecer calidad y valor a las partes Garantizar que la seguridad de la información ofrezca valor y satisfaga los requerimientos del
interesadas. negocio.
Cumplir los requerimientos legales y Garantizar que se cumplan las obligaciones legales, que se gestionen las expectativas de las
regulatorios relevantes. partes interesadas, y que se eviten sanciones civiles o penales.

Proporcionar datos exactos y Brindar apoyo a los requerimientos del negocio y gestionar el riesgo de la información.
oportunos sobre el desempeño de la
seguridad de la información.
Evaluar las amenazas actuales y Analizar y evaluar las amenazas emergentes de seguridad de la información de modo que se
futuras hacia la información. pueda adoptar acciones oportunas e informadas para mitigar el riesgo.

Promover la mejora continua en Reducir los costos, mejorar la eficacia y la eficiencia, y promover una cultura de mejora
seguridad de la información. continua en seguridad de la información.

2. Defender el negocio.

3. Promover un comportamiento responsable respecto de la seguridad de la información.

• Support the business:

– Focus on the business, and ensure security is integrated into essential business activities.
– Deliver quality and value to stakeholders.
– Ensure compliance with the law and regulations.
– Support business requirements and manage risk.
– Assess emerging threats.
– Reduce costs and improve efficiency.

• Defend the business:

– Take a risk-based approach.
– Protect confidential information.
– Concentrate on crucial business applications.
– Develop systems securely.

• Promote responsible security behaviour:

– Act in a professional and ethical manner.
– Foster a culture of security.
 Paso 5. Crear el perfil objetivo de
capacidades
• Definir Objetivos Estratégicos / Específicos del programa por cada función

OKR deben ser definidos por

cada objetivo y los valores
objetivos definidos actuales y
los esperados al final del
programa.

• % Cobertura de procesos de
la gestión de riesgos

• % Proveedores críticos
evaluados en la gestión de
riesgos

• % Personal con evaluación

satisfactoria o sobresaliente
 Paso 5. Crear el perfil objetivo de
capacidades
• Definir Entregables por cada Objetivo Específico del programa

Defina ejemplos de KPI

 Paso 5. Crear el perfil objetivo de
capacidades
• Definir niveles de madurez objetivo para las capacidades de seguridad
NIVEL CRITICIDAD Perfil Actual Perfil Objetivo
1. IDENTIFICAR (ID) 2.8 4.2
1. Gestión de activos (ID.AM) Alto 3.0 4
2. Entorno empresarial (ID.BE) Medio 2.2 3
3. Gobernanza (ID.GV) Bajo 3.0 3
4. Evaluación de riesgos (ID.RA) Alto 3.7 5
5. Estrategia de gestión de riesgos (ID.RM) Alto 2.3 5
6. Gestión del riesgo de la cadena de suministro (ID.SC) Alto 2.4 5 La definición del perfil objetivo
2. PROTEGER (PR) 3.0 4.6
1. Gestión de identidad, autenticación y control de acceso (PR.AC) Alto 1 5 requiere cruzar los objetivos
2. Concienciación y capacitación (PR.AT) Alto 3.6 5 establecidos versus los objetivos
3. Seguridad de los datos (PR.DS) Alto 3.1 4
4. Procesos y procedimientos de protección de la información (PR.IP) Alto 3.1 5 para establecer un nivel de
5. Mantenimiento (PR.MA) Medio 2.5 3 PRIORIDAD y el VALOR
6. Tecnología de protección (PR.PT) Alto 2.6 5
3. DETECTAR (DE) 3.2 5 OBJETIVO DE MADUREZ para
1. Anomalías y Eventos (DE.AE) Alto 3.2 5 cada una de las capacidades.
2. Monitoreo Continuo de la Seguridad (DE.CM) Alto 2.9 5
3. Procesos de Detección (DE.DP) Alto 3.8 5
4. RESPONDER (RS) 3.1 5
1. Planificación de la Respuesta (RS.RP) Alto 1.0 5
2. Comunicaciones (RS.CO) Alto 3.6 5
3. Análisis (RS.AN) Alto 3.0 5
4. Mitigación (RS.MI) Alto 3.0 5
5. Mejoras (RS.IM) Bajo 3.0 1
5. RECUPERAR (RC) 3.3 4
1. Planificación de la recuperación (RC.RP) Medio 2.0 3
2. Mejoras (RC.IM) Medio 4.0 3
3. Comunicaciones (RC.CO) Medio 3.3 3
Total general 3.0 4.5
 DISEÑO Y GESTIÓN DE
PROGRAMA DE CIBERSEGURIDAD
PARTE 2
Paso 6. Determinar, Analizar y priorizar GAPS
 Paso 6. Determinar, Analizar y priorizar
GAPS
La organización compara el Perfil Actual y el Perfil Objetivo para determinar las
brechas. A continuación, crea un plan de acción priorizado para abordar las brechas
(que reflejan los impulsores, los costos y los beneficios, y los riesgos de la misión) para
lograr los resultados en el Perfil Objetivo.

Luego, la organización determina los recursos necesarios para abordar las brechas,
que incluyen los fondos y la fuerza laboral.

El uso de Perfiles de esta manera alienta a la organización a tomar decisiones

informadas sobre las actividades de seguridad cibernética, respalda la gestión de
riesgos y permite a la organización realizar mejoras específicas y rentables.
 Paso 6. Determinar, Analizar y priorizar
GAPS
Entradas: Salidas:
• Perfil Objetivo de Funciones | Categorías | • GAPS
Subcategorías
• Estrategia para cubrir el GAP
• Perfil Actual Funciones | Categorías |
• Priorización de estrategias
Subcategorías
• Recursos

Herramientas:
• Táctico: Talleres de revisión de GAPS con
Grupos de interés involucrados.
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Determina y analizar el GAP entre el perfil actual y el perfil objetivo

La definición del GAP requiere la

comparación del perfil actual y
objetivo. Los GAPS deben ser
valorados en su magnitud (cuantitativo
o cualitativo).

Los GAPs deben estar asociados a

riesgos valorados en la etapa anterior
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Determina y analizar el GAP entre el perfil actual y el perfil objetivo
NIVEL CRITICIDAD Perfil Actual Perfil Objetivo GAP Prioridad
1. IDENTIFICAR (ID) 2.8 4.2 2.4
1. Gestión de activos (ID.AM) Alto 3.0 4 1
2. Entorno empresarial (ID.BE) Medio 2.2 3 .8
3. Gobernanza (ID.GV) Bajo 3.0 3 0
4. Evaluación de riesgos (ID.RA) Alto 3.7 5 1.3
5. Estrategia de gestión de riesgos (ID.RM) Alto 2.3 5 2.7
6. Gestión del riesgo de la cadena de suministro (ID.SC) Alto 2.4 5 2.6
2. PROTEGER (PR) 3.0 4.6 La definición del GAP
1. Gestión de identidad, autenticación y control de acceso (PR.AC) Alto 1 5 4 Alta requiere la comparación del
2. Concienciación y capacitación (PR.AT) Alto 3.6 5 1.4
3. Seguridad de los datos (PR.DS) Alto 3.1 4 .9 perfil actual y objetivo. Los
4. Procesos y procedimientos de protección de la información (PR.IP) Alto 3.1 5 1.9 GAPS deben ser valorados en
5. Mantenimiento (PR.MA) Medio 2.5 3 .5 Baja
6. Tecnología de protección (PR.PT) Alto 2.6 5 2.4
su magnitud (cuantitativo o
3. DETECTAR (DE) 3.2 5 cualitativo).
1. Anomalías y Eventos (DE.AE) Alto 3.2 5 1.8
2. Monitoreo Continuo de la Seguridad (DE.CM) Alto 2.9 5 2.1
3. Procesos de Detección (DE.DP) Alto 3.8 5 1.2
4. RESPONDER (RS) 3.1 5
1. Planificación de la Respuesta (RS.RP) Alto 1.0 5 4 Alta
2. Comunicaciones (RS.CO) Alto 3.6 5 1.4
3. Análisis (RS.AN) Alto 3.0 5 2
4. Mitigación (RS.MI) Alto 3.0 5 2
5. Mejoras (RS.IM) Bajo 3.0 3 0
5. RECUPERAR (RC) 3.3 4
1. Planificación de la recuperación (RC.RP) Medio 2.0 3 1
2. Mejoras (RC.IM) Medio 4.0 3 -1
3. Comunicaciones (RC.CO) Medio 3.3 3 .3
Total general 3.0 4.5
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Definir acciones estratégicas
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Definir acciones estratégicas por lograr el perfil objetivo
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Definir acciones estratégicas por lograr el perfil objetivo
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Consolidar las estrategias en proyectos y costear
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Analizar y Priorizar GAPS

El análisis y priorización de GAPS

requiere la identificación de Qick Wins
basados en el nivel de mitigación que
tiene
Ejercicio

1. Identifique una necesidad de negocio

2. Defina el requerimiento de ciberseguridad asociado a la
necesidad de negocio
3. Defina la función, categoría y subcategorías asociada al
requerimiento de ciberseguridad y establezca el nivel de
relación (Alto, Medio, Bajo)
4. Defina el estado actual y el estado deseado (Justifique) para
una función | categoría | subcategoría
5. Defina el OKR para cada estado deseado
6. Defina la estrategia de remediación asociado al gap.
Omita los nombres de las organizaciones, pero analice sus ideas juntos cuando estén listos
Tiempo: 30 minutos
 DISEÑO Y GESTIÓN DE
PROGRAMA DE CIBERSEGURIDAD
PARTE 2
Paso 7. Implementar Plan de acción
 Paso 7. Implementar Plan de acción
La organización determina qué acciones tomar para abordar las brechas,
si las hay, identificadas en el paso anterior y luego ajusta sus prácticas
actuales de seguridad cibernética para lograr el Perfil Objetivo.

Para proveer más dirección, el Marco identifica ejemplos de referencias

informativas sobre las Categorías y Subcategorías, pero las organizaciones
deben determinar qué normas, directrices y prácticas, incluidas aquellas
que son específicas del sector, funcionan mejor para sus necesidades.
 ITERACIÓN
• Una organización repite los pasos según sea necesario para
evaluar y mejorar continuamente su seguridad cibernética. Por
ejemplo, las organizaciones pueden encontrar que una repetición
más frecuente del paso orientación mejora la calidad de las
evaluaciones de riesgos.

• Las organizaciones pueden supervisar el progreso a través de

actualizaciones iterativas al Perfil Actual, y luego compararlo con
el Perfil Objetivo. Las organizaciones también pueden utilizar este
proceso para alinear su programa de seguridad cibernética con su
Nivel de Implementación del Marco deseado.
 RECUERDA
• “One Team, One Fight”
• Employment of Risk Management Methodology
• Prioritized Planning and Resourcing
• Enterprise-wide Collaboration
Preguntas

35
TAREA SESION#5:

Control de Lectura

36
FORO SESION#4:

¿Cuáles son los retos que enfrentan las

organizaciones en el monitoreo de los
programas de ciberseguridad?