Beruflich Dokumente
Kultur Dokumente
Gerencia de la seguridad
de la informacin
Requerimientos de la posicin
n
Alexander
Jose Osorio
Delgado
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Reconocimientos
Reconocimientos
ISACA desea expresar su reconocimiento a:
Grupo de Discusin de Liderazgo
Ken Baylor, Ph.D., CISM, CISSP, Nuance, EUA
Robert Coles, CISA, CISM, Merrill Lynch, Reino Unido
Sonia DaSilva, CISA, CISM, CGEIT, Memorial Sloan-Kettering Cancer Center, EUA
Lee Kushner, LJ Kushner, EUA
Hans Joern Lund-Andersen, CISA, CISM, Dong Energy, Dinamarca
Marc Noble, CISM, CISSP, ISSAP, Federal Communications Commission, EUA
John Nugent, Ph.D., CISM, CFE, CPA, DBA, University of Dallas, EUA
Michael Raisinghani, Ph.D., CISM, CECC, PMP, Texas Womens University, EUA
Marc A. L. J. Vael, Ph.D., CISA, CISM, KPMG, Blgica
Vishnal Vilas Salvi, CISM, HDFC Bank Limited, India
Consejo de Direccin
Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, Reino Unido,
Presidente Internacional
George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Blgica, Vicepresidente
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vicepresidente
Jos ngel Pea Ibarra, CGEIT, Consultora en Comunicaciones e Informtica. SA & CV, Mxico,
Vicepresidente
Robert E. Stroud, CA Inc., EUA, Vicepresidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EUA, Vicepresidente
Frank Yam, CISA, FHKCS, FHKIoD, CIA, CFE, CCP, CFSA, FFA, Focus Strategic Group Inc.,
Hong Kong, Vicepresidente
Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young, EUA, Anterior Presidente Internacional
Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (retirado), EUA, Anterior Presidente Internacional
Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, Director
Tony Hayes, CPA, Gobierno de Queensland, Australia, Director
Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Director
Comit de Gestin de la Seguridad
Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Presidente
Manuel Aceves, CISA, CISM, CISSP, Cerberian Consulting, Mxico
Kent Anderson, CISM, Encurve LLC, EUA
Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd, EUA
Yves Le Roux, CISM, CA Inc., Francia
Mark Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers, EUA
Kyeong-Hee Oh, CISA, CISM, Fullbitsoft, Corea del Sur
Vernon Poole, CISM, CGEIT, Sapphire Technologies Ltd., Reino Unido
Rolf von Roessing, CISA, CISM, CGEIT, KPMG Alemania, Alemania
Consejo de Certificacin de CISM
Evelyn Susana Anton, CISA, CISM, UTE, Venezuela, Presidente
Garry James Barnes, CISA, CISM, CISA, Commonwealth Bank of Australia, Australia
Allan Neville Boardman, CISA, CISM, CA, CISSP, JP Morgan Chase, Reino Unido
John Randolph Caraway, CISM, CISSP, JP Morgan Chase, EUA
James A. Crawford Jr., CISM, CISSP, MSIA, Marine Forces Reserve, EUA.
Ramses Gallego, CISM, CISSP, SCPM, Entel IT Consulting, Espaa
Hitoshi Ota, CISA, CISM, CIA, Mizuho Corporate Bank Ltd., Japn
Smita Dilip Totade, Ph.D., CISA, CISM, FEI, National Insurance Academy, India
Michael Wai-Kee Yung, CISA, CISM, ESD Services Ltd., Hong Kong
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Tabla de Contenido
Introduccin...................................................................................................................... 5
Audiencia...................................................................................................................... 5
Metas y Objetivos......................................................................................................... 6
Datos de ISACA........................................................................................................... 6
Beneficios de Este Esfuerzo......................................................................................... 6
1. Seguridad en Contexto............................................................................................... 7
Rol de los gerentes de seguridad de la informacin.................................................... 8
2.
Descripcin de la Posicin........................................................................................ 10
Gobierno de seguridad de la informacin.................................................................. 10
Gestin de Riesgos..................................................................................................... 11
Desarrollo del Programa de Seguridad de la Informacin......................................... 12
Gestin del Programa de Seguridad de la Informacin............................................. 13
Gestin y respuesta a incidentes................................................................................. 14
3. Evolucin de la Carrera........................................................................................... 15
Bases para las Habilidades......................................................................................... 18
Conclusin....................................................................................................................... 19
Apndice APerfil Profesional de los Participantes en el Sondeo Analtico
sobre la Prctica Laboral del CISM............................................................................. 20
Apndice BTareas y Calificaciones de Conocimientos............................................ 21
Apndice CConocimientos Relacionados para Cada rea de Contenido
de la Prctica Laboral del CISM.................................................................................. 22
Referencias....................................................................................................................... 27
Otras Publicaciones........................................................................................................ 28
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Introduccin
Introduccin
Dado que la seguridad de la informacin ha madurado para convertirse en una disciplina, han
surgido mltiples y nuevas oportunidades de carrera. Ya que ha resultado cada vez ms difcil
definir estos puestos de trabajo y las habilidades necesarias, ISACA y el IT Governance
Institute (ITGITM) han realizado investigaciones para proporcionar a los miembros
informacin que puede ayudarles a definir los requerimientos de la posicin de seguridad.
Conforme la profesin de la seguridad de la informacin ha madurado, se ha enfrentado
con requerimientos empresariales y tcnicos cada vez mayores. Las empresas se enfrentan
ahora a mltiples requerimientos regulatorios, as como a un perfil de amenaza siempre
presente y siempre cambiante y la necesidad de gestionar el riesgo. Es imperativo que las
empresas contraten profesionales con las capacidades adecuadas para garantizar que los
activos de informacin estn protegidos contra el uso no autorizado, que los sistemas estn
disponibles, y que la integridad continua de la informacin y los procesos est asegurada.
Tambin es imprescindible que los profesionales de la seguridad que ocupen puestos de
direccin tengan la experiencia prctica en seguridad y negocios para poder responder a las
necesidades cambiantes de la empresa en materia de proteccin.
En la actualidad, no existe ninguna especificacin de facto que defina las responsabilidades,
los conocimientos ni las relaciones de subordinacin ptimas de la gestin de seguridad
de la informacin. Muchas posiciones de seguridad de la informacin reportan al
Director de TI (CIO), otras a un Oficial de Seguridad de la Informacin (CISO), a un
Director de Riesgo (CRO) o un Director de Cumplimiento (CCO). Lasresponsabilidades
del trabajo difieren tambin entre las empresas. Algunas empresas han adoptado un
modelo de convergencia de la seguridad donde un CSO es responsable tanto de la
seguridad de la informacin como de la seguridad fsica. Otras conciben la seguridad de
la informacin nicamente como un tema tecnolgico. Muchas empresas estn llegando
a la conclusin de que la seguridad de la informacin es un asunto de negocios que
afecta la situacin financiera de la empresa en general.
Audiencia
Este informe ha sido preparado para proporcionar una descripcin de la posicin y la
trayectoria de carrera actual para los profesionales de la seguridad de la informacin. Su
objetivo es servir de gua para quienes estn involucrados en la seguridad de la informacin,
incluyendo los profesionales de recursos humanos, profesionales de la seguridad de la
informacin, los ejecutivos, los rganos rectores y los consejos de direccin o los sndicos.
Dado que el campo de la seguridad de la informacin es relativamente nuevo, toda vez
que surgi en la dcada de 1970, muchos profesionales han entrado en la disciplina
de la seguridad de la informacin procedentes de diversas trayectorias profesionales,
incluyendo TI, contabilidad, auditora, derecho, operaciones de negocios, ingeniera,
gestin de proyectos y seguridad fsica. Debido a la diversa formacin que los
profesionales de la seguridad de la informacin aportan a sus posiciones, un elemento
esencial de este informe es un diagrama de los distintos caminos por los que estos
profesionales han incursionado y avanzado en las posiciones de seguridad de la
informacin. Este diagrama (figura 2) se incluye para resumir y presentar, de manera
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Metas y Objetivos
Este informe proporciona un marco para comprender los numerosos requerimientos
cambiantes e interrelacionados de la posicin de gerente de seguridad de la informacin
y las responsabilidades asignadas a los profesionales en los distintos niveles en una
empresa. Tambin identifica las vas que los profesionales suelen tomar durante sus
carreras para llegar a estas posiciones. La intencin del informe es ayudar a aquellos que
ingresan a la profesin procedentes de un programa universitario, planifican su carrera o
avanzan dentro de la profesin. Tambin sirve como una gua para los responsables de la
contratacin de profesionales de seguridad de la informacin o los que gestionan, lideran
o tienen responsabilidades de supervisin de una funcin de seguridad de la informacin.
Datos de ISACA
La exhaustiva investigacin que se llev a cabo para la preparacin de este informe
incluye los datos recopilados bajo la direccin de ISACA como parte de un amplio
sondeo global realizado en 2006 entre aproximadamente 600 profesionales de seguridad
de la informacin que poseen la designacin Certified Information Security Manager
(CISM), as como un grupo activo de ejecutivos de seguridad de la informacin,
incluyendo ms de 100 CISMs. En el Apndice A se presentan otros datos demogrficos
recopilados en el estudio de 2006. Adems, en 2007, ISACA lanz su Estudio sobre la
Evolucin de la Carrera de Seguridad de la Informacin,1, el cual gener respuestas de
ms de 1.400 CISMs en todo el mundo. Esos resultados se reflejan en esta publicacin.
La designacin CISM es emitida por ISACA y cuenta con el reconocimiento de la
Organizacin Internacional de Estandarizacin (ISO) como parte de un selecto grupo
de certificaciones a profesionales de la seguridad de la informacin que gozan de
reconocimiento mundial.
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
1. Seguridad en Contexto
1. Seguridad en Contexto
La seguridad de la informacin es una funcin de negocio. Como tal, es fundamental
que los profesionales de la seguridad de la informacin en busca de progresar dentro
de una empresa desarrollen habilidades de negocio sanas, adems de las habilidades,
conocimientos y destrezas funcionales.
En un artculo publicado recientemente en Computerworld, titulado How IT Is
Revitalizing Staff Skills,2 los entrevistados sealaron que es sumamente necesario
contar con conocimientos y experiencia multifuncionales, as como con destrezas
de negocios y gestin en general, para progresar en la empresa. Los entrevistados
tambin sealaron que es necesario que los profesionales tcnicos dominen habilidades,
conocimientos y destrezas de negocios.
Hoy en da es esencial que los profesionales de seguridad de la informacin no slo
comprendan las cuestiones tcnicas que son una parte esencial de su rol funcional, sino
tambin que sean capaces de comunicarse, interactuar con otros y gestionar sobre la base
de buenos principios y prcticas de administracin de negocios.
El informe de investigacin de ISACA titulado Critical Elements of Information Security
Program Success3 identifica claramente la necesidad de que los ejecutivos y la alta
direccin, as como el gerente de seguridad de la informacin, consoliden una relacin
que transmitir un mensaje coherente con respecto a la prioridad que da la empresa a la
proteccin de la informacin y sus valiosos activos.
Para alinear correctamente los riesgos de negocio y las soluciones de seguridad de la
informacin, es necesario un dilogo de cooperacin entre las reas de negocio y los
expertos en seguridad de la informacin. Sin embargo, para obtener resultados satisfactorios,
es necesario que el dilogo sea respaldado con una accin visible y coherente. La mejor
expresin de dicha accin es el establecimiento y aplicacin coherente de las polticas
y estndares de la empresa. El informe de ISACA indica que, sin la participacin activa
de la direccin ejecutiva en la aplicacin y gestin de una estrategia de seguridad de la
informacin, el progreso se vera reducido por el cumplimiento inconsistente de las polticas,
dando lugar a una falsa sensacin de comodidad en materia de proteccin de activos.
Los conflictos entre las prioridades cotidianas afectan la calidad y la consistencia de la
proteccin de los activos de informacin. Estos conflictos deben tratarse de manera coordinada.
Para garantizar que cada empleado y agente de la empresa tome en serio los riesgos asociados,
la direccin ejecutiva y la alta direccin deben mostrarse abiertamente interesados en asegurar el
xito del programa de seguridad de la informacin dentro de sus empresas.
Otra conclusin clave del informe es que los profesionales de seguridad de la
informacin estn comenzando a reconocer que necesitan desarrollar una slida
comprensin del negocio a medida que su rol se hace ms visible en la empresa. Sus
decisiones exigen una justificacin de riesgo de negocios, y la dependencia de la
empresa en la tecnologa impulsa una mayor interaccin con sus homlogos de las reas
legal y de cumplimiento dentro de la empresa.
2
3
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Posicin actual
Gestin de riesgos
Gestin de programas de
seguridad
Seguridad de los datos
Porcentaje
76,6
Posicin anterior
Seguridad de los datos
Porcentaje
74,0
Gestin de riesgos
54,8
56,6
70,7
Seguridad de la red
53,5
Creacin y mantenimiento
de polticas
Cumplimiento regulatorio
65,3
49,0
59,6
Gestin de proyectos de
seguridad
Gestin de incidentes
Seguridad de la red
57,3
Gestin de programas de
seguridad
Creacin y mantenimiento de
polticas
Continuidad del negocio/
recuperacin en caso de desastre
Seguridad de sistemas y
aplicaciones
Arquitectura de seguridad
56,1
Gestin de incidentes
44,8
55,9
Gestin de proyectos de
seguridad
44,8
3
4
5
6
10
63,4
58,5
48,8
45,8
45,2
45,1
Fuente: ISACA, Information Security Career Progression Survey Results, EUA, 2008
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
1. Seguridad en Contexto
Supervisar y realizar actividades de gestin de riesgos (evaluacin de riesgos, anlisis
de brechas, anlisis de impacto al negocio, etc.) para ayudar a la empresa a alcanzar
un nivel aceptable de riesgo
Asesorar y formular recomendaciones en relacin con controles adecuados de
seguridad de personal, fsica y tcnica
Administrar el programa de gestin de incidentes de seguridad de la informacin para
asegurar la prevencin, deteccin, contencin y correccin de brechas deseguridad
Notificar los indicadores apropiados a la direccin ejecutiva
Participar en la solucin de problemas relacionados con brechas a la seguridad
Crear una campaa de formacin y concienciacin sobre seguridad de la informacin
dirigida a toda la empresa
Coordinar la comunicacin de la campaa de concienciacin/concientizacin sobre
laseguridad de la informacin a todos los miembros de la empresa
Coordinar con los proveedores, auditores, la direccin ejecutiva y los departamentos
usuarios para mejorar la seguridad de la informacin
Para mantenerse al da con los roles y responsabilidades en constante cambio, es
indispensable la formacin, la certificacin y el desarrollo profesional continuos.
Laseguridad de la informacin ha madurado hasta convertirse en ms que un rol de respuesta
tcnica, y los ejecutivos y la alta direccin estn comenzando a reconocer este cambio.
Para seguir impulsando la profesin, los gerentes de seguridad de la informacin deben
estar en capacidad de demostrar el valor de la seguridad de la informacin a la empresa.
La comunicacin efectiva del valor del programa de seguridad requiere que el gerente
de seguridad de la informacin no slo entienda la tecnologa y las soluciones, sino
tambin, y ms importante aun, que sea competente en las reas que tradicionalmente
seconciben como habilidades empresariales. Las habilidades de comunicacin (escrita y
oral), organizacionales, financieras y de gestin son muy importantes al comunicarse con
los lderes de la empresa.
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
2. Descripcin de la Posicin
Segn el Estudio Analtico de las Prcticas Laborales del Gerente Certificado de Seguridad
de la Informacin,4 los CISM encuestados esperan que el gerente de seguridad de la
informacin desempee un rol ms central en los negocios dentro de los prximos tres aos.
Adems, los encuestados esperan ver un mayor nfasis en el gobierno, as como un mayor
enfoque hacia la gestin de riesgos y la gestin de incidentes.
Los participantes en el estudio analtico de las prcticas laborales tambin indicaron que
hubo muchas reas de conocimiento y habilidades que tuvieron que adquirir en el ltimo
ao. Estas habilidades y reas de conocimiento incluyen:
Habilidades de negocios
Habilidades de gestin
Mayor conocimiento acerca de los requerimientos regulatorios/de cumplimiento
Conocimiento de la Ley Sarbanes-Oxley
Habilidades de evaluacin/gestin de riesgos
Informtica/Cmputo forense
Seguridad, incluyendo la gestin de seguridad de la informacin, la seguridad fsica
yseguridad de redes
Para ayudar a las empresas en la eleccin de profesionales altamente calificados para posiciones
de gestin de la seguridad de la informacin, se ha creado una serie de certificaciones
profesionales. ISACA lanz su certificacin CISM en 2002. La certificacin est diseada
para gerentes de seguridad de la informacin que poseen al menos cinco aos de experiencia
yhabilidades en las reas de seguridad y negocios.
El examen CISM abarca cinco reas de prcticas laborales que se centran en diferentes tareas
de seguridad de la informacin y conocimientos relacionados. Las tareas representan lo que
un profesional de la seguridad de la informacin debera estar en capacidad de hacer y los
conocimientos relacionados (ver apndice C) representan lo que el gerente de seguridad de
lainformacin debera saber para realizar las tareas.
ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006
ISACA, CISM Review Manual 2008, EUA, 2008
10
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
2. Descripcin de la Posicin
Identificar requerimientos legales y regulatorios tanto reales como potenciales que
afecten la seguridad de la informacin.
Identificar impulsores/drivers que afecten la organizacin (por ejemplo, tecnologa,
ambiente de negocio, tolerancia al riesgo, ubicacin geogrfica) y su impacto en la
seguridad de la informacin.
Obtener el compromiso de la alta direccin con la seguridad de la informacin.
Definir roles y responsabilidades relacionados con la seguridad de la informacin
atravs de la organizacin.
Establecer canales de comunicacin y reporte, tanto internos como externos, que
apoyen la seguridad de la informacin.
Las tareas demuestran una alineacin entre el programa de seguridad de la informacin
y las necesidades del negocio. Para gestionar con eficacia el programa de seguridad de
la informacin, el gerente debe tener conocimiento del negocio para realizar las tareas
mencionadas anteriormente. El gerente debe poseer habilidades de comunicacin para
obtener el apoyo de los ejecutivos y debe ser capaz de entender los informes financieros
paraver claramente los impulsores del negocio. El gerente tambin debe ser capaz de trabajar
eficazmente con otras reas, incluyendo el rea legal y de auditora para detectar posibles
problemas regulatorios, recursos humanos y jefes de las unidades funcionales de negocio
paradefinir las responsabilidades que se relacionan con la seguridad de la informacin.
Gestin de Riesgos
La gestin de riesgos de seguridad de la informacin es la segunda rea de
responsabilidad crtica de la gestin de seguridad de la informacin contenida en las
reas de prctica laboral del CISM. Esta rea representa la totalidad del ciclo de gestin
del riesgo en una empresa, desde la evaluacin hasta la mitigacin. En este caso, es
necesario que los gerentes de seguridad de la informacin realicen evaluaciones de
riesgo, comprendan y comuniquen claramente el posible impacto para el negocio, y
recomienden los controles para la mitigacin de riesgos.
Las tareas crticas para manejar la gestin de riesgos de manera eficaz son las siguientes:
Establecer un proceso para clasificar los activos de informacin y determinar su propiedad.
Implementar un proceso de evaluacin de riesgos de informacin sistemtico y estructurado.
Garantizar que las evaluaciones de impacto al negocio se lleven a cabo con regularidad.
Garantizar que las evaluaciones de amenazas y vulnerabilidades se lleven a cabo de
manera continua.
Identificar y evaluar de manera peridica los controles y las contramedidas
delaseguridad de la informacin para mitigar el riesgo a niveles aceptables.
Integrar la identificacin y gestin de riesgos, amenazas y vulnerabilidades
dentrodel ciclo de vida de los proceso (por ejemplo, desarrollo y adquisiciones).
Reportar los cambios significativos en los riesgos de la informacin a niveles de
gestin apropiados para su aceptacin tanto de forma peridica como a medida
quesuceda algn incidente.
Las siete tareas mencionadas representan una amplia gama de conocimientos. Los gerentes de
seguridad de la informacin no slo deben poseer un conocimiento profundo de las amenazas,
vulnerabilidades y exposiciones posibles, sino que tambin deben comprender los mtodos
para evaluar riesgos, las estrategias de mitigacin posibles, los mtodos para realizar anlisis
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
11
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
2. Descripcin de la Posicin
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
13
14
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
3. Evolucin de Captulo
la Carrera
XX
3. Evolucin de la Carrera
Los gerentes de seguridad de la informacin deben poseer una amplia gama de habilidades
para alcanzar el xito en sus funciones. Algunas de estas habilidades pertenecen al rea de
gestin, gestin de riesgos, tecnologa, comunicacin, gestin de proyectos, organizacin
y liderazgo. Debido a que las empresas se concentran cada vez ms en habilidades de
negocio y a veces les resulta difcil ponderar las habilidades interpersonales, se recomienda
que, al seleccionar un gerente de seguridad de la informacin, hagan nfasis en una
persona con experiencia en las cinco reas de contenido de trabajo de CISM.
Es importante tener en cuenta que el reclutamiento externo no es siempre la nica opcin.
Con frecuencia, las empresas poseen en su nmina empleados con habilidades crticas. Es
posible que un profesional de seguridad de la informacin ingrese a una empresa en un rea
particular y posteriormente adquiera habilidades adicionales que le permitan avanzar a otra.
La figura 2 ilustra las numerosas trayectorias de desarrollo de carrera por las que puede
transitar un gerente de seguridad de la informacin dentro de una empresa. Muestra el
desarrollo tpico de la carrera de un profesional de seguridad de la informacin y cmo estos
profesionales pueden moverse horizontal, vertical y diagonalmente a medida que progresan
en sus carreras. Esta figura tambin resalta el hecho de que son muchos los antecedentes y
recursos de carrera en los cuales pueden apoyarse los gerentes de seguridad de la informacin
para adquirir nuevos conocimientos, certificaciones, capacitacin y experiencia.
El ascenso desde una posicin inicial a una posicin de nivel C puede seguir varias trayectorias;
de hecho, ste es precisamente el patrn observado al realizar un sondeo entre quienes poseen
la certificacin CISM en todo el mundo. Estos profesionales ingresaron a sus organizaciones
desde numerosas reas funcionales y progresaron por el escalafn corporativo siguiendo
patrones tanto verticales como horizontales y, con frecuencia, tambin describieron trayectorias
de ascenso diagonal. Para ascender dentro de una empresa se requiere una combinacin de
habilidades tcnicas y gerenciales, y se cree que este patrn continuar en el futuro.
El conjunto de habilidades que deben poseer los gerentes de seguridad de la informacin de
la actualidad no siempre son fciles de medir. Los empleadores necesitan una referencia sobre
la cual apoyarse al evaluar empleados, para efectos de ascensos, y a los candidatos externos,
para efectos de contratacin. La taxonoma de Bloom6 ofrece a las empresas una escala para
determinar si los candidatos a ciertos trabajos poseen el conjunto de habilidades necesarias
para desempearse en las funciones de gerente de seguridad de la informacin.
Bloom identific seis niveles de dominio cognitivo, desde el nivel ms bajoun simple
recuerdo o el reconocimiento de los hechospasando por niveles mentales cada vez ms
complejos y abstractos, hasta el nivel ms alto, que se clasifica como evaluacin; en la
figura 3 se citan ejemplos de verbos que representan la actividad intelectual en cada nivel.
En la figura 4 se aprecian con ms detalle las competencias de la posicin de gerente de
seguridad de la informacin, en funcin de los seis niveles de aprendizaje de Bloom. Se
sugiere una correlacin de niveles de competencia entre los diferentes niveles corporativos
y las competencias de Bloom: conocimiento, comprensin, aplicacin, anlisis, sntesis y
evaluacin. Los requerimientos de competencia en las distintas reas se pueden satisfacer
asignando al equipo profesionales con las diferentes fortalezas necesarias.
6
d o s
l o s
d e r e c h o s
r e s e r v a d o s
15
Nivel
Gestin
Niveles de Carrera
Alto
directivo
(Nivel C)
CIO
Tecnologa
COO
CTO
Arquitectura
CISO
Legal/Gestin
de Riesgos/
Privacidad
CAO
GC CRO CPO
Gerente/
director
Riesgo de la
informacin/
consultora en
privacidad
Experto
Consultor de
TI principal
Consultor de TI
principal
Profesional Ingeniero
senior
senior de
de TI
desarrollo
de TI
CArO
Asegura
miento
Arquitecto
senior de TI
Auditor
senior de
seguridad
de la
informacin
Analista
Auditor de
seguridad
Consultor de
riesgos de la
informacin
Pasante/
Practicante
de sistemas
de seguridad
Pasante/
Practicante
de auditor
deseguridad
El desarrollo de carrera a travs del nivel C puede ser vertical, horizontal y/o diagonal.
Fuente: Adaptado de Lynas, David; John Sherwood; Professionalism in Information Security:
A Framework for Competency Development, 12 Conferencia Anual de COSAC, Reino Unido, 2005
Clave de Nivel C:
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
3. Evolucin de la Carrera
Figura 3Competencias tcnicas, basadas en la taxonoma de Bloom
Nivel de
competencia
Habilidad demostrada
Ejemplos de verbos de
comportamiento
Conocimiento
Comprensin
Comprender informacin.
Captar el sentido.
Convertir el conocimiento para que
se adapte a nuevos contextos.
Interpretar hechos.
Comparar y contrastar.
Inferir causas.
Predecir consecuencias.
Aplicacin
Anlisis
Identificar patrones.
Organizar las partes.
Reconocer significados ocultos.
Identificar componentes.
Sntesis
Evaluacin
Fuente: Bloom, Benjamin; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
17
Conocimiento Comprensin
Aplicacin
Neg.
Seg.
Neg.
Seg.
Neg.
Seg.
Neg.
Ejecutivo de
nivel C
Director
Gerente
Experto
tcnico
Especialista
tcnico
Analista
tcnico
Nivel/
Categora
Anlisis
Sntesis
Evaluacin
Leyenda de la tabla
Neg. = Conocimiento de Negocios
Seg. = Conocimiento sobre seguridad de la informacin
M = Dominio total
C = Algn nivel de competencia
U = Comprensin bsica
18
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
3. Evolucin de la Carrera
Conclusin
Los roles, las responsabilidades y las relaciones que los gerentes de seguridad de la
informacin deben cumplir son enormes, crecientes, complejos y a veces conflictivos, pero
son uniformes en todo el mundo. Su desafo, de acuerdo con el sondeo analtico sobre la
prctica laboral del CISM,7 es que, si desean avanzar en su carrera, deben convertirse en
expertos en la comprensin de los problemas y fundamentos de los negocios, as como
en la gestin y trabajo en coordinacin con otros profesionales tcnicos. Es necesario
acumular y actualizar mucho conocimiento con respecto a la evolucin de la tecnologa;
por lo tanto, la capacitacin, las certificaciones y la formacin continua son indispensables.
Tambin se determin, a partir del sondeo analtico sobre la prctica laboral del CISM,
que muchos gerentes de seguridad de la informacin avanzaron hasta su posicin a travs
de diferentes carreras y antecedentes educativos. Esto ha funcionado porque, de esta
manera, se acumula un conjunto de conocimientos, experiencia, formacin, capacitacin
y certificacin, todo lo cual optimiza el perfil de seguridad general de una empresa.
Poresta razn, se cree que los ascensos en las carreras de los gerentes de seguridad de
la informacin tienden a seguir diversas trayectorias profesionales: algunos profesionales
han avanzado verticalmente y otros han avanzado horizontalmente, otros han sido
transferidos desde una posicin puramente tcnica y han pasado a desempear una
funcin ms gerencial y viceversa.
Finalmente, para que la seguridad de la empresa sea realmente eficaz, debe haber, en
los niveles ms altos, la disposicin a asumir un compromiso. Esto significa que la
seguridad de la informacin debe estar indisolublemente ligada a las estructuras de
gobierno corporativo y debe contar con la participacin y apoyo del consejo de direccin
y los altos directivos.
La creacin de una cultura de apoyo a la seguridad de la informacin es justamente,uno
de los muchos desafos que los gerentes de seguridad de la informacin enfrentan hoy
enda, pero una combinacin adecuada de formacin y experiencia ayudar a prepararlos
para enfrentar esos desafos.
ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
19
20
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Porcentaje de tiempo
Media de criticidad
22,0
3,5
21,5
3,6
17,6
3,4
24,0
3,5
13,6
3,4
Otros
1,2
Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 29
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
21
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM
rea 2: Gestin de Riesgos de la Seguridad de la Informacin
CR2.1 Conocimiento de los componentes que se requieren para establecer un esquema
de clasificacin de la de seguridad de la informacin que sea congruente con
los objetivos de negocio (incluyendo la identificacin de activos)
CR2.2 Conocimiento de los componentes del esquema de propiedad de la informacin
(incluyendo los impulsores del esquema, tales como roles y responsabilidades)
CR2.3 Conocimiento de amenazas, vulnerabilidades y exposiciones relacionadas con
lainformacin.
CR2.4 Conocimiento de las metodologas para valorar los recursos de informacin.
CR2.5 Conocimiento de las metodologas de evaluacin y anlisis de riesgos
(incluyendo la mensurabilidad, la repeticin y la documentacin)
CR2.6 Conocimiento de los factores que se utilizan para determinar la frecuencia
ylosrequerimientos para reportar algn riesgo
CR2.7 Conocimiento de los mtodos cuantitativos y cualitativos utilizados para
determinar la sensibilidad y la criticidad de los recursos de informacin,
ascomo el impacto que tienen los eventos adversos en el negocio
CR2.8 Conocimiento de los modelos de niveles mnimos (baselines) y su relacin
conlas evaluaciones basadas en riesgos de los requerimientos de control
CR2.9 Conocimiento de los controles y las contramedidas de seguridad
CR2.10 Conocimiento de los mtodos para analizar la efectividad de los controles
ylascontramedidas de la seguridad de la informacin
CR2.11 Conocimiento de las estrategias de mitigacin de riesgos que se utilizan
paradefinir los requerimientos de seguridad para los recursos de informacin
CR2.12 Conocimiento del anlisis de brechas para evaluar el estado actual en
comparacin con las normas generalmente aceptadas de buenas prcticas
paralagestin de la seguridad de la informacin
CR2.13 Conocimiento de las tcnicas del anlisis de costo-beneficio para mitigar
losriesgos a niveles aceptables
CR2.14 Conocimiento de los principios y las prcticas de la gestin de riesgos basada
en el ciclo de vida
rea 3: Desarrollo del Programa de Seguridad de la Informacin
CR3.1 Conocimiento de los mtodos para traducir estrategias en planes que se puedan
gestionar y mantener para implementar la seguridad de la informacin
CR3.2 Conocimiento de las actividades que se deben incluir en un programa de
seguridad de la informacin
CR3.3 Conocimiento de los mtodos para gestionar la implementacin del programa
deseguridad de la informacin
CR3.4 Conocimiento de los controles de planificacin, diseo, desarrollo, prueba
eimplementacin de la seguridad de la informacin
CR3.5 Conocimiento de los mtodos para alinear los requerimientos del programa
deseguridad de la informacin con los de otras funciones de aseguramiento
(por ejemplo, seguridad fsica, recursos humanos, calidad, TI)
CR3.6 Conocimiento de cmo identificar los requerimientos de recursos y habilidades
tanto internos como externos (por ejemplo, finanzas, personas, equipos y sistemas)
CR3.7 Conocimiento de la adquisicin de recursos y habilidades (por ejemplo,
presupuesto de proyecto, empleo de personal contratado, compra de equipos)
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
23
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM
rea 4: Gestin del Programa de Seguridad de la Informacin
CR4.1 Conocimiento sobre cmo interpretar e implementar las polticas de seguridad
de la informacin
CR4.2 Conocimiento de los procesos y procedimientos administrativos de seguridad
dela informacin (por ejemplo, controles de acceso, gestin de identidad,
acceso remoto)
CR4.3 Conocimiento de mtodos para implementar y gestionar el programa de
seguridad de la informacin de la empresa considerando los acuerdos con
terceros (por ejemplo, socios comerciales, contratistas, socios en joint ventures,
proveedores externos)
CR4.4 Conocimiento de mtodos para gestionar el programa de seguridad de la
informacin a travs de proveedores de servicios de seguridad
CR4.5 Conocimiento de las clusulas contractuales relacionadas con la seguridad de
lainformacin (por ejemplo, derecho a auditar, confidencialidad, no divulgacin)
CR4.6 Conocimiento de mtodos para definir y monitorear los requerimientos de
seguridad en los acuerdos de niveles de servicio
CR4.7 Conocimiento de mtodos y enfoques para proporcionar monitoreo continuo
deactividades de seguridad en aplicaciones del negocio y la infraestructura
dela empresa
CR4.8 Conocimiento de las mtricas gerenciales para validar las inversiones hechas en
el programa de seguridad de la informacin (por ejemplo, recopilacin de datos,
revisin peridica, indicadores clave de desempeo)
CR4.9 Conocimiento de los mtodos para probar la eficacia y la aplicabilidad de los
controles de seguridad de la informacin (por ejemplo, pruebas de penetracin,
violacin de contraseas, ingeniera social, herramientas de evaluacin).
CR4.10 Conocimiento de las actividades de gestin de cambios y configuracin
CR4.11 Conocimiento de las ventajas/desventajas de utilizar a proveedores de
aseguramiento internos/externos para llevar a cabo revisiones de la seguridad
dela informacin
CR4.12 Conocimiento de actividades de debida diligencia, revisiones y estndares
relacionados para gestionar y controlar el acceso a la informacin
CR4.13 Conocimiento sobre fuentes de reporte de vulnerabilidades externas e
informacin sobre posibles impactos en la seguridad de la informacin
enaplicaciones einfraestructura
CR4.14 Conocimiento de los eventos que afectan los niveles mnimos (baselines)
de seguridad que pueden requerir re-evaluaciones de riesgo y cambios a
loselementos del programa de seguridad de la informacin
CR4.15 Conocimiento de prcticas para la gestin de problemas relacionados con
laseguridad de la informacin
CR4.16 Conocimiento de los requerimientos de reporte del estado de la seguridad
delainfraestructura y los sistemas
CR4.17 Conocimiento de tcnicas generales de la gerencia de lnea, incluyendo
preparacin de presupuesto (por ejemplo, estimacin, cuantificacin,
compensaciones), gerencia de personal (por ejemplo, motivacin, valoracin,
establecimiento de objetivos) e instalaciones (por ejemplo, obtencin y uso
deequipos)
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
25
26
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Captulo XX
Referencias
Referencias
Bloom, B.; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984
Lynas, D.; J. Sherwood; Professionalism in Information Security: A Framework for
Conpetency Development, 12 Conferencia Anual de COSAC, Reino Unido, 2005
Robb, D.; How IT Is Revitalizing Staff Skills, Computerworld, EUA, Febrero de 2007
ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006
ISACA, CISM Review Manual 2008, EUA, 2008
ISACA, Critical Elements of Information Security Program Success, EUA, 2005
ISACA, Information Security Career Progression Survey Results, EUA, 2008
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
27
Otras Publicaciones
Muchas publicaciones emitidas por el IT Governance Institute (ITGITM) e ISACA
contienen cuestionarios de evaluacin y programas de trabajo detallados. Para obtener
ms informacin, por favor, visite www.isaca.org/bookstore o enve un correo electrnico
a bookstore@isaca.org.
Seguridad
Cybercrime: Incident Response and Digital Forensics, 2005
Information Security Governance: Guidance for Boards of Directors and Executive
Management, 2nd Edition, 2006
Information Security Governance: Guidance for Information Security Managers, 2008
Information Security HarmonisationClassification of Global Guidance, 2005
Managing Enterprise Information Integrity: Security, Control and Audit Issues, 2004
Security Awareness: Best Practices to Serve Your Enterprise, 2005
Stepping Through the InfoSec Program, 2007
Aseguramiento
ITAFTM: A Professional Practices Framework for IT Assurance, 2008
Stepping Through the IS Audit, 2nd Edition, 2004
Series ERP:
Security, Audit and Control Features Oracle E-Business Suite: A Technical and Risk
Management Reference Guide, 2nd Edition, 2006
Security, Audit and Control Features PeopleSoft: A Technical and Risk Management
Reference Guide, 2nd Edition, 2006
Security, Audit and Control Features SAPR/3: A Technical and Risk Management
Reference Guide, 2nd Edition, 2005
Ambientes Especficos:
Electronic and Digital Signatures: A Global Status Report, 2002
Enterprise Identity Management: Managing Secure and Controllable Access in the
Extended Enterprise Environment, 2004
Linux: Security, Audit and Control Features, 2005
Managing Risk in the Wireless LAN Environment: Security, Audit and Control
Issues, 2005
Oracle Database Security, Audit and Control Features, 2004
OS/390z/OS: Security, Control and Audit Features, 2003
Risks of Customer Relationship Management: A Security, Control and Audit
Approach, 2003
Security Provisioning: Managing Access in Extended Enterprises, 2002
Virtual Private NetworkNew Issues for Network Security, 2001
28
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
Captulo XX
Otras Publicaciones
Gobierno de TI
Board Briefing on IT Governance, 2nd Edition, 2003
Identifying and Aligning Business Goals and IT Goals, 2008
IT Governance Global Status Report2008, 2008
Understanding How Business Goals Drive IT Goals, 2008
CobiT y publicaciones relacionadas
CobiT 4.1, 2007
CobiT Control Practices: Guidance to Achieve Control Objectives for Successful
IT Governance, 2nd Edition, 2007
CobiT QuickstartTM, 2nd Edition, 2007
CobiT Security BaselineTM, 2nd Edition, 2007
IT Assurance Guide: Using CobiT , 2007
IT Control Objectives for Basel II: The Importance of Governance and Risk
Management for Compliance, 2007
IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and
Implementation of Internal Control Over Financial Reporting, 2nd Edition, 2006
IT Governance Implementation Guide: Using CobiT and Val IT, 2nd Edition, 2007
Mapeando CobiT:
Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit, 2008
CobiT Mapping: Mapping of CMMI for Development V1.2 With CobiT 4.0, 2007
CobiT Mapping: Mapping of ISO/IEC 17799:2000 With CobiT 4.0, 2nd Edition, 2006
CobiT Mapping: Mapping of ISO/IEC 17799:2005 With CobiT 4.0, 2006
CobiT Mapping: Mapping of ITIL V3 With CobiT 4.1, 2008
CobiT Mapping: Mapping of NIST SP800-53 With CobiT 4.1, 2007
CobiT Mapping: Mapping of PMBOK With CobiT 4.0, 2006
CobiT Mapping: Mapping of PRINCE2 With CobiT 4.0, 2007
CobiT Mapping: Mapping of SEIs CMM for Software With CobiT 4.0, 2006
CobiT Mapping: Mapping of TOGAF 8.1 With CobiT 4.0, 2007
CobiT Mapping: Overview of International IT Guidance, 2nd Edition, 2006
Prcticas y Competencias del Dominio del Gobierno de TI:
Governance of Outsourcing, 2005
Information Risks: Whose Business Are They?, 2005
IT Alignment: Who Is in Charge?, 2005
Measuring and Demonstrating the Value of IT, 2005
Optimising Value Creation From IT Investments, 2005
Val IT:
Enterprise Value: Governance of IT Investments, Getting Started With Value
Management, 2008
Enterprise Value: Governance of IT Investments, The Business Case, 2006
Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008
Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Extract, 2008
2008 ISACA. To
d o s
l o s
d e r e c h o s
r e s e r v a d o s
29