Definición de
Gerencia de la seguridad de la información Requerimientos de la posición n
Orientación para ejecutivos y gerentes
Definición de los requerimientos para la posición de gerencia de seguridad de la información ISACA® Con más de 86.000 miembros en más de 160 países, ISACA (www.isaca.org) es reconocida como el líder mundial en gobierno, control, seguridad y aseguramiento de TI. Fundada en 1969, ISACA patrocina conferencias internacionales, publica el Information Systems Control Journal ® y desarrolla estándares de auditoría y control de sistemas de información a nivel internacional. También administra la designación mundialmente respetada Certified Information Systems Auditor™ (CISA®), obtenida por más de 60.000 profesionales desde 1978; la designación Certified Information Security Manager® (CISM®), obtenida por más de 9.000 profesionales desde 2002 y la nueva designación Certified in the Governance of Enterprise IT™ (CGEIT™). Cláusula de exención de responsabilidad ISACA ha diseñado y creado la Definición de los requerimientos para la posición de gerencia de seguridad de la información: Orientación para ejecutivos y gerentes (el “Trabajo”) principalmente como un recurso educacional para gerentes de seguridad de la información. ISACA no afirma que el uso del Trabajo garantizará un resultado satisfactorio. No debe considerarse que el Trabajo incluye toda la información, procedimientos y pruebas adecuados o que excluye otro tipo de información, procedimientos y pruebas que estén razonablemente destinados a obtener los mismos resultados. Para determinar la conveniencia de cualquier información, procedimiento o prueba específica, los profesionales de seguridad deben aplicar su propio juicio profesional a las circunstancias específicas presentadas por los sistemas o ambientes de tecnología de la información específicos. Reserva de Derechos © 2008 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperación o transmitir de alguna manera a través de algún medio (electrónico, mecánico, fotocopias, grabación u otros) sin la autorización previa por escrito de ISACA. La reproducción y uso de la totalidad de esta publicación o parte de la misma se permite únicamente para uso académico, interno y no comercial y para acuerdos de consultoría/asesoría, y debe incluir la mención completa de la fuente del material. No se otorga otra clase de derechos ni permisos en relación con este trabajo. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrónico:
[email protected] Página Internet: www.isaca.org
Definición de los requerimientos para la posición de gerencia de seguridad de la información: Orientación para ejecutivos y gerentes Impreso en los Estados Unidos de América
2
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
Reconocimientos
Reconocimientos ISACA desea expresar su reconocimiento a: Grupo de Discusión de Liderazgo Ken Baylor, Ph.D., CISM, CISSP, Nuance, EUA Robert Coles, CISA, CISM, Merrill Lynch, Reino Unido Sonia DaSilva, CISA, CISM, CGEIT, Memorial Sloan-Kettering Cancer Center, EUA Lee Kushner, LJ Kushner, EUA Hans Joern Lund-Andersen, CISA, CISM, Dong Energy, Dinamarca Marc Noble, CISM, CISSP, ISSAP, Federal Communications Commission, EUA John Nugent, Ph.D., CISM, CFE, CPA, DBA, University of Dallas, EUA Michael Raisinghani, Ph.D., CISM, CECC, PMP, Texas Women’s University, EUA Marc A. L. J. Vael, Ph.D., CISA, CISM, KPMG, Bélgica Vishnal Vilas Salvi, CISM, HDFC Bank Limited, India Consejo de Dirección Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, Vicepresidente Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vicepresidente José Ángel Peña Ibarra, CGEIT, Consultoría en Comunicaciones e Informática. SA & CV, México, Vicepresidente Robert E. Stroud, CA Inc., EUA, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EUA, Vicepresidente Frank Yam, CISA, FHKCS, FHKIoD, CIA, CFE, CCP, CFSA, FFA, Focus Strategic Group Inc., Hong Kong, Vicepresidente Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young, EUA, Anterior Presidente Internacional Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (retirado), EUA, Anterior Presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, Director Tony Hayes, CPA, Gobierno de Queensland, Australia, Director Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Director Comité de Gestión de la Seguridad Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Presidente Manuel Aceves, CISA, CISM, CISSP, Cerberian Consulting, México Kent Anderson, CISM, Encurve LLC, EUA Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd, EUA Yves Le Roux, CISM, CA Inc., Francia Mark Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers, EUA Kyeong-Hee Oh, CISA, CISM, Fullbitsoft, Corea del Sur Vernon Poole, CISM, CGEIT, Sapphire Technologies Ltd., Reino Unido Rolf von Roessing, CISA, CISM, CGEIT, KPMG Alemania, Alemania Consejo de Certificación de CISM Evelyn Susana Anton, CISA, CISM, UTE, Venezuela, Presidente Garry James Barnes, CISA, CISM, CISA, Commonwealth Bank of Australia, Australia Allan Neville Boardman, CISA, CISM, CA, CISSP, JP Morgan Chase, Reino Unido John Randolph Caraway, CISM, CISSP, JP Morgan Chase, EUA James A. Crawford Jr., CISM, CISSP, MSIA, Marine Forces Reserve, EUA. Ramses Gallego, CISM, CISSP, SCPM, Entel IT Consulting, España Hitoshi Ota, CISA, CISM, CIA, Mizuho Corporate Bank Ltd., Japón Smita Dilip Totade, Ph.D., CISA, CISM, FEI, National Insurance Academy, India Michael Wai-Kee Yung, CISA, CISM, ESD Services Ltd., Hong Kong © 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
3
Definición de los requerimientos para la posición de gerencia de seguridad de la información
Tabla de Contenido Introducción...................................................................................................................... 5 Audiencia...................................................................................................................... 5 Metas y Objetivos......................................................................................................... 6 Datos de ISACA........................................................................................................... 6 Beneficios de Este Esfuerzo......................................................................................... 6 1. Seguridad en Contexto............................................................................................... 7 Rol de los gerentes de seguridad de la información.................................................... 8 2.
Descripción de la Posición........................................................................................ 10 Gobierno de seguridad de la información.................................................................. 10 Gestión de Riesgos..................................................................................................... 11 Desarrollo del Programa de Seguridad de la Información......................................... 12 Gestión del Programa de Seguridad de la Información............................................. 13 Gestión y respuesta a incidentes................................................................................. 14
3. Evolución de la Carrera........................................................................................... 15 Bases para las Habilidades......................................................................................... 18 Conclusión....................................................................................................................... 19 Apéndice A—Perfil Profesional de los Participantes en el Sondeo Analítico sobre la Práctica Laboral del CISM............................................................................. 20 Apéndice B—Tareas y Calificaciones de Conocimientos............................................ 21 Apéndice C—Conocimientos Relacionados para Cada Área de Contenido de la Práctica Laboral del CISM.................................................................................. 22 Referencias....................................................................................................................... 27 Otras Publicaciones........................................................................................................ 28
4
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
Introducción
Introducción Dado que la seguridad de la información ha madurado para convertirse en una disciplina, han surgido múltiples y nuevas oportunidades de carrera. Ya que ha resultado cada vez más difícil definir estos puestos de trabajo y las habilidades necesarias, ISACA y el IT Governance Institute® (ITGITM) han realizado investigaciones para proporcionar a los miembros información que puede ayudarles a definir los requerimientos de la posición de seguridad. Conforme la profesión de la seguridad de la información ha madurado, se ha enfrentado con requerimientos empresariales y técnicos cada vez mayores. Las empresas se enfrentan ahora a múltiples requerimientos regulatorios, así como a un perfil de amenaza siempre presente y siempre cambiante y la necesidad de gestionar el riesgo. Es imperativo que las empresas contraten profesionales con las capacidades adecuadas para garantizar que los activos de información estén protegidos contra el uso no autorizado, que los sistemas estén disponibles, y que la integridad continua de la información y los procesos esté asegurada. También es imprescindible que los profesionales de la seguridad que ocupen puestos de dirección tengan la experiencia práctica en seguridad y negocios para poder responder a las necesidades cambiantes de la empresa en materia de protección. En la actualidad, no existe ninguna especificación de facto que defina las responsabilidades, los conocimientos ni las relaciones de subordinación óptimas de la gestión de seguridad de la información. Muchas posiciones de seguridad de la información reportan al Director de TI (CIO), otras a un Oficial de Seguridad de la Información (CISO), a un Director de Riesgo (CRO) o un Director de Cumplimiento (CCO). Las responsabilidades del trabajo difieren también entre las empresas. Algunas empresas han adoptado un modelo de convergencia de la seguridad donde un CSO es responsable tanto de la seguridad de la información como de la seguridad física. Otras conciben la seguridad de la información únicamente como un tema tecnológico. Muchas empresas están llegando a la conclusión de que la seguridad de la información es un asunto de negocios que afecta la situación financiera de la empresa en general.
Audiencia Este informe ha sido preparado para proporcionar una descripción de la posición y la trayectoria de carrera actual para los profesionales de la seguridad de la información. Su objetivo es servir de guía para quienes están involucrados en la seguridad de la información, incluyendo los profesionales de recursos humanos, profesionales de la seguridad de la información, los ejecutivos, los órganos rectores y los consejos de dirección o los síndicos. Dado que el campo de la seguridad de la información es relativamente nuevo, toda vez que surgió en la década de 1970, muchos profesionales han entrado en la disciplina de la seguridad de la información procedentes de diversas trayectorias profesionales, incluyendo TI, contabilidad, auditoría, derecho, operaciones de negocios, ingeniería, gestión de proyectos y seguridad física. Debido a la diversa formación que los profesionales de la seguridad de la información aportan a sus posiciones, un elemento esencial de este informe es un diagrama de los distintos caminos por los que estos profesionales han incursionado y avanzado en las posiciones de seguridad de la información. Este diagrama (figura 2) se incluye para resumir y presentar, de manera © 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
5
Definición de los requerimientos para la posición de gerencia de seguridad de la información lógica y fácil de entender, las trayectorias, niveles, roles y funciones que acumulan los profesionales y gerentes de la seguridad de la información en una empresa. Este informe ha sido concebido como una guía práctica para la definición de trayectorias profesionales y los atributos esenciales de la posición de gerente de seguridad de la información. Puede adaptarse a los requerimientos específicos de una empresa determinada, de acuerdo con su tamaño, nivel jerárquico, naturaleza, recursos, nivel y complejidad de la posición.
Metas y Objetivos Este informe proporciona un marco para comprender los numerosos requerimientos cambiantes e interrelacionados de la posición de gerente de seguridad de la información y las responsabilidades asignadas a los profesionales en los distintos niveles en una empresa. También identifica las vías que los profesionales suelen tomar durante sus carreras para llegar a estas posiciones. La intención del informe es ayudar a aquellos que ingresan a la profesión procedentes de un programa universitario, planifican su carrera o avanzan dentro de la profesión. También sirve como una guía para los responsables de la contratación de profesionales de seguridad de la información o los que gestionan, lideran o tienen responsabilidades de supervisión de una función de seguridad de la información.
Datos de ISACA La exhaustiva investigación que se llevó a cabo para la preparación de este informe incluye los datos recopilados bajo la dirección de ISACA como parte de un amplio sondeo global realizado en 2006 entre aproximadamente 600 profesionales de seguridad de la información que poseen la designación Certified Information Security Manager® (CISM®), así como un grupo activo de ejecutivos de seguridad de la información, incluyendo más de 100 CISMs. En el Apéndice A se presentan otros datos demográficos recopilados en el estudio de 2006. Además, en 2007, ISACA lanzó su Estudio sobre la Evolución de la Carrera de Seguridad de la Información,1, el cual generó respuestas de más de 1.400 CISMs en todo el mundo. Esos resultados se reflejan en esta publicación. La designación CISM es emitida por ISACA y cuenta con el reconocimiento de la Organización Internacional de Estandarización (ISO) como parte de un selecto grupo de certificaciones a profesionales de la seguridad de la información que gozan de reconocimiento mundial.
Beneficios de Este Esfuerzo Al usar este informe, el lector obtendrá una clara comprensión de la dinámica y los requerimientos para la posición de gerencia de seguridad de la información en cuanto a las necesidades cambiantes de empleo, la tasa y el grado de cambio tecnológico que tienen lugar, y cómo estas condiciones incidirán en el rol del gerente de seguridad de la información. Será de utilidad para la definición, perfeccionamiento y actualización de los requerimientos para las posiciones de gerencia de seguridad de la información, teniendo en cuenta que la capacidad y habilidades de gestión pueden ser más críticas que las competencias técnicas, en particular al escalar posiciones dentro de una empresa. 1
ISACA, Information Security Career Progression Survey Results, EUA, 2008
6
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
1. Seguridad en Contexto
1. Seguridad en Contexto La seguridad de la información es una función de negocio. Como tal, es fundamental que los profesionales de la seguridad de la información en busca de progresar dentro de una empresa desarrollen habilidades de negocio sanas, además de las habilidades, conocimientos y destrezas funcionales. En un artículo publicado recientemente en Computerworld, titulado “How IT Is Revitalizing Staff Skills”,2 los entrevistados señalaron que es sumamente necesario contar con conocimientos y experiencia multifuncionales, así como con destrezas de negocios y gestión en general, para progresar en la empresa. Los entrevistados también señalaron que es necesario que los profesionales técnicos dominen habilidades, conocimientos y destrezas de negocios. Hoy en día es esencial que los profesionales de seguridad de la información no sólo comprendan las cuestiones técnicas que son una parte esencial de su rol funcional, sino también que sean capaces de comunicarse, interactuar con otros y gestionar sobre la base de buenos principios y prácticas de administración de negocios. El informe de investigación de ISACA titulado Critical Elements of Information Security Program Success3 identifica claramente la necesidad de que los ejecutivos y la alta dirección, así como el gerente de seguridad de la información, consoliden una relación que transmitirá un mensaje coherente con respecto a la prioridad que da la empresa a la protección de la información y sus valiosos activos. Para alinear correctamente los riesgos de negocio y las soluciones de seguridad de la información, es necesario un diálogo de cooperación entre las áreas de negocio y los expertos en seguridad de la información. Sin embargo, para obtener resultados satisfactorios, es necesario que el diálogo sea respaldado con una acción visible y coherente. La mejor expresión de dicha acción es el establecimiento y aplicación coherente de las políticas y estándares de la empresa. El informe de ISACA indica que, sin la participación activa de la dirección ejecutiva en la aplicación y gestión de una estrategia de seguridad de la información, el progreso se vería reducido por el cumplimiento inconsistente de las políticas, dando lugar a una falsa sensación de comodidad en materia de protección de activos. Los conflictos entre las prioridades cotidianas afectan la calidad y la consistencia de la protección de los activos de información. Estos conflictos deben tratarse de manera coordinada. Para garantizar que cada empleado y agente de la empresa tome en serio los riesgos asociados, la dirección ejecutiva y la alta dirección deben mostrarse abiertamente interesados en asegurar el éxito del programa de seguridad de la información dentro de sus empresas. Otra conclusión clave del informe es que los profesionales de seguridad de la información están comenzando a reconocer que necesitan desarrollar una sólida comprensión del negocio a medida que su rol se hace más visible en la empresa. Sus decisiones exigen una justificación de riesgo de negocios, y la dependencia de la empresa en la tecnología impulsa una mayor interacción con sus homólogos de las áreas legal y de cumplimiento dentro de la empresa. 2 3
Robb, D; “How IT Is Revitalizing Staff Skills,” Computerworld, EUA, febrero de 2007 ISACA, Critical Elements of Information Security Program Success, EUA, 2005 © 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
7
Definición de los requerimientos para la posición de gerencia de seguridad de la información
Rol de los gerentes de seguridad de la información Al parecer, el rol del gerente de seguridad de la información está en constante evolución, no es sólo que los caminos para llegar a una posición de gerente de seguridad de la información son diferentes, sino que los roles y responsabilidades entre los profesionales de seguridad de la información también difieren. En Information Security Career Progression Survey Results, los CISM indicaron que sus actividades laborales cambiaron considerablemente de su trabajo anterior al actual. Los CISM están experimentando un descenso en las responsabilidades técnicas y un aumento significativo en áreas como la gestión de programas de seguridad, gestión de riesgos y cumplimiento. El Apéndice B muestra la cantidad de tiempo que los CISM dicen dedicar a las cinco áreas de práctica laboral de la certificación. La figura 1 presenta el porcentaje de CISMs que realizan ciertas actividades. La figura indica que un porcentaje mucho mayor de CISMs son responsables de funciones de negocios (que se muestran en negritas) en su rol actual en comparación con el rol anterior. Correlacionar la seguridad de la información con el negocio se ha convertido en alta prioridad. Figura 1—Porcentaje de CISMs responsables de actividades de seguridad Rango 1 2
Posición actual Gestión de riesgos Gestión de programas de seguridad Seguridad de los datos
Porcentaje 76,6
Posición anterior Seguridad de los datos
Porcentaje
74,0
Gestión de riesgos
54,8
56,6
70,7
Seguridad de la red
53,5
Creación y mantenimiento de políticas Cumplimiento regulatorio
65,3
49,0
59,6
7
Gestión de proyectos de seguridad Gestión de incidentes
8
Seguridad de la red
57,3
Gestión de programas de seguridad Creación y mantenimiento de políticas Continuidad del negocio/ recuperación en caso de desastre Seguridad de sistemas y aplicaciones Arquitectura de seguridad
9
Continuidad del negocio/ recuperación en caso de desastre Arquitectura de seguridad
56,1
Gestión de incidentes
44,8
55,9
Gestión de proyectos de seguridad
44,8
3 4 5 6
10
63,4
58,5
48,8 45,8 45,2 45,1
Fuente: ISACA, Information Security Career Progression Survey Results, EUA, 2008
En la actualidad, algunos requerimientos de trabajo común para los gerentes de seguridad de la información incluyen: • Supervisar el establecimiento, implementación y cumplimiento de las políticas y estándares que orientan y apoyan los términos de la estrategia de seguridad de la información • Comunicarse con la dirección ejecutiva para asegurar el apoyo al programa de seguridad de la información 8
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
1. Seguridad en Contexto • Supervisar y realizar actividades de gestión de riesgos (evaluación de riesgos, análisis de brechas, análisis de impacto al negocio, etc.) para ayudar a la empresa a alcanzar un nivel aceptable de riesgo • Asesorar y formular recomendaciones en relación con controles adecuados de seguridad de personal, física y técnica • Administrar el programa de gestión de incidentes de seguridad de la información para asegurar la prevención, detección, contención y corrección de brechas de seguridad • Notificar los indicadores apropiados a la dirección ejecutiva • Participar en la solución de problemas relacionados con brechas a la seguridad • Crear una campaña de formación y concienciación sobre seguridad de la información dirigida a toda la empresa • Coordinar la comunicación de la campaña de concienciación/concientización sobre la seguridad de la información a todos los miembros de la empresa • Coordinar con los proveedores, auditores, la dirección ejecutiva y los departamentos usuarios para mejorar la seguridad de la información Para mantenerse al día con los roles y responsabilidades en constante cambio, es indispensable la formación, la certificación y el desarrollo profesional continuos. La seguridad de la información ha madurado hasta convertirse en más que un rol de respuesta técnica, y los ejecutivos y la alta dirección están comenzando a reconocer este cambio. Para seguir impulsando la profesión, los gerentes de seguridad de la información deben estar en capacidad de demostrar el valor de la seguridad de la información a la empresa. La comunicación efectiva del valor del programa de seguridad requiere que el gerente de seguridad de la información no sólo entienda la tecnología y las soluciones, sino también, y más importante aun, que sea competente en las áreas que tradicionalmente se conciben como habilidades empresariales. Las habilidades de comunicación (escrita y oral), organizacionales, financieras y de gestión son muy importantes al comunicarse con los líderes de la empresa.
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
9
Definición de los requerimientos para la posición de gerencia de seguridad de la información
2. Descripción de la Posición Según el Estudio Analítico de las Prácticas Laborales del Gerente Certificado de Seguridad de la Información,4 los CISM encuestados esperan que el gerente de seguridad de la información desempeñe un rol más central en los negocios dentro de los próximos tres años. Además, los encuestados esperan ver un mayor énfasis en el gobierno, así como un mayor enfoque hacia la gestión de riesgos y la gestión de incidentes. Los participantes en el estudio analítico de las prácticas laborales también indicaron que hubo muchas áreas de conocimiento y habilidades que tuvieron que adquirir en el último año. Estas habilidades y áreas de conocimiento incluyen: • Habilidades de negocios • Habilidades de gestión • Mayor conocimiento acerca de los requerimientos regulatorios/de cumplimiento • Conocimiento de la Ley Sarbanes-Oxley • Habilidades de evaluación/gestión de riesgos • Informática/Cómputo forense • Seguridad, incluyendo la gestión de seguridad de la información, la seguridad física y seguridad de redes Para ayudar a las empresas en la elección de profesionales altamente calificados para posiciones de gestión de la seguridad de la información, se ha creado una serie de certificaciones profesionales. ISACA lanzó su certificación CISM en 2002. La certificación está diseñada para gerentes de seguridad de la información que poseen al menos cinco años de experiencia y habilidades en las áreas de seguridad y negocios. El examen CISM abarca cinco áreas de prácticas laborales que se centran en diferentes tareas de seguridad de la información y conocimientos relacionados. Las tareas representan lo que un profesional de la seguridad de la información debería estar en capacidad de hacer y los conocimientos relacionados (ver apéndice C) representan lo que el gerente de seguridad de la información debería saber para realizar las tareas.
Gobierno de seguridad de la información La primera área de práctica laboral que los gerentes de seguridad de la información identifican como esencial para su función es el gobierno de seguridad de la información. Puesto que obviamente el gobierno es un asunto de negocios, en esta categoría es donde se espera que el gerente de seguridad de la información cuente con habilidades efectivas al trabajar con ejecutivos y entender cómo demostrar el valor de la seguridad de la información a la empresa. A continuación se presentan ocho tareas clave en el área de gobierno de seguridad de la información:5 • Desarrollar una estrategia de seguridad de la información que esté alineada con las metas y los objetivos del negocio. • Alinear la estrategia de seguridad de la información con el gobierno corporativo. • Desarrollar casos de negocio (business cases) que justifiquen la inversión en seguridad de la información. 4 5
ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 ISACA, CISM Review Manual 2008, EUA, 2008
10
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
2. Descripción de la Posición • Identificar requerimientos legales y regulatorios tanto reales como potenciales que afecten la seguridad de la información. • Identificar impulsores/drivers que afecten la organización (por ejemplo, tecnología, ambiente de negocio, tolerancia al riesgo, ubicación geográfica) y su impacto en la seguridad de la información. • Obtener el compromiso de la alta dirección con la seguridad de la información. • Definir roles y responsabilidades relacionados con la seguridad de la información a través de la organización. • Establecer canales de comunicación y reporte, tanto internos como externos, que apoyen la seguridad de la información. Las tareas demuestran una alineación entre el programa de seguridad de la información y las necesidades del negocio. Para gestionar con eficacia el programa de seguridad de la información, el gerente debe tener conocimiento del negocio para realizar las tareas mencionadas anteriormente. El gerente debe poseer habilidades de comunicación para obtener el apoyo de los ejecutivos y debe ser capaz de entender los informes financieros para ver claramente los impulsores del negocio. El gerente también debe ser capaz de trabajar eficazmente con otras áreas, incluyendo el área legal y de auditoría para detectar posibles problemas regulatorios, recursos humanos y jefes de las unidades funcionales de negocio para definir las responsabilidades que se relacionan con la seguridad de la información.
Gestión de Riesgos La gestión de riesgos de seguridad de la información es la segunda área de responsabilidad crítica de la gestión de seguridad de la información contenida en las áreas de práctica laboral del CISM. Esta área representa la totalidad del ciclo de gestión del riesgo en una empresa, desde la evaluación hasta la mitigación. En este caso, es necesario que los gerentes de seguridad de la información realicen evaluaciones de riesgo, comprendan y comuniquen claramente el posible impacto para el negocio, y recomienden los controles para la mitigación de riesgos. Las tareas críticas para manejar la gestión de riesgos de manera eficaz son las siguientes: • Establecer un proceso para clasificar los activos de información y determinar su propiedad. • Implementar un proceso de evaluación de riesgos de información sistemático y estructurado. • Garantizar que las evaluaciones de impacto al negocio se lleven a cabo con regularidad. • Garantizar que las evaluaciones de amenazas y vulnerabilidades se lleven a cabo de manera continua. • Identificar y evaluar de manera periódica los controles y las contramedidas de la seguridad de la información para mitigar el riesgo a niveles aceptables. • Integrar la identificación y gestión de riesgos, amenazas y vulnerabilidades dentro del ciclo de vida de los proceso (por ejemplo, desarrollo y adquisiciones). • Reportar los cambios significativos en los riesgos de la información a niveles de gestión apropiados para su aceptación tanto de forma periódica como a medida que suceda algún incidente. Las siete tareas mencionadas representan una amplia gama de conocimientos. Los gerentes de seguridad de la información no sólo deben poseer un conocimiento profundo de las amenazas, vulnerabilidades y exposiciones posibles, sino que también deben comprender los métodos para evaluar riesgos, las estrategias de mitigación posibles, los métodos para realizar análisis © 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
11
Definición de los requerimientos para la posición de gerencia de seguridad de la información de brechas y análisis de impacto al negocio, y deben tener un conocimiento sólido acerca de los controles y contramedidas de seguridad. Más importante aun, para tomar decisiones sobre el tratamiento del riesgo, el gerente de seguridad de la información debe saber cómo comunicarse con la dirección ejecutiva con relación a la tolerancia al riesgo de la empresa y debe ser capaz de contribuir a la identificación y gestión del riesgo a nivel empresarial.
Desarrollo del Programa de Seguridad de la Información El desarrollo del Programa de seguridad de la información es la tercera destreza esencial que es fundamental para el rol del gerente de seguridad de la información. Al crear un programa de seguridad de la información, es fundamental que los gerentes de seguridad de la información alineen el programa con los objetivos de la empresa y demuestren el valor que el programa le provee al negocio. Es necesario que los gerentes de seguridad de la información posean una sólida comprensión acerca de las personas, procesos y tecnologías para alcanzar los objetivos del negocio de manera efectiva. Los gerentes de seguridad de la información deben ser capaces de realizar las 11 tareas siguientes en el desarrollo de programas de seguridad de la información: • Desarrollar y mantener planes para implementar la estrategia de seguridad de la información. • Especificar las actividades que se van a realizar dentro del programa de seguridad de la información. • Asegurar la alineación entre el programa de seguridad de la información y otras funciones de aseguramiento (por ejemplo, seguridad física, recursos humanos, calidad, TI). • Identificar recursos internos y externos (por ejemplo, finanzas, personas, equipos, sistemas) que se requieren para ejecutar el programa de seguridad de la información. • Verificar el desarrollo de las arquitecturas de seguridad de la información (por ejemplo, personas, procesos, tecnología). • Establecer, comunicar y mantener políticas de seguridad de la información que respalden la estrategia de seguridad. • Diseñar y desarrollar un programa para fomentar la concientizacion, entrenamiento y formación sobre la seguridad de la información. • Garantizar el desarrollo, comunicación y mantenimiento de estándares, procedimientos y otra documentación (por ejemplo, directrices, niveles mínimos (baselines), códigos de conducta) que respalden las políticas de seguridad de la información. • Integrar los requerimientos de seguridad de la información a los procesos de la organización (por ejemplo, control de cambios, fusiones y adquisiciones) y a las actividades del ciclo de vida (por ejemplo, desarrollo, empleo, adquisiciones). • Desarrollar un proceso para integrar los controles de seguridad de la información a los contratos (por ejemplo, con joint ventures, proveedores en outsourcing, socios de negocio, clientes, terceros). • Establecer métricas para evaluar la eficacia del programa de seguridad de la información. Las tareas para el desarrollo del programa de seguridad de la información que el gerente de seguridad de la información debe cumplir ponen claramente de relieve que se necesitan personas que sean capaces de entender los objetivos del negocio y que tengan sólidas habilidades de comunicación. El desarrollo de un programa de seguridad eficaz depende de la capacidad del gerente para comprender la estrategia y los objetivos de la empresa y para trabajar con los ejecutivos y líderes de las unidades funcionales de negocios a fin de integrar la seguridad dentro de la cultura de la empresa. 12
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
2. Descripción de la Posición
Gestión del Programa de Seguridad de la Información La gestión del Programa de seguridad de la información es la cuarta área de prácticas laborales de CISM. Su objetivo es gestionar con eficacia el programa de seguridad de la información, reuniendo los recursos humanos, físicos y financieros para ayudar a lograr los objetivos de negocio. Hay nueve tareas dentro de esta área de práctica laboral que el gerente de seguridad de la información debe ser capaz de completar de manera eficaz: • Gestionar los recursos tanto internos como externos (por ejemplo, finanzas, personas, equipos, sistemas) que se requieren para ejecutar el programa de seguridad de la información. • Asegurar que los procesos y procedimientos se realicen en cumplimiento con las políticas y los estándares de seguridad de la información de la organización. • Asegurar la ejecución de los controles de seguridad de la información acordados por contrato (por ejemplo, joint ventures, proveedores en outsourcing, socios de negocio, clientes, terceros). • Proveer la certeza que la seguridad de la información sea parte integral del proceso de desarrollo de sistemas y los procesos de adquisición. • Proveer la certeza que la seguridad de la información se mantenga a través de los procesos de la organización (por ejemplo, control de cambios, fusiones y adquisiciones) y actividades del ciclo de vida. • Brindar asesoría y orientación sobre la seguridad de la información (por ejemplo, análisis de riesgos, selección de controles) en la organización. • Proporcionar concientización, entrenamiento y formación sobre seguridad de la información a las partes interesadas (por ejemplo, dueños de procesos de negocio, usuarios, personal de tecnología de la información). • Monitorear, medir, probar e informar sobre la eficacia y la eficiencia de los controles de la seguridad de la información y el cumplimiento con las políticas de seguridad de la información. • Asegurarse que los problemas de no cumplimiento y otras divergencias se resuelvan de manera oportuna. Como se puede apreciar en el conjunto de actividades indicadas, las habilidades de comunicación son un elemento crítico para la gestión del programa. Los gerentes de seguridad de la información deben desarrollar y notificar mediciones apropiadas para demostrar la creación de valor a la alta dirección. Los gerentes de seguridad de la información también deben ser capaces de comunicarse a nivel técnico con los especialistas en TI, los líderes y empleados de las unidades de negocio, quienes serán responsables por la protección de los valiosos activos de información.
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
13
Definición de los requerimientos para la posición de gerencia de seguridad de la información
Gestión y respuesta a incidentes La práctica laboral final es la gestión y respuesta a incidentes. La gestión de incidentes se define como el proceso de desarrollar y mantener la capacidad de resolver incidentes dentro de una empresa, de manera que se pueda contener la exposición a estos incidentes y poder recuperarse de los mismos dentro de un tiempo objetivo especificado. Entre los incidentes figuran el uso indebido de activos de cómputo, revelación de información o eventos que pongan en riesgo la continuidad de los procesos de negocio. Dentro de esta área de práctica, hay 10 tareas críticas que los gerentes de seguridad deben dominar con fluidez: • Desarrollar e implementar procesos para prevenir, detectar, identificar, analizar y responder a incidentes relacionados con la seguridad de la información. • Establecer procesos de escalamiento y comunicación, así como líneas de autoridad. • Desarrollar planes para responder y documentar los incidentes relacionados con la seguridad de la información. • Establecer la capacidad para investigar incidentes relacionados con la seguridad de la información (por ejemplo, cómputo forense, recopilación y conservación de evidencias, análisis de registros (logs), entrevistas). • Desarrollar un proceso para comunicarse dentro de la organización y con organizaciones externas (por ejemplo, medios, autoridades, clientes). • Integrar planes de respuesta a incidentes de seguridad de la información con los planes de recuperación en caso de desastre y continuidad del negocio de la organización. • Organizar, capacitar y dotar a los equipos para que puedan responder a los incidentes de seguridad de la información. • Probar y optimizar periódicamente los planes de respuesta a incidentes relacionados con la seguridad de la información. • Gestionar la respuesta a los incidentes relacionados con la seguridad de la información • Realizar revisiones para identificar las causas de los incidentes relacionados con la seguridad de la información, desarrollar acciones correctivas y reevaluar los riesgos. El área de práctica laboral en gestión y respuesta a incidentes exige a los gerentes de seguridad de la información identificar, analizar, gestionar y responder a interrupciones o fallas en las funciones de procesamiento de la información.
14
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
3. Evolución de Capítulo la Carrera XX
3. Evolución de la Carrera Los gerentes de seguridad de la información deben poseer una amplia gama de habilidades para alcanzar el éxito en sus funciones. Algunas de estas habilidades pertenecen al área de gestión, gestión de riesgos, tecnología, comunicación, gestión de proyectos, organización y liderazgo. Debido a que las empresas se concentran cada vez más en habilidades de negocio y a veces les resulta difícil ponderar las habilidades interpersonales, se recomienda que, al seleccionar un gerente de seguridad de la información, hagan énfasis en una persona con experiencia en las cinco áreas de contenido de trabajo de CISM. Es importante tener en cuenta que el reclutamiento externo no es siempre la única opción. Con frecuencia, las empresas poseen en su nómina empleados con habilidades críticas. Es posible que un profesional de seguridad de la información ingrese a una empresa en un área particular y posteriormente adquiera habilidades adicionales que le permitan avanzar a otra. La figura 2 ilustra las numerosas trayectorias de desarrollo de carrera por las que puede transitar un gerente de seguridad de la información dentro de una empresa. Muestra el desarrollo típico de la carrera de un profesional de seguridad de la información y cómo estos profesionales pueden moverse horizontal, vertical y diagonalmente a medida que progresan en sus carreras. Esta figura también resalta el hecho de que son muchos los antecedentes y recursos de carrera en los cuales pueden apoyarse los gerentes de seguridad de la información para adquirir nuevos conocimientos, certificaciones, capacitación y experiencia. El ascenso desde una posición inicial a una posición de nivel C puede seguir varias trayectorias; de hecho, éste es precisamente el patrón observado al realizar un sondeo entre quienes poseen la certificación CISM en todo el mundo. Estos profesionales ingresaron a sus organizaciones desde numerosas áreas funcionales y progresaron por el escalafón corporativo siguiendo patrones tanto verticales como horizontales y, con frecuencia, también describieron trayectorias de ascenso diagonal. Para ascender dentro de una empresa se requiere una combinación de habilidades técnicas y gerenciales, y se cree que este patrón continuará en el futuro. El conjunto de habilidades que deben poseer los gerentes de seguridad de la información de la actualidad no siempre son fáciles de medir. Los empleadores necesitan una referencia sobre la cual apoyarse al evaluar empleados, para efectos de ascensos, y a los candidatos externos, para efectos de contratación. La taxonomía de Bloom6 ofrece a las empresas una escala para determinar si los candidatos a ciertos trabajos poseen el conjunto de habilidades necesarias para desempeñarse en las funciones de gerente de seguridad de la información. Bloom identificó seis niveles de dominio cognitivo, desde el nivel más bajo—un simple recuerdo o el reconocimiento de los hechos—pasando por niveles mentales cada vez más complejos y abstractos, hasta el nivel más alto, que se clasifica como evaluación; en la figura 3 se citan ejemplos de verbos que representan la actividad intelectual en cada nivel. En la figura 4 se aprecian con más detalle las competencias de la posición de gerente de seguridad de la información, en función de los seis niveles de aprendizaje de Bloom. Se sugiere una correlación de niveles de competencia entre los diferentes niveles corporativos y las competencias de Bloom: conocimiento, comprensión, aplicación, análisis, síntesis y evaluación. Los requerimientos de competencia en las distintas áreas se pueden satisfacer asignando al equipo profesionales con las diferentes fortalezas necesarias. 6
Bloom, B; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984 © 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
15
Definición de los requerimientos para la posición de gerencia de seguridad de la información Figura 2—Modelo típico de progreso y gestión de seguridad de la información Comité del Consejo Directivo de Seguridad/ Aseguramiento de la Información Equipo Multidisciplinario de Nivel C
Nivel
Gestión
Niveles de Carrera
Alto directivo (Nivel C)
CIO
Tecnología
COO
CTO
Arquitectura
CISO
Legal/Gestión de Riesgos/ Privacidad
CAO
GC CRO CPO
Gerente/ director
Consultoría en Seguridad de la información en desarrollo/ Auditoría Operaciones sistemas e infraestructura interna
Riesgo de la información/ consultoría en privacidad
Experto
Consultor de TI principal
Consultor de TI principal
Profesional Ingeniero senior senior de de TI desarrollo de TI
CArO
Asegura miento
Arquitecto senior de TI
Auditor senior de seguridad de la información
Especialista, Gerente de productos/programas/proyectos, líder de equipo, gerente de cuenta en ventas gerente Especialista, Consultor de técnico seguridad, analista de negocios Entrante
Analista
Gerente de Diseñador de Profesional producto seguridad de sistemas de de seguridad seguridad Desarrollador Pasante/ Practicante de diseñador de seguridad
Auditor de seguridad
Consultor de riesgos de la información
Pasante/ Practicante de sistemas de seguridad
Pasante/ Practicante de auditor de seguridad
El desarrollo de carrera a través del nivel C puede ser vertical, horizontal y/o diagonal. Fuente: Adaptado de Lynas, David; John Sherwood; “Professionalism in Information Security: A Framework for Competency Development,” 12 Conferencia Anual de COSAC, Reino Unido, 2005 Clave de Nivel C:
CIO = Director de TI (Chief Information Officer) COO = Director de Operaciones (Chief Operating Officer) CTO = Director de Tecnología (Chief Technology Officer) CISO = Director de Seguridad de la Información (Chief Information Security Officer) CARO = Director de Arquitectura (Chief Architecture Officer)
CAO = Director de Aseguramiento (Chief Assurance Officer) GC = Consultor General (General Counsel) CRO = Director de Riesgos (Chief Risk Officer) CPO = Director de Privacidad (Chief Privacy Officer)
Al promover o contratar a un gerente de seguridad de la información, las empresas pueden comprobar la utilidad de este concepto de competencias para determinar las calificaciones y requerimientos del candidato a la posición. Un gerente de seguridad de la información requiere de vastos y profundos conocimientos de una amplia gama de áreas. En muchos casos, este nivel de conocimiento no se encuentra en una sola persona, especialmente en las etapas iniciales de su carrera. Por lo tanto, en las grandes empresas, es probable que sea necesario un equilibrio de competencias profesionales distribuidas dentro de un conjunto de profesionales y, dentro de este conjunto de profesionales, quienes posean una comprensión más amplia y profunda de las áreas necesarias podrán acceder a los cargos más altos. En virtud de que la tecnología está cambiando muy rápidamente, se requiere capacitación y formación continuas. 16
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
3. Evolución de la Carrera Figura 3—Competencias técnicas, basadas en la taxonomía de Bloom Nivel de competencia
Habilidad demostrada
Ejemplos de verbos de comportamiento
1
Conocimiento
• Observar y recordar información. • Demostrar conocimiento de hechos. • Demostrar conocimiento de ideas principales. • Demostrar dominio de la materia. • Llevar a cabo investigaciones para hallar información.
Enumerar, definir, decir, describir, identificar, mostrar, etiquetar, recopilar, examinar, tabular, citar, nombrar, hallar, identificar
2
Comprensión
• Comprender información. • Captar el sentido. • Convertir el conocimiento para que se adapte a nuevos contextos. • Interpretar hechos. • Comparar y contrastar. • Inferir causas. • Predecir consecuencias.
Resumir, explicar, interpretar, contrastar, predecir, asociar, distinguir, estimar, diferenciar, discutir, ampliar, ordenar, agrupar
3
Aplicación
• Usar la información de manera inteligente. • Usar métodos, conceptos y teorías en nuevas situaciones. • Resolver problemas utilizando las habilidades o conocimientos necesarios.
Aplicar, demostrar, calcular, completar, ilustrar, mostrar, resolver, examinar, modificar, relacionar, cambiar, clasificar, experimentar, descubrir
4
Análisis
• Identificar patrones. • Organizar las partes. • Reconocer significados ocultos. • Identificar componentes.
Analizar, separar, ordenar, conectar, clasificar, organizar, dividir, comparar, seleccionar, inferir
5
Síntesis
• Usar ideas antiguas para crear ideas nuevas. • Generalizar a partir de hechos dados. • Relacionar conocimientos de diversas áreas. • Realizar predicciones y sacar conclusiones.
Combinar, integrar, modificar, reordenar, sustituir, planificar, crear, construir, diseñar, inventar, componer, formular, preparar, generalizar, reescribir
6
Evaluación
• Comparar y discriminar entre ideas. • Evaluar el valor de teorías y presentaciones. • Tomar decisiones apoyándose en una argumentación razonada. • Verificar el valor de la evidencia. • Reconocer la subjetividad.
Valorar, evaluar, decidir, jerarquizar, calificar, probar, medir, recomendar, convencer, seleccionar, juzgar, discriminar, fundamentar, concluir
Fuente: Bloom, Benjamin; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
17
Definición de los requerimientos para la posición de gerencia de seguridad de la información Figura 4—Competencias que debe tener un gerente de seguridad de la información Dominio
Conocimiento Comprensión
Aplicación
Neg.
Seg.
Neg.
Seg.
Neg.
Seg.
Neg.
Ejecutivo de nivel C
M
M
M
M
M
M
M
M
M
M
M
M
Director
M
M
M
M
M
M
M
M
M
M
M
M
Gerente
C
M
M
M
M
M
M
M
C
C
C
C
Experto técnico
C
M
C
M
C
M
C
M
U
M
U
M
Especialista técnico
U
M
U
M
U
M
U
M
U
C
U
C
Analista técnico
U
C
U
C
U
C
U
C
U
C
U
C
Nivel/ Categoría
Análisis
Síntesis
Evaluación
Seg. Neg. Seg. Neg. Seg.
Fuente: University of Dallas Center for Information Assurance, 2007
Leyenda de la tabla Neg. = Conocimiento de Negocios Seg. = Conocimiento sobre seguridad de la información M = Dominio total C = Algún nivel de competencia U = Comprensión básica
Bases para las Habilidades Las certificaciones profesionales y la formación desempeñan un papel importante en el desarrollo de habilidades y, además, demuestran profesionalismo y compromiso de mantener un alto nivel profesional. La formación puede ser impartida en un escenario de educación formal, como una universidad o institución de educación superior, las cuales ahora ofrecen programas de licenciatura, postgrado y doctorado para gerentes de seguridad de la información, o puede obtenerse durante el ejercicio de la profesión en conferencias, seminarios y talleres. Una certificación profesional puede ser muy valiosa para demostrar conocimientos en gestión de seguridad de la información, además de experiencia, porque requiere que los candidatos aprueben un examen que se basa en sus competencias en seguridad de la información. CISM es una certificación en gestión de seguridad de la información altamente respetada que requiere que los candidatos aprueben un examen riguroso y que posean cinco años de experiencia en gestión de seguridad de la información, y posteriormente acumular horas de educación profesional continua (CPE), a fin de mantener la certificación.
18
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
3. Evolución de la Carrera
Conclusión Los roles, las responsabilidades y las relaciones que los gerentes de seguridad de la información deben cumplir son enormes, crecientes, complejos y a veces conflictivos, pero son uniformes en todo el mundo. Su desafío, de acuerdo con el sondeo analítico sobre la práctica laboral del CISM,7 es que, si desean avanzar en su carrera, deben convertirse en expertos en la comprensión de los problemas y fundamentos de los negocios, así como en la gestión y trabajo en coordinación con otros profesionales técnicos. Es necesario acumular y actualizar mucho conocimiento con respecto a la evolución de la tecnología; por lo tanto, la capacitación, las certificaciones y la formación continua son indispensables. También se determinó, a partir del sondeo analítico sobre la práctica laboral del CISM, que muchos gerentes de seguridad de la información avanzaron hasta su posición a través de diferentes carreras y antecedentes educativos. Esto ha funcionado porque, de esta manera, se acumula un conjunto de conocimientos, experiencia, formación, capacitación y certificación, todo lo cual optimiza el perfil de seguridad general de una empresa. Por esta razón, se cree que los ascensos en las carreras de los gerentes de seguridad de la información tienden a seguir diversas trayectorias profesionales: algunos profesionales han avanzado verticalmente y otros han avanzado horizontalmente, otros han sido transferidos desde una posición puramente técnica y han pasado a desempeñar una función más gerencial y viceversa. Finalmente, para que la seguridad de la empresa sea realmente eficaz, debe haber, en los niveles más altos, la disposición a asumir un compromiso. Esto significa que la seguridad de la información debe estar indisolublemente ligada a las estructuras de gobierno corporativo y debe contar con la participación y apoyo del consejo de dirección y los altos directivos. La creación de una cultura de apoyo a la seguridad de la información es justamente,uno de los muchos desafíos que los gerentes de seguridad de la información enfrentan hoy en día, pero una combinación adecuada de formación y experiencia ayudará a prepararlos para enfrentar esos desafíos.
7
ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 © 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
19
Definición de los requerimientos para la posición de gerencia de seguridad de la información
Apéndice A—Perfil Profesional de los Participantes en el Sondeo Analítico sobre la Práctica Laboral del CISM Las siguientes estadísticas representan los datos demográficos obtenidos del Certified Information Security Manager Job Practice Analysis Study de ISACA 2006: • El 70 por ciento de los encuestados tenía entre seis y 15 años de experiencia como gerente de seguridad de la información. • El 59 por ciento provenía de cuatro sectores: servicios bancarios (16 por ciento), consultoría (23 por ciento), finanzas (7 por ciento) y gobierno/nacional (13 por ciento). • El 83 por ciento era de sexo masculino. • El 77 por ciento tenía un título de licenciatura (pregrado) o superior (38 por ciento tenía un título de licenciatura y 39 por ciento tenía, adicionalmente, un título de maestría). • Si bien todos los encuestados contaban con una credencial CISM, más del 73 por ciento tenía una certificación adicional (40 por ciento contaba con la certificación CISSP, 33 por ciento tenía CISA, 33 por ciento otras). • El 65 por ciento tenía uno de los tres títulos siguientes: CISO (13 por ciento), director de seguridad de la información (13 por ciento) o gerente de seguridad de la información (39 por ciento). • El 94 por ciento estaba certificado desde 2003. • El 33 por ciento estaba empleado en empresas con 1.500 a 9.999 trabajadores (otras respuestas se distribuían de forma equilibrada en una curva de campana). • El 62 por ciento tenía una nómina de personal de seguridad a tiempo completo de menos de 25 personas (El 39 por ciento tenía personal de cero a cinco, 17 por ciento contaba con una plantilla de seis a 10, y 16 por ciento contaba con una plantilla de 11 a 25 empleados). Nota: Los porcentajes se han redondeado a números enteros. Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 19-27
20
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
Apéndice B—Tareas y Calificaciones de Conocimientos
Apéndice B—Tareas y Calificaciones de Conocimientos La figura 5 representa las respuestas de los gerentes CISM que participaron en el estudio analítico de las prácticas laborales de 2006. Los gerentes CISM respondieron con el porcentaje de tiempo que invirtieron en la gestión de las actividades en cada una de las áreas de contenido laboral de CISM y también en función de la criticidad de las áreas de contenido en su trabajo. La media de criticidad es un promedio de todas las puntuaciones, en una escala lineal de 1 a 5; 1 indica la menos crítica y 5 indica la más crítica. Figura 5—Estadísticas descriptivas del área de contenido en el examen CISM Áreas de contenido del examen CISM
Porcentaje de tiempo
Media de criticidad
Gobierno de seguridad de la información
22,0
3,5
Gestión de riesgos de seguridad de la información
21,5
3,6
Desarrollo de programas de seguridad de la información
17,6
3,4
Gestión de programas de seguridad de la información
24,0
3,5
Gestión y respuesta a incidentes
13,6
3,4
Otros
1,2
–
Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 29
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
21
Definición de los requerimientos para la posición de gerencia de seguridad de la información
Apéndice C—Conocimientos Relacionados para Cada Área de Contenido de la Práctica Laboral del CISM (Fuente: ISACA, CISM Review Manual 2008, EUA, 2008) Área 1: CR1.1 CR1.2 CR1.3
Gobierno de seguridad de la información Conocimiento de las metas y objetivos de negocio Conocimiento de los conceptos de seguridad de la información Conocimiento de los componentes que integran una estrategia de seguridad de la información (por ejemplo, personas, procesos, tecnologías, arquitecturas) CR1.4 Conocimiento de la relación que existe entre la seguridad de la información y las funciones de negocio CR1.5 Conocimiento del alcance y los estatutos del gobierno de la seguridad de la información CR1.6 Conocimiento de los conceptos de los gobiernos corporativo y de la seguridad de la información. CR1.7 Conocimiento de los métodos que integran el gobierno de la seguridad de la información en el marco general de gobierno de la empresa CR1.8 Conocimiento de las estrategias de planificación presupuestaria y métodos de reporte CR1.9 Conocimiento de las metodologías para desarrollar un caso de negocio (business case) CR1.10 Conocimiento de los tipos de impulsores tanto internos como externos (por ejemplo, tecnología, ambiente de negocio, tolerancia al riesgo) que pudieran repercutir en las organizaciones y la seguridad de la información CR1.11 Conocimiento de los requerimientos regulatorios y su posible impacto al negocio desde el punto de vista de la seguridad de la información CR1.12 Conocimiento de las estrategias de gestión de la responsabilidad común y opciones de seguros (por ejemplo, seguro contra delito o de fidelidad, interrupciones del negocio) CR1.13 Conocimiento de las relaciones con terceros y su impacto en la seguridad de la información (por ejemplo, fusiones y adquisiciones, sociedades, outsourcing) CR1.14 Conocimiento de los métodos utilizados para obtener el compromiso de la alta dirección con la seguridad de la información CR1.15 Conocimiento del establecimiento y operación de un grupo directivo para la seguridad de la información CR1.16 Conocimiento de los roles, responsabilidades y estructuras organizacionales generales de la gestión de seguridad de la información CR1.17 Conocimiento de los enfoques para vincular las políticas a los objetivos de negocio de la empresa CR1.18 Conocimiento de las normas internacionales generalmente aceptadas aplicables a la gestión de la seguridad de la información CR1.19 Conocimiento de los métodos centralizados y distribuidos para coordinar las actividades relacionadas con la seguridad de la información CR1.20 Conocimiento de los métodos para establecer canales de reporte y comunicación en toda la organización 22
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
Apéndice C—Conocimientos Relacionados para Cada Área de Contenido de la Práctica Laboral del CISM Área 2: Gestión de Riesgos de la Seguridad de la Información CR2.1 Conocimiento de los componentes que se requieren para establecer un esquema de clasificación de la de seguridad de la información que sea congruente con los objetivos de negocio (incluyendo la identificación de activos) CR2.2 Conocimiento de los componentes del esquema de propiedad de la información (incluyendo los impulsores del esquema, tales como roles y responsabilidades) CR2.3 Conocimiento de amenazas, vulnerabilidades y exposiciones relacionadas con la información. CR2.4 Conocimiento de las metodologías para valorar los recursos de información. CR2.5 Conocimiento de las metodologías de evaluación y análisis de riesgos (incluyendo la mensurabilidad, la repetición y la documentación) CR2.6 Conocimiento de los factores que se utilizan para determinar la frecuencia y los requerimientos para reportar algún riesgo CR2.7 Conocimiento de los métodos cuantitativos y cualitativos utilizados para determinar la sensibilidad y la criticidad de los recursos de información, así como el impacto que tienen los eventos adversos en el negocio CR2.8 Conocimiento de los modelos de niveles mínimos (baselines) y su relación con las evaluaciones basadas en riesgos de los requerimientos de control CR2.9 Conocimiento de los controles y las contramedidas de seguridad CR2.10 Conocimiento de los métodos para analizar la efectividad de los controles y las contramedidas de la seguridad de la información CR2.11 Conocimiento de las estrategias de mitigación de riesgos que se utilizan para definir los requerimientos de seguridad para los recursos de información CR2.12 Conocimiento del análisis de brechas para evaluar el estado actual en comparación con las normas generalmente aceptadas de buenas prácticas para la gestión de la seguridad de la información CR2.13 Conocimiento de las técnicas del análisis de costo-beneficio para mitigar los riesgos a niveles aceptables CR2.14 Conocimiento de los principios y las prácticas de la gestión de riesgos basada en el ciclo de vida Área 3: Desarrollo del Programa de Seguridad de la Información CR3.1 Conocimiento de los métodos para traducir estrategias en planes que se puedan gestionar y mantener para implementar la seguridad de la información CR3.2 Conocimiento de las actividades que se deben incluir en un programa de seguridad de la información CR3.3 Conocimiento de los métodos para gestionar la implementación del programa de seguridad de la información CR3.4 Conocimiento de los controles de planificación, diseño, desarrollo, prueba e implementación de la seguridad de la información CR3.5 Conocimiento de los métodos para alinear los requerimientos del programa de seguridad de la información con los de otras funciones de aseguramiento (por ejemplo, seguridad física, recursos humanos, calidad, TI) CR3.6 Conocimiento de cómo identificar los requerimientos de recursos y habilidades tanto internos como externos (por ejemplo, finanzas, personas, equipos y sistemas) CR3.7 Conocimiento de la adquisición de recursos y habilidades (por ejemplo, presupuesto de proyecto, empleo de personal contratado, compra de equipos) © 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
23
Definición de los requerimientos para la posición de gerencia de seguridad de la información CR3.8 C onocimiento de las arquitecturas de seguridad de la información (por ejemplo, arquitecturas lógicas y físicas) y su implementación CR3.9 Conocimiento de las tecnologías y los controles de seguridad (por ejemplo, técnicas criptográficas, controles de acceso, herramientas de monitoreo) CR3.10 Conocimiento del proceso para desarrollar políticas de seguridad de la información que satisfagan y respalden los objetivos de negocios de la empresa CR3.11 Conocimiento del contenido para la concienciación, capacitación y formación sobre seguridad de la información en toda la empresa (por ejemplo, conciencia general de la seguridad, construcción de código seguro, controles del sistema operativo) CR3.12 Conocimiento de los métodos para identificar actividades que permitan cerrar la brecha entre los niveles de competencias y los requerimientos de habilidades CR3.13 Conocimiento de las actividades destinadas a promover una cultura y conducta de seguridad positivas CR3.14 Conocimiento de los usos de las políticas, estándares, procedimientos, directrices y otra documentación, así como de la diferencia que existe entre ellos CR3.15 Conocimiento del proceso para vincular las políticas a los objetivos de negocio de la empresa CR3.16 Conocimiento de los métodos para desarrollar, implementar, comunicar y mantener políticas, estándares, procedimientos, directrices y otra documentación de seguridad de la información KS3.17 Conocimiento para integrar los requerimientos de seguridad de la información en los procesos organizacionales (por ejemplo, control de cambios, fusiones y adquisiciones) CR3.18 Conocimiento de las metodologías y actividades de ciclo de vida (por ejemplo, desarrollo, empleo, adquisiciones) CR3.19 Conocimiento de los procesos para incluir los requerimientos de seguridad en los contratos (por ejemplo, con joint ventures, proveedores de servicios externos, socios de negocios, clientes y terceros) CR3.20 Conocimiento de métodos y técnicas para gestionar los riesgos de terceros (por ejemplo, acuerdos de niveles de servicio, contratos, debida diligencia, proveedores y subcontratistas) CR3.21 Conocimiento del diseño, desarrollo e implementación de las métricas de seguridad de la información CR3.22 Conocimiento de certificación y acreditación del cumplimiento de las aplicaciones e infraestructura de negocio a las necesidades del negocio CR3.23 Métodos para evaluar de forma continua la eficacia y la aplicabilidad de los controles de seguridad de la información (por ejemplo, pruebas de vulnerabilidad, herramientas de evaluación) CR3.24 Conocimiento de los métodos para medir y hacer seguimiento a la eficacia y la vigencia del programa de concienciación, capacitación y formación sobre la seguridad de la información CR3.25 Conocimiento de los métodos para mantener el programa de seguridad de la información (por ejemplo, planes de sucesión, asignación de trabajos, documentación del programa) 24
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
Apéndice C—Conocimientos Relacionados para Cada Área de Contenido de la Práctica Laboral del CISM Área 4: Gestión del Programa de Seguridad de la Información CR4.1 Conocimiento sobre cómo interpretar e implementar las políticas de seguridad de la información CR4.2 Conocimiento de los procesos y procedimientos administrativos de seguridad de la información (por ejemplo, controles de acceso, gestión de identidad, acceso remoto) CR4.3 Conocimiento de métodos para implementar y gestionar el programa de seguridad de la información de la empresa considerando los acuerdos con terceros (por ejemplo, socios comerciales, contratistas, socios en joint ventures, proveedores externos) CR4.4 Conocimiento de métodos para gestionar el programa de seguridad de la información a través de proveedores de servicios de seguridad CR4.5 Conocimiento de las cláusulas contractuales relacionadas con la seguridad de la información (por ejemplo, derecho a auditar, confidencialidad, no divulgación) CR4.6 Conocimiento de métodos para definir y monitorear los requerimientos de seguridad en los acuerdos de niveles de servicio CR4.7 Conocimiento de métodos y enfoques para proporcionar monitoreo continuo de actividades de seguridad en aplicaciones del negocio y la infraestructura de la empresa CR4.8 Conocimiento de las métricas gerenciales para validar las inversiones hechas en el programa de seguridad de la información (por ejemplo, recopilación de datos, revisión periódica, indicadores clave de desempeño) CR4.9 Conocimiento de los métodos para probar la eficacia y la aplicabilidad de los controles de seguridad de la información (por ejemplo, pruebas de penetración, violación de contraseñas, ingeniería social, herramientas de evaluación). CR4.10 Conocimiento de las actividades de gestión de cambios y configuración CR4.11 Conocimiento de las ventajas/desventajas de utilizar a proveedores de aseguramiento internos/externos para llevar a cabo revisiones de la seguridad de la información CR4.12 Conocimiento de actividades de debida diligencia, revisiones y estándares relacionados para gestionar y controlar el acceso a la información CR4.13 Conocimiento sobre fuentes de reporte de vulnerabilidades externas e información sobre posibles impactos en la seguridad de la información en aplicaciones e infraestructura CR4.14 Conocimiento de los eventos que afectan los niveles mínimos (baselines) de seguridad que pueden requerir re-evaluaciones de riesgo y cambios a los elementos del programa de seguridad de la información CR4.15 Conocimiento de prácticas para la gestión de problemas relacionados con la seguridad de la información CR4.16 Conocimiento de los requerimientos de reporte del estado de la seguridad de la infraestructura y los sistemas CR4.17 Conocimiento de técnicas generales de la gerencia de línea, incluyendo preparación de presupuesto (por ejemplo, estimación, cuantificación, compensaciones), gerencia de personal (por ejemplo, motivación, valoración, establecimiento de objetivos) e instalaciones (por ejemplo, obtención y uso de equipos) © 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
25
Definición de los requerimientos para la posición de gerencia de seguridad de la información
Área 5: Gestión y respuesta a incidentes CR5.1 Conocimiento de los componentes de una capacidad de respuesta a incidentes CR5.2 Conocimiento de planes de recuperación en caso de desastre y continuidad del negocio CR5.3 Conocimiento de las prácticas para la gestión de incidentes relacionados con la información CR5.4 Conocimiento de las pruebas del plan de recuperación en caso de desastre para la infraestructura y las aplicaciones críticas para el negocio CR5.5 Conocimiento de los eventos que desencadenan las respuestas a incidentes. CR5.6 Conocimiento sobre contención de daños CR5.7 Conocimiento de los procesos de notificación y escalamiento para una gestión eficaz de la seguridad CR5.8 Conocimiento del rol que desempeñan las personas en la identificación y gestión de incidentes relacionados con la seguridad CR5.9 Conocimiento del proceso de notificación de crisis CR5.10 Conocimiento de métodos para identificar los recursos de negocio esenciales para la recuperación CR5.11 Conocimiento de los tipos y medios disponibles de herramientas y equipos que se requieren para dotar adecuadamente a los equipos de respuesta a incidentes CR5.12 Conocimiento de los requerimientos forenses para recopilar y presentar evidencias (por ejemplo, admisibilidad, calidad y completitud de la evidencia, cadena de custodia) CR5.13 Conocimiento utilizado para documentar incidentes y acciones posteriores CR5.14 Conocimiento de los requerimientos de reporte tanto internos como externos CR5.15 Conocimiento de las prácticas de revisión posteriores al incidente y métodos de investigación para identificar las causas y determinar acciones correctivas CR5.16 Conocimiento de las técnicas para cuantificar los daños, costos y otros impactos al negocio que se derivan de incidentes relacionados con la seguridad CR5.17 Conocimiento del tiempo objetivo de recuperación (RTO) y su relación con los objetivos y procesos de los planes de contingencia y de continuidad del negocio
26
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
Capítulo XX Referencias
Referencias Bloom, B.; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984 Lynas, D.; J. Sherwood; “Professionalism in Information Security: A Framework for Conpetency Development”, 12 Conferencia Anual de COSAC, Reino Unido, 2005 Robb, D.; “How IT Is Revitalizing Staff Skills,” Computerworld, EUA, Febrero de 2007 ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 ISACA, CISM Review Manual 2008, EUA, 2008 ISACA, Critical Elements of Information Security Program Success, EUA, 2005 ISACA, Information Security Career Progression Survey Results, EUA, 2008
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
27
Definición de los requerimientos para la posición de gerencia de seguridad de la información
Otras Publicaciones Muchas publicaciones emitidas por el IT Governance Institute® (ITGITM) e ISACA contienen cuestionarios de evaluación y programas de trabajo detallados. Para obtener más información, por favor, visite www.isaca.org/bookstore o envíe un correo electrónico a
[email protected].
Seguridad • Cybercrime: Incident Response and Digital Forensics, 2005 • Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition, 2006 • Information Security Governance: Guidance for Information Security Managers, 2008 • Information Security Harmonisation—Classification of Global Guidance, 2005 • Managing Enterprise Information Integrity: Security, Control and Audit Issues, 2004 • Security Awareness: Best Practices to Serve Your Enterprise, 2005 • Stepping Through the InfoSec Program, 2007
Aseguramiento • ITAFTM: A Professional Practices Framework for IT Assurance, 2008 • Stepping Through the IS Audit, 2nd Edition, 2004 Series ERP: • Security, Audit and Control Features Oracle® E-Business Suite: A Technical and Risk Management Reference Guide, 2nd Edition, 2006 • Security, Audit and Control Features PeopleSoft®: A Technical and Risk Management Reference Guide, 2nd Edition, 2006 • Security, Audit and Control Features SAP®R/3®: A Technical and Risk Management Reference Guide, 2nd Edition, 2005 Ambientes Específicos: • Electronic and Digital Signatures: A Global Status Report, 2002 • Enterprise Identity Management: Managing Secure and Controllable Access in the Extended Enterprise Environment, 2004 • Linux: Security, Audit and Control Features, 2005 • Managing Risk in the Wireless LAN Environment: Security, Audit and Control Issues, 2005 • Oracle® Database Security, Audit and Control Features, 2004 • OS/390—z/OS: Security, Control and Audit Features, 2003 • Risks of Customer Relationship Management: A Security, Control and Audit Approach, 2003 • Security Provisioning: Managing Access in Extended Enterprises, 2002 • Virtual Private Network—New Issues for Network Security, 2001
28
© 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
Capítulo XX Otras Publicaciones
Gobierno de TI • Board Briefing on IT Governance, 2nd Edition, 2003 • Identifying and Aligning Business Goals and IT Goals, 2008 • IT Governance Global Status Report—2008, 2008 • Understanding How Business Goals Drive IT Goals, 2008 CobiT y publicaciones relacionadas • CobiT ® 4.1, 2007 • CobiT ® Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition, 2007 • CobiT ® QuickstartTM, 2nd Edition, 2007 • CobiT ® Security BaselineTM, 2nd Edition, 2007 • IT Assurance Guide: Using CobiT ®, 2007 • IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance, 2007 • IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition, 2006 • IT Governance Implementation Guide: Using CobiT ® and Val IT™, 2nd Edition, 2007 Mapeando CobiT: • Aligning CobiT ® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit, 2008 • CobiT ® Mapping: Mapping of CMMI® for Development V1.2 With CobiT ® 4.0, 2007 • CobiT ® Mapping: Mapping of ISO/IEC 17799:2000 With CobiT ® 4.0, 2nd Edition, 2006 • CobiT® Mapping: Mapping of ISO/IEC 17799:2005 With CobiT ® 4.0, 2006 • CobiT ® Mapping: Mapping of ITIL V3 With CobiT ® 4.1, 2008 • CobiT ® Mapping: Mapping of NIST SP800-53 With CobiT ® 4.1, 2007 • CobiT ® Mapping: Mapping of PMBOK With CobiT ® 4.0, 2006 • CobiT ® Mapping: Mapping of PRINCE2 With CobiT ® 4.0, 2007 • CobiT ® Mapping: Mapping of SEI’s CMM for Software With CobiT ® 4.0, 2006 • CobiT ® Mapping: Mapping of TOGAF 8.1 With CobiT ® 4.0, 2007 • CobiT ® Mapping: Overview of International IT Guidance, 2nd Edition, 2006 Prácticas y Competencias del Dominio del Gobierno de TI: • Governance of Outsourcing, 2005 • Information Risks: Whose Business Are They?, 2005 • IT Alignment: Who Is in Charge?, 2005 • Measuring and Demonstrating the Value of IT, 2005 • Optimising Value Creation From IT Investments, 2005 Val IT: • Enterprise Value: Governance of IT Investments, Getting Started With Value Management, 2008 • Enterprise Value: Governance of IT Investments, The Business Case, 2006 • Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008 • Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Extract, 2008 © 2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
.
29
3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrónico:
[email protected] Página Internet: www.isaca.org