Gerencia de la seguridad de la informacin

Requerimientos de la posicin
n

Definicin de

Orientacin para ejecutivos y gerentes

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

ISACA Con ms de 86.000 miembros en ms de 160 pases, ISACA (www.isaca.org) es reconocida como el lder mundial en gobierno, control, seguridad y aseguramiento de TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el Information Systems Control Journal y desarrolla estndares de auditora y control de sistemas de informacin a nivel internacional. Tambin administra la designacin mundialmente respetada Certified Information Systems Auditor (CISA), obtenida por ms de 60.000 profesionales desde 1978; la designacin Certified Information Security Manager (CISM), obtenida por ms de 9.000 profesionales desde 2002 y la nueva designacin Certified in the Governance of Enterprise IT (CGEIT). Clusula de exencin de responsabilidad ISACA ha diseado y creado la Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin: Orientacin para ejecutivos y gerentes (el Trabajo) principalmente como un recurso educacional para gerentes de seguridad de la informacin. ISACA no afirma que eluso del Trabajo garantizar un resultado satisfactorio. No debe considerarse que el Trabajo incluye toda la informacin, procedimientos y pruebas adecuados o que excluye otro tipo de informacin, procedimientos y pruebas que estn razonablemente destinados a obtener los mismos resultados. Para determinar la conveniencia de cualquier informacin, procedimiento o prueba especfica, los profesionales de seguridad deben aplicar su propio juicio profesional a las circunstancias especficas presentadas por los sistemas o ambientes de tecnologa de la informacin especficos. Reserva de Derechos 2008 ISACA. Todos los derechos reservados. Ninguna parte de esta publicacin se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperacin o transmitir de alguna manera a travs de algn medio (electrnico, mecnico, fotocopias, grabacin u otros) sin la autorizacin previa por escrito de ISACA. La reproduccin y uso de la totalidad de esta publicacin o parte de la misma se permite nicamente para uso acadmico, interno y no comercial y para acuerdos de consultora/asesora, y debe incluir la mencin completa de la fuente del material. No se otorga otra clase de derechos ni permisos en relacin con este trabajo. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Telfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrnico: info@isaca.org Pgina Internet: www.isaca.org

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin: Orientacin para ejecutivos y gerentes Impreso en los Estados Unidos de Amrica

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Reconocimientos

Reconocimientos
ISACA desea expresar su reconocimiento a:
Grupo de Discusin de Liderazgo Ken Baylor, Ph.D., CISM, CISSP, Nuance, EUA Robert Coles, CISA, CISM, Merrill Lynch, Reino Unido Sonia DaSilva, CISA, CISM, CGEIT, Memorial Sloan-Kettering Cancer Center, EUA Lee Kushner, LJ Kushner, EUA Hans Joern Lund-Andersen, CISA, CISM, Dong Energy, Dinamarca Marc Noble, CISM, CISSP, ISSAP, Federal Communications Commission, EUA John Nugent, Ph.D., CISM, CFE, CPA, DBA, University of Dallas, EUA Michael Raisinghani, Ph.D., CISM, CECC, PMP, Texas Womens University, EUA Marc A. L. J. Vael, Ph.D., CISA, CISM, KPMG, Blgica Vishnal Vilas Salvi, CISM, HDFC Bank Limited, India Consejo de Direccin Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Blgica, Vicepresidente Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vicepresidente Jos ngel Pea Ibarra, CGEIT, Consultora en Comunicaciones e Informtica. SA & CV , Mxico, Vicepresidente Robert E. Stroud, CA Inc., EUA, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EUA, Vicepresidente Frank Yam, CISA, FHKCS, FHKIoD, CIA, CFE, CCP, CFSA, FFA, Focus Strategic Group Inc., Hong Kong, Vicepresidente Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young, EUA, Anterior Presidente Internacional Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (retirado), EUA, Anterior Presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, Director Tony Hayes, CPA, Gobierno de Queensland, Australia, Director Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Director Comit de Gestin de la Seguridad Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Presidente Manuel Aceves, CISA, CISM, CISSP, Cerberian Consulting, Mxico Kent Anderson, CISM, Encurve LLC, EUA Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd, EUA Yves Le Roux, CISM, CA Inc., Francia Mark Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers, EUA Kyeong-Hee Oh, CISA, CISM, Fullbitsoft, Corea del Sur Vernon Poole, CISM, CGEIT, Sapphire Technologies Ltd., Reino Unido Rolf von Roessing, CISA, CISM, CGEIT, KPMG Alemania, Alemania Consejo de Certificacin de CISM Evelyn Susana Anton, CISA, CISM, UTE, Venezuela, Presidente Garry James Barnes, CISA, CISM, CISA, Commonwealth Bank of Australia, Australia Allan Neville Boardman, CISA, CISM, CA, CISSP, JP Morgan Chase, Reino Unido John Randolph Caraway, CISM, CISSP, JP Morgan Chase, EUA James A. Crawford Jr., CISM, CISSP, MSIA, Marine Forces Reserve, EUA. Ramses Gallego, CISM, CISSP, SCPM, Entel IT Consulting, Espaa Hitoshi Ota, CISA, CISM, CIA, Mizuho Corporate Bank Ltd., Japn Smita Dilip Totade, Ph.D., CISA, CISM, FEI, National Insurance Academy, India Michael Wai-Kee Yung, CISA, CISM, ESD Services Ltd., Hong Kong
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Tabla de Contenido
Introduccin...................................................................................................................... 5 Audiencia...................................................................................................................... 5 Metas y Objetivos......................................................................................................... 6 Datos de ISACA........................................................................................................... 6 Beneficios de Este Esfuerzo......................................................................................... 6 1. Seguridad en Contexto............................................................................................... 7 Rol de los gerentes de seguridad de la informacin.................................................... 8 2. Descripcin de la Posicin. ...................................................................................... 10 Gobierno de seguridad de la informacin.................................................................. 10 Gestin de Riesgos..................................................................................................... 11 Desarrollo del Programa de Seguridad de la Informacin......................................... 12 Gestin del Programa de Seguridad de la Informacin............................................. 13 Gestin y respuesta a incidentes. ................................................................................ 14

3. Evolucin de la Carrera........................................................................................... 15 Bases para las Habilidades......................................................................................... 18 Conclusin....................................................................................................................... 19 Apndice APerfil Profesional de los Participantes en el Sondeo Analtico sobre la Prctica Laboral del CISM............................................................................. 20 Apndice BTareas y Calificaciones de Conocimientos. .......................................... 21 Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM.................................................................................. 22 Referencias. ..................................................................................................................... 27 Otras Publicaciones........................................................................................................ 28

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Introduccin

Introduccin
Dado que la seguridad de la informacin ha madurado para convertirse en una disciplina, han surgido mltiples y nuevas oportunidades de carrera. Ya que ha resultado cada vez ms difcil definir estos puestos de trabajo y las habilidades necesarias, ISACA y el IT Governance Institute (ITGITM) han realizado investigaciones para proporcionar a los miembros informacin que puede ayudarles a definir los requerimientos de la posicin de seguridad. Conforme la profesin de la seguridad de la informacin ha madurado, se ha enfrentado con requerimientos empresariales y tcnicos cada vez mayores. Las empresas se enfrentan ahora a mltiples requerimientos regulatorios, as como a un perfil de amenaza siempre presente y siempre cambiante y la necesidad de gestionar el riesgo. Es imperativo que las empresas contraten profesionales con las capacidades adecuadas para garantizar que los activos de informacin estn protegidos contra el uso no autorizado, que los sistemas estn disponibles, y que la integridad continua de la informacin y los procesos est asegurada. Tambin es imprescindible que los profesionales de la seguridad que ocupen puestos de direccin tengan la experiencia prctica en seguridad y negocios para poder responder a las necesidades cambiantes de la empresa en materia de proteccin. En la actualidad, no existe ninguna especificacin de facto que defina las responsabilidades, los conocimientos ni las relaciones de subordinacin ptimas de la gestin de seguridad de la informacin. Muchas posiciones de seguridad de la informacin reportan al Director de TI (CIO), otras a un Oficial de Seguridad de la Informacin (CISO), a un Director de Riesgo (CRO) o un Director de Cumplimiento (CCO). Lasresponsabilidades del trabajo difieren tambin entre las empresas. Algunas empresas han adoptado un modelo de convergencia de la seguridad donde un CSO es responsable tanto de la seguridad de la informacin como de la seguridad fsica. Otras conciben la seguridad de la informacin nicamente como un tema tecnolgico. Muchas empresas estn llegando a la conclusin de que la seguridad de la informacin es un asunto de negocios que afecta la situacin financiera de la empresa en general.

Audiencia
Este informe ha sido preparado para proporcionar una descripcin de la posicin y la trayectoria de carrera actual para los profesionales de la seguridad de la informacin. Su objetivo es servir de gua para quienes estn involucrados en la seguridad de la informacin, incluyendo los profesionales de recursos humanos, profesionales de la seguridad de la informacin, los ejecutivos, los rganos rectores y los consejos de direccin o los sndicos. Dado que el campo de la seguridad de la informacin es relativamente nuevo, toda vez que surgi en la dcada de 1970, muchos profesionales han entrado en la disciplina de la seguridad de la informacin procedentes de diversas trayectorias profesionales, incluyendo TI, contabilidad, auditora, derecho, operaciones de negocios, ingeniera, gestin de proyectos y seguridad fsica. Debido a la diversa formacin que los profesionales de la seguridad de la informacin aportan a sus posiciones, un elemento esencial de este informe es un diagrama de los distintos caminos por los que estos profesionales han incursionado y avanzado en las posiciones de seguridad de la informacin. Este diagrama (figura 2) se incluye para resumir y presentar, de manera
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin lgica y fcil de entender, las trayectorias, niveles, roles y funciones que acumulan los profesionales y gerentes de la seguridad de la informacin en una empresa. Este informe ha sido concebido como una gua prctica para la definicin de trayectorias profesionales y los atributos esenciales de la posicin de gerente de seguridad de la informacin. Puede adaptarse a los requerimientos especficos de una empresa determinada, de acuerdo con su tamao, nivel jerrquico, naturaleza, recursos, nivel y complejidad de la posicin.

Metas y Objetivos
Este informe proporciona un marco para comprender los numerosos requerimientos cambiantes e interrelacionados de la posicin de gerente de seguridad de la informacin y las responsabilidades asignadas a los profesionales en los distintos niveles en una empresa. Tambin identifica las vas que los profesionales suelen tomar durante sus carreras para llegar a estas posiciones. La intencin del informe es ayudar a aquellos que ingresan a la profesin procedentes de un programa universitario, planifican su carrera o avanzan dentro de la profesin. Tambin sirve como una gua para los responsables de la contratacin de profesionales de seguridad de la informacin o los que gestionan, lideran o tienen responsabilidades de supervisin de una funcin de seguridad de la informacin.

Datos de ISACA
La exhaustiva investigacin que se llev a cabo para la preparacin de este informe incluye los datos recopilados bajo la direccin de ISACA como parte de un amplio sondeo global realizado en 2006 entre aproximadamente 600 profesionales de seguridad de la informacin que poseen la designacin Certified Information Security Manager (CISM), as como un grupo activo de ejecutivos de seguridad de la informacin, incluyendo ms de 100 CISMs. En el Apndice A se presentan otros datos demogrficos recopilados en el estudio de 2006. Adems, en 2007, ISACA lanz su Estudio sobre la Evolucin de la Carrera de Seguridad de la Informacin,1, el cual gener respuestas de ms de 1.400 CISMs en todo el mundo. Esos resultados se reflejan en esta publicacin. La designacin CISM es emitida por ISACA y cuenta con el reconocimiento de la Organizacin Internacional de Estandarizacin (ISO) como parte de un selecto grupo de certificaciones a profesionales de la seguridad de la informacin que gozan de reconocimiento mundial.

Beneficios de Este Esfuerzo

Al usar este informe, el lector obtendr una clara comprensin de la dinmica y los requerimientos para la posicin de gerencia de seguridad de la informacin en cuanto a las necesidades cambiantes de empleo, la tasa y el grado de cambio tecnolgico que tienen lugar, y cmo estas condiciones incidirn en el rol del gerente de seguridad de la informacin. Ser de utilidad para la definicin, perfeccionamiento y actualizacin de los requerimientos para las posiciones de gerencia de seguridad de la informacin, teniendo en cuenta que la capacidad y habilidades de gestin pueden ser ms crticas que las competencias tcnicas, en particular al escalar posiciones dentro de una empresa.
1

ISACA, Information Security Career Progression Survey Results, EUA, 2008

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

1. Seguridad en Contexto

1. Seguridad en Contexto
La seguridad de la informacin es una funcin de negocio. Como tal, es fundamental que los profesionales de la seguridad de la informacin en busca de progresar dentro de una empresa desarrollen habilidades de negocio sanas, adems de las habilidades, conocimientos y destrezas funcionales. En un artculo publicado recientemente en Computerworld, titulado How IT Is Revitalizing Staff Skills,2 los entrevistados sealaron que es sumamente necesario contar con conocimientos y experiencia multifuncionales, as como con destrezas de negocios y gestin en general, para progresar en la empresa. Los entrevistados tambin sealaron que es necesario que los profesionales tcnicos dominen habilidades, conocimientos y destrezas de negocios. Hoy en da es esencial que los profesionales de seguridad de la informacin no slo comprendan las cuestiones tcnicas que son una parte esencial de su rol funcional, sino tambin que sean capaces de comunicarse, interactuar con otros y gestionar sobre la base de buenos principios y prcticas de administracin de negocios. El informe de investigacin de ISACA titulado Critical Elements of Information Security Program Success3 identifica claramente la necesidad de que los ejecutivos y la alta direccin, as como el gerente de seguridad de la informacin, consoliden una relacin que transmitir un mensaje coherente con respecto a la prioridad que da la empresa a la proteccin de la informacin y sus valiosos activos. Para alinear correctamente los riesgos de negocio y las soluciones de seguridad de la informacin, es necesario un dilogo de cooperacin entre las reas de negocio y los expertos en seguridad de la informacin. Sin embargo, para obtener resultados satisfactorios, es necesario que el dilogo sea respaldado con una accin visible y coherente. La mejor expresin de dicha accin es el establecimiento y aplicacin coherente de las polticas y estndares de la empresa. El informe de ISACA indica que, sin la participacin activa de la direccin ejecutiva en la aplicacin y gestin de una estrategia de seguridad de la informacin, el progreso se vera reducido por el cumplimiento inconsistente de las polticas, dando lugar a una falsa sensacin de comodidad en materia de proteccin de activos. Los conflictos entre las prioridades cotidianas afectan la calidad y la consistencia de la proteccin de los activos de informacin. Estos conflictos deben tratarse de manera coordinada. Para garantizar que cada empleado y agente de la empresa tome en serio los riesgos asociados, la direccin ejecutiva y la alta direccin deben mostrarse abiertamente interesados en asegurar el xito del programa de seguridad de la informacin dentro de sus empresas. Otra conclusin clave del informe es que los profesionales de seguridad de la informacin estn comenzando a reconocer que necesitan desarrollar una slida comprensin del negocio a medida que su rol se hace ms visible en la empresa. Sus decisiones exigen una justificacin de riesgo de negocios, y la dependencia de la empresa en la tecnologa impulsa una mayor interaccin con sus homlogos de las reas legal y de cumplimiento dentro de la empresa.
2 3

Robb, D; How IT Is Revitalizing Staff Skills, Computerworld, EUA, febrero de 2007 ISACA, Critical Elements of Information Security Program Success, EUA, 2005 2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Rol de los gerentes de seguridad de la informacin

Al parecer, el rol del gerente de seguridad de la informacin est en constante evolucin, no es slo que los caminos para llegar a una posicin de gerente de seguridad de la informacin son diferentes, sino que los roles y responsabilidades entre los profesionales de seguridad de la informacin tambin difieren. En Information Security Career Progression Survey Results, los CISM indicaron que sus actividades laborales cambiaron considerablemente de su trabajo anterior al actual. Los CISM estn experimentando un descenso en las responsabilidades tcnicas y un aumento significativo en reas como la gestin de programas de seguridad, gestin de riesgos y cumplimiento. El Apndice B muestra la cantidad de tiempo que los CISM dicen dedicar a las cinco reas de prctica laboral de la certificacin. La figura 1 presenta el porcentaje de CISMs que realizan ciertas actividades. La figura indica que un porcentaje mucho mayor de CISMs son responsables de funciones de negocios (que se muestran en negritas) en su rol actual en comparacin con el rol anterior. Correlacionar la seguridad de la informacin con el negocio se ha convertido en alta prioridad. Figura 1Porcentaje de CISMs responsables de actividades de seguridad
Rango 1 2 3 4 5 6 7 8 9 10 Posicin actual Gestin de riesgos Gestin de programas de seguridad Seguridad de los datos Creacin y mantenimiento de polticas Cumplimiento regulatorio Gestin de proyectos de seguridad Gestin de incidentes Seguridad de la red Continuidad del negocio/ recuperacin en caso de desastre Arquitectura de seguridad Porcentaje 76,6 74,0 70,7 65,3 63,4 59,6 58,5 57,3 56,1 55,9 Posicin anterior Seguridad de los datos Gestin de riesgos Seguridad de la red Gestin de programas de seguridad Creacin y mantenimiento de polticas Continuidad del negocio/ recuperacin en caso de desastre Seguridad de sistemas y aplicaciones Arquitectura de seguridad Gestin de incidentes Gestin de proyectos de seguridad Porcentaje 56,6 54,8 53,5 49,0 48,8 45,8 45,2 45,1 44,8 44,8

Fuente: ISACA, Information Security Career Progression Survey Results, EUA, 2008

En la actualidad, algunos requerimientos de trabajo comn para los gerentes de seguridad de la informacin incluyen: Supervisar el establecimiento, implementacin y cumplimiento de las polticas y estndares que orientan y apoyan los trminos de la estrategia de seguridad de la informacin Comunicarse con la direccin ejecutiva para asegurar el apoyo al programa de seguridad de la informacin
8
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

1. Seguridad en Contexto Supervisar y realizar actividades de gestin de riesgos (evaluacin de riesgos, anlisis de brechas, anlisis de impacto al negocio, etc.) para ayudar a la empresa a alcanzar un nivel aceptable de riesgo Asesorar y formular recomendaciones en relacin con controles adecuados de seguridad de personal, fsica y tcnica Administrar el programa de gestin de incidentes de seguridad de la informacin para asegurar la prevencin, deteccin, contencin y correccin de brechas deseguridad Notificar los indicadores apropiados a la direccin ejecutiva Participar en la solucin de problemas relacionados con brechas a la seguridad Crear una campaa de formacin y concienciacin sobre seguridad de la informacin dirigida a toda la empresa Coordinar la comunicacin de la campaa de concienciacin/concientizacin sobre laseguridad de la informacin a todos los miembros de la empresa Coordinar con los proveedores, auditores, la direccin ejecutiva y los departamentos usuarios para mejorar la seguridad de la informacin Para mantenerse al da con los roles y responsabilidades en constante cambio, es indispensable la formacin, la certificacin y el desarrollo profesional continuos. Laseguridad de la informacin ha madurado hasta convertirse en ms que un rol de respuesta tcnica, y los ejecutivos y la alta direccin estn comenzando a reconocer este cambio. Para seguir impulsando la profesin, los gerentes de seguridad de la informacin deben estar en capacidad de demostrar el valor de la seguridad de la informacin a la empresa. La comunicacin efectiva del valor del programa de seguridad requiere que el gerente de seguridad de la informacin no slo entienda la tecnologa y las soluciones, sino tambin, y ms importante aun, que sea competente en las reas que tradicionalmente seconciben como habilidades empresariales. Las habilidades de comunicacin (escrita y oral), organizacionales, financieras y de gestin son muy importantes al comunicarse con los lderes de la empresa.

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

2. Descripcin de la Posicin
Segn el Estudio Analtico de las Prcticas Laborales del Gerente Certificado de Seguridad de la Informacin,4 los CISM encuestados esperan que el gerente de seguridad de la informacin desempee un rol ms central en los negocios dentro de los prximos tres aos. Adems, los encuestados esperan ver un mayor nfasis en el gobierno, as como un mayor enfoque hacia la gestin de riesgos y la gestin de incidentes. Los participantes en el estudio analtico de las prcticas laborales tambin indicaron que hubo muchas reas de conocimiento y habilidades que tuvieron que adquirir en el ltimo ao. Estas habilidades y reas de conocimiento incluyen: Habilidades de negocios Habilidades de gestin Mayor conocimiento acerca de los requerimientos regulatorios/de cumplimiento Conocimiento de la Ley Sarbanes-Oxley Habilidades de evaluacin/gestin de riesgos Informtica/Cmputo forense Seguridad, incluyendo la gestin de seguridad de la informacin, la seguridad fsica yseguridad de redes Para ayudar a las empresas en la eleccin de profesionales altamente calificados para posiciones de gestin de la seguridad de la informacin, se ha creado una serie de certificaciones profesionales. ISACA lanz su certificacin CISM en 2002. La certificacin est diseada para gerentes de seguridad de la informacin que poseen al menos cinco aos de experiencia yhabilidades en las reas de seguridad y negocios. El examen CISM abarca cinco reas de prcticas laborales que se centran en diferentes tareas de seguridad de la informacin y conocimientos relacionados. Las tareas representan lo que un profesional de la seguridad de la informacin debera estar en capacidad de hacer y los conocimientos relacionados (ver apndice C) representan lo que el gerente de seguridad de lainformacin debera saber para realizar las tareas.

Gobierno de seguridad de la informacin

La primera rea de prctica laboral que los gerentes de seguridad de la informacin identifican como esencial para su funcin es el gobierno de seguridad de la informacin. Puesto que obviamente el gobierno es un asunto de negocios, en esta categora es donde se espera que el gerente de seguridad de la informacin cuente con habilidades efectivas al trabajar con ejecutivos y entender cmo demostrar el valor de la seguridad de la informacin a la empresa. A continuacin se presentan ocho tareas clave en el rea degobierno de seguridad de la informacin:5 Desarrollar una estrategia de seguridad de la informacin que est alineada con lasmetas y los objetivos del negocio. Alinear la estrategia de seguridad de la informacin con el gobierno corporativo. Desarrollar casos de negocio (business cases) que justifiquen la inversin en seguridad de la informacin.
4 5

ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 ISACA, CISM Review Manual 2008, EUA, 2008

10

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

2. Descripcin de la Posicin Identificar requerimientos legales y regulatorios tanto reales como potenciales que afecten la seguridad de la informacin. Identificar impulsores/drivers que afecten la organizacin (por ejemplo, tecnologa, ambiente de negocio, tolerancia al riesgo, ubicacin geogrfica) y su impacto en la seguridad de la informacin. Obtener el compromiso de la alta direccin con la seguridad de la informacin. Definir roles y responsabilidades relacionados con la seguridad de la informacin atravs de la organizacin. Establecer canales de comunicacin y reporte, tanto internos como externos, que apoyen la seguridad de la informacin. Las tareas demuestran una alineacin entre el programa de seguridad de la informacin y las necesidades del negocio. Para gestionar con eficacia el programa de seguridad de la informacin, el gerente debe tener conocimiento del negocio para realizar las tareas mencionadas anteriormente. El gerente debe poseer habilidades de comunicacin para obtener el apoyo de los ejecutivos y debe ser capaz de entender los informes financieros paraver claramente los impulsores del negocio. El gerente tambin debe ser capaz de trabajar eficazmente con otras reas, incluyendo el rea legal y de auditora para detectar posibles problemas regulatorios, recursos humanos y jefes de las unidades funcionales de negocio paradefinir las responsabilidades que se relacionan con la seguridad de la informacin.

Gestin de Riesgos
La gestin de riesgos de seguridad de la informacin es la segunda rea de responsabilidad crtica de la gestin de seguridad de la informacin contenida en las reas de prctica laboral del CISM. Esta rea representa la totalidad del ciclo de gestin del riesgo en una empresa, desde la evaluacin hasta la mitigacin. En este caso, es necesario que los gerentes de seguridad de la informacin realicen evaluaciones de riesgo, comprendan y comuniquen claramente el posible impacto para el negocio, y recomienden los controles para la mitigacin de riesgos. Las tareas crticas para manejar la gestin de riesgos de manera eficaz son las siguientes: Establecer un proceso para clasificar los activos de informacin y determinar su propiedad. Implementar un proceso de evaluacin de riesgos de informacin sistemtico y estructurado. Garantizar que las evaluaciones de impacto al negocio se lleven a cabo con regularidad. Garantizar que las evaluaciones de amenazas y vulnerabilidades se lleven a cabo de manera continua. Identificar y evaluar de manera peridica los controles y las contramedidas delaseguridad de la informacin para mitigar el riesgo a niveles aceptables. Integrar la identificacin y gestin de riesgos, amenazas y vulnerabilidades dentrodel ciclo de vida de los proceso (por ejemplo, desarrollo y adquisiciones). Reportar los cambios significativos en los riesgos de la informacin a niveles de gestin apropiados para su aceptacin tanto de forma peridica como a medida quesuceda algn incidente. Las siete tareas mencionadas representan una amplia gama de conocimientos. Los gerentes de seguridad de la informacin no slo deben poseer un conocimiento profundo de las amenazas, vulnerabilidades y exposiciones posibles, sino que tambin deben comprender los mtodos para evaluar riesgos, las estrategias de mitigacin posibles, los mtodos para realizar anlisis
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

11

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin debrechas y anlisis de impacto al negocio, y deben tener un conocimiento slido acerca de los controles y contramedidas de seguridad. Ms importante aun, para tomar decisiones sobre el tratamiento del riesgo, el gerente de seguridad de la informacin debe saber cmo comunicarse con la direccin ejecutiva con relacin a la tolerancia al riesgo de la empresa ydebe ser capaz de contribuir a la identificacin y gestin del riesgo a nivel empresarial.

Desarrollo del Programa de Seguridad de la Informacin

El desarrollo del Programa de seguridad de la informacin es la tercera destreza esencial que es fundamental para el rol del gerente de seguridad de la informacin. Al crear un programa de seguridad de la informacin, es fundamental que los gerentes de seguridad dela informacin alineen el programa con los objetivos de la empresa y demuestren el valor que el programa le provee al negocio. Es necesario que los gerentes de seguridad de la informacin posean una slida comprensin acerca de las personas, procesos y tecnologas para alcanzar los objetivos delnegocio de manera efectiva. Los gerentes de seguridad de la informacin deben ser capaces de realizar las 11 tareas siguientes en el desarrollo de programas de seguridad de la informacin: Desarrollar y mantener planes para implementar la estrategia de seguridad de la informacin. Especificar las actividades que se van a realizar dentro del programa de seguridad de la informacin. Asegurar la alineacin entre el programa de seguridad de la informacin y otras funciones de aseguramiento (por ejemplo, seguridad fsica, recursos humanos, calidad, TI). Identificar recursos internos y externos (por ejemplo, finanzas, personas, equipos, sistemas) que se requieren para ejecutar el programa de seguridad de la informacin. Verificar el desarrollo de las arquitecturas de seguridad de la informacin (por ejemplo, personas, procesos, tecnologa). Establecer, comunicar y mantener polticas de seguridad de la informacin querespalden la estrategia de seguridad. Disear y desarrollar un programa para fomentar la concientizacion, entrenamiento yformacin sobre la seguridad de la informacin. Garantizar el desarrollo, comunicacin y mantenimiento de estndares, procedimientos y otra documentacin (por ejemplo, directrices, niveles mnimos (baselines), cdigos de conducta) que respalden las polticas de seguridad de la informacin. Integrar los requerimientos de seguridad de la informacin a los procesos de laorganizacin (por ejemplo, control de cambios, fusiones y adquisiciones) y a lasactividades del ciclo de vida (por ejemplo, desarrollo, empleo, adquisiciones). Desarrollar un proceso para integrar los controles de seguridad de la informacin a los contratos (por ejemplo, con joint ventures, proveedores en outsourcing, socios de negocio, clientes, terceros). Establecer mtricas para evaluar la eficacia del programa de seguridad de la informacin. Las tareas para el desarrollo del programa de seguridad de la informacin que el gerente de seguridad de la informacin debe cumplir ponen claramente de relieve que se necesitan personas que sean capaces de entender los objetivos del negocio y que tengan slidas habilidades de comunicacin. El desarrollo de un programa de seguridad eficaz depende de la capacidad del gerente para comprender la estrategia y los objetivos de la empresa y para trabajar con los ejecutivos y lderes de las unidades funcionales de negocios a fin de integrar la seguridad dentro de la cultura de la empresa.
12
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

2. Descripcin de la Posicin

Gestin del Programa de Seguridad de la Informacin

La gestin del Programa de seguridad de la informacin es la cuarta rea de prcticas laborales de CISM. Su objetivo es gestionar con eficacia el programa de seguridad de la informacin, reuniendo los recursos humanos, fsicos y financieros para ayudar a lograr los objetivos denegocio. Hay nueve tareas dentro de esta rea de prctica laboral que el gerente de seguridad delainformacin debe ser capaz de completar de manera eficaz: Gestionar los recursos tanto internos como externos (por ejemplo, finanzas, personas, equipos, sistemas) que se requieren para ejecutar el programa de seguridad de la informacin. Asegurar que los procesos y procedimientos se realicen en cumplimiento con laspolticas y los estndares de seguridad de la informacin de la organizacin. Asegurar la ejecucin de los controles de seguridad de la informacin acordados por contrato (por ejemplo, joint ventures, proveedores en outsourcing, socios de negocio, clientes, terceros). Proveer la certeza que la seguridad de la informacin sea parte integral del proceso de desarrollo de sistemas y los procesos de adquisicin. Proveer la certeza que la seguridad de la informacin se mantenga a travs de los procesos de la organizacin (por ejemplo, control de cambios, fusiones y adquisiciones) y actividades del ciclo de vida. Brindar asesora y orientacin sobre la seguridad de la informacin (por ejemplo, anlisis de riesgos, seleccin de controles) en la organizacin. Proporcionar concientizacin, entrenamiento y formacin sobre seguridad de la informacin a las partes interesadas (por ejemplo, dueos de procesos de negocio, usuarios, personal de tecnologa de la informacin). Monitorear, medir, probar e informar sobre la eficacia y la eficiencia de los controles de la seguridad de la informacin y el cumplimiento con las polticas deseguridad de la informacin. Asegurarse que los problemas de no cumplimiento y otras divergencias se resuelvan de manera oportuna. Como se puede apreciar en el conjunto de actividades indicadas, las habilidades de comunicacin son un elemento crtico para la gestin del programa. Los gerentes de seguridad de la informacin deben desarrollar y notificar mediciones apropiadas para demostrar la creacin de valor a la alta direccin. Los gerentes de seguridad de la informacin tambin deben ser capaces de comunicarse a nivel tcnico con los especialistas en TI, los lderes y empleados de las unidades de negocio, quienes sern responsables por la proteccin de los valiosos activos de informacin.

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

13

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Gestin y respuesta a incidentes

La prctica laboral final es la gestin y respuesta a incidentes. La gestin de incidentes se define como el proceso de desarrollar y mantener la capacidad de resolver incidentes dentro de una empresa, de manera que se pueda contener la exposicin a estos incidentes y poder recuperarse de los mismos dentro de un tiempo objetivo especificado. Entre los incidentes figuran el uso indebido de activos de cmputo, revelacin de informacin o eventos que pongan en riesgo la continuidad de los procesos de negocio. Dentro de esta rea de prctica, hay 10 tareas crticas que los gerentes de seguridad deben dominar con fluidez: Desarrollar e implementar procesos para prevenir, detectar, identificar, analizar yresponder a incidentes relacionados con la seguridad de la informacin. Establecer procesos de escalamiento y comunicacin, as como lneas deautoridad. Desarrollar planes para responder y documentar los incidentes relacionados con laseguridad de la informacin. Establecer la capacidad para investigar incidentes relacionados con la seguridad dela informacin (por ejemplo, cmputo forense, recopilacin y conservacin deevidencias, anlisis de registros (logs), entrevistas). Desarrollar un proceso para comunicarse dentro de la organizacin y con organizaciones externas (por ejemplo, medios, autoridades, clientes). Integrar planes de respuesta a incidentes de seguridad de la informacin con los planes de recuperacin en caso de desastre y continuidad del negocio de laorganizacin. Organizar, capacitar y dotar a los equipos para que puedan responder a los incidentes de seguridad de la informacin. Probar y optimizar peridicamente los planes de respuesta a incidentes relacionados con la seguridad de la informacin. Gestionar la respuesta a los incidentes relacionados con la seguridad de la informacin Realizar revisiones para identificar las causas de los incidentes relacionados con la seguridad de la informacin, desarrollar acciones correctivas y reevaluar los riesgos. El rea de prctica laboral en gestin y respuesta a incidentes exige a los gerentes de seguridad de la informacin identificar, analizar, gestionar y responder a interrupciones ofallas en las funciones de procesamiento de la informacin.

14

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

3. Evolucin de Captulo la Carrera XX

3. Evolucin de la Carrera
Los gerentes de seguridad de la informacin deben poseer una amplia gama de habilidades para alcanzar el xito en sus funciones. Algunas de estas habilidades pertenecen al rea de gestin, gestin de riesgos, tecnologa, comunicacin, gestin de proyectos, organizacin y liderazgo. Debido a que las empresas se concentran cada vez ms en habilidades de negocio y a veces les resulta difcil ponderar las habilidades interpersonales, se recomienda que, al seleccionar un gerente de seguridad de la informacin, hagan nfasis en una persona con experiencia en las cinco reas de contenido de trabajo de CISM. Es importante tener en cuenta que el reclutamiento externo no es siempre la nica opcin. Con frecuencia, las empresas poseen en su nmina empleados con habilidades crticas. Es posible que un profesional de seguridad de la informacin ingrese a una empresa en un rea particular y posteriormente adquiera habilidades adicionales que le permitan avanzar a otra. La figura 2 ilustra las numerosas trayectorias de desarrollo de carrera por las que puede transitar un gerente de seguridad de la informacin dentro de una empresa. Muestra el desarrollo tpico de la carrera de un profesional de seguridad de la informacin y cmo estos profesionales pueden moverse horizontal, vertical y diagonalmente a medida que progresan en sus carreras. Esta figura tambin resalta el hecho de que son muchos los antecedentes y recursos de carrera en los cuales pueden apoyarse los gerentes de seguridad de la informacin para adquirir nuevos conocimientos, certificaciones, capacitacin y experiencia. El ascenso desde una posicin inicial a una posicin de nivel C puede seguir varias trayectorias; de hecho, ste es precisamente el patrn observado al realizar un sondeo entre quienes poseen la certificacin CISM en todo el mundo. Estos profesionales ingresaron a sus organizaciones desde numerosas reas funcionales y progresaron por el escalafn corporativo siguiendo patrones tanto verticales como horizontales y, con frecuencia, tambin describieron trayectorias de ascenso diagonal. Para ascender dentro de una empresa se requiere una combinacin de habilidades tcnicas y gerenciales, y se cree que este patrn continuar en el futuro. El conjunto de habilidades que deben poseer los gerentes de seguridad de la informacin de la actualidad no siempre son fciles de medir. Los empleadores necesitan una referencia sobre la cual apoyarse al evaluar empleados, para efectos de ascensos, y a los candidatos externos, para efectos de contratacin. La taxonoma de Bloom6 ofrece a las empresas una escala para determinar si los candidatos a ciertos trabajos poseen el conjunto de habilidades necesarias para desempearse en las funciones de gerente de seguridad de la informacin. Bloom identific seis niveles de dominio cognitivo, desde el nivel ms bajoun simple recuerdo o el reconocimiento de los hechospasando por niveles mentales cada vez ms complejos y abstractos, hasta el nivel ms alto, que se clasifica como evaluacin; en la figura 3 se citan ejemplos de verbos que representan la actividad intelectual en cada nivel. En la figura 4 se aprecian con ms detalle las competencias de la posicin de gerente de seguridad de la informacin, en funcin de los seis niveles de aprendizaje de Bloom. Se sugiere una correlacin de niveles de competencia entre los diferentes niveles corporativos y las competencias de Bloom: conocimiento, comprensin, aplicacin, anlisis, sntesis y evaluacin. Los requerimientos de competencia en las distintas reas se pueden satisfacer asignando al equipo profesionales con las diferentes fortalezas necesarias.
6

Bloom, B; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984 2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

15

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin Figura 2Modelo tpico de progreso y gestin de seguridad de la informacin
Comit del Consejo Directivo de Seguridad/ Aseguramiento de la Informacin Equipo Multidisciplinario de Nivel C Asegura miento Legal/Gestin de Riesgos/ Privacidad

Nivel Alto directivo (Nivel C)

Gestin

Tecnologa

Arquitectura

CIO

COO

CTO

CISO

CArO

CAO

GC CRO CPO Riesgo de la informacin/ consultora en privacidad Consultor de TI principal

Niveles de Carrera

Gerente/ director

Consultora en Seguridad de la informacin en desarrollo/ Auditora Operaciones sistemas e infraestructura interna

Experto

Consultor de TI principal

Profesional Ingeniero senior senior de de TI desarrollo de TI

Arquitecto senior de TI

Auditor senior de seguridad de la informacin

Especialista, Gerente de productos/programas/proyectos, lder de equipo, gerente de cuenta en ventas gerente Especialista, Consultor de tcnico seguridad, analista de negocios Entrante Analista Gerente de Diseador de Profesional producto seguridad de sistemas de de seguridad seguridad Desarrollador Pasante/ Practicante de diseador de seguridad Auditor de seguridad Consultor de riesgos de la informacin Pasante/ Practicante de auditor deseguridad

Pasante/ Practicante de sistemas de seguridad

El desarrollo de carrera a travs del nivel C puede ser vertical, horizontal y/o diagonal. Fuente: Adaptado de Lynas, David; John Sherwood; Professionalism in Information Security: A Framework for Competency Development, 12 Conferencia Anual de COSAC, Reino Unido, 2005 Clave de Nivel C:
CIO = Director de TI (Chief Information Officer) COO = Director de Operaciones (Chief Operating Officer) CTO = Director de Tecnologa (Chief Technology Officer) CISO = Director de Seguridad de la Informacin (Chief Information Security Officer) CARO = Director de Arquitectura (Chief Architecture Officer) CAO = Director de Aseguramiento (Chief Assurance Officer) GC = Consultor General (General Counsel) CRO = Director de Riesgos (Chief Risk Officer) CPO = Director de Privacidad (Chief Privacy Officer)

Al promover o contratar a un gerente de seguridad de la informacin, las empresas pueden comprobar la utilidad de este concepto de competencias para determinar las calificaciones y requerimientos del candidato a la posicin. Un gerente de seguridad de la informacin requiere de vastos y profundos conocimientos de una amplia gama de reas. En muchos casos, este nivel de conocimiento no se encuentra en una sola persona, especialmente en las etapas iniciales de su carrera. Por lo tanto, en las grandes empresas, es probable que sea necesario un equilibrio de competencias profesionales distribuidas dentro de un conjunto de profesionales y, dentro de este conjunto de profesionales, quienes posean una comprensin ms amplia y profunda de las reas necesarias podrn acceder a los cargos ms altos. En virtud de que la tecnologa est cambiando muy rpidamente, se requiere capacitacin y formacin continuas.
16
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

3. Evolucin de la Carrera Figura 3Competencias tcnicas, basadas en la taxonoma de Bloom

Nivel de competencia 1 Conocimiento Habilidad demostrada Observar y recordar informacin.  Demostrar conocimiento de hechos.  Demostrar conocimiento de ideas principales.  Demostrar dominio de la materia.  Llevar a cabo investigaciones para hallar informacin.  Comprender informacin.  Captar el sentido.  Convertir el conocimiento para que se adapte a nuevos contextos.  Interpretar hechos.  Comparar y contrastar.  Inferir causas.  Predecir consecuencias.  Usar la informacin de manera inteligente.  Usar mtodos, conceptos y teoras en nuevas situaciones.  Resolver problemas utilizando las habilidades o conocimientos necesarios.  Identificar patrones.  Organizar las partes.  Reconocer significados ocultos.  Identificar componentes.  Usar ideas antiguas para crear ideas nuevas.  Generalizar a partir de hechos dados.  Relacionar conocimientos de diversas reas.  Realizar predicciones y sacar conclusiones.  Comparar y discriminar entre ideas.  Evaluar el valor de teoras y presentaciones.  Tomar decisiones apoyndose en una argumentacin razonada.  Verificar el valor de la evidencia.  Reconocer la subjetividad. Ejemplos de verbos de comportamiento Enumerar, definir, decir, describir, identificar, mostrar, etiquetar, recopilar, examinar, tabular, citar, nombrar, hallar, identificar

Comprensin

Resumir, explicar, interpretar, contrastar, predecir, asociar, distinguir, estimar, diferenciar, discutir, ampliar, ordenar, agrupar

Aplicacin

Aplicar, demostrar, calcular, completar, ilustrar, mostrar, resolver, examinar, modificar, relacionar, cambiar, clasificar, experimentar, descubrir

Anlisis

Analizar, separar, ordenar, conectar, clasificar, organizar, dividir, comparar, seleccionar, inferir Combinar, integrar, modificar, reordenar, sustituir, planificar, crear, construir, disear, inventar, componer, formular, preparar, generalizar, reescribir

Sntesis

Evaluacin

Valorar, evaluar, decidir, jerarquizar, calificar, probar, medir, recomendar, convencer, seleccionar, juzgar, discriminar, fundamentar, concluir

Fuente: Bloom, Benjamin; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

17

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin Figura 4Competencias que debe tener un gerente de seguridad de la informacin
Dominio Nivel/ Categora Ejecutivo de nivel C Director Gerente Experto tcnico Especialista tcnico Analista tcnico Conocimiento Comprensin Neg. M M C C U U Seg. M M M M M C Neg. M M M C U U Seg. M M M M M C Aplicacin Neg. M M M C U U Seg. M M M M M C Anlisis Neg. M M M C U U Sntesis Evaluacin

Seg. Neg. Seg. Neg. Seg. M M M M M C M M C U U U M M C M C C M M C U U U M M C M C C

Fuente: University of Dallas Center for Information Assurance, 2007

Leyenda de la tabla Neg. = Conocimiento de Negocios Seg. = Conocimiento sobre seguridad de la informacin M = Dominio total C = Algn nivel de competencia U = Comprensin bsica

Bases para las Habilidades

Las certificaciones profesionales y la formacin desempean un papel importante en el desarrollo de habilidades y, adems, demuestran profesionalismo y compromiso de mantener un alto nivel profesional. La formacin puede ser impartida en un escenario de educacin formal, como una universidad o institucin de educacin superior, las cuales ahora ofrecen programas de licenciatura, postgrado y doctorado para gerentes de seguridad de la informacin, o puede obtenerse durante el ejercicio de la profesin en conferencias, seminarios y talleres. Una certificacin profesional puede ser muy valiosa para demostrar conocimientos en gestin de seguridad de la informacin, adems de experiencia, porque requiere que los candidatos aprueben un examen que se basa en sus competencias en seguridad de la informacin. CISM es una certificacin en gestin de seguridad de la informacin altamente respetada que requiere que los candidatos aprueben un examen riguroso y que posean cinco aos de experiencia en gestin de seguridad de la informacin, y posteriormente acumular horas de educacin profesional continua (CPE), a fin de mantener la certificacin.

18

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

3. Evolucin de la Carrera

Conclusin
Los roles, las responsabilidades y las relaciones que los gerentes de seguridad de la informacin deben cumplir son enormes, crecientes, complejos y a veces conflictivos, pero son uniformes en todo el mundo. Su desafo, de acuerdo con el sondeo analtico sobre la prctica laboral del CISM,7 es que, si desean avanzar en su carrera, deben convertirse en expertos en la comprensin de los problemas y fundamentos de los negocios, as como en la gestin y trabajo en coordinacin con otros profesionales tcnicos. Es necesario acumular y actualizar mucho conocimiento con respecto a la evolucin de la tecnologa; por lo tanto, la capacitacin, las certificaciones y la formacin continua son indispensables. Tambin se determin, a partir del sondeo analtico sobre la prctica laboral del CISM, que muchos gerentes de seguridad de la informacin avanzaron hasta su posicin a travs de diferentes carreras y antecedentes educativos. Esto ha funcionado porque, de esta manera, se acumula un conjunto de conocimientos, experiencia, formacin, capacitacin y certificacin, todo lo cual optimiza el perfil de seguridad general de una empresa. Poresta razn, se cree que los ascensos en las carreras de los gerentes de seguridad de la informacin tienden a seguir diversas trayectorias profesionales: algunos profesionales han avanzado verticalmente y otros han avanzado horizontalmente, otros han sido transferidos desde una posicin puramente tcnica y han pasado a desempear una funcin ms gerencial y viceversa. Finalmente, para que la seguridad de la empresa sea realmente eficaz, debe haber, en los niveles ms altos, la disposicin a asumir un compromiso. Esto significa que la seguridad de la informacin debe estar indisolublemente ligada a las estructuras de gobierno corporativo y debe contar con la participacin y apoyo del consejo de direccin y los altos directivos. La creacin de una cultura de apoyo a la seguridad de la informacin es justamente,uno de los muchos desafos que los gerentes de seguridad de la informacin enfrentan hoy enda, pero una combinacin adecuada de formacin y experiencia ayudar a prepararlos para enfrentar esos desafos.

ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 2008 ISACA. To .

d o s

l o s

d e r e c h o s

r e s e r v a d o s

19

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Apndice APerfil Profesional de los Participantes en el Sondeo Analtico sobre la Prctica Laboral del CISM
Las siguientes estadsticas representan los datos demogrficos obtenidos del Certified Information Security Manager Job Practice Analysis Study de ISACA 2006: El 70 por ciento de los encuestados tena entre seis y 15 aos de experiencia como gerente de seguridad de la informacin. El 59 por ciento provena de cuatro sectores: servicios bancarios (16 por ciento), consultora (23 por ciento), finanzas (7 por ciento) y gobierno/nacional (13 por ciento). El 83 por ciento era de sexo masculino. El 77 por ciento tena un ttulo de licenciatura (pregrado) o superior (38 por ciento tena un ttulo de licenciatura y 39 por ciento tena, adicionalmente, un ttulo de maestra). Si bien todos los encuestados contaban con una credencial CISM, ms del 73 por ciento tena una certificacin adicional (40 por ciento contaba con la certificacin CISSP, 33 por ciento tena CISA, 33 por ciento otras). El 65 por ciento tena uno de los tres ttulos siguientes: CISO (13 por ciento), director de seguridad de la informacin (13 por ciento) o gerente de seguridad delainformacin (39 por ciento). El 94 por ciento estaba certificado desde 2003. El 33 por ciento estaba empleado en empresas con 1.500 a 9.999 trabajadores (otrasrespuestas se distribuan de forma equilibrada en una curva de campana). El 62 por ciento tena una nmina de personal de seguridad a tiempo completo de menos de 25 personas (El 39 por ciento tena personal de cero a cinco, 17 por ciento contaba con una plantilla de seis a 10, y 16 por ciento contaba con una plantilla de 11 a 25 empleados). Nota: Los porcentajes se han redondeado a nmeros enteros. Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 19-27

20

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Apndice BTareas y Calificaciones de Conocimientos

Apndice BTareas y Calificaciones de Conocimientos

La figura 5 representa las respuestas de los gerentes CISM que participaron en el estudio analtico de las prcticas laborales de 2006. Los gerentes CISM respondieron con el porcentaje de tiempo que invirtieron en la gestin de las actividades en cada una de las reas de contenido laboral de CISM y tambin en funcin de la criticidad de las reas de contenido en su trabajo. La media de criticidad es un promedio de todas las puntuaciones, en una escala lineal de 1 a 5; 1 indica la menos crtica y 5 indica la mscrtica. Figura 5Estadsticas descriptivas del rea de contenido en el examen CISM
reas de contenido del examen CISM Gobierno de seguridad de la informacin Gestin de riesgos de seguridad de la informacin Desarrollo de programas de seguridad delainformacin Gestin de programas de seguridad delainformacin Gestin y respuesta a incidentes Otros

Porcentaje de tiempo 22,0 21,5 17,6 24,0 13,6 1,2

Media de criticidad 3,5 3,6 3,4 3,5 3,4

Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 29

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

21

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM
(Fuente: ISACA, CISM Review Manual 2008, EUA, 2008) rea 1: CR1.1 CR1.2 CR1.3 Gobierno de seguridad de la informacin Conocimiento de las metas y objetivos de negocio Conocimiento de los conceptos de seguridad de la informacin Conocimiento de los componentes que integran una estrategia de seguridad  dela informacin (por ejemplo, personas, procesos, tecnologas, arquitecturas) CR1.4  Conocimiento de la relacin que existe entre la seguridad de la informacin ylas funciones de negocio CR1.5  Conocimiento del alcance y los estatutos del gobierno de la seguridad de la informacin CR1.6  Conocimiento de los conceptos de los gobiernos corporativo y de la seguridad de la informacin. CR1.7  Conocimiento de los mtodos que integran el gobierno de la seguridad de lainformacin en el marco general de gobierno de la empresa CR1.8  Conocimiento de las estrategias de planificacin presupuestaria y mtodos dereporte CR1.9  Conocimiento de las metodologas para desarrollar un caso de negocio (businesscase) CR1.10  Conocimiento de los tipos de impulsores tanto internos como externos (porejemplo, tecnologa, ambiente de negocio, tolerancia al riesgo) que pudieran repercutir en las organizaciones y la seguridad de la informacin CR1.11  Conocimiento de los requerimientos regulatorios y su posible impacto al negocio desde el punto de vista de la seguridad de la informacin CR1.12  Conocimiento de las estrategias de gestin de la responsabilidad comn y opciones de seguros (por ejemplo, seguro contra delito o de fidelidad, interrupciones del negocio) CR1.13  Conocimiento de las relaciones con terceros y su impacto en la seguridad de lainformacin (por ejemplo, fusiones y adquisiciones, sociedades, outsourcing) CR1.14  Conocimiento de los mtodos utilizados para obtener el compromiso de la alta direccin con la seguridad de la informacin CR1.15  Conocimiento del establecimiento y operacin de un grupo directivo para laseguridad de la informacin CR1.16  Conocimiento de los roles, responsabilidades y estructuras organizacionales generales de la gestin de seguridad de la informacin CR1.17  Conocimiento de los enfoques para vincular las polticas a los objetivos denegocio de la empresa CR1.18  Conocimiento de las normas internacionales generalmente aceptadas aplicables a la gestin de la seguridad de la informacin CR1.19  Conocimiento de los mtodos centralizados y distribuidos para coordinar lasactividades relacionadas con la seguridad de la informacin CR1.20  Conocimiento de los mtodos para establecer canales de reporte y comunicacin en toda la organizacin
22
2008 ISACA. To .

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM rea 2: Gestin de Riesgos de la Seguridad de la Informacin CR2.1  Conocimiento de los componentes que se requieren para establecer un esquema de clasificacin de la de seguridad de la informacin que sea congruente con los objetivos de negocio (incluyendo la identificacin de activos) CR2.2  Conocimiento de los componentes del esquema de propiedad de la informacin (incluyendo los impulsores del esquema, tales como roles y responsabilidades) CR2.3  Conocimiento de amenazas, vulnerabilidades y exposiciones relacionadas con lainformacin. CR2.4 Conocimiento de las metodologas para valorar los recursos de informacin. CR2.5  Conocimiento de las metodologas de evaluacin y anlisis de riesgos (incluyendo la mensurabilidad, la repeticin y la documentacin) CR2.6  Conocimiento de los factores que se utilizan para determinar la frecuencia ylosrequerimientos para reportar algn riesgo CR2.7  Conocimiento de los mtodos cuantitativos y cualitativos utilizados para determinar la sensibilidad y la criticidad de los recursos de informacin, ascomo el impacto que tienen los eventos adversos en el negocio CR2.8  Conocimiento de los modelos de niveles mnimos (baselines) y su relacin conlas evaluaciones basadas en riesgos de los requerimientos de control CR2.9  Conocimiento de los controles y las contramedidas de seguridad CR2.10  Conocimiento de los mtodos para analizar la efectividad de los controles ylascontramedidas de la seguridad de la informacin CR2.11  Conocimiento de las estrategias de mitigacin de riesgos que se utilizan paradefinir los requerimientos de seguridad para los recursos de informacin CR2.12  Conocimiento del anlisis de brechas para evaluar el estado actual en comparacin con las normas generalmente aceptadas de buenas prcticas paralagestin de la seguridad de la informacin CR2.13  Conocimiento de las tcnicas del anlisis de costo-beneficio para mitigar losriesgos a niveles aceptables CR2.14  Conocimiento de los principios y las prcticas de la gestin de riesgos basada en el ciclo de vida rea 3: Desarrollo del Programa de Seguridad de la Informacin CR3.1  Conocimiento de los mtodos para traducir estrategias en planes que se puedan gestionar y mantener para implementar la seguridad de la informacin CR3.2  Conocimiento de las actividades que se deben incluir en un programa de seguridad de la informacin CR3.3  Conocimiento de los mtodos para gestionar la implementacin del programa deseguridad de la informacin CR3.4  Conocimiento de los controles de planificacin, diseo, desarrollo, prueba eimplementacin de la seguridad de la informacin CR3.5  Conocimiento de los mtodos para alinear los requerimientos del programa deseguridad de la informacin con los de otras funciones de aseguramiento (por ejemplo, seguridad fsica, recursos humanos, calidad, TI) CR3.6  Conocimiento de cmo identificar los requerimientos de recursos y habilidades tanto internos como externos (por ejemplo, finanzas, personas, equipos y sistemas) CR3.7  Conocimiento de la adquisicin de recursos y habilidades (por ejemplo, presupuesto de proyecto, empleo de personal contratado, compra de equipos)
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

23

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin CR3.8 C  onocimiento de las arquitecturas de seguridad de la informacin (por ejemplo, arquitecturas lgicas y fsicas) y su implementacin CR3.9  Conocimiento de las tecnologas y los controles de seguridad (por ejemplo, tcnicas criptogrficas, controles de acceso, herramientas de monitoreo) CR3.10  Conocimiento del proceso para desarrollar polticas de seguridad de la informacin que satisfagan y respalden los objetivos de negocios de la empresa CR3.11  Conocimiento del contenido para la concienciacin, capacitacin y formacin sobre seguridad de la informacin en toda la empresa (por ejemplo, conciencia general de la seguridad, construccin de cdigo seguro, controles del sistema operativo) CR3.12  Conocimiento de los mtodos para identificar actividades que permitan cerrar labrecha entre los niveles de competencias y los requerimientos de habilidades CR3.13  Conocimiento de las actividades destinadas a promover una cultura y conducta de seguridad positivas CR3.14  Conocimiento de los usos de las polticas, estndares, procedimientos, directrices y otra documentacin, as como de la diferencia que existe entre ellos CR3.15  Conocimiento del proceso para vincular las polticas a los objetivos de negocio de la empresa CR3.16  Conocimiento de los mtodos para desarrollar, implementar, comunicar y mantener polticas, estndares, procedimientos, directrices y otra documentacin de seguridad de la informacin KS3.17  Conocimiento para integrar los requerimientos de seguridad de la informacin en los procesos organizacionales (por ejemplo, control de cambios, fusiones yadquisiciones) CR3.18  Conocimiento de las metodologas y actividades de ciclo de vida (por ejemplo, desarrollo, empleo, adquisiciones) CR3.19  Conocimiento de los procesos para incluir los requerimientos de seguridad en los contratos (por ejemplo, con joint ventures, proveedores de servicios externos, socios de negocios, clientes y terceros) CR3.20  Conocimiento de mtodos y tcnicas para gestionar los riesgos de terceros (por ejemplo, acuerdos de niveles de servicio, contratos, debida diligencia, proveedores y subcontratistas) CR3.21  Conocimiento del diseo, desarrollo e implementacin de las mtricas de seguridad de la informacin CR3.22  Conocimiento de certificacin y acreditacin del cumplimiento de las aplicaciones e infraestructura de negocio a las necesidades del negocio CR3.23  Mtodos para evaluar de forma continua la eficacia y la aplicabilidad de los controles de seguridad de la informacin (por ejemplo, pruebas de vulnerabilidad, herramientas de evaluacin) CR3.24  Conocimiento de los mtodos para medir y hacer seguimiento a la eficacia ylavigencia del programa de concienciacin, capacitacin y formacin sobre laseguridad de la informacin CR3.25  Conocimiento de los mtodos para mantener el programa de seguridad de la informacin (por ejemplo, planes de sucesin, asignacin de trabajos, documentacin del programa)
24
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM rea 4: Gestin del Programa de Seguridad de la Informacin CR4.1  Conocimiento sobre cmo interpretar e implementar las polticas de seguridad de la informacin CR4.2  Conocimiento de los procesos y procedimientos administrativos de seguridad dela informacin (por ejemplo, controles de acceso, gestin de identidad, acceso remoto) CR4.3  Conocimiento de mtodos para implementar y gestionar el programa de seguridad de la informacin de la empresa considerando los acuerdos con terceros (por ejemplo, socios comerciales, contratistas, socios en joint ventures, proveedores externos) CR4.4  Conocimiento de mtodos para gestionar el programa de seguridad de la informacin a travs de proveedores de servicios de seguridad CR4.5  Conocimiento de las clusulas contractuales relacionadas con la seguridad de lainformacin (por ejemplo, derecho a auditar, confidencialidad, no divulgacin) CR4.6  Conocimiento de mtodos para definir y monitorear los requerimientos de seguridad en los acuerdos de niveles de servicio CR4.7  Conocimiento de mtodos y enfoques para proporcionar monitoreo continuo deactividades de seguridad en aplicaciones del negocio y la infraestructura dela empresa CR4.8  Conocimiento de las mtricas gerenciales para validar las inversiones hechas en el programa de seguridad de la informacin (por ejemplo, recopilacin de datos, revisin peridica, indicadores clave de desempeo) CR4.9  Conocimiento de los mtodos para probar la eficacia y la aplicabilidad de los controles de seguridad de la informacin (por ejemplo, pruebas de penetracin, violacin de contraseas, ingeniera social, herramientas de evaluacin). CR4.10  Conocimiento de las actividades de gestin de cambios y configuracin CR4.11  Conocimiento de las ventajas/desventajas de utilizar a proveedores de aseguramiento internos/externos para llevar a cabo revisiones de la seguridad dela informacin CR4.12  Conocimiento de actividades de debida diligencia, revisiones y estndares relacionados para gestionar y controlar el acceso a la informacin CR4.13  Conocimiento sobre fuentes de reporte de vulnerabilidades externas e informacin sobre posibles impactos en la seguridad de la informacin enaplicaciones einfraestructura CR4.14  Conocimiento de los eventos que afectan los niveles mnimos (baselines) de seguridad que pueden requerir re-evaluaciones de riesgo y cambios a loselementos del programa de seguridad de la informacin CR4.15  Conocimiento de prcticas para la gestin de problemas relacionados con laseguridad de la informacin CR4.16  Conocimiento de los requerimientos de reporte del estado de la seguridad delainfraestructura y los sistemas CR4.17  Conocimiento de tcnicas generales de la gerencia de lnea, incluyendo preparacin de presupuesto (por ejemplo, estimacin, cuantificacin, compensaciones), gerencia de personal (por ejemplo, motivacin, valoracin, establecimiento de objetivos) e instalaciones (por ejemplo, obtencin y uso deequipos)
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

25

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

rea 5: Gestin y respuesta a incidentes CR5.1 Conocimiento de los componentes de una capacidad de respuesta a incidentes CR5.2  Conocimiento de planes de recuperacin en caso de desastre y continuidad delnegocio CR5.3  Conocimiento de las prcticas para la gestin de incidentes relacionados conlainformacin CR5.4  Conocimiento de las pruebas del plan de recuperacin en caso de desastre parala infraestructura y las aplicaciones crticas para el negocio CR5.5 Conocimiento de los eventos que desencadenan las respuestas a incidentes. CR5.6 Conocimiento sobre contencin de daos CR5.7  Conocimiento de los procesos de notificacin y escalamiento para una gestin eficaz de la seguridad CR5.8  Conocimiento del rol que desempean las personas en la identificacin y gestin de incidentes relacionados con la seguridad CR5.9  Conocimiento del proceso de notificacin de crisis CR5.10  Conocimiento de mtodos para identificar los recursos de negocio esenciales para la recuperacin CR5.11  Conocimiento de los tipos y medios disponibles de herramientas y equipos que se requieren para dotar adecuadamente a los equipos de respuesta a incidentes CR5.12  Conocimiento de los requerimientos forenses para recopilar y presentar evidencias (por ejemplo, admisibilidad, calidad y completitud de la evidencia, cadena de custodia) CR5.13  Conocimiento utilizado para documentar incidentes y acciones posteriores CR5.14  Conocimiento de los requerimientos de reporte tanto internos como externos CR5.15  Conocimiento de las prcticas de revisin posteriores al incidente y mtodos deinvestigacin para identificar las causas y determinar acciones correctivas CR5.16  Conocimiento de las tcnicas para cuantificar los daos, costos y otros impactos al negocio que se derivan de incidentes relacionados con la seguridad CR5.17  Conocimiento del tiempo objetivo de recuperacin (RTO) y su relacin con los objetivos y procesos de los planes de contingencia y de continuidad del negocio

26

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Captulo XX Referencias

Referencias
Bloom, B.; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984 Lynas, D.; J. Sherwood; Professionalism in Information Security: A Framework for Conpetency Development, 12 Conferencia Anual de COSAC, Reino Unido, 2005 Robb, D.; How IT Is Revitalizing Staff Skills, Computerworld, EUA, Febrero de 2007 ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 ISACA, CISM Review Manual 2008, EUA, 2008 ISACA, Critical Elements of Information Security Program Success, EUA, 2005 ISACA, Information Security Career Progression Survey Results, EUA, 2008

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

27

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Otras Publicaciones
Muchas publicaciones emitidas por el IT Governance Institute (ITGITM) e ISACA contienen cuestionarios de evaluacin y programas de trabajo detallados. Para obtener ms informacin, por favor, visite www.isaca.org/bookstore o enve un correo electrnico a bookstore@isaca.org.

Seguridad
Cybercrime: Incident Response and Digital Forensics, 2005  Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition, 2006 Information Security Governance: Guidance for Information Security Managers, 2008 Information Security HarmonisationClassification of Global Guidance, 2005 Managing Enterprise Information Integrity: Security, Control and Audit Issues, 2004 Security Awareness: Best Practices to Serve Your Enterprise, 2005 Stepping Through the InfoSec Program, 2007

Aseguramiento
ITAFTM: A Professional Practices Framework for IT Assurance, 2008 Stepping Through the IS Audit, 2nd Edition, 2004 Series ERP: Security, Audit and Control Features Oracle E-Business Suite: A Technical and Risk Management Reference Guide, 2nd Edition, 2006 Security, Audit and Control Features PeopleSoft: A Technical and Risk Management Reference Guide, 2nd Edition, 2006 Security, Audit and Control Features SAPR/3: A Technical and Risk Management Reference Guide, 2nd Edition, 2005 Ambientes Especficos: Electronic and Digital Signatures: A Global Status Report, 2002  Enterprise Identity Management: Managing Secure and Controllable Access in the Extended Enterprise Environment, 2004 Linux: Security, Audit and Control Features, 2005  Managing Risk in the Wireless LAN Environment: Security, Audit and Control Issues, 2005 Oracle Database Security, Audit and Control Features, 2004 OS/390z/OS: Security, Control and Audit Features, 2003  Risks of Customer Relationship Management: A Security, Control and Audit Approach, 2003 Security Provisioning: Managing Access in Extended Enterprises, 2002 Virtual Private NetworkNew Issues for Network Security, 2001

28

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Captulo XX Otras Publicaciones

Gobierno de TI
Board Briefing on IT Governance, 2nd Edition, 2003 Identifying and Aligning Business Goals and IT Goals, 2008 IT Governance Global Status Report2008, 2008 Understanding How Business Goals Drive IT Goals, 2008 CobiT y publicaciones relacionadas CobiT 4.1, 2007  CobiT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition, 2007 CobiT QuickstartTM, 2nd Edition, 2007 CobiT Security BaselineTM, 2nd Edition, 2007 IT Assurance Guide: Using CobiT , 2007  IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance, 2007  IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition, 2006  IT Governance Implementation Guide: Using CobiT and Val IT, 2nd Edition, 2007 Mapeando CobiT: Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit, 2008 CobiT Mapping: Mapping of CMMI for Development V1.2 With CobiT 4.0, 2007 CobiT Mapping: Mapping of ISO/IEC 17799:2000 With CobiT 4.0, 2nd Edition, 2006 CobiT Mapping: Mapping of ISO/IEC 17799:2005 With CobiT 4.0, 2006 CobiT Mapping: Mapping of ITIL V3 With CobiT 4.1, 2008 CobiT Mapping: Mapping of NIST SP800-53 With CobiT 4.1, 2007 CobiT Mapping: Mapping of PMBOK With CobiT 4.0, 2006 CobiT Mapping: Mapping of PRINCE2 With CobiT 4.0, 2007 CobiT Mapping: Mapping of SEIs CMM for Software With CobiT 4.0, 2006 CobiT Mapping: Mapping of TOGAF 8.1 With CobiT 4.0, 2007 CobiT Mapping: Overview of International IT Guidance, 2nd Edition, 2006 Prcticas y Competencias del Dominio del Gobierno de TI: Governance of Outsourcing, 2005 Information Risks: Whose Business Are They?, 2005 IT Alignment: Who Is in Charge?, 2005 Measuring and Demonstrating the Value of IT, 2005 Optimising Value Creation From IT Investments, 2005 Val IT:  Enterprise Value: Governance of IT Investments, Getting Started With Value Management, 2008 Enterprise Value: Governance of IT Investments, The Business Case, 2006 Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008  Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Extract, 2008
2008 ISACA. To
d o s l o s d e r e c h o s r e s e r v a d o s

29

3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Telfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrnico: info@isaca.org Pgina Internet: www.isaca.org