Modelo de Tres Líneas de Defensa en Seguridad de la Información

Clase 20 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Contenido del curso

Introducción a la norma ISO 27001

Contenido de la norma

Gestión de Riesgos

Controles de seguridad: Políticas y controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

Controles de seguridad: Sistemas de información

Auditoría

Gestión de la Continuidad del Negocio

Cierre del curso

Tomar examen

Resumen

Gestionar los riesgos de seguridad de la información no es tarea de un solo equipo. El modelo de tres líneas de defensa, adoptado desde la terminología militar de la Segunda Guerra Mundial, ofrece una estructura clara para distribuir responsabilidades y garantizar que los controles funcionen de forma eficiente en cualquier organización, sin importar su tamaño.

¿Quién es el verdadero responsable del riesgo en la primera línea de defensa?

La primera línea de defensa corresponde a la gestión operativa, es decir, al dueño del proceso donde se identifican los riesgos [0:42]. Contrario a lo que muchos suponen, el responsable del riesgo no es el área de tecnología ni el área de seguridad de la información. Es quien ejecuta la tarea a diario.

Conoce el proceso mejor que nadie.
Identifica en qué punto puede existir una falla.
Debe ser cuidadoso en la ejecución de cada actividad.

Este enfoque tiene una lógica sencilla: quien opera el proceso sabe exactamente dónde están las vulnerabilidades. Sin embargo, existe un problema frecuente. Si el funcionario operativo comete un error, difícilmente levantará la mano para reportarlo [2:07]. Probablemente intentará ocultarlo, lo que puede derivar en un problema serio para la organización.

¿Qué papel cumple la segunda línea de defensa con el monitoreo frecuente?

Precisamente para detectar esas situaciones que la primera línea no reporta, existe la segunda línea de defensa [1:36]. Aquí encontramos roles como el oficial de seguridad de la información, los oficiales de cumplimiento y los encargados de gestionar riesgos de manera centralizada.

Su función principal es el monitoreo frecuente. Un ejemplo concreto lo ilustra con claridad: la gestión de cuentas de usuario [2:42].

Cuando un funcionario se retira de la compañía, la dirección de tecnología (primera línea) debe desactivar su cuenta.
El oficial de seguridad de la información (segunda línea) genera periódicamente un listado de usuarios activos y lo cruza con el reporte de gestión humana sobre funcionarios retirados [3:15].
Este cruce permite verificar que las cuentas estén completamente desactivadas.

La frecuencia recomendada para este tipo de revisiones es semanal. Dependiendo del tamaño de la compañía, puede extenderse a quince días o un mes, pero nunca debe superar ese plazo [3:05].

Además del oficial de seguridad de la información, la segunda línea incluye seguridad física, áreas de calidad, inspección y cumplimiento normativo, así como un área de gestión de riesgos si la compañía cuenta con una dedicada [4:32].

¿Por qué la auditoría interna es indispensable como tercera línea de defensa?

La tercera línea de defensa es la auditoría interna [3:48]. Funciona como un órgano independiente que evalúa de manera objetiva tanto a la primera como a la segunda línea.

¿Qué evalúa exactamente la auditoría interna?

Cómo la primera línea gestiona sus riesgos.
Si la segunda línea monitorea de forma eficiente esa gestión.
Genera informes con acciones correctivas o no conformidades cuando detecta fallos [4:05].

¿A quién reporta la auditoría interna?

Aunque pertenece a la misma compañía y tiene una dependencia jerárquica del CEO, la auditoría interna también reporta al comité de auditoría o a la junta directiva [5:07]. Este doble reporte garantiza independencia y objetividad.

El gráfico del Instituto de Auditores Internos resume esta estructura: la primera línea implementa controles de gerencia y medidas de control interno; la segunda línea agrupa controles financieros, seguridad física y de la información, gestión de riesgos y cumplimiento; la tercera línea, auditoría interna, supervisa a las otras dos [4:18]. Por fuera del modelo se encuentran la auditoría externa y los organismos de control o entes reguladores del país.

¿Es necesario este modelo en empresas pequeñas?

La recomendación de la norma es clara: las tres líneas de defensa deben existir sin importar el tamaño de la organización [5:37]. Aunque el equipo sea reducido, contar con al menos un funcionario que realice la revisión independiente de tercera línea resulta fundamental para una gestión eficiente de seguridad de la información.

Si ya identificas el rol de cada línea de defensa, revisa tu organización y comparte en los comentarios si actualmente aplican este modelo.

Comentarios

Manuel Godoy Chinquillo

student•

deberian dejar en cada video, un resumen de la de las clases, ayuda a entender mejor

Enrique Devars

teacher•

¡Hola! :D

Muchas gracias por tus comentarios, los tendremos en cuenta para futuras versiones del curso.

Kyb3r Cipher

student•

Espero y esto si se cree buena idea Manuel 😀

DANIEL TENOCH SANCHEZ GARCIA

student•

Gabriel Corilloclla

student•

me parece demasiado entendible tu resumen me encanto la verdad

Diego Fernando Ramos Aguirre

student•

gracias por el aporte.

Miguel Salgado

student•

Elmer Padilla Espinoza

student•

Se agradece la informacion.

Fernando Alberto Velasquez Aguilera

student•

Muy buen aporte

Arturo Sanchez

student•

Les comparto mapa mental, no pude incluir otras imagenes mas caracteristicas porque es version de prueba

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

Super, muy agradecido por el resumen !! 👍

Diego Fernando Ramos Aguirre

student•

gracias por el aporte.

Sofia Cristina Leyva Ortecho

student•

Fernando Alberto Velasquez Aguilera

student•

excelente muchas gracias

Jose Luis Ramos Bernal

student•

No manejaba estos conceptos hasta el día de hoy y ahora entiendo porque en mi organización son tan estrictos y ya puedo identificar cada una de las tres lineas y en donde las tienen implementadas.

Muy util esta clase y el curso en general debo decir

Arturo Moran

student•

Tres lineas de defensa. Termino traído de terminología militar " de la segunda guerra mundial" 1: Linea 1: Los que ejecutan el proceso, "La gestión operativa" 2:Linea 2: Personal encargado de funciones de gestión de riesgos, "La linea 2 lo hace por medio de monitoreo" 3: Linea 3: Auditoria interna, revisa a la linea uno y dos, "Como órgano independiente revisa y evalúa como la primera linea gestiona sus riesgo y que la segunda este monitoreando. Al ultimo realiza un informe.

Noldia Chavez Cavero

student•

https://www.auditool.org/blog/control-interno/1850-sistema-tres-lineas-de-defensa-en-gestion-de-riesgos-y-control

Kyb3r Cipher

student•

De nuevo gracias por los aportes Noldia

Eber Milqui Mamani Condori

student•

Una auditoria externa estaria en la tercera linea de defensa?

Alfonso De Jesús Alfonso Pineda

student•

A estas tres líneas de defensa se le puede sumar una cuarta, con la auditoría externa y supervisiones. Se trata de buscar expertos externos a la empresa para que se encarguen de asegurarse de la correcta gestión de riesgos dentro del Compliance.!

Jeison Sneider Ruiz Zemanate

student•

Tres líneas de defensa:

Terminología de origen militar WW2.

° Primera Línea (Gestión Operativa): El responsable del riesgo (el que se encarga del proceso, el cual debe tener sumo cuidado en su ejecución, desactivar usuarios cuando ya no hacen parte de la compañia).

° Segunda Línea: Personales u oficiales de cumplimiento, los encargados de gestionar específicamente los riesgos (monitoreo frecuente), ejm: listado de usuarios activos versus listado de recursos humanos que ya no están activos en la compañía.

° Tercera Línea: Auditoría Interna (Revisión independiente del cumplimiento de lo que está haciendo la primera y segunda línea).

Las tres líneas deberían existir de alguna forma en todas las organizaciones, independiente de su tamaño o complejidad.

Las líneas no deberían ser mezcladas o coordinarse en una manera que pueda comprometer su eficacia.

Miguel Angel Reyes Moreno

student•

Les comparto este enlace para tener mayor información: Modelo de las Tres Líneas de Defensa. Permite mitigar de una forma integral los riesgos

Jorge Véliz

student•

Muchas gracias, buen aporte.

Romulo Alfonso Niño Romero

student•

Técnicamente no manejaba estos conceptos; es más claro desde la norma, te ayuda a encausar correctamente los procesos y procedimientos cuando estas implementando los controles.

Alexis Rafael Contreras Rodríguez

student•

Donde trabajo no se aplica el modelo así, solo tenemos por así decir la primera linea de defensa. 😓

Gerardo Portocarrero

student•

Tres líneas de defensa: Terminología de origen militar WW2 (Revisar pagina 98 de las diapositivas, más info)

° 1ra Línea (Gestión Operativa): El responsable del riesgo (el que se encarga del proceso, el cual debe tener sumo cuidado en su ejecución). ° 2da Línea: Personales u oficiales de cumplimiento, los encargados de gestionar específicamente los riesgos (monitoreo frecuente). ° 3ra Línea: Auditoria Interna.

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Victor José Licett Hernández

student•

Jaja que gracioso en mi anterior trabajo no se realizaba ningun tipo de control preventivo y literalmente la información de cualquier departamento estaba libre por toda la oficina, ahora que veo y comprendo todo esto me doy cuenta de que en realidad necesitan ayuda.

Pedro Richard Barzola Mucha

student•

https://youtu.be/-lkWqaYlPak

Pedro Richard Barzola Mucha

student•

Nada profe, en donde laboro no conocen ninguna de las 3 líneas

Angel Beltran

student•

Hola compañeros, esto en las empresas tambien se maneja como:

recurso o proceso operativo recurso o proceso táctico recurso o proceso estratégico Saludos.

Limhi Abraham Soriano Gómez

student•

En el lugar donde trabajaba la primera linea siempre encubría los riesgos, por eso concuerdo con lo que dijo en el vídeo, La segunda linea trataba de resolver el problema pero sin informar y de igual manera ocultar la situación y los pobres de control de calidad siempre corrían detrás de todos para verificar las situaciones. Mi conclusión es que en necesario tener ética profesional para llevar a buen termino el plan de seguridad.

José Adolfo Condori Quicaña

student•

Exelente

Kyb3r Cipher

student•

[-] 😉

Modelo de Tres Líneas de Defensa en Seguridad de la Información

Introducción a la norma ISO 27001

Preparación para Auditoría Interna ISO 27001

Historia y Evolución de la Norma ISO 27001 hasta 2019

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

Terminología clave de la norma ISO 27001

Norma ISO 27001: Gestión de Seguridad de la Información

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

Implementación de la Norma ISO 27001: Recursos y Competencias

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

Gestión de Riesgos y Clasificación de Activos de Información

Clasificación de Activos de Información en Excel

Creación de Plantilla de Gestión de Activos de Información en Excel

Clasificación de Activos de Información en Excel

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

Controles para Mitigar Riesgos según ISO 27001

Construcción de Matriz de Riesgos para Gestión Empresarial

Gestión de Controles en Matrices de Riesgos en Excel