GUÍA DE PREPARACIÓN PARA EL EXAMEN CERTIFIED INFORMATION SECURITY MANAGER

GUÍA DE PREPARACIÓN PARA EL EXAMEN CERTIFIED INFORMATION SECURITY MANAGER (CISM) Hemang Doshi

Lo que cubre este libro:           

El Capítulo 1, Gobernanza de la seguridad de la información, es una visión general de la gobernanza de la seguridad de la información. El Capítulo 2, Aspectos prácticos de la gobernanza de la seguridad de la información, analiza las estrategias de seguridad de la información. El Capítulo 3, Visión general de la gestión de riesgos de la información, cubre los elementos básicos de la gestión de riesgos. El Capítulo 4, Aspectos Prácticos de la Gestión de Riesgos de la Información, cubre herramientas y técnicas para programas de gestión de riesgos. El Capítulo 5, Aspectos de procedimiento de la gestión de riesgos de la información, cubre la comunicación de riesgos y la conciencia de capacitación en seguridad. El Capítulo 6, Visión general de la gestión del desarrollo del programa de seguridad de la información, analiza los elementos básicos del desarrollo y la gestión del programa de seguridad de la información. El Capítulo 7, Infraestructura y Arquitectura de Seguridad de la Información, analiza la infraestructura y la arquitectura de seguridad de la información. El Capítulo 8, Aspectos Prácticos de la Gestión del Desarrollo de Programas de Seguridad de la Información, discute varios controles y contramedidas. El Capítulo 9, Herramientas y Técnicas de Monitoreo de Seguridad de la Información, enfatiza la importancia de las herramientas y técnicas de monitoreo. El Capítulo 10, Visión general de Information Security Incident Manager, analiza los elementos básicos de la gestión de incidentes de seguridad de la información. El Capítulo 11, Aspectos prácticos de la gestión de incidentes de seguridad de la información, cubre la continuidad del negocio y los procesos de recuperación ante desastres.

Para sacar el máximo provecho de este libro Este libro está completamente alineado con el Manual de Revisión CISM de ISACA. Es recomendable seguir estos pasos durante sus estudios de CISM: 1. Lea este libro. 2. Complete el libro o base de datos QAE de ISACA. 3. Consulte el Manual de Revisión de CISM de ISACA.

SECCIÓN 1: GOBERNANZA DE LA SEGURIDAD DE LA INFORMACIÓN Esta parte trata sobre la gestión y el gobierno de la seguridad de la información. Cubre el 24% del examen de certificación CISM. Esta sección contiene los siguientes capítulos: Capítulo 1, Gobernanza de la seguridad de la información Capítulo 2, Aspectos prácticos de la gobernanza de la seguridad de la información

Capítulo 1: Gobernanza de la seguridad de la información La gobernanza es un aspecto importante del examen de administrador certificado de seguridad de la información (CISM). En este capítulo, cubriremos una visión general de la gobernanza de la seguridad de la información y trataremos de comprender el impacto de la buena gobernanza en la eficacia de los proyectos de seguridad de la información. Aprenderá sobre las funciones de aseguramiento, como la gobernanza, el riesgo y el cumplimiento (GRC), y detalles sobre los diversos roles y responsabilidades de la función de seguridad. También se le presentarán las mejores prácticas para obtener el compromiso de la alta gerencia de una organización con la seguridad de la información. En este capítulo se tratarán los siguientes temas:  Introducción a la gobernanza de la seguridad de la información  Entendiendo GRC  Descubriendo el modelo de madurez  Conocer las funciones y responsabilidades de seguridad de la información  Conocer la gobernanza de las relaciones con terceros  Obtener el compromiso de la alta dirección  Presentación del caso de negocio y el estudio de viabilidad  Comprender las métricas de gobierno de seguridad de la información  Vamos a sumergirnos y discutir cada uno de estos temas en detalle.

Introducción a la gobernanza de la seguridad de la información En términos simples, la gobernanza se puede definir como un conjunto de reglas para dirigir, monitorear y controlar las actividades de una organización. La gobernanza se puede implementar a través de políticas, estándares y procedimientos. El modelo de gobierno de seguridad de la información se ve afectado principalmente por la complejidad de la estructura de una organización. La estructura de una organización incluye objetivos, su visión y misión, diferentes unidades de función, diferentes líneas de productos, estructura jerárquica, estructura de liderazgo y otros factores relevantes. Una revisión de la estructura organizativa ayudará al gerente de seguridad a comprender los roles y responsabilidades del gobierno de la seguridad de la información, como se discute en nuestro próximo tema.

La responsabilidad de la gobernanza de la seguridad de la información La responsabilidad de la gobernanza de la seguridad de la información reside principalmente en la junta directiva y la alta gerencia. El gobierno de la seguridad de la información es un subconjunto del gobierno general de la empresa. Se requiere que la junta directiva haga de la seguridad una parte importante de la gobernanza mediante el monitoreo de los aspectos clave de la seguridad. La alta dirección tiene la responsabilidad de garantizar que los aspectos de seguridad se integren con los procesos de negocio. La participación del personal directivo superior y del comité directivo en los debates y en la aprobación de los proyectos de seguridad indica que la dirección está comprometida con los aspectos relacionados con la seguridad. Generalmente, un comité directivo está formado por altos funcionarios de diferentes departamentos. La función de un comité directivo de seguridad de la información es supervisar el entorno de seguridad de la organización.

Es muy importante que un aspirante al CISM entienda los pasos para establecer la gobernanza, como discutiremos en la siguiente sección.

Pasos para establecer la gobernanza Para una gobernanza eficaz, debe establecerse de manera estructurada. Un aspirante a CISM debe comprender los siguientes pasos para establecer la gobernanza: 1. Primero, determinar los objetivos de un programa de seguridad de la información. La mayoría de las veces, estos objetivos se derivan de la gestión de riesgos y el nivel aceptable de riesgo que está dispuesto a asumir. Un ejemplo de un objetivo para un banco puede ser que el sistema siempre debe estar disponible para los clientes, es decir, debe haber cero tiempos de inactividad. Los objetivos de seguridad de la información también deben alinearse y guiarse por los objetivos comerciales de la organización. 2. El siguiente paso es que el gerente de seguridad de la información desarrolle una estrategia y requerimientos basados en estos objetivos. Se requiere que el gerente de seguridad realice un análisis de brechas e identifique la estrategia para pasar al estado de seguridad deseado desde su estado actual de seguridad. El estado de seguridad deseado también se denomina objetivos de seguridad. Este análisis de brechas se convierte en la base de la estrategia. 3. El paso final es crear la hoja de ruta e identificar pasos accionables específicos para lograr los objetivos de seguridad. El administrador de seguridad debe considerar varios factores, como los límites de tiempo, la disponibilidad de recursos, el presupuesto de seguridad, las leyes y regulaciones y otros factores relevantes. Estas acciones específicas se implementan a través de políticas, estándares y procedimientos de seguridad.

Marco de gobernanza El marco de gobierno es una estructura o esquema que apoya la implementación de la estrategia de seguridad de la información. Proporcionan las mejores prácticas para un programa de seguridad estructurado. Los marcos son una estructura flexible que cualquier organización puede adoptar según su entorno y sus requisitos. Los marcos de gobernanza como COBIT e ISO 27000 son ejemplos de marcos ampliamente aceptados e implementados para la gobernanza de la seguridad. Veamos un poco más de cerca un ejemplo de gobierno de seguridad de la información en la siguiente sección.

El objetivo de la gobernanza de la seguridad de la información El gobierno de la seguridad de la información es un subconjunto del gobierno empresarial general de una organización. El mismo marco debe utilizarse tanto para la gobernanza empresarial como para la gobernanza de la seguridad de la información a fin de una mejor integración entre ambas. Los siguientes son los objetivos de la gobernanza de la seguridad de la información: 

Asegurar que las iniciativas de seguridad estén alineadas con la estrategia del negocio y apoyen los objetivos de la organización.

   

Optimizar las inversiones en seguridad y garantizar la entrega de alto valor de los procesos de negocio. Monitorear los procesos de seguridad para asegurar que se alcancen los objetivos de seguridad. Integrar y alinear las actividades de todas las funciones de aseguramiento para medidas de seguridad efectivas y eficientes. Garantizar que los riesgos residuales estén dentro de los límites aceptables. Esto le da comodidad a la gerencia.

Ahora repasaremos los aspectos clave desde la perspectiva del examen CISM, y en nuestro próximo tema, discutiremos aspectos importantes de GRC. Un aspirante a CISM debe entender por qué es importante integrar todas las funciones de GRC.

Aspectos clave desde la perspectiva del examen CISM Los siguientes son algunos de los aspectos clave desde la perspectiva del examen CISM:

Tabla 1.1 – Aspectos clave desde la perspectiva del examen CISM