2.7.2 OS/Gobernanza y política de seguridad

Cada organización aborda su entorno operativo, interno y externo, a través de políticas y gobernanza. La gobernanza es la responsabilidad de la alta dirección de una organización de asegurar la implementación efectiva de la planificación estratégica, la gestión de riesgos y el cumplimiento normativo, generalmente mediante políticas, planes, programas y controles presupuestarios integrales de gestión para asegurar la información de la organización. . La implementación de la gobernanza y la política de seguridad debe enmarcarse dentro de leyes, regulaciones y estándares globales, nacionales y locales. Esta unidad de conocimiento se centra en la comprensión del ciclo de desarrollo de políticas de seguridad, desde la investigación inicial hasta la implementación y el mantenimiento, además de brindar exposición a ejemplos del mundo real de políticas y prácticas de seguridad.
Temas:
Core Tier1

• Contexto organizacional
  1. Las diferencias contextuales internas versus externas tienen un impacto importante en la cobertura de políticas, regulaciones y estatutos (o jurisdicción).
  2. Se deben evaluar las cuestiones e inquietudes específicas de la ubicación o del país.
  3. También se deben evaluar las normas y directrices aplicables para su cumplimiento por parte de la industria/sector.
  4. La diferencia entre los gobiernos y las organizaciones privadas es un factor, al igual que la necesidad de incluir aspectos internacionales que incluyen, entre otros, restricciones a la importación y exportación.
  5. Diferencia entre organizaciones en diversos segmentos industriales verticales de negocios, como energía versus agricultura.
• Privacidad
  1. Aborda las variaciones sociales y localizadas en la privacidad.
  2. Se deben explorar las variaciones jurisdiccionales en las definiciones de privacidad.
  3. También deben abordarse las relaciones entre individuos, organizaciones o los requisitos de privacidad gubernamentales.
  4. El impacto de la configuración de privacidad en nuevas herramientas/software, identificando la necesidad de que las herramientas y técnicas se cubran en la mayoría de las áreas.
• Leyes, ética y cumplimiento
  1. Cómo las leyes y la tecnología se cruzan en el contexto de las estructuras judiciales presentes (internacionales, nacionales y locales) mientras las organizaciones protegen los sistemas de información de los ciberataques.
  2. La instrucción ética también debería ser un elemento.
  3. Deben abordarse los códigos de conducta profesionales y las normas éticas.
  4. Ejemplos de leyes y estándares internacionales incluyen GDPR e ISO/IEC 27000 et al. Las leyes nacionales de importancia para las organizaciones estadounidenses incluyen HIPAA, Sarbanes-Oxley, GLBA, etc.
  5. Los esfuerzos de cumplimiento deben incluir aquellos esfuerzos para cumplir con las leyes, regulaciones y estándares, e incluir requisitos de notificación de incumplimiento por parte de las autoridades gubernamentales estatales, nacionales e internacionales.
• Gobernanza de la seguridad
  1. Los principios de gobierno corporativo son aplicables a la función de seguridad de la información.
  2. La gobernanza es responsabilidad de la alta dirección de una organización para asegurar la implementación efectiva de la planificación estratégica, la gestión de riesgos y el cumplimiento normativo, generalmente mediante políticas, planes, programas y controles presupuestarios integrales de gestión para asegurar la información de la organización.
  3. Enmarcar la implementación de la gobernanza y la política de seguridad dentro de las leyes, regulaciones y estándares globales, nacionales y locales.
  4. Los programas de instrucción deben buscar transmitir los conceptos con claridad y ejemplos sólidos.
• Comunicación a nivel ejecutivo y de junta directiva.
  1. Habilidades de comunicación que se enseñan y practican con ensayos que incluyen análisis crítico y retroalimentación significativa.
• Política de gestión
  1. Debería buscar transmitir los conceptos con claridad y ejemplos sólidos, incluida la política del programa de seguridad, la política de problemas específicos y la política de sistemas específicos según NIST SP 800-12 Rev 1.
  2. Esto también debería abarcar la comprensión del ciclo de desarrollo de políticas de seguridad, desde la investigación inicial hasta la implementación y el mantenimiento.
  3. dando exposición a ejemplos del mundo real de políticas y prácticas de seguridad.

Objetivos de Aprendizaje:
Core-Tier1:

1. Discuta la importancia, los beneficios y los resultados deseados de la gobernanza de la ciberseguridad y cómo se implementaría dicho programa [Usar]
2. Describir la política de seguridad de la información y su papel en un programa de seguridad de la información exitoso [Usar]
3. Describa los principales tipos de políticas de seguridad de la información y los principales componentes de cada una [Usar]
4. Explique qué es necesario para desarrollar, implementar y mantener una política efectiva y qué consecuencias puede enfrentar la organización si no lo hace [Usar]
5. Diferenciar entre derecho y ética [Usar]
6. Identificar leyes nacionales e internacionales importantes que se relacionen con la ciberseguridad. [Usar]
7. Explicar cómo las organizaciones logran el cumplimiento de las leyes y regulaciones nacionales e internacionales, y de los estándares industriales específicos [Usar]
8. Se debe dar mayor consideración a la privacidad en el contexto de las regulaciones de protección al consumidor y atención médica [Usar]
9. Las organizaciones con compromiso internacional deben considerar las variaciones en las leyes, regulaciones y estándares de privacidad en las jurisdicciones en las que operan [Usar]
10. Describa por qué los códigos de conducta éticos son importantes para los profesionales de la ciberseguridad y sus organizaciones [Usar]