Preparando CISM Notas: Dominio 1

Aquí estoy ..preparando la certificación CISM para el Examen del 11 de Junio, y puede que te preguntes que es eso del CISM, bueno, pues el CISM (Certified Information Security Manager) es una certificación que te permite demostrar tu experiencia en la gestión de seguridad de la información.
La certificación CISM promueve prácticas de seguridad internacionales y reconoce a la persona que es capaz de administrar, supervisar y evaluar la seguridad de la información empresarial.

Esta Certificación esta enfocada en la gerencia definiendo los principales estándares de competencias y desarrollos profesionales que un director de seguridad de la información debe poseer.

Estas competencias serian necesarias para dirigir, diseñar, revisar y asesorar un programa de seguridad de la información dentro de cualquier compañía.

Esta Certificación esta creada por ISACA (Information Systems Audit and Control Association) y dirigida específicamente a profesionales experimentados en la Seguridad de la Información. La certificación CISM está orientada a la gerencia de riesgos y gestión de seguridad de la información.

Para obtener la certificación no solo basta con aprobar el examen que consiste de 200 preguntas de opción múltiple que deben ser contestadas en 4 horas.

Ademas la certificación precisa acreditar conocimientos en cuatro dominios de la seguridad de la información demostrando que se ha trabajado en esos 4 dominios durante un periodo mínimo de cinco años de ejercicio profesional.

El examen está dividido en 4 áreas:

  • Gobierno de Seguridad de la Información
  • Gestión de Riesgos de la Información y Cumplimiento
  • Desarrollo y Gestión del Programa de Seguridad de la Información
  • Gestión de Incidentes de Seguridad de la Información

y es necesario obtener una puntuación mínima del 75% para superar el examen y por si fuera poco después de conseguir la certificación deberás acreditar 120 Créditos en formación continua durante los tres Siguientes años, si no habría que volver a examinarse.

En fin, que el tema no es fácil, y bueno..como poco a poco voy haciendo algunos resúmenes he decidido colgarlos en la red por si le vienen bien a alguien que tambien se la este preparando o que tenga pensado hacerlo.

He de decir que no son resúmenes de las áreas, ni mucho menos, son unos pequeños puntos aclaratorios sobre algunos de los temas que no terminaba de ver claros dentro de cada uno de los dominios. Vamos, son solo notas aclaratorias sobre ciertas cuestiones que me resultaban complicadas a la hora de estudiar y de realizar en los test de preparacion pero no son resúmenes completos.

Modulo 1. Gobierno de la seguridad de Información
Los requerimientos para un programa de seguridad de la información se basarán principalmente en los resultados deseados y demostrar su apoyo de manera persuasiva la forma en el que el programa ayudará a alcanzar esos resultados deseados. Los resultados deseados para el programa de seguridad serán los logros de alto nivel relacionados con el riesgo aceptable en toda la empresa con este apoyo se determinarán los requerimientos principales que debe cumplir para alcanzar los objetivos específicos y así conseguir esos resultados deseados.

  • El mejor enfoque para desarrollar un programa de seguridad de la información es utilizar marcos de referencia como ISO 27001 y COBIT, siendo estos el enfoque más común.
  • El programa de seguridad de la información abordará todos los elementos de protección del sistema incluida la configuración el comportamiento y los procedimientos.
  • Los controles de seguridad deben ser proporcionales a la sensibilidad del activo.
  • Debe proporcionar apoyo al negocio de manera específica, por ejemplo, en el área operacional, en el cumplimiento regulatorio, mejorando la asignación de recursos o incluso midiendo el desempeño.

En la estrategia de seguridad de la información es esencial alinearla con el negocio y la estrategia de TI, por lo tanto, el gerente de seguridad debe enfocarse primero en comprender el negocio y la estrategia actual de TI, sobre todo porque toda estrategia es un plan para lograr un objetivo y será necesario conocer el estado actual de la seguridad de la información y los estados futuros deseados antes de realizar una nueva estrategia de seguridad.

La estrategia de negocio consiste en la articulación de los deseos del equipo ejecutivo del negocio y el Consejo de dirección.

La alineación estratégica de TI se logra cuando se refleja con precisión los requerimientos y deseos de los usuarios del negocio

Para destacar a la gerencia la importancia de integrar seguridad de información en los procesos de negocio, la evaluación y análisis del impacto será el punto de partida para impulsar esta atención, para de este modo conseguir el primer paso, que es la necesidad de crear el propio programa de administración de la seguridad.

Un marco de seguridad de la información eficaz ayudara a garantizar la protección de los activos de información desde las perspectivas de confidencialidad, integridad y disponibilidad por lo tanto las estructuras organizacionales con mínimos conflictos de interés, con suficientes recursos y responsabilidades definidas, tendrán un gobierno mucho más eficaz.

El gobierno, riesgo y cumplimiento (CRG) es un enfoque emergente para lograr mejorar la integración de los procesos en toda la empresa y contrarrestar el típico efecto de compartimentación aumentando la eficiencia y eficacia general de las actividades de la compañía. Él GRC se encargará en gran medida de garantizar que los procesos legales y de finanzas cumplan con los requisitos regulatorios, que se implementen las reglas adecuadas y que el riesgo se aborde de manera apropiada. Estos requerimientos legales regulatorios se deben evaluar de acuerdo con el impacto del incumplimiento o del cumplimiento parcial comparado con:

  1. Los costos del cumplimiento.
  2. La tolerancia del riesgo definida por la gerencia.
  3. El grado o la naturaleza del cumplimiento.

El gobierno de seguridad de la información debe integrarse en todas las actividades y funciones del negocio para abarcar todos los aspectos y actividades organizacionales que puedan representar un riesgo. Debe ser una estrategia de seguridad integral intrínsecamente vinculada con el objetivo del negocio. Por lo tanto, sería imposible crear un programa efectivo de gobierno sin comprender los objetivos de las unidades de negocio. Por supuesto los objetivos de las unidades de negocio podrán comprenderse mejor al examinar sus procesos y funciones.

El gobierno se encargará de implementar los mecanismos adecuados para garantizar que se alcancen las metas y los objetivos de la organización siendo las políticas y los procedimientos los mecanismos más comunes. Se requerirá que las políticas de seguridad estén actualizadas para alinear los objetivos de la gerencia con los procedimientos de seguridad ya que los objetivos de la gerencia se traducen en las políticas y las políticas se traducirán en procedimientos.

  • Las políticas definen las metas y las expectativas de seguridad para una organización estas están definidas en términos más específicos dentro de los estándares y los procedimientos.
  • Los estándares establecen lo que se debe hacer mientras que los procedimientos describen cómo se debe hacer.
  • Las directrices proveen recomendaciones que la gerencia del negocio debe considerar para desarrollar prácticas dentro de sus áreas de control por lo tanto son discrecionales

En definitiva, el gobierno son las reglas con las que funciona la organización y la supervisión para garantizar el cumplimiento de los mecanismos de retroalimentación que proporcionan la certeza de que las reglas establecidas se respetan. El desarrollo de la confianza en la integridad de la información entre los accionistas debe ser la meta primaria del gobierno de seguridad de la información y debe estar alineado con el gobierno corporativo. Uno o más fallos en cualquiera de los procesos de gobierno ocasionará inconsistencia en las configuraciones de los sistemas. Y conducirá a una posible duplicación de controles o a controles procedimentales contradictorios que tendrá un impacto negativo en la relación costo/beneficio.

Dentro de Poco… el Dominio 2 de Preparando CISM

Alfonso López

Alfonso López

Instagram

Curso Superior Universitario en Auditoría y Seguridad Informática
MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

Latest posts by Alfonso López (see all)

También te podría gustar...

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies