Def-de-Gerencia-de-la-Seguridad-spanish.pdf

Definición de

n Orientación para ejecutivos y gerentes

Gerencia de la seguridad de la información

Requerimientos de la posición

Definición de los requerimientos para la posición de gerencia de seguridad de la información

2 © 2 0 0 8 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .2 © 2 0 0 8 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .

ISACA®

Con más de 86.000 miembros en más de 160 países, ISACA (www.isaca.org) es reconocida como el líder mundial en gobierno, control, seguridad y aseguramiento de TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el Information Systems Control Journal® y desarrolla estándares de auditoría y control de sistemas de información a nivel internacional. También administra la designación mundialmente respetada Certified Information Systems Auditor™ (CISA®), obtenida por más de 60.000 profesionales desde 1978; la designación Certified Information Security Manager® (CISM®), obtenida por más de 9.000 profesionales desde 2002 y la nueva designación Certified in the Governance of Enterprise IT™ (CGEIT™).

Cláusula de exención de responsabilidadISACA ha diseñado y creado la Definición de los requerimientos para la posición de gerencia de seguridad de la información: Orientación para ejecutivos y gerentes (el “Trabajo”) principalmente como un recurso educacional para gerentes de seguridad de la información. ISACA no afirma que el uso del Trabajo garantizará un resultado satisfactorio. No debe considerarse que el Trabajo incluye toda la información, procedimientos y pruebas adecuados o que excluye otro tipo de información, procedimientos y pruebas que estén razonablemente destinados a obtener los mismos resultados. Para determinar la conveniencia de cualquier información, procedimiento o prueba específica, los profesionales de seguridad deben aplicar su propio juicio profesional a las circunstancias específicas presentadas por los sistemas o ambientes de tecnología de la información específicos.

Reserva de Derechos© 2008 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperación o transmitir de alguna manera a través de algún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA. La reproducción y uso de la totalidad de esta publicación o parte de la misma se permite únicamente para uso académico, interno y no comercial y para acuerdos de consultoría/asesoría, y debe incluir la mención completa de la fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo.

ISACA3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrónico: [email protected]ágina Internet: www.isaca.org

Definición de los requerimientos para la posición de gerencia de seguridad de la información: Orientación para ejecutivos y gerentes

Impreso en los Estados Unidos de América

3© 2 0 0 8 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .

Reconocimientos

Reconocimientos

ISACA desea expresar su reconocimiento a:

Grupo de Discusión de LiderazgoKen Baylor, Ph.D., CISM, CISSP, Nuance, EUA Robert Coles, CISA, CISM, Merrill Lynch, Reino UnidoSonia DaSilva, CISA, CISM, CGEIT, Memorial Sloan-Kettering Cancer Center, EUALee Kushner, LJ Kushner, EUAHans Joern Lund-Andersen, CISA, CISM, Dong Energy, Dinamarca Marc Noble, CISM, CISSP, ISSAP, Federal Communications Commission, EUAJohn Nugent, Ph.D., CISM, CFE, CPA, DBA, University of Dallas, EUAMichael Raisinghani, Ph.D., CISM, CECC, PMP, Texas Women’s University, EUAMarc A. L. J. Vael, Ph.D., CISA, CISM, KPMG, BélgicaVishnal Vilas Salvi, CISM, HDFC Bank Limited, India

Consejo de DirecciónLynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, Reino Unido,

Presidente InternacionalGeorge Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, VicepresidenteHoward Nicholson, CISA, CGEIT, City of Salisbury, Australia, VicepresidenteJosé Ángel Peña Ibarra, CGEIT, Consultoría en Comunicaciones e Informática. SA & CV, México,

VicepresidenteRobert E. Stroud, CA Inc., EUA, VicepresidenteKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EUA, VicepresidenteFrank Yam, CISA, FHKCS, FHKIoD, CIA, CFE, CCP, CFSA, FFA, Focus Strategic Group Inc.,

Hong Kong, VicepresidenteMarios Damianides, CISA, CISM, CA, CPA, Ernst & Young, EUA, Anterior Presidente InternacionalEverett C. Johnson Jr., CPA, Deloitte & Touche LLP (retirado), EUA, Anterior Presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, DirectorTony Hayes, CPA, Gobierno de Queensland, Australia, DirectorJo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Director

Comité de Gestión de la SeguridadJo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Presidente Manuel Aceves, CISA, CISM, CISSP, Cerberian Consulting, MéxicoKent Anderson, CISM, Encurve LLC, EUAEmil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd, EUA Yves Le Roux, CISM, CA Inc., FranciaMark Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers, EUAKyeong-Hee Oh, CISA, CISM, Fullbitsoft, Corea del SurVernon Poole, CISM, CGEIT, Sapphire Technologies Ltd., Reino UnidoRolf von Roessing, CISA, CISM, CGEIT, KPMG Alemania, Alemania

Consejo de Certificación de CISMEvelyn Susana Anton, CISA, CISM, UTE, Venezuela, PresidenteGarry James Barnes, CISA, CISM, CISA, Commonwealth Bank of Australia, AustraliaAllan Neville Boardman, CISA, CISM, CA, CISSP, JP Morgan Chase, Reino UnidoJohn Randolph Caraway, CISM, CISSP, JP Morgan Chase, EUAJames A. Crawford Jr., CISM, CISSP, MSIA, Marine Forces Reserve, EUA.Ramses Gallego, CISM, CISSP, SCPM, Entel IT Consulting, EspañaHitoshi Ota, CISA, CISM, CIA, Mizuho Corporate Bank Ltd., JapónSmita Dilip Totade, Ph.D., CISA, CISM, FEI, National Insurance Academy, IndiaMichael Wai-Kee Yung, CISA, CISM, ESD Services Ltd., Hong Kong


Tabla de Contenido

Introducción ..................................................................................................................... 5 Audiencia ..................................................................................................................... 5 Metas y Objetivos ........................................................................................................ 6 Datos de ISACA .......................................................................................................... 6 Beneficios de Este Esfuerzo ........................................................................................ 6

1. Seguridad en Contexto .............................................................................................. 7 Rol de los gerentes de seguridad de la información ................................................... 8

2. Descripción de la Posición ....................................................................................... 10 Gobierno de seguridad de la información ................................................................. 10 Gestión de Riesgos .................................................................................................... 11 Desarrollo del Programa de Seguridad de la Información ........................................ 12 Gestión del Programa de Seguridad de la Información ............................................ 13 Gestión y respuesta a incidentes ................................................................................ 14

3. Evolución de la Carrera .......................................................................................... 15 Bases para las Habilidades ........................................................................................ 18

Conclusión ...................................................................................................................... 19

Apéndice A—Perfil Profesional de los Participantes en el Sondeo Analítico sobre la Práctica Laboral del CISM ............................................................................ 20

Apéndice B—Tareas y Calificaciones de Conocimientos ........................................... 21

Apéndice C—Conocimientos Relacionados para Cada Área de Contenido de la Práctica Laboral del CISM ................................................................................. 22

Referencias ...................................................................................................................... 27

Otras Publicaciones ....................................................................................................... 28

4 © 2 0 0 8 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .

Introducción

Introducción

Dado que la seguridad de la información ha madurado para convertirse en una disciplina, han surgido múltiples y nuevas oportunidades de carrera. Ya que ha resultado cada vez más difícil definir estos puestos de trabajo y las habilidades necesarias, ISACA y el IT Governance Institute® (ITGITM) han realizado investigaciones para proporcionar a los miembros información que puede ayudarles a definir los requerimientos de la posición de seguridad.

Conforme la profesión de la seguridad de la información ha madurado, se ha enfrentado con requerimientos empresariales y técnicos cada vez mayores. Las empresas se enfrentan ahora a múltiples requerimientos regulatorios, así como a un perfil de amenaza siempre presente y siempre cambiante y la necesidad de gestionar el riesgo. Es imperativo que las empresas contraten profesionales con las capacidades adecuadas para garantizar que los activos de información estén protegidos contra el uso no autorizado, que los sistemas estén disponibles, y que la integridad continua de la información y los procesos esté asegurada. También es imprescindible que los profesionales de la seguridad que ocupen puestos de dirección tengan la experiencia práctica en seguridad y negocios para poder responder a las necesidades cambiantes de la empresa en materia de protección.

En la actualidad, no existe ninguna especificación de facto que defina las responsabilidades, los conocimientos ni las relaciones de subordinación óptimas de la gestión de seguridad de la información. Muchas posiciones de seguridad de la información reportan al Director de TI (CIO), otras a un Oficial de Seguridad de la Información (CISO), a un Director de Riesgo (CRO) o un Director de Cumplimiento (CCO). Las responsabilidades del trabajo difieren también entre las empresas. Algunas empresas han adoptado un modelo de convergencia de la seguridad donde un CSO es responsable tanto de la seguridad de la información como de la seguridad física. Otras conciben la seguridad de la información únicamente como un tema tecnológico. Muchas empresas están llegando a la conclusión de que la seguridad de la información es un asunto de negocios que afecta la situación financiera de la empresa en general.

AudienciaEste informe ha sido preparado para proporcionar una descripción de la posición y la trayectoria de carrera actual para los profesionales de la seguridad de la información. Su objetivo es servir de guía para quienes están involucrados en la seguridad de la información, incluyendo los profesionales de recursos humanos, profesionales de la seguridad de la información, los ejecutivos, los órganos rectores y los consejos de dirección o los síndicos.

Dado que el campo de la seguridad de la información es relativamente nuevo, toda vez que surgió en la década de 1970, muchos profesionales han entrado en la disciplina de la seguridad de la información procedentes de diversas trayectorias profesionales, incluyendo TI, contabilidad, auditoría, derecho, operaciones de negocios, ingeniería, gestión de proyectos y seguridad física. Debido a la diversa formación que los profesionales de la seguridad de la información aportan a sus posiciones, un elemento esencial de este informe es un diagrama de los distintos caminos por los que estos profesionales han incursionado y avanzado en las posiciones de seguridad de la información. Este diagrama (figura 2) se incluye para resumir y presentar, de manera




lógica y fácil de entender, las trayectorias, niveles, roles y funciones que acumulan los profesionales y gerentes de la seguridad de la información en una empresa.

Este informe ha sido concebido como una guía práctica para la definición de trayectorias profesionales y los atributos esenciales de la posición de gerente de seguridad de la información.

Puede adaptarse a los requerimientos específicos de una empresa determinada, de acuerdo con su tamaño, nivel jerárquico, naturaleza, recursos, nivel y complejidad de la posición.

Metas y ObjetivosEste informe proporciona un marco para comprender los numerosos requerimientos cambiantes e interrelacionados de la posición de gerente de seguridad de la información y las responsabilidades asignadas a los profesionales en los distintos niveles en una empresa. También identifica las vías que los profesionales suelen tomar durante sus carreras para llegar a estas posiciones. La intención del informe es ayudar a aquellos que ingresan a la profesión procedentes de un programa universitario, planifican su carrera o avanzan dentro de la profesión. También sirve como una guía para los responsables de la contratación de profesionales de seguridad de la información o los que gestionan, lideran o tienen responsabilidades de supervisión de una función de seguridad de la información.

Datos de ISACALa exhaustiva investigación que se llevó a cabo para la preparación de este informe incluye los datos recopilados bajo la dirección de ISACA como parte de un amplio sondeo global realizado en 2006 entre aproximadamente 600 profesionales de seguridad de la información que poseen la designación Certified Information Security Manager® (CISM®), así como un grupo activo de ejecutivos de seguridad de la información, incluyendo más de 100 CISMs. En el Apéndice A se presentan otros datos demográficos recopilados en el estudio de 2006. Además, en 2007, ISACA lanzó su Estudio sobre la Evolución de la Carrera de Seguridad de la Información,1, el cual generó respuestas de más de 1.400 CISMs en todo el mundo. Esos resultados se reflejan en esta publicación.

La designación CISM es emitida por ISACA y cuenta con el reconocimiento de la Organización Internacional de Estandarización (ISO) como parte de un selecto grupo de certificaciones a profesionales de la seguridad de la información que gozan de reconocimiento mundial.

Beneficios de Este EsfuerzoAl usar este informe, el lector obtendrá una clara comprensión de la dinámica y los requerimientos para la posición de gerencia de seguridad de la información en cuanto a las necesidades cambiantes de empleo, la tasa y el grado de cambio tecnológico que tienen lugar, y cómo estas condiciones incidirán en el rol del gerente de seguridad de la información. Será de utilidad para la definición, perfeccionamiento y actualización de los requerimientos para las posiciones de gerencia de seguridad de la información, teniendo en cuenta que la capacidad y habilidades de gestión pueden ser más críticas que las competencias técnicas, en particular al escalar posiciones dentro de una empresa.

1 ISACA, Information Security Career Progression Survey Results, EUA, 2008

1. Seguridad en Contexto


1. Seguridad en ContextoLa seguridad de la información es una función de negocio. Como tal, es fundamental que los profesionales de la seguridad de la información en busca de progresar dentro de una empresa desarrollen habilidades de negocio sanas, además de las habilidades, conocimientos y destrezas funcionales.

En un artículo publicado recientemente en Computerworld, titulado “How IT Is Revitalizing Staff Skills”,2 los entrevistados señalaron que es sumamente necesario contar con conocimientos y experiencia multifuncionales, así como con destrezas de negocios y gestión en general, para progresar en la empresa. Los entrevistados también señalaron que es necesario que los profesionales técnicos dominen habilidades, conocimientos y destrezas de negocios.

Hoy en día es esencial que los profesionales de seguridad de la información no sólo comprendan las cuestiones técnicas que son una parte esencial de su rol funcional, sino también que sean capaces de comunicarse, interactuar con otros y gestionar sobre la base de buenos principios y prácticas de administración de negocios.

El informe de investigación de ISACA titulado Critical Elements of Information Security Program Success3 identifica claramente la necesidad de que los ejecutivos y la alta dirección, así como el gerente de seguridad de la información, consoliden una relación que transmitirá un mensaje coherente con respecto a la prioridad que da la empresa a la protección de la información y sus valiosos activos.

Para alinear correctamente los riesgos de negocio y las soluciones de seguridad de la información, es necesario un diálogo de cooperación entre las áreas de negocio y los expertos en seguridad de la información. Sin embargo, para obtener resultados satisfactorios, es necesario que el diálogo sea respaldado con una acción visible y coherente. La mejor expresión de dicha acción es el establecimiento y aplicación coherente de las políticas y estándares de la empresa. El informe de ISACA indica que, sin la participación activa de la dirección ejecutiva en la aplicación y gestión de una estrategia de seguridad de la información, el progreso se vería reducido por el cumplimiento inconsistente de las políticas, dando lugar a una falsa sensación de comodidad en materia de protección de activos.

Los conflictos entre las prioridades cotidianas afectan la calidad y la consistencia de la protección de los activos de información. Estos conflictos deben tratarse de manera coordinada. Para garantizar que cada empleado y agente de la empresa tome en serio los riesgos asociados, la dirección ejecutiva y la alta dirección deben mostrarse abiertamente interesados en asegurar el éxito del programa de seguridad de la información dentro de sus empresas.

Otra conclusión clave del informe es que los profesionales de seguridad de la información están comenzando a reconocer que necesitan desarrollar una sólida comprensión del negocio a medida que su rol se hace más visible en la empresa. Sus decisiones exigen una justificación de riesgo de negocios, y la dependencia de la empresa en la tecnología impulsa una mayor interacción con sus homólogos de las áreas legal y de cumplimiento dentro de la empresa.2 Robb, D; “How IT Is Revitalizing Staff Skills,” Computerworld, EUA, febrero de 20073 ISACA, Critical Elements of Information Security Program Success, EUA, 2005



Rol de los gerentes de seguridad de la informaciónAl parecer, el rol del gerente de seguridad de la información está en constante evolución, no es sólo que los caminos para llegar a una posición de gerente de seguridad de la información son diferentes, sino que los roles y responsabilidades entre los profesionales de seguridad de la información también difieren.

En Information Security Career Progression Survey Results, los CISM indicaron que sus actividades laborales cambiaron considerablemente de su trabajo anterior al actual. Los CISM están experimentando un descenso en las responsabilidades técnicas y un aumento significativo en áreas como la gestión de programas de seguridad, gestión de riesgos y cumplimiento. El Apéndice B muestra la cantidad de tiempo que los CISM dicen dedicar a las cinco áreas de práctica laboral de la certificación. La figura 1 presenta el porcentaje de CISMs que realizan ciertas actividades. La figura indica que un porcentaje mucho mayor de CISMs son responsables de funciones de negocios (que se muestran en negritas) en su rol actual en comparación con el rol anterior. Correlacionar la seguridad de la información con el negocio se ha convertido en alta prioridad.

En la actualidad, algunos requerimientos de trabajo común para los gerentes de seguridad de la información incluyen: • Supervisarelestablecimiento,implementaciónycumplimientodelaspolíticasy

estándares que orientan y apoyan los términos de la estrategia de seguridad de la información

• Comunicarseconladirecciónejecutivaparaasegurarelapoyoalprogramadeseguridad de la información

Figura 1—Porcentaje de CISMs responsables de actividades de seguridad

Rango Posición actual Porcentaje Posición anterior Porcentaje

1 Gestión de riesgos 76,6 Seguridad de los datos 56,6

2 Gestión de programas de seguridad

74,0 Gestión de riesgos 54,8

3 Seguridad de los datos 70,7 Seguridad de la red 53,5

4 Creación y mantenimiento de políticas

65,3 Gestión de programas de seguridad

49,0

5 Cumplimiento regulatorio 63,4 Creación y mantenimiento de políticas

48,8

6 Gestión de proyectos de seguridad

59,6 Continuidad del negocio/recuperación en caso de desastre

45,8

7 Gestión de incidentes 58,5 Seguridad de sistemas y aplicaciones

45,2

8 Seguridad de la red 57,3 Arquitectura de seguridad 45,1

9 Continuidad del negocio/recuperación en caso de desastre

56,1 Gestión de incidentes 44,8

10 Arquitectura de seguridad 55,9 Gestión de proyectos de seguridad

44,8

Fuente: ISACA, Information Security Career Progression Survey Results, EUA, 2008

1. Seguridad en Contexto


• Supervisaryrealizaractividadesdegestiónderiesgos(evaluaciónderiesgos,análisisde brechas, análisis de impacto al negocio, etc.) para ayudar a la empresa a alcanzar un nivel aceptable de riesgo

• Asesoraryformularrecomendacionesenrelaciónconcontrolesadecuadosdeseguridad de personal, física y técnica

• Administrarelprogramadegestióndeincidentesdeseguridaddelainformaciónparaasegurar la prevención, detección, contención y corrección de brechas de seguridad

• Notificarlosindicadoresapropiadosaladirecciónejecutiva• Participarenlasolucióndeproblemasrelacionadosconbrechasalaseguridad• Crearunacampañadeformaciónyconcienciaciónsobreseguridaddelainformación

dirigida a toda la empresa• Coordinarlacomunicacióndelacampañadeconcienciación/concientizaciónsobre

la seguridad de la información a todos los miembros de la empresa• Coordinarconlosproveedores,auditores,ladirecciónejecutivaylosdepartamentos

usuarios para mejorar la seguridad de la información

Para mantenerse al día con los roles y responsabilidades en constante cambio, es indispensable la formación, la certificación y el desarrollo profesional continuos. La seguridad de la información ha madurado hasta convertirse en más que un rol de respuesta técnica, y los ejecutivos y la alta dirección están comenzando a reconocer este cambio.

Para seguir impulsando la profesión, los gerentes de seguridad de la información deben estar en capacidad de demostrar el valor de la seguridad de la información a la empresa. La comunicación efectiva del valor del programa de seguridad requiere que el gerente de seguridad de la información no sólo entienda la tecnología y las soluciones, sino también, y más importante aun, que sea competente en las áreas que tradicionalmente se conciben como habilidades empresariales. Las habilidades de comunicación (escrita y oral), organizacionales, financieras y de gestión son muy importantes al comunicarse con los líderes de la empresa.



2. Descripción de la PosiciónSegún el Estudio Analítico de las Prácticas Laborales del Gerente Certificado de Seguridad de la Información,4 los CISM encuestados esperan que el gerente de seguridad de la información desempeñe un rol más central en los negocios dentro de los próximos tres años. Además, los encuestados esperan ver un mayor énfasis en el gobierno, así como un mayor enfoque hacia la gestión de riesgos y la gestión de incidentes.

Los participantes en el estudio analítico de las prácticas laborales también indicaron que hubo muchas áreas de conocimiento y habilidades que tuvieron que adquirir en el último año. Estas habilidades y áreas de conocimiento incluyen:• Habilidadesdenegocios• Habilidadesdegestión• Mayorconocimientoacercadelosrequerimientosregulatorios/decumplimiento• ConocimientodelaLeySarbanes-Oxley• Habilidadesdeevaluación/gestiónderiesgos• Informática/Cómputoforense• Seguridad,incluyendolagestióndeseguridaddelainformación,laseguridadfísica

y seguridad de redes

Para ayudar a las empresas en la elección de profesionales altamente calificados para posiciones de gestión de la seguridad de la información, se ha creado una serie de certificaciones profesionales. ISACA lanzó su certificación CISM en 2002. La certificación está diseñada para gerentes de seguridad de la información que poseen al menos cinco años de experiencia y habilidades en las áreas de seguridad y negocios.

El examen CISM abarca cinco áreas de prácticas laborales que se centran en diferentes tareas de seguridad de la información y conocimientos relacionados. Las tareas representan lo que un profesional de la seguridad de la información debería estar en capacidad de hacer y los conocimientos relacionados (ver apéndice C) representan lo que el gerente de seguridad de la información debería saber para realizar las tareas.

Gobierno de seguridad de la informaciónLa primera área de práctica laboral que los gerentes de seguridad de la información identifican como esencial para su función es el gobierno de seguridad de la información. Puesto que obviamente el gobierno es un asunto de negocios, en esta categoría es donde se espera que el gerente de seguridad de la información cuente con habilidades efectivas al trabajar con ejecutivos y entender cómo demostrar el valor de la seguridad de la información a la empresa. A continuación se presentan ocho tareas clave en el área de gobierno de seguridad de la información:5

• Desarrollarunaestrategiadeseguridaddelainformaciónqueestéalineadaconlas metas y los objetivos del negocio.

• Alinearlaestrategiadeseguridaddelainformaciónconelgobiernocorporativo.• Desarrollarcasosdenegocio(businesscases)quejustifiquenlainversiónen

seguridad de la información.

4 ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 20065 ISACA, CISM Review Manual 2008, EUA, 2008

2. Descripción de la Posición


• Identificarrequerimientoslegalesyregulatoriostantorealescomopotencialesqueafecten la seguridad de la información.

• Identificarimpulsores/driversqueafectenlaorganización(porejemplo,tecnología,ambiente de negocio, tolerancia al riesgo, ubicación geográfica) y su impacto en la seguridad de la información.

• Obtenerelcompromisodelaaltadirecciónconlaseguridaddelainformación.• Definirrolesyresponsabilidadesrelacionadosconlaseguridaddelainformación

a través de la organización.• Establecercanalesdecomunicaciónyreporte,tantointernoscomoexternos,que

apoyen la seguridad de la información.

Las tareas demuestran una alineación entre el programa de seguridad de la información y las necesidades del negocio. Para gestionar con eficacia el programa de seguridad de la información, el gerente debe tener conocimiento del negocio para realizar las tareas mencionadas anteriormente. El gerente debe poseer habilidades de comunicación para obtener el apoyo de los ejecutivos y debe ser capaz de entender los informes financieros para ver claramente los impulsores del negocio. El gerente también debe ser capaz de trabajar eficazmente con otras áreas, incluyendo el área legal y de auditoría para detectar posibles problemas regulatorios, recursos humanos y jefes de las unidades funcionales de negocio para definir las responsabilidades que se relacionan con la seguridad de la información.

Gestión de RiesgosLa gestión de riesgos de seguridad de la información es la segunda área de responsabilidad crítica de la gestión de seguridad de la información contenida en las áreas de práctica laboral del CISM. Esta área representa la totalidad del ciclo de gestión del riesgo en una empresa, desde la evaluación hasta la mitigación. En este caso, es necesario que los gerentes de seguridad de la información realicen evaluaciones de riesgo, comprendan y comuniquen claramente el posible impacto para el negocio, y recomienden los controles para la mitigación de riesgos.

Las tareas críticas para manejar la gestión de riesgos de manera eficaz son las siguientes:• Establecerunprocesoparaclasificarlosactivosdeinformaciónydeterminarsupropiedad.• Implementarunprocesodeevaluaciónderiesgosdeinformaciónsistemáticoyestructurado.• Garantizarquelasevaluacionesdeimpactoalnegociosellevenacaboconregularidad.• Garantizarquelasevaluacionesdeamenazasyvulnerabilidadessellevenacabode

manera continua.• Identificaryevaluardemaneraperiódicaloscontrolesylascontramedidas

de la seguridad de la información para mitigar el riesgo a niveles aceptables.• Integrarlaidentificaciónygestiónderiesgos,amenazasyvulnerabilidades

dentro del ciclo de vida de los proceso (por ejemplo, desarrollo y adquisiciones).• Reportarloscambiossignificativosenlosriesgosdelainformaciónanivelesde

gestión apropiados para su aceptación tanto de forma periódica como a medida que suceda algún incidente.

Las siete tareas mencionadas representan una amplia gama de conocimientos. Los gerentes de seguridad de la información no sólo deben poseer un conocimiento profundo de las amenazas, vulnerabilidades y exposiciones posibles, sino que también deben comprender los métodos para evaluar riesgos, las estrategias de mitigación posibles, los métodos para realizar análisis



de brechas y análisis de impacto al negocio, y deben tener un conocimiento sólido acerca de los controles y contramedidas de seguridad. Más importante aun, para tomar decisiones sobre el tratamiento del riesgo, el gerente de seguridad de la información debe saber cómo comunicarse con la dirección ejecutiva con relación a la tolerancia al riesgo de la empresa y debe ser capaz de contribuir a la identificación y gestión del riesgo a nivel empresarial.

Desarrollo del Programa de Seguridad de la InformaciónEl desarrollo del Programa de seguridad de la información es la tercera destreza esencial que es fundamental para el rol del gerente de seguridad de la información. Al crear un programa de seguridad de la información, es fundamental que los gerentes de seguridad de la información alineen el programa con los objetivos de la empresa y demuestren el valor que el programa le provee al negocio. Es necesario que los gerentes de seguridad de la información posean una sólida comprensión acerca de las personas, procesos y tecnologías para alcanzar los objetivos del negocio de manera efectiva.

Los gerentes de seguridad de la información deben ser capaces de realizar las 11 tareas siguientes en el desarrollo de programas de seguridad de la información:• Desarrollarymantenerplanesparaimplementarlaestrategiadeseguridaddela

información.• Especificarlasactividadesquesevanarealizardentrodelprogramadeseguridad

de la información.• Asegurarlaalineaciónentreelprogramadeseguridaddelainformaciónyotras

funciones de aseguramiento (por ejemplo, seguridad física, recursos humanos, calidad, TI).• Identificarrecursosinternosyexternos(porejemplo,finanzas,personas,equipos,

sistemas) que se requieren para ejecutar el programa de seguridad de la información.• Verificareldesarrollodelasarquitecturasdeseguridaddelainformación(porejemplo,

personas, procesos, tecnología).• Establecer,comunicarymantenerpolíticasdeseguridaddelainformación

que respalden la estrategia de seguridad.• Diseñarydesarrollarunprogramaparafomentarlaconcientizacion,entrenamiento

y formación sobre la seguridad de la información.• Garantizareldesarrollo,comunicaciónymantenimientodeestándares,procedimientos

y otra documentación (por ejemplo, directrices, niveles mínimos (baselines), códigos de conducta) que respalden las políticas de seguridad de la información.

• Integrarlosrequerimientosdeseguridaddelainformaciónalosprocesosdela organización (por ejemplo, control de cambios, fusiones y adquisiciones) y a las actividades del ciclo de vida (por ejemplo, desarrollo, empleo, adquisiciones).

• Desarrollarunprocesoparaintegrarloscontrolesdeseguridaddelainformaciónalos contratos (por ejemplo, con joint ventures, proveedores en outsourcing, socios de negocio, clientes, terceros).

• Establecermétricasparaevaluarlaeficaciadelprogramadeseguridaddelainformación.

Las tareas para el desarrollo del programa de seguridad de la información que el gerente de seguridad de la información debe cumplir ponen claramente de relieve que se necesitan personas que sean capaces de entender los objetivos del negocio y que tengan sólidas habilidades de comunicación. El desarrollo de un programa de seguridad eficaz depende de la capacidad del gerente para comprender la estrategia y los objetivos de la empresa y para trabajar con los ejecutivos y líderes de las unidades funcionales de negocios a fin de integrar la seguridad dentro de la cultura de la empresa.

2. Descripción de la Posición


Gestión del Programa de Seguridad de la InformaciónLa gestión del Programa de seguridad de la información es la cuarta área de prácticas laborales de CISM. Su objetivo es gestionar con eficacia el programa de seguridad de la información, reuniendo los recursos humanos, físicos y financieros para ayudar a lograr los objetivos de negocio.

Hay nueve tareas dentro de esta área de práctica laboral que el gerente de seguridad de la información debe ser capaz de completar de manera eficaz:• Gestionarlosrecursostantointernoscomoexternos(porejemplo,finanzas,

personas, equipos, sistemas) que se requieren para ejecutar el programa de seguridad de la información.

• Asegurarquelosprocesosyprocedimientosserealicenencumplimientoconlas políticas y los estándares de seguridad de la información de la organización.

• Asegurarlaejecucióndeloscontrolesdeseguridaddelainformaciónacordadosporcontrato (por ejemplo, joint ventures, proveedores en outsourcing, socios de negocio, clientes, terceros).

• Proveerlacertezaquelaseguridaddelainformaciónseaparteintegraldelprocesode desarrollo de sistemas y los procesos de adquisición.

• Proveerlacertezaquelaseguridaddelainformaciónsemantengaatravésdelos procesos de la organización (por ejemplo, control de cambios, fusiones y adquisiciones) y actividades del ciclo de vida.

• Brindarasesoríayorientaciónsobrelaseguridaddelainformación(porejemplo,análisis de riesgos, selección de controles) en la organización.

• Proporcionarconcientización,entrenamientoyformaciónsobreseguridaddelainformación a las partes interesadas (por ejemplo, dueños de procesos de negocio, usuarios, personal de tecnología de la información).

• Monitorear,medir,probareinformarsobrelaeficaciaylaeficienciadeloscontroles de la seguridad de la información y el cumplimiento con las políticas de seguridad de la información.

• Asegurarsequelosproblemasdenocumplimientoyotrasdivergenciasseresuelvande manera oportuna.

Como se puede apreciar en el conjunto de actividades indicadas, las habilidades de comunicación son un elemento crítico para la gestión del programa. Los gerentes de seguridad de la información deben desarrollar y notificar mediciones apropiadas para demostrar la creación de valor a la alta dirección. Los gerentes de seguridad de la información también deben ser capaces de comunicarse a nivel técnico con los especialistas en TI, los líderes y empleados de las unidades de negocio, quienes serán responsables por la protección de los valiosos activos de información.



Gestión y respuesta a incidentesLa práctica laboral final es la gestión y respuesta a incidentes. La gestión de incidentes se define como el proceso de desarrollar y mantener la capacidad de resolver incidentes dentro de una empresa, de manera que se pueda contener la exposición a estos incidentes y poder recuperarse de los mismos dentro de un tiempo objetivo especificado. Entre los incidentes figuran el uso indebido de activos de cómputo, revelación de información o eventos que pongan en riesgo la continuidad de los procesos de negocio. Dentro de esta área de práctica, hay 10 tareas críticas que los gerentes de seguridad deben dominar con fluidez:• Desarrollareimplementarprocesosparaprevenir,detectar,identificar,analizar

y responder a incidentes relacionados con la seguridad de la información.• Establecerprocesosdeescalamientoycomunicación,asícomolíneasdeautoridad.• Desarrollarplanespararesponderydocumentarlosincidentesrelacionadoscon

la seguridad de la información.• Establecerlacapacidadparainvestigarincidentesrelacionadosconlaseguridad

de la información (por ejemplo, cómputo forense, recopilación y conservación de evidencias, análisis de registros (logs), entrevistas).

• Desarrollarunprocesoparacomunicarsedentrodelaorganizaciónyconorganizaciones externas (por ejemplo, medios, autoridades, clientes).

• Integrarplanesderespuestaaincidentesdeseguridaddelainformaciónconlos planes de recuperación en caso de desastre y continuidad del negocio de la organización.

• Organizar,capacitarydotaralosequiposparaquepuedanresponderalosincidentes de seguridad de la información.

• Probaryoptimizarperiódicamentelosplanesderespuestaaincidentesrelacionados con la seguridad de la información.

• Gestionarlarespuestaalosincidentesrelacionadosconlaseguridaddelainformación• Realizarrevisionesparaidentificarlascausasdelosincidentesrelacionadosconla

seguridad de la información, desarrollar acciones correctivas y reevaluar los riesgos.

El área de práctica laboral en gestión y respuesta a incidentes exige a los gerentes de seguridad de la información identificar, analizar, gestionar y responder a interrupciones o fallas en las funciones de procesamiento de la información.

Capítulo XX


3. Evolución de la CarreraLos gerentes de seguridad de la información deben poseer una amplia gama de habilidades para alcanzar el éxito en sus funciones. Algunas de estas habilidades pertenecen al área de gestión, gestión de riesgos, tecnología, comunicación, gestión de proyectos, organización y liderazgo. Debido a que las empresas se concentran cada vez más en habilidades de negocio y a veces les resulta difícil ponderar las habilidades interpersonales, se recomienda que, al seleccionar un gerente de seguridad de la información, hagan énfasis en una persona con experiencia en las cinco áreas de contenido de trabajo de CISM.

Es importante tener en cuenta que el reclutamiento externo no es siempre la única opción. Con frecuencia, las empresas poseen en su nómina empleados con habilidades críticas. Es posible que un profesional de seguridad de la información ingrese a una empresa en un área particular y posteriormente adquiera habilidades adicionales que le permitan avanzar a otra.

La figura 2 ilustra las numerosas trayectorias de desarrollo de carrera por las que puede transitar un gerente de seguridad de la información dentro de una empresa. Muestra el desarrollo típico de la carrera de un profesional de seguridad de la información y cómo estos profesionales pueden moverse horizontal, vertical y diagonalmente a medida que progresan en sus carreras. Esta figura también resalta el hecho de que son muchos los antecedentes y recursos de carrera en los cuales pueden apoyarse los gerentes de seguridad de la información para adquirir nuevos conocimientos, certificaciones, capacitación y experiencia.

El ascenso desde una posición inicial a una posición de nivel C puede seguir varias trayectorias; de hecho, éste es precisamente el patrón observado al realizar un sondeo entre quienes poseen la certificación CISM en todo el mundo. Estos profesionales ingresaron a sus organizaciones desde numerosas áreas funcionales y progresaron por el escalafón corporativo siguiendo patrones tanto verticales como horizontales y, con frecuencia, también describieron trayectorias de ascenso diagonal. Para ascender dentro de una empresa se requiere una combinación de habilidades técnicas y gerenciales, y se cree que este patrón continuará en el futuro.

El conjunto de habilidades que deben poseer los gerentes de seguridad de la información de la actualidad no siempre son fáciles de medir. Los empleadores necesitan una referencia sobre la cual apoyarse al evaluar empleados, para efectos de ascensos, y a los candidatos externos, para efectos de contratación. La taxonomía de Bloom6 ofrece a las empresas una escala para determinar si los candidatos a ciertos trabajos poseen el conjunto de habilidades necesarias para desempeñarse en las funciones de gerente de seguridad de la información.

Bloom identificó seis niveles de dominio cognitivo, desde el nivel más bajo—un simple recuerdo o el reconocimiento de los hechos—pasando por niveles mentales cada vez más complejos y abstractos, hasta el nivel más alto, que se clasifica como evaluación; en la figura 3 se citan ejemplos de verbos que representan la actividad intelectual en cada nivel.

En la figura 4 se aprecian con más detalle las competencias de la posición de gerente de seguridad de la información, en función de los seis niveles de aprendizaje de Bloom. Se sugiere una correlación de niveles de competencia entre los diferentes niveles corporativos y las competencias de Bloom: conocimiento, comprensión, aplicación, análisis, síntesis y evaluación. Los requerimientos de competencia en las distintas áreas se pueden satisfacer asignando al equipo profesionales con las diferentes fortalezas necesarias.

6 Bloom, B; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984

3. Evolución de la Carrera

Figura 2—Modelo típico de progreso y gestión de seguridad de la información

Comité del Consejo Directivo de Seguridad/ Aseguramiento de la Información

Equipo Multidisciplinario de Nivel C

Nivel Gestión Tecnología ArquitecturaAseguramiento

Legal/Gestión de Riesgos/ Privacidad

Alto directivo(Nivel C) CIO COO CTO CISO CArO CAO GC CRO CPO

Gerente/director

Consultoría en Operaciones

Seguridad de la información en desarrollo/sistemas e infraestructura

Auditoría interna

Riesgo de la información/consultoría en privacidad

Experto Consultor de TI principal

Profesional senior de TI

Ingeniero senior de desarrollo de TI

Arquitecto senior de TI

Auditor senior de seguridad de la información

Consultor de TI principal

Especialista,gerente

Gerente de productos/programas/proyectos, líder de equipo, gerente de cuenta en ventas

Especialista, técnico

Consultor de seguridad, analista de negocios

Gerente de producto de seguridad

Diseñador de seguridad

Profesional de sistemas de seguridad

Auditor de seguridad

Consultor de riesgos de la información

Entrante Analista Desarrollador Pasante/Practicante de diseñador de seguridad

Pasante/Practicante de sistemas de seguridad

Pasante/Practicante de auditor de seguridad

El desarrollo de carrera a través del nivel C puede ser vertical, horizontal y/o diagonal.

Fuente: Adaptado de Lynas, David; John Sherwood; “Professionalism in Information Security: A Framework for Competency Development,” 12 Conferencia Anual de COSAC, Reino Unido, 2005 Clave de Nivel C:CIO = Director de TI (Chief Information Officer) CAO = Director de Aseguramiento (Chief Assurance Officer)COO = Director de Operaciones (Chief Operating Officer) GC = Consultor General (General Counsel)CTO = Director de Tecnología (Chief Technology Officer) CRO = Director de Riesgos (Chief Risk Officer)CISO = Director de Seguridad de la Información CPO = Director de Privacidad (Chief Privacy Officer)(Chief Information Security Officer) CARO = Director de Arquitectura (Chief Architecture Officer)

Nive

les

de C

arre

raDefinición de los requerimientos para la posición de gerencia de seguridad de la información


Al promover o contratar a un gerente de seguridad de la información, las empresas pueden comprobar la utilidad de este concepto de competencias para determinar las calificaciones y requerimientos del candidato a la posición.

Un gerente de seguridad de la información requiere de vastos y profundos conocimientos de una amplia gama de áreas. En muchos casos, este nivel de conocimiento no se encuentra en una sola persona, especialmente en las etapas iniciales de su carrera. Por lo tanto, en las grandes empresas, es probable que sea necesario un equilibrio de competencias profesionales distribuidas dentro de un conjunto de profesionales y, dentro de este conjunto de profesionales, quienes posean una comprensión más amplia y profunda de las áreas necesarias podrán acceder a los cargos más altos. En virtud de que la tecnología está cambiando muy rápidamente, se requiere capacitación y formación continuas.



Figura 3—Competencias técnicas, basadas en la taxonomía de Bloom

Nivel de competencia

Habilidad demostrada Ejemplos de verbos de comportamiento

1 Conocimiento • Observar y recordar información.• Demostrar conocimiento de hechos.• Demostrar conocimiento de ideas

principales.• Demostrar dominio de la materia.• Llevar a cabo investigaciones para

hallar información.

Enumerar, definir, decir, describir, identificar, mostrar, etiquetar, recopilar, examinar, tabular, citar, nombrar, hallar, identificar

2 Comprensión • Comprender información.• Captar el sentido.• Convertir el conocimiento para que

se adapte a nuevos contextos.• Interpretar hechos.• Comparar y contrastar.• Inferir causas.• Predecir consecuencias.

Resumir, explicar, interpretar, contrastar, predecir, asociar, distinguir, estimar, diferenciar, discutir, ampliar, ordenar, agrupar

3 Aplicación • Usar la información de manera inteligente.

• Usar métodos, conceptos y teorías en nuevas situaciones.

• Resolver problemas utilizando las habilidades o conocimientos necesarios.

Aplicar, demostrar, calcular, completar, ilustrar, mostrar, resolver, examinar, modificar, relacionar, cambiar, clasificar, experimentar, descubrir

4 Análisis • Identificar patrones.• Organizar las partes. • Reconocer significados ocultos.• Identificar componentes.

Analizar, separar, ordenar, conectar, clasificar, organizar, dividir, comparar, seleccionar, inferir

5 Síntesis • Usar ideas antiguas para crear ideas nuevas.

• Generalizar a partir de hechos dados.

• Relacionar conocimientos de diversas áreas.

• Realizar predicciones y sacar conclusiones.

Combinar, integrar, modificar, reordenar, sustituir, planificar, crear, construir, diseñar, inventar, componer, formular, preparar, generalizar, reescribir

6 Evaluación • Comparar y discriminar entre ideas.

• Evaluar el valor de teorías y presentaciones.

• Tomar decisiones apoyándose en una argumentación razonada.

• Verificar el valor de la evidencia.• Reconocer la subjetividad.

Valorar, evaluar, decidir, jerarquizar, calificar, probar, medir, recomendar, convencer, seleccionar, juzgar, discriminar, fundamentar, concluir

Fuente: Bloom, Benjamin; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984

Figura 4—Competencias que debe tener un gerente de seguridad de la información

Dominio Conocimiento Comprensión Aplicación Análisis Síntesis Evaluación

Nivel/Categoría Neg. Seg. Neg. Seg. Neg. Seg. Neg. Seg. Neg. Seg. Neg. Seg.

Ejecutivo de nivel C

M M M M M M M M M M M M

Director M M M M M M M M M M M M

Gerente C M M M M M M M C C C C

Experto técnico

C M C M C M C M U M U M

Especialista técnico

U M U M U M U M U C U C

Analista técnico

U C U C U C U C U C U C

Fuente: University of Dallas Center for Information Assurance, 2007

Leyenda de la tablaNeg. = Conocimiento de NegociosSeg. = Conocimiento sobre seguridad de la informaciónM = Dominio totalC = Algún nivel de competenciaU = Comprensión básica



Bases para las HabilidadesLas certificaciones profesionales y la formación desempeñan un papel importante en el desarrollo de habilidades y, además, demuestran profesionalismo y compromiso de mantener un alto nivel profesional.

La formación puede ser impartida en un escenario de educación formal, como una universidad o institución de educación superior, las cuales ahora ofrecen programas de licenciatura, postgrado y doctorado para gerentes de seguridad de la información, o puede obtenerse durante el ejercicio de la profesión en conferencias, seminarios y talleres.

Una certificación profesional puede ser muy valiosa para demostrar conocimientos en gestión de seguridad de la información, además de experiencia, porque requiere que los candidatos aprueben un examen que se basa en sus competencias en seguridad de la información. CISM es una certificación en gestión de seguridad de la información altamente respetada que requiere que los candidatos aprueben un examen riguroso y que posean cinco años de experiencia en gestión de seguridad de la información, y posteriormente acumular horas de educación profesional continua (CPE), a fin de mantener la certificación.



Conclusión

Los roles, las responsabilidades y las relaciones que los gerentes de seguridad de la información deben cumplir son enormes, crecientes, complejos y a veces conflictivos, pero son uniformes en todo el mundo. Su desafío, de acuerdo con el sondeo analítico sobre la práctica laboral del CISM,7 es que, si desean avanzar en su carrera, deben convertirse en expertos en la comprensión de los problemas y fundamentos de los negocios, así como en la gestión y trabajo en coordinación con otros profesionales técnicos. Es necesario acumular y actualizar mucho conocimiento con respecto a la evolución de la tecnología; por lo tanto, la capacitación, las certificaciones y la formación continua son indispensables.

También se determinó, a partir del sondeo analítico sobre la práctica laboral del CISM, que muchos gerentes de seguridad de la información avanzaron hasta su posición a través de diferentes carreras y antecedentes educativos. Esto ha funcionado porque, de esta manera, se acumula un conjunto de conocimientos, experiencia, formación, capacitación y certificación, todo lo cual optimiza el perfil de seguridad general de una empresa. Por esta razón, se cree que los ascensos en las carreras de los gerentes de seguridad de la información tienden a seguir diversas trayectorias profesionales: algunos profesionales han avanzado verticalmente y otros han avanzado horizontalmente, otros han sido transferidos desde una posición puramente técnica y han pasado a desempeñar una función más gerencial y viceversa.

Finalmente, para que la seguridad de la empresa sea realmente eficaz, debe haber, en los niveles más altos, la disposición a asumir un compromiso. Esto significa que la seguridad de la información debe estar indisolublemente ligada a las estructuras de gobierno corporativo y debe contar con la participación y apoyo del consejo de dirección y los altos directivos.

La creación de una cultura de apoyo a la seguridad de la información es justamente,uno de los muchos desafíos que los gerentes de seguridad de la información enfrentan hoy en día, pero una combinación adecuada de formación y experiencia ayudará a prepararlos para enfrentar esos desafíos.

7 ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006



Apéndice A—Perfil Profesional de los Participantes en el Sondeo Analítico sobre la Práctica Laboral del CISM

Las siguientes estadísticas representan los datos demográficos obtenidos del Certified Information Security Manager Job Practice Analysis Study de ISACA 2006:• El70porcientodelosencuestadosteníaentreseisy15añosdeexperienciacomo

gerente de seguridad de la información.• El59porcientoproveníadecuatrosectores:serviciosbancarios(16porciento),

consultoría (23 por ciento), finanzas (7 por ciento) y gobierno/nacional (13 por ciento).• El83porcientoeradesexomasculino.• El77porcientoteníauntítulodelicenciatura(pregrado)osuperior(38porcientotenía

un título de licenciatura y 39 por ciento tenía, adicionalmente, un título de maestría).• SibientodoslosencuestadoscontabanconunacredencialCISM,másdel73por

ciento tenía una certificación adicional (40 por ciento contaba con la certificación CISSP, 33 por ciento tenía CISA, 33 por ciento otras).

• El65porcientoteníaunodelostrestítulossiguientes:CISO(13porciento),director de seguridad de la información (13 por ciento) o gerente de seguridad de la información (39 por ciento).

• El94porcientoestabacertificadodesde2003.• El33porcientoestabaempleadoenempresascon1.500a9.999trabajadores

(otras respuestas se distribuían de forma equilibrada en una curva de campana).• El62porcientoteníaunanóminadepersonaldeseguridadatiempocompletode

menos de 25 personas (El 39 por ciento tenía personal de cero a cinco, 17 por ciento contaba con una plantilla de seis a 10, y 16 por ciento contaba con una plantilla de 11 a 25 empleados).

Nota: Los porcentajes se han redondeado a números enteros.

Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 19-27


Apéndice B—Tareas y Calificaciones de Conocimientos

La figura 5 representa las respuestas de los gerentes CISM que participaron en el estudio analítico de las prácticas laborales de 2006. Los gerentes CISM respondieron con el porcentaje de tiempo que invirtieron en la gestión de las actividades en cada una de las áreas de contenido laboral de CISM y también en función de la criticidad de las áreas de contenido en su trabajo. La media de criticidad es un promedio de todas las puntuaciones, en una escala lineal de 1 a 5; 1 indica la menos crítica y 5 indica la más crítica.

Apéndice B—Tareas y Calificaciones de Conocimientos

Figura 5—Estadísticas descriptivas del área de contenido en el examen CISM

Áreas de contenido del examen CISM Porcentaje de tiempo Media de criticidad

Gobierno de seguridad de la información 22,0 3,5

Gestión de riesgos de seguridad de la información

21,5 3,6

Desarrollo de programas de seguridad de la información

17,6 3,4

Gestión de programas de seguridad de la información

24,0 3,5

Gestión y respuesta a incidentes 13,6 3,4

Otros 1,2 –

Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 29



Apéndice C—Conocimientos Relacionados para Cada Área de Contenido de la Práctica Laboral del CISM(Fuente: ISACA, CISM Review Manual 2008, EUA, 2008)

Área 1: Gobierno de seguridad de la informaciónCR1.1 Conocimiento de las metas y objetivos de negocioCR1.2 Conocimiento de los conceptos de seguridad de la informaciónCR1.3 Conocimiento de los componentes que integran una estrategia de seguridad

de la información (por ejemplo, personas, procesos, tecnologías, arquitecturas)CR1.4 Conocimiento de la relación que existe entre la seguridad de la información

y las funciones de negocioCR1.5 Conocimiento del alcance y los estatutos del gobierno de la seguridad de la

informaciónCR1.6 Conocimiento de los conceptos de los gobiernos corporativo y de la seguridad

de la información.CR1.7 Conocimiento de los métodos que integran el gobierno de la seguridad de

la información en el marco general de gobierno de la empresaCR1.8 Conocimiento de las estrategias de planificación presupuestaria y métodos

de reporteCR1.9 Conocimiento de las metodologías para desarrollar un caso de negocio

(business case)CR1.10 Conocimiento de los tipos de impulsores tanto internos como externos

(por ejemplo, tecnología, ambiente de negocio, tolerancia al riesgo) que pudieran repercutir en las organizaciones y la seguridad de la información

CR1.11 Conocimiento de los requerimientos regulatorios y su posible impacto al negocio desde el punto de vista de la seguridad de la información

CR1.12 Conocimiento de las estrategias de gestión de la responsabilidad común y opciones de seguros (por ejemplo, seguro contra delito o de fidelidad, interrupciones del negocio)

CR1.13 Conocimiento de las relaciones con terceros y su impacto en la seguridad de la información (por ejemplo, fusiones y adquisiciones, sociedades, outsourcing)

CR1.14 Conocimiento de los métodos utilizados para obtener el compromiso de la alta dirección con la seguridad de la información

CR1.15 Conocimiento del establecimiento y operación de un grupo directivo para la seguridad de la información

CR1.16 Conocimiento de los roles, responsabilidades y estructuras organizacionales generales de la gestión de seguridad de la información

CR1.17 Conocimiento de los enfoques para vincular las políticas a los objetivos de negocio de la empresa

CR1.18 Conocimiento de las normas internacionales generalmente aceptadas aplicables a la gestión de la seguridad de la información

CR1.19 Conocimiento de los métodos centralizados y distribuidos para coordinar las actividades relacionadas con la seguridad de la información

CR1.20 Conocimiento de los métodos para establecer canales de reporte y comunicación en toda la organización

Apéndice C—Conocimientos Relacionados para Cada Área de Contenido de la Práctica Laboral del CISM


Área 2: Gestión de Riesgos de la Seguridad de la InformaciónCR2.1 Conocimiento de los componentes que se requieren para establecer un esquema

de clasificación de la de seguridad de la información que sea congruente con los objetivos de negocio (incluyendo la identificación de activos)

CR2.2 Conocimiento de los componentes del esquema de propiedad de la información (incluyendo los impulsores del esquema, tales como roles y responsabilidades)

CR2.3 Conocimiento de amenazas, vulnerabilidades y exposiciones relacionadas con la información.

CR2.4 Conocimiento de las metodologías para valorar los recursos de información.CR2.5 Conocimiento de las metodologías de evaluación y análisis de riesgos

(incluyendo la mensurabilidad, la repetición y la documentación)CR2.6 Conocimiento de los factores que se utilizan para determinar la frecuencia

y los requerimientos para reportar algún riesgoCR2.7 Conocimiento de los métodos cuantitativos y cualitativos utilizados para

determinar la sensibilidad y la criticidad de los recursos de información, así como el impacto que tienen los eventos adversos en el negocio

CR2.8 Conocimiento de los modelos de niveles mínimos (baselines) y su relación con las evaluaciones basadas en riesgos de los requerimientos de control

CR2.9 Conocimiento de los controles y las contramedidas de seguridadCR2.10 Conocimiento de los métodos para analizar la efectividad de los controles

y las contramedidas de la seguridad de la informaciónCR2.11 Conocimiento de las estrategias de mitigación de riesgos que se utilizan

para definir los requerimientos de seguridad para los recursos de informaciónCR2.12 Conocimiento del análisis de brechas para evaluar el estado actual en

comparación con las normas generalmente aceptadas de buenas prácticas para la gestión de la seguridad de la información

CR2.13 Conocimiento de las técnicas del análisis de costo-beneficio para mitigar los riesgos a niveles aceptables

CR2.14 Conocimiento de los principios y las prácticas de la gestión de riesgos basada en el ciclo de vida

Área 3: Desarrollo del Programa de Seguridad de la InformaciónCR3.1 Conocimiento de los métodos para traducir estrategias en planes que se puedan

gestionar y mantener para implementar la seguridad de la informaciónCR3.2 Conocimiento de las actividades que se deben incluir en un programa de

seguridad de la informaciónCR3.3 Conocimiento de los métodos para gestionar la implementación del programa

de seguridad de la informaciónCR3.4 Conocimiento de los controles de planificación, diseño, desarrollo, prueba

e implementación de la seguridad de la informaciónCR3.5 Conocimiento de los métodos para alinear los requerimientos del programa

de seguridad de la información con los de otras funciones de aseguramiento (por ejemplo, seguridad física, recursos humanos, calidad, TI)

CR3.6 Conocimiento de cómo identificar los requerimientos de recursos y habilidades tanto internos como externos (por ejemplo, finanzas, personas, equipos y sistemas)

CR3.7 Conocimiento de la adquisición de recursos y habilidades (por ejemplo, presupuesto de proyecto, empleo de personal contratado, compra de equipos)



CR3.8 Conocimiento de las arquitecturas de seguridad de la información (por ejemplo, arquitecturas lógicas y físicas) y su implementación

CR3.9 Conocimiento de las tecnologías y los controles de seguridad (por ejemplo, técnicas criptográficas, controles de acceso, herramientas de monitoreo)

CR3.10 Conocimiento del proceso para desarrollar políticas de seguridad de la información que satisfagan y respalden los objetivos de negocios de la empresa

CR3.11 Conocimiento del contenido para la concienciación, capacitación y formación sobre seguridad de la información en toda la empresa (por ejemplo, conciencia general de la seguridad, construcción de código seguro, controles del sistema operativo)

CR3.12 Conocimiento de los métodos para identificar actividades que permitan cerrar la brecha entre los niveles de competencias y los requerimientos de habilidades

CR3.13 Conocimiento de las actividades destinadas a promover una cultura y conducta de seguridad positivas

CR3.14 Conocimiento de los usos de las políticas, estándares, procedimientos, directrices y otra documentación, así como de la diferencia que existe entre ellos

CR3.15 Conocimiento del proceso para vincular las políticas a los objetivos de negocio de la empresa

CR3.16 Conocimiento de los métodos para desarrollar, implementar, comunicar y mantener políticas, estándares, procedimientos, directrices y otra documentación de seguridad de la información

KS3.17 Conocimiento para integrar los requerimientos de seguridad de la información en los procesos organizacionales (por ejemplo, control de cambios, fusiones y adquisiciones)

CR3.18 Conocimiento de las metodologías y actividades de ciclo de vida (por ejemplo, desarrollo, empleo, adquisiciones)

CR3.19 Conocimiento de los procesos para incluir los requerimientos de seguridad en los contratos (por ejemplo, con joint ventures, proveedores de servicios externos, socios de negocios, clientes y terceros)

CR3.20 Conocimiento de métodos y técnicas para gestionar los riesgos de terceros (por ejemplo, acuerdos de niveles de servicio, contratos, debida diligencia, proveedores y subcontratistas)

CR3.21 Conocimiento del diseño, desarrollo e implementación de las métricas de seguridad de la información

CR3.22 Conocimiento de certificación y acreditación del cumplimiento de las aplicaciones e infraestructura de negocio a las necesidades del negocio

CR3.23 Métodos para evaluar de forma continua la eficacia y la aplicabilidad de los controles de seguridad de la información (por ejemplo, pruebas de vulnerabilidad, herramientas de evaluación)

CR3.24 Conocimiento de los métodos para medir y hacer seguimiento a la eficacia y la vigencia del programa de concienciación, capacitación y formación sobre la seguridad de la información

CR3.25 Conocimiento de los métodos para mantener el programa de seguridad de la información (por ejemplo, planes de sucesión, asignación de trabajos, documentación del programa)

Apéndice C—Conocimientos Relacionados para Cada Área de Contenido de la Práctica Laboral del CISM


Área 4: Gestión del Programa de Seguridad de la InformaciónCR4.1 Conocimiento sobre cómo interpretar e implementar las políticas de seguridad

de la informaciónCR4.2 Conocimiento de los procesos y procedimientos administrativos de seguridad

de la información (por ejemplo, controles de acceso, gestión de identidad, acceso remoto)

CR4.3 Conocimiento de métodos para implementar y gestionar el programa de seguridad de la información de la empresa considerando los acuerdos con terceros (por ejemplo, socios comerciales, contratistas, socios en joint ventures, proveedores externos)

CR4.4 Conocimiento de métodos para gestionar el programa de seguridad de la información a través de proveedores de servicios de seguridad

CR4.5 Conocimiento de las cláusulas contractuales relacionadas con la seguridad de la información (por ejemplo, derecho a auditar, confidencialidad, no divulgación)

CR4.6 Conocimiento de métodos para definir y monitorear los requerimientos de seguridad en los acuerdos de niveles de servicio

CR4.7 Conocimiento de métodos y enfoques para proporcionar monitoreo continuo de actividades de seguridad en aplicaciones del negocio y la infraestructura de la empresa

CR4.8 Conocimiento de las métricas gerenciales para validar las inversiones hechas en el programa de seguridad de la información (por ejemplo, recopilación de datos, revisión periódica, indicadores clave de desempeño)

CR4.9 Conocimiento de los métodos para probar la eficacia y la aplicabilidad de los controles de seguridad de la información (por ejemplo, pruebas de penetración, violación de contraseñas, ingeniería social, herramientas de evaluación).

CR4.10 Conocimiento de las actividades de gestión de cambios y configuraciónCR4.11 Conocimiento de las ventajas/desventajas de utilizar a proveedores de

aseguramiento internos/externos para llevar a cabo revisiones de la seguridad de la información

CR4.12 Conocimiento de actividades de debida diligencia, revisiones y estándares relacionados para gestionar y controlar el acceso a la información

CR4.13 Conocimiento sobre fuentes de reporte de vulnerabilidades externas e información sobre posibles impactos en la seguridad de la información en aplicaciones e infraestructura

CR4.14 Conocimiento de los eventos que afectan los niveles mínimos (baselines) de seguridad que pueden requerir re-evaluaciones de riesgo y cambios a los elementos del programa de seguridad de la información

CR4.15 Conocimiento de prácticas para la gestión de problemas relacionados con la seguridad de la información

CR4.16 Conocimiento de los requerimientos de reporte del estado de la seguridad de la infraestructura y los sistemas

CR4.17 Conocimiento de técnicas generales de la gerencia de línea, incluyendo preparación de presupuesto (por ejemplo, estimación, cuantificación, compensaciones), gerencia de personal (por ejemplo, motivación, valoración, establecimiento de objetivos) e instalaciones (por ejemplo, obtención y uso de equipos)



Área 5: Gestión y respuesta a incidentesCR5.1 Conocimiento de los componentes de una capacidad de respuesta a incidentesCR5.2 Conocimiento de planes de recuperación en caso de desastre y continuidad

del negocioCR5.3 Conocimiento de las prácticas para la gestión de incidentes relacionados

con la informaciónCR5.4 Conocimiento de las pruebas del plan de recuperación en caso de desastre

para la infraestructura y las aplicaciones críticas para el negocioCR5.5 Conocimiento de los eventos que desencadenan las respuestas a incidentes.CR5.6 Conocimiento sobre contención de dañosCR5.7 Conocimiento de los procesos de notificación y escalamiento para una gestión

eficaz de la seguridadCR5.8 Conocimiento del rol que desempeñan las personas en la identificación y

gestión de incidentes relacionados con la seguridadCR5.9 Conocimiento del proceso de notificación de crisisCR5.10 Conocimiento de métodos para identificar los recursos de negocio esenciales

para la recuperaciónCR5.11 Conocimiento de los tipos y medios disponibles de herramientas y equipos que

se requieren para dotar adecuadamente a los equipos de respuesta a incidentesCR5.12 Conocimiento de los requerimientos forenses para recopilar y presentar

evidencias (por ejemplo, admisibilidad, calidad y completitud de la evidencia, cadena de custodia)

CR5.13 Conocimiento utilizado para documentar incidentes y acciones posterioresCR5.14 Conocimiento de los requerimientos de reporte tanto internos como externosCR5.15 Conocimiento de las prácticas de revisión posteriores al incidente y métodos

de investigación para identificar las causas y determinar acciones correctivasCR5.16 Conocimiento de las técnicas para cuantificar los daños, costos y otros impactos

al negocio que se derivan de incidentes relacionados con la seguridadCR5.17 Conocimiento del tiempo objetivo de recuperación (RTO) y su relación con los

objetivos y procesos de los planes de contingencia y de continuidad del negocio

Capítulo XX


Referencias

Bloom, B.; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984

Lynas, D.; J. Sherwood; “Professionalism in Information Security: A Framework for Conpetency Development”, 12 Conferencia Anual de COSAC, Reino Unido, 2005

Robb, D.; “How IT Is Revitalizing Staff Skills,” Computerworld, EUA, Febrero de 2007

ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006

ISACA, CISM Review Manual 2008, EUA, 2008

ISACA, Critical Elements of Information Security Program Success, EUA, 2005

ISACA, Information Security Career Progression Survey Results, EUA, 2008

Referencias



Otras Publicaciones

Muchas publicaciones emitidas por el IT Governance Institute® (ITGITM) e ISACA contienen cuestionarios de evaluación y programas de trabajo detallados. Para obtener más información, por favor, visite www.isaca.org/bookstore o envíe un correo electrónico a [email protected].

Seguridad•Cybercrime: Incident Response and Digital Forensics, 2005• Information Security Governance: Guidance for Boards of Directors and Executive

Management, 2nd Edition, 2006•Information Security Governance: Guidance for Information Security Managers, 2008•Information Security Harmonisation—Classification of Global Guidance, 2005•Managing Enterprise Information Integrity: Security, Control and Audit Issues, 2004•Security Awareness: Best Practices to Serve Your Enterprise, 2005•Stepping Through the InfoSec Program, 2007

Aseguramiento•ITAFTM: A Professional Practices Framework for IT Assurance, 2008•Stepping Through the IS Audit, 2nd Edition, 2004

Series ERP:•Security, Audit and Control Features Oracle® E-Business Suite: A Technical and Risk

Management Reference Guide, 2nd Edition, 2006•Security, Audit and Control Features PeopleSoft®: A Technical and Risk Management

Reference Guide, 2nd Edition, 2006•Security, Audit and Control Features SAP®R/3®: A Technical and Risk Management

Reference Guide, 2nd Edition, 2005

Ambientes Específicos:•Electronic and Digital Signatures: A Global Status Report, 2002• Enterprise Identity Management: Managing Secure and Controllable Access in the

Extended Enterprise Environment, 2004•Linux: Security, Audit and Control Features, 2005• Managing Risk in the Wireless LAN Environment: Security, Audit and Control

Issues, 2005•Oracle® Database Security, Audit and Control Features, 2004•OS/390—z/OS: Security, Control and Audit Features, 2003• Risks of Customer Relationship Management: A Security, Control and Audit

Approach, 2003•Security Provisioning: Managing Access in Extended Enterprises, 2002•Virtual Private Network—New Issues for Network Security, 2001

Capítulo XX


Gobierno de TI•Board Briefing on IT Governance, 2nd Edition, 2003• Identifying and Aligning Business Goals and IT Goals, 2008• IT Governance Global Status Report—2008, 2008•Understanding How Business Goals Drive IT Goals, 2008

CobiT y publicaciones relacionadas•CobIT ® 4.1, 2007• CobiT ® Control Practices: Guidance to Achieve Control Objectives for Successful

IT Governance, 2nd Edition, 2007•CobiT ® QuickstartTM, 2nd Edition, 2007•CobiT ® Security BaselineTM, 2nd Edition, 2007•IT Assurance Guide: Using CobiT ®, 2007• IT Control Objectives for Basel II: The Importance of Governance and Risk

Management for Compliance, 2007• IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and

Implementation of Internal Control Over Financial Reporting, 2nd Edition, 2006• IT Governance Implementation Guide: Using CobiT ® and Val IT™, 2nd Edition, 2007

Mapeando CobiT:•Aligning CobiT ® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit, 2008•CobiT ® Mapping: Mapping of CMMI® for Development V1.2 With CobiT ® 4.0, 2007•CobiT ® Mapping: Mapping of ISO/IEC 17799:2000 With CobiT ® 4.0, 2nd Edition, 2006•CobiT® Mapping: Mapping of ISO/IEC 17799:2005 With CobiT ® 4.0, 2006•CobiT ® Mapping: Mapping of ITIL V3 With CobiT ® 4.1, 2008•CobiT ® Mapping: Mapping of NIST SP800-53 With CobiT ® 4.1, 2007•CobiT ® Mapping: Mapping of PMBOK With CobiT ® 4.0, 2006•CobiT ® Mapping: Mapping of PRINCE2 With CobiT ® 4.0, 2007•CobiT ® Mapping: Mapping of SEI’s CMM for Software With CobiT ® 4.0, 2006•CobiT ® Mapping: Mapping of TOGAF 8.1 With CobiT ® 4.0, 2007•CobiT ® Mapping: Overview of International IT Guidance, 2nd Edition, 2006

Prácticas y Competencias del Dominio del Gobierno de TI:•Governance of Outsourcing, 2005•Information Risks: Whose Business Are They?, 2005•IT Alignment: Who Is in Charge?, 2005•Measuring and Demonstrating the Value of IT, 2005•Optimising Value Creation From IT Investments, 2005

Val IT:• Enterprise Value: Governance of IT Investments, Getting Started With Value

Management, 2008•Enterprise Value: Governance of IT Investments, The Business Case, 2006•Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008• Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Extract, 2008

Otras Publicaciones

3701 Algonquin Road, Suite 1010

Rolling Meadows, IL 60008 EUA

Teléfono: +1.847.253.1545

Fax: +1.847.253.1443

Correo electrónico: [email protected]

Página Internet: www.isaca.org

Def-de-Gerencia-de-la-Seguridad-spanish.pdf

Documents