Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Def de Gerencia de La Seguridad Spanish
Def de Gerencia de La Seguridad Spanish
Def de Gerencia de La Seguridad Spanish
Requerimientos de la posicin
n
Definicin de
Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin: Orientacin para ejecutivos y gerentes Impreso en los Estados Unidos de Amrica
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
Reconocimientos
Reconocimientos
ISACA desea expresar su reconocimiento a:
Grupo de Discusin de Liderazgo Ken Baylor, Ph.D., CISM, CISSP, Nuance, EUA Robert Coles, CISA, CISM, Merrill Lynch, Reino Unido Sonia DaSilva, CISA, CISM, CGEIT, Memorial Sloan-Kettering Cancer Center, EUA Lee Kushner, LJ Kushner, EUA Hans Joern Lund-Andersen, CISA, CISM, Dong Energy, Dinamarca Marc Noble, CISM, CISSP, ISSAP, Federal Communications Commission, EUA John Nugent, Ph.D., CISM, CFE, CPA, DBA, University of Dallas, EUA Michael Raisinghani, Ph.D., CISM, CECC, PMP, Texas Womens University, EUA Marc A. L. J. Vael, Ph.D., CISA, CISM, KPMG, Blgica Vishnal Vilas Salvi, CISM, HDFC Bank Limited, India Consejo de Direccin Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, Reino Unido, Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Blgica, Vicepresidente Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vicepresidente Jos ngel Pea Ibarra, CGEIT, Consultora en Comunicaciones e Informtica. SA & CV , Mxico, Vicepresidente Robert E. Stroud, CA Inc., EUA, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EUA, Vicepresidente Frank Yam, CISA, FHKCS, FHKIoD, CIA, CFE, CCP, CFSA, FFA, Focus Strategic Group Inc., Hong Kong, Vicepresidente Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young, EUA, Anterior Presidente Internacional Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (retirado), EUA, Anterior Presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, Director Tony Hayes, CPA, Gobierno de Queensland, Australia, Director Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Director Comit de Gestin de la Seguridad Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Presidente Manuel Aceves, CISA, CISM, CISSP, Cerberian Consulting, Mxico Kent Anderson, CISM, Encurve LLC, EUA Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd, EUA Yves Le Roux, CISM, CA Inc., Francia Mark Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers, EUA Kyeong-Hee Oh, CISA, CISM, Fullbitsoft, Corea del Sur Vernon Poole, CISM, CGEIT, Sapphire Technologies Ltd., Reino Unido Rolf von Roessing, CISA, CISM, CGEIT, KPMG Alemania, Alemania Consejo de Certificacin de CISM Evelyn Susana Anton, CISA, CISM, UTE, Venezuela, Presidente Garry James Barnes, CISA, CISM, CISA, Commonwealth Bank of Australia, Australia Allan Neville Boardman, CISA, CISM, CA, CISSP, JP Morgan Chase, Reino Unido John Randolph Caraway, CISM, CISSP, JP Morgan Chase, EUA James A. Crawford Jr., CISM, CISSP, MSIA, Marine Forces Reserve, EUA. Ramses Gallego, CISM, CISSP, SCPM, Entel IT Consulting, Espaa Hitoshi Ota, CISA, CISM, CIA, Mizuho Corporate Bank Ltd., Japn Smita Dilip Totade, Ph.D., CISA, CISM, FEI, National Insurance Academy, India Michael Wai-Kee Yung, CISA, CISM, ESD Services Ltd., Hong Kong
2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
Tabla de Contenido
Introduccin...................................................................................................................... 5 Audiencia...................................................................................................................... 5 Metas y Objetivos......................................................................................................... 6 Datos de ISACA........................................................................................................... 6 Beneficios de Este Esfuerzo......................................................................................... 6 1. Seguridad en Contexto............................................................................................... 7 Rol de los gerentes de seguridad de la informacin.................................................... 8 2. Descripcin de la Posicin. ...................................................................................... 10 Gobierno de seguridad de la informacin.................................................................. 10 Gestin de Riesgos..................................................................................................... 11 Desarrollo del Programa de Seguridad de la Informacin......................................... 12 Gestin del Programa de Seguridad de la Informacin............................................. 13 Gestin y respuesta a incidentes. ................................................................................ 14
3. Evolucin de la Carrera........................................................................................... 15 Bases para las Habilidades......................................................................................... 18 Conclusin....................................................................................................................... 19 Apndice APerfil Profesional de los Participantes en el Sondeo Analtico sobre la Prctica Laboral del CISM............................................................................. 20 Apndice BTareas y Calificaciones de Conocimientos. .......................................... 21 Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM.................................................................................. 22 Referencias. ..................................................................................................................... 27 Otras Publicaciones........................................................................................................ 28
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
Introduccin
Introduccin
Dado que la seguridad de la informacin ha madurado para convertirse en una disciplina, han surgido mltiples y nuevas oportunidades de carrera. Ya que ha resultado cada vez ms difcil definir estos puestos de trabajo y las habilidades necesarias, ISACA y el IT Governance Institute (ITGITM) han realizado investigaciones para proporcionar a los miembros informacin que puede ayudarles a definir los requerimientos de la posicin de seguridad. Conforme la profesin de la seguridad de la informacin ha madurado, se ha enfrentado con requerimientos empresariales y tcnicos cada vez mayores. Las empresas se enfrentan ahora a mltiples requerimientos regulatorios, as como a un perfil de amenaza siempre presente y siempre cambiante y la necesidad de gestionar el riesgo. Es imperativo que las empresas contraten profesionales con las capacidades adecuadas para garantizar que los activos de informacin estn protegidos contra el uso no autorizado, que los sistemas estn disponibles, y que la integridad continua de la informacin y los procesos est asegurada. Tambin es imprescindible que los profesionales de la seguridad que ocupen puestos de direccin tengan la experiencia prctica en seguridad y negocios para poder responder a las necesidades cambiantes de la empresa en materia de proteccin. En la actualidad, no existe ninguna especificacin de facto que defina las responsabilidades, los conocimientos ni las relaciones de subordinacin ptimas de la gestin de seguridad de la informacin. Muchas posiciones de seguridad de la informacin reportan al Director de TI (CIO), otras a un Oficial de Seguridad de la Informacin (CISO), a un Director de Riesgo (CRO) o un Director de Cumplimiento (CCO). Lasresponsabilidades del trabajo difieren tambin entre las empresas. Algunas empresas han adoptado un modelo de convergencia de la seguridad donde un CSO es responsable tanto de la seguridad de la informacin como de la seguridad fsica. Otras conciben la seguridad de la informacin nicamente como un tema tecnolgico. Muchas empresas estn llegando a la conclusin de que la seguridad de la informacin es un asunto de negocios que afecta la situacin financiera de la empresa en general.
Audiencia
Este informe ha sido preparado para proporcionar una descripcin de la posicin y la trayectoria de carrera actual para los profesionales de la seguridad de la informacin. Su objetivo es servir de gua para quienes estn involucrados en la seguridad de la informacin, incluyendo los profesionales de recursos humanos, profesionales de la seguridad de la informacin, los ejecutivos, los rganos rectores y los consejos de direccin o los sndicos. Dado que el campo de la seguridad de la informacin es relativamente nuevo, toda vez que surgi en la dcada de 1970, muchos profesionales han entrado en la disciplina de la seguridad de la informacin procedentes de diversas trayectorias profesionales, incluyendo TI, contabilidad, auditora, derecho, operaciones de negocios, ingeniera, gestin de proyectos y seguridad fsica. Debido a la diversa formacin que los profesionales de la seguridad de la informacin aportan a sus posiciones, un elemento esencial de este informe es un diagrama de los distintos caminos por los que estos profesionales han incursionado y avanzado en las posiciones de seguridad de la informacin. Este diagrama (figura 2) se incluye para resumir y presentar, de manera
2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin lgica y fcil de entender, las trayectorias, niveles, roles y funciones que acumulan los profesionales y gerentes de la seguridad de la informacin en una empresa. Este informe ha sido concebido como una gua prctica para la definicin de trayectorias profesionales y los atributos esenciales de la posicin de gerente de seguridad de la informacin. Puede adaptarse a los requerimientos especficos de una empresa determinada, de acuerdo con su tamao, nivel jerrquico, naturaleza, recursos, nivel y complejidad de la posicin.
Metas y Objetivos
Este informe proporciona un marco para comprender los numerosos requerimientos cambiantes e interrelacionados de la posicin de gerente de seguridad de la informacin y las responsabilidades asignadas a los profesionales en los distintos niveles en una empresa. Tambin identifica las vas que los profesionales suelen tomar durante sus carreras para llegar a estas posiciones. La intencin del informe es ayudar a aquellos que ingresan a la profesin procedentes de un programa universitario, planifican su carrera o avanzan dentro de la profesin. Tambin sirve como una gua para los responsables de la contratacin de profesionales de seguridad de la informacin o los que gestionan, lideran o tienen responsabilidades de supervisin de una funcin de seguridad de la informacin.
Datos de ISACA
La exhaustiva investigacin que se llev a cabo para la preparacin de este informe incluye los datos recopilados bajo la direccin de ISACA como parte de un amplio sondeo global realizado en 2006 entre aproximadamente 600 profesionales de seguridad de la informacin que poseen la designacin Certified Information Security Manager (CISM), as como un grupo activo de ejecutivos de seguridad de la informacin, incluyendo ms de 100 CISMs. En el Apndice A se presentan otros datos demogrficos recopilados en el estudio de 2006. Adems, en 2007, ISACA lanz su Estudio sobre la Evolucin de la Carrera de Seguridad de la Informacin,1, el cual gener respuestas de ms de 1.400 CISMs en todo el mundo. Esos resultados se reflejan en esta publicacin. La designacin CISM es emitida por ISACA y cuenta con el reconocimiento de la Organizacin Internacional de Estandarizacin (ISO) como parte de un selecto grupo de certificaciones a profesionales de la seguridad de la informacin que gozan de reconocimiento mundial.
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
1. Seguridad en Contexto
1. Seguridad en Contexto
La seguridad de la informacin es una funcin de negocio. Como tal, es fundamental que los profesionales de la seguridad de la informacin en busca de progresar dentro de una empresa desarrollen habilidades de negocio sanas, adems de las habilidades, conocimientos y destrezas funcionales. En un artculo publicado recientemente en Computerworld, titulado How IT Is Revitalizing Staff Skills,2 los entrevistados sealaron que es sumamente necesario contar con conocimientos y experiencia multifuncionales, as como con destrezas de negocios y gestin en general, para progresar en la empresa. Los entrevistados tambin sealaron que es necesario que los profesionales tcnicos dominen habilidades, conocimientos y destrezas de negocios. Hoy en da es esencial que los profesionales de seguridad de la informacin no slo comprendan las cuestiones tcnicas que son una parte esencial de su rol funcional, sino tambin que sean capaces de comunicarse, interactuar con otros y gestionar sobre la base de buenos principios y prcticas de administracin de negocios. El informe de investigacin de ISACA titulado Critical Elements of Information Security Program Success3 identifica claramente la necesidad de que los ejecutivos y la alta direccin, as como el gerente de seguridad de la informacin, consoliden una relacin que transmitir un mensaje coherente con respecto a la prioridad que da la empresa a la proteccin de la informacin y sus valiosos activos. Para alinear correctamente los riesgos de negocio y las soluciones de seguridad de la informacin, es necesario un dilogo de cooperacin entre las reas de negocio y los expertos en seguridad de la informacin. Sin embargo, para obtener resultados satisfactorios, es necesario que el dilogo sea respaldado con una accin visible y coherente. La mejor expresin de dicha accin es el establecimiento y aplicacin coherente de las polticas y estndares de la empresa. El informe de ISACA indica que, sin la participacin activa de la direccin ejecutiva en la aplicacin y gestin de una estrategia de seguridad de la informacin, el progreso se vera reducido por el cumplimiento inconsistente de las polticas, dando lugar a una falsa sensacin de comodidad en materia de proteccin de activos. Los conflictos entre las prioridades cotidianas afectan la calidad y la consistencia de la proteccin de los activos de informacin. Estos conflictos deben tratarse de manera coordinada. Para garantizar que cada empleado y agente de la empresa tome en serio los riesgos asociados, la direccin ejecutiva y la alta direccin deben mostrarse abiertamente interesados en asegurar el xito del programa de seguridad de la informacin dentro de sus empresas. Otra conclusin clave del informe es que los profesionales de seguridad de la informacin estn comenzando a reconocer que necesitan desarrollar una slida comprensin del negocio a medida que su rol se hace ms visible en la empresa. Sus decisiones exigen una justificacin de riesgo de negocios, y la dependencia de la empresa en la tecnologa impulsa una mayor interaccin con sus homlogos de las reas legal y de cumplimiento dentro de la empresa.
2 3
Robb, D; How IT Is Revitalizing Staff Skills, Computerworld, EUA, febrero de 2007 ISACA, Critical Elements of Information Security Program Success, EUA, 2005 2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
Fuente: ISACA, Information Security Career Progression Survey Results, EUA, 2008
En la actualidad, algunos requerimientos de trabajo comn para los gerentes de seguridad de la informacin incluyen: Supervisar el establecimiento, implementacin y cumplimiento de las polticas y estndares que orientan y apoyan los trminos de la estrategia de seguridad de la informacin Comunicarse con la direccin ejecutiva para asegurar el apoyo al programa de seguridad de la informacin
8
2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
1. Seguridad en Contexto Supervisar y realizar actividades de gestin de riesgos (evaluacin de riesgos, anlisis de brechas, anlisis de impacto al negocio, etc.) para ayudar a la empresa a alcanzar un nivel aceptable de riesgo Asesorar y formular recomendaciones en relacin con controles adecuados de seguridad de personal, fsica y tcnica Administrar el programa de gestin de incidentes de seguridad de la informacin para asegurar la prevencin, deteccin, contencin y correccin de brechas deseguridad Notificar los indicadores apropiados a la direccin ejecutiva Participar en la solucin de problemas relacionados con brechas a la seguridad Crear una campaa de formacin y concienciacin sobre seguridad de la informacin dirigida a toda la empresa Coordinar la comunicacin de la campaa de concienciacin/concientizacin sobre laseguridad de la informacin a todos los miembros de la empresa Coordinar con los proveedores, auditores, la direccin ejecutiva y los departamentos usuarios para mejorar la seguridad de la informacin Para mantenerse al da con los roles y responsabilidades en constante cambio, es indispensable la formacin, la certificacin y el desarrollo profesional continuos. Laseguridad de la informacin ha madurado hasta convertirse en ms que un rol de respuesta tcnica, y los ejecutivos y la alta direccin estn comenzando a reconocer este cambio. Para seguir impulsando la profesin, los gerentes de seguridad de la informacin deben estar en capacidad de demostrar el valor de la seguridad de la informacin a la empresa. La comunicacin efectiva del valor del programa de seguridad requiere que el gerente de seguridad de la informacin no slo entienda la tecnologa y las soluciones, sino tambin, y ms importante aun, que sea competente en las reas que tradicionalmente seconciben como habilidades empresariales. Las habilidades de comunicacin (escrita y oral), organizacionales, financieras y de gestin son muy importantes al comunicarse con los lderes de la empresa.
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
2. Descripcin de la Posicin
Segn el Estudio Analtico de las Prcticas Laborales del Gerente Certificado de Seguridad de la Informacin,4 los CISM encuestados esperan que el gerente de seguridad de la informacin desempee un rol ms central en los negocios dentro de los prximos tres aos. Adems, los encuestados esperan ver un mayor nfasis en el gobierno, as como un mayor enfoque hacia la gestin de riesgos y la gestin de incidentes. Los participantes en el estudio analtico de las prcticas laborales tambin indicaron que hubo muchas reas de conocimiento y habilidades que tuvieron que adquirir en el ltimo ao. Estas habilidades y reas de conocimiento incluyen: Habilidades de negocios Habilidades de gestin Mayor conocimiento acerca de los requerimientos regulatorios/de cumplimiento Conocimiento de la Ley Sarbanes-Oxley Habilidades de evaluacin/gestin de riesgos Informtica/Cmputo forense Seguridad, incluyendo la gestin de seguridad de la informacin, la seguridad fsica yseguridad de redes Para ayudar a las empresas en la eleccin de profesionales altamente calificados para posiciones de gestin de la seguridad de la informacin, se ha creado una serie de certificaciones profesionales. ISACA lanz su certificacin CISM en 2002. La certificacin est diseada para gerentes de seguridad de la informacin que poseen al menos cinco aos de experiencia yhabilidades en las reas de seguridad y negocios. El examen CISM abarca cinco reas de prcticas laborales que se centran en diferentes tareas de seguridad de la informacin y conocimientos relacionados. Las tareas representan lo que un profesional de la seguridad de la informacin debera estar en capacidad de hacer y los conocimientos relacionados (ver apndice C) representan lo que el gerente de seguridad de lainformacin debera saber para realizar las tareas.
ISACA, Certied Information Security Manager Job Practice Analysis Study, EUA, 2006 ISACA, CISM Review Manual 2008, EUA, 2008
10
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
2. Descripcin de la Posicin Identificar requerimientos legales y regulatorios tanto reales como potenciales que afecten la seguridad de la informacin. Identificar impulsores/drivers que afecten la organizacin (por ejemplo, tecnologa, ambiente de negocio, tolerancia al riesgo, ubicacin geogrfica) y su impacto en la seguridad de la informacin. Obtener el compromiso de la alta direccin con la seguridad de la informacin. Definir roles y responsabilidades relacionados con la seguridad de la informacin atravs de la organizacin. Establecer canales de comunicacin y reporte, tanto internos como externos, que apoyen la seguridad de la informacin. Las tareas demuestran una alineacin entre el programa de seguridad de la informacin y las necesidades del negocio. Para gestionar con eficacia el programa de seguridad de la informacin, el gerente debe tener conocimiento del negocio para realizar las tareas mencionadas anteriormente. El gerente debe poseer habilidades de comunicacin para obtener el apoyo de los ejecutivos y debe ser capaz de entender los informes financieros paraver claramente los impulsores del negocio. El gerente tambin debe ser capaz de trabajar eficazmente con otras reas, incluyendo el rea legal y de auditora para detectar posibles problemas regulatorios, recursos humanos y jefes de las unidades funcionales de negocio paradefinir las responsabilidades que se relacionan con la seguridad de la informacin.
Gestin de Riesgos
La gestin de riesgos de seguridad de la informacin es la segunda rea de responsabilidad crtica de la gestin de seguridad de la informacin contenida en las reas de prctica laboral del CISM. Esta rea representa la totalidad del ciclo de gestin del riesgo en una empresa, desde la evaluacin hasta la mitigacin. En este caso, es necesario que los gerentes de seguridad de la informacin realicen evaluaciones de riesgo, comprendan y comuniquen claramente el posible impacto para el negocio, y recomienden los controles para la mitigacin de riesgos. Las tareas crticas para manejar la gestin de riesgos de manera eficaz son las siguientes: Establecer un proceso para clasificar los activos de informacin y determinar su propiedad. Implementar un proceso de evaluacin de riesgos de informacin sistemtico y estructurado. Garantizar que las evaluaciones de impacto al negocio se lleven a cabo con regularidad. Garantizar que las evaluaciones de amenazas y vulnerabilidades se lleven a cabo de manera continua. Identificar y evaluar de manera peridica los controles y las contramedidas delaseguridad de la informacin para mitigar el riesgo a niveles aceptables. Integrar la identificacin y gestin de riesgos, amenazas y vulnerabilidades dentrodel ciclo de vida de los proceso (por ejemplo, desarrollo y adquisiciones). Reportar los cambios significativos en los riesgos de la informacin a niveles de gestin apropiados para su aceptacin tanto de forma peridica como a medida quesuceda algn incidente. Las siete tareas mencionadas representan una amplia gama de conocimientos. Los gerentes de seguridad de la informacin no slo deben poseer un conocimiento profundo de las amenazas, vulnerabilidades y exposiciones posibles, sino que tambin deben comprender los mtodos para evaluar riesgos, las estrategias de mitigacin posibles, los mtodos para realizar anlisis
2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
11
Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin debrechas y anlisis de impacto al negocio, y deben tener un conocimiento slido acerca de los controles y contramedidas de seguridad. Ms importante aun, para tomar decisiones sobre el tratamiento del riesgo, el gerente de seguridad de la informacin debe saber cmo comunicarse con la direccin ejecutiva con relacin a la tolerancia al riesgo de la empresa ydebe ser capaz de contribuir a la identificacin y gestin del riesgo a nivel empresarial.
2. Descripcin de la Posicin
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
13
14
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
3. Evolucin de la Carrera
Los gerentes de seguridad de la informacin deben poseer una amplia gama de habilidades para alcanzar el xito en sus funciones. Algunas de estas habilidades pertenecen al rea de gestin, gestin de riesgos, tecnologa, comunicacin, gestin de proyectos, organizacin y liderazgo. Debido a que las empresas se concentran cada vez ms en habilidades de negocio y a veces les resulta difcil ponderar las habilidades interpersonales, se recomienda que, al seleccionar un gerente de seguridad de la informacin, hagan nfasis en una persona con experiencia en las cinco reas de contenido de trabajo de CISM. Es importante tener en cuenta que el reclutamiento externo no es siempre la nica opcin. Con frecuencia, las empresas poseen en su nmina empleados con habilidades crticas. Es posible que un profesional de seguridad de la informacin ingrese a una empresa en un rea particular y posteriormente adquiera habilidades adicionales que le permitan avanzar a otra. La figura 2 ilustra las numerosas trayectorias de desarrollo de carrera por las que puede transitar un gerente de seguridad de la informacin dentro de una empresa. Muestra el desarrollo tpico de la carrera de un profesional de seguridad de la informacin y cmo estos profesionales pueden moverse horizontal, vertical y diagonalmente a medida que progresan en sus carreras. Esta figura tambin resalta el hecho de que son muchos los antecedentes y recursos de carrera en los cuales pueden apoyarse los gerentes de seguridad de la informacin para adquirir nuevos conocimientos, certificaciones, capacitacin y experiencia. El ascenso desde una posicin inicial a una posicin de nivel C puede seguir varias trayectorias; de hecho, ste es precisamente el patrn observado al realizar un sondeo entre quienes poseen la certificacin CISM en todo el mundo. Estos profesionales ingresaron a sus organizaciones desde numerosas reas funcionales y progresaron por el escalafn corporativo siguiendo patrones tanto verticales como horizontales y, con frecuencia, tambin describieron trayectorias de ascenso diagonal. Para ascender dentro de una empresa se requiere una combinacin de habilidades tcnicas y gerenciales, y se cree que este patrn continuar en el futuro. El conjunto de habilidades que deben poseer los gerentes de seguridad de la informacin de la actualidad no siempre son fciles de medir. Los empleadores necesitan una referencia sobre la cual apoyarse al evaluar empleados, para efectos de ascensos, y a los candidatos externos, para efectos de contratacin. La taxonoma de Bloom6 ofrece a las empresas una escala para determinar si los candidatos a ciertos trabajos poseen el conjunto de habilidades necesarias para desempearse en las funciones de gerente de seguridad de la informacin. Bloom identific seis niveles de dominio cognitivo, desde el nivel ms bajoun simple recuerdo o el reconocimiento de los hechospasando por niveles mentales cada vez ms complejos y abstractos, hasta el nivel ms alto, que se clasifica como evaluacin; en la figura 3 se citan ejemplos de verbos que representan la actividad intelectual en cada nivel. En la figura 4 se aprecian con ms detalle las competencias de la posicin de gerente de seguridad de la informacin, en funcin de los seis niveles de aprendizaje de Bloom. Se sugiere una correlacin de niveles de competencia entre los diferentes niveles corporativos y las competencias de Bloom: conocimiento, comprensin, aplicacin, anlisis, sntesis y evaluacin. Los requerimientos de competencia en las distintas reas se pueden satisfacer asignando al equipo profesionales con las diferentes fortalezas necesarias.
6
Bloom, B; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984 2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
15
Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin Figura 2Modelo tpico de progreso y gestin de seguridad de la informacin
Comit del Consejo Directivo de Seguridad/ Aseguramiento de la Informacin Equipo Multidisciplinario de Nivel C Aseguramiento Legal/Gestin de Riesgos/ Privacidad
Gestin
Tecnologa
Arquitectura
CIO
COO
CTO
CISO
CArO
CAO
Niveles de Carrera
Gerente/ director
Experto
Consultor de TI principal
Arquitecto senior de TI
Especialista, Gerente de productos/programas/proyectos, lder de equipo, gerente de cuenta en ventas gerente Especialista, Consultor de tcnico seguridad, analista de negocios Entrante Analista Gerente de Diseador de Profesional producto seguridad de sistemas de de seguridad seguridad Desarrollador Pasante/ Practicante de diseador de seguridad Auditor de seguridad Consultor de riesgos de la informacin Pasante/ Practicante de auditor deseguridad
El desarrollo de carrera a travs del nivel C puede ser vertical, horizontal y/o diagonal. Fuente: Adaptado de Lynas, David; John Sherwood; Professionalism in Information Security: A Framework for Competency Development, 12 Conferencia Anual de COSAC, Reino Unido, 2005 Clave de Nivel C:
CIO = Director de TI (Chief Information Officer) COO = Director de Operaciones (Chief Operating Officer) CTO = Director de Tecnologa (Chief Technology Officer) CISO = Director de Seguridad de la Informacin (Chief Information Security Officer) CARO = Director de Arquitectura (Chief Architecture Officer) CAO = Director de Aseguramiento (Chief Assurance Officer) GC = Consultor General (General Counsel) CRO = Director de Riesgos (Chief Risk Officer) CPO = Director de Privacidad (Chief Privacy Officer)
Al promover o contratar a un gerente de seguridad de la informacin, las empresas pueden comprobar la utilidad de este concepto de competencias para determinar las calificaciones y requerimientos del candidato a la posicin. Un gerente de seguridad de la informacin requiere de vastos y profundos conocimientos de una amplia gama de reas. En muchos casos, este nivel de conocimiento no se encuentra en una sola persona, especialmente en las etapas iniciales de su carrera. Por lo tanto, en las grandes empresas, es probable que sea necesario un equilibrio de competencias profesionales distribuidas dentro de un conjunto de profesionales y, dentro de este conjunto de profesionales, quienes posean una comprensin ms amplia y profunda de las reas necesarias podrn acceder a los cargos ms altos. En virtud de que la tecnologa est cambiando muy rpidamente, se requiere capacitacin y formacin continuas.
16
2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
Comprensin
Resumir, explicar, interpretar, contrastar, predecir, asociar, distinguir, estimar, diferenciar, discutir, ampliar, ordenar, agrupar
Aplicacin
Aplicar, demostrar, calcular, completar, ilustrar, mostrar, resolver, examinar, modificar, relacionar, cambiar, clasificar, experimentar, descubrir
Anlisis
Analizar, separar, ordenar, conectar, clasificar, organizar, dividir, comparar, seleccionar, inferir Combinar, integrar, modificar, reordenar, sustituir, planificar, crear, construir, disear, inventar, componer, formular, preparar, generalizar, reescribir
Sntesis
Evaluacin
Valorar, evaluar, decidir, jerarquizar, calificar, probar, medir, recomendar, convencer, seleccionar, juzgar, discriminar, fundamentar, concluir
Fuente: Bloom, Benjamin; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
17
Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin Figura 4Competencias que debe tener un gerente de seguridad de la informacin
Dominio Nivel/ Categora Ejecutivo de nivel C Director Gerente Experto tcnico Especialista tcnico Analista tcnico Conocimiento Comprensin Neg. M M C C U U Seg. M M M M M C Neg. M M M C U U Seg. M M M M M C Aplicacin Neg. M M M C U U Seg. M M M M M C Anlisis Neg. M M M C U U Sntesis Evaluacin
Leyenda de la tabla Neg. = Conocimiento de Negocios Seg. = Conocimiento sobre seguridad de la informacin M = Dominio total C = Algn nivel de competencia U = Comprensin bsica
18
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
3. Evolucin de la Carrera
Conclusin
Los roles, las responsabilidades y las relaciones que los gerentes de seguridad de la informacin deben cumplir son enormes, crecientes, complejos y a veces conflictivos, pero son uniformes en todo el mundo. Su desafo, de acuerdo con el sondeo analtico sobre la prctica laboral del CISM,7 es que, si desean avanzar en su carrera, deben convertirse en expertos en la comprensin de los problemas y fundamentos de los negocios, as como en la gestin y trabajo en coordinacin con otros profesionales tcnicos. Es necesario acumular y actualizar mucho conocimiento con respecto a la evolucin de la tecnologa; por lo tanto, la capacitacin, las certificaciones y la formacin continua son indispensables. Tambin se determin, a partir del sondeo analtico sobre la prctica laboral del CISM, que muchos gerentes de seguridad de la informacin avanzaron hasta su posicin a travs de diferentes carreras y antecedentes educativos. Esto ha funcionado porque, de esta manera, se acumula un conjunto de conocimientos, experiencia, formacin, capacitacin y certificacin, todo lo cual optimiza el perfil de seguridad general de una empresa. Poresta razn, se cree que los ascensos en las carreras de los gerentes de seguridad de la informacin tienden a seguir diversas trayectorias profesionales: algunos profesionales han avanzado verticalmente y otros han avanzado horizontalmente, otros han sido transferidos desde una posicin puramente tcnica y han pasado a desempear una funcin ms gerencial y viceversa. Finalmente, para que la seguridad de la empresa sea realmente eficaz, debe haber, en los niveles ms altos, la disposicin a asumir un compromiso. Esto significa que la seguridad de la informacin debe estar indisolublemente ligada a las estructuras de gobierno corporativo y debe contar con la participacin y apoyo del consejo de direccin y los altos directivos. La creacin de una cultura de apoyo a la seguridad de la informacin es justamente,uno de los muchos desafos que los gerentes de seguridad de la informacin enfrentan hoy enda, pero una combinacin adecuada de formacin y experiencia ayudar a prepararlos para enfrentar esos desafos.
ISACA, Certied Information Security Manager Job Practice Analysis Study, EUA, 2006 2008 ISACA. TO .
D O s
L O s
D E R E c H O s
R E s E R V a D O s
19
Apndice APerfil Profesional de los Participantes en el Sondeo Analtico sobre la Prctica Laboral del CISM
Las siguientes estadsticas representan los datos demogrficos obtenidos del Certified Information Security Manager Job Practice Analysis Study de ISACA 2006: El 70 por ciento de los encuestados tena entre seis y 15 aos de experiencia como gerente de seguridad de la informacin. El 59 por ciento provena de cuatro sectores: servicios bancarios (16 por ciento), consultora (23 por ciento), finanzas (7 por ciento) y gobierno/nacional (13 por ciento). El 83 por ciento era de sexo masculino. El 77 por ciento tena un ttulo de licenciatura (pregrado) o superior (38 por ciento tena un ttulo de licenciatura y 39 por ciento tena, adicionalmente, un ttulo de maestra). Si bien todos los encuestados contaban con una credencial CISM, ms del 73 por ciento tena una certificacin adicional (40 por ciento contaba con la certificacin CISSP, 33 por ciento tena CISA, 33 por ciento otras). El 65 por ciento tena uno de los tres ttulos siguientes: CISO (13 por ciento), director de seguridad de la informacin (13 por ciento) o gerente de seguridad delainformacin (39 por ciento). El 94 por ciento estaba certificado desde 2003. El 33 por ciento estaba empleado en empresas con 1.500 a 9.999 trabajadores (otrasrespuestas se distribuan de forma equilibrada en una curva de campana). El 62 por ciento tena una nmina de personal de seguridad a tiempo completo de menos de 25 personas (El 39 por ciento tena personal de cero a cinco, 17 por ciento contaba con una plantilla de seis a 10, y 16 por ciento contaba con una plantilla de 11 a 25 empleados). Nota: Los porcentajes se han redondeado a nmeros enteros. Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 19-27
20
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 29
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
21
Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM
(Fuente: ISACA, CISM Review Manual 2008, EUA, 2008) rea 1: CR1.1 CR1.2 CR1.3 Gobierno de seguridad de la informacin Conocimiento de las metas y objetivos de negocio Conocimiento de los conceptos de seguridad de la informacin Conocimiento de los componentes que integran una estrategia de seguridad dela informacin (por ejemplo, personas, procesos, tecnologas, arquitecturas) CR1.4 Conocimiento de la relacin que existe entre la seguridad de la informacin ylas funciones de negocio CR1.5 Conocimiento del alcance y los estatutos del gobierno de la seguridad de la informacin CR1.6 Conocimiento de los conceptos de los gobiernos corporativo y de la seguridad de la informacin. CR1.7 Conocimiento de los mtodos que integran el gobierno de la seguridad de lainformacin en el marco general de gobierno de la empresa CR1.8 Conocimiento de las estrategias de planificacin presupuestaria y mtodos dereporte CR1.9 Conocimiento de las metodologas para desarrollar un caso de negocio (businesscase) CR1.10 Conocimiento de los tipos de impulsores tanto internos como externos (porejemplo, tecnologa, ambiente de negocio, tolerancia al riesgo) que pudieran repercutir en las organizaciones y la seguridad de la informacin CR1.11 Conocimiento de los requerimientos regulatorios y su posible impacto al negocio desde el punto de vista de la seguridad de la informacin CR1.12 Conocimiento de las estrategias de gestin de la responsabilidad comn y opciones de seguros (por ejemplo, seguro contra delito o de fidelidad, interrupciones del negocio) CR1.13 Conocimiento de las relaciones con terceros y su impacto en la seguridad de lainformacin (por ejemplo, fusiones y adquisiciones, sociedades, outsourcing) CR1.14 Conocimiento de los mtodos utilizados para obtener el compromiso de la alta direccin con la seguridad de la informacin CR1.15 Conocimiento del establecimiento y operacin de un grupo directivo para laseguridad de la informacin CR1.16 Conocimiento de los roles, responsabilidades y estructuras organizacionales generales de la gestin de seguridad de la informacin CR1.17 Conocimiento de los enfoques para vincular las polticas a los objetivos denegocio de la empresa CR1.18 Conocimiento de las normas internacionales generalmente aceptadas aplicables a la gestin de la seguridad de la informacin CR1.19 Conocimiento de los mtodos centralizados y distribuidos para coordinar lasactividades relacionadas con la seguridad de la informacin CR1.20 Conocimiento de los mtodos para establecer canales de reporte y comunicacin en toda la organizacin
22
2008 ISACA. TO .
D O s
L O s
D E R E c H O s
R E s E R V a D O s
Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM rea 2: Gestin de Riesgos de la Seguridad de la Informacin CR2.1 Conocimiento de los componentes que se requieren para establecer un esquema de clasificacin de la de seguridad de la informacin que sea congruente con los objetivos de negocio (incluyendo la identificacin de activos) CR2.2 Conocimiento de los componentes del esquema de propiedad de la informacin (incluyendo los impulsores del esquema, tales como roles y responsabilidades) CR2.3 Conocimiento de amenazas, vulnerabilidades y exposiciones relacionadas con lainformacin. CR2.4 Conocimiento de las metodologas para valorar los recursos de informacin. CR2.5 Conocimiento de las metodologas de evaluacin y anlisis de riesgos (incluyendo la mensurabilidad, la repeticin y la documentacin) CR2.6 Conocimiento de los factores que se utilizan para determinar la frecuencia ylosrequerimientos para reportar algn riesgo CR2.7 Conocimiento de los mtodos cuantitativos y cualitativos utilizados para determinar la sensibilidad y la criticidad de los recursos de informacin, ascomo el impacto que tienen los eventos adversos en el negocio CR2.8 Conocimiento de los modelos de niveles mnimos (baselines) y su relacin conlas evaluaciones basadas en riesgos de los requerimientos de control CR2.9 Conocimiento de los controles y las contramedidas de seguridad CR2.10 Conocimiento de los mtodos para analizar la efectividad de los controles ylascontramedidas de la seguridad de la informacin CR2.11 Conocimiento de las estrategias de mitigacin de riesgos que se utilizan paradefinir los requerimientos de seguridad para los recursos de informacin CR2.12 Conocimiento del anlisis de brechas para evaluar el estado actual en comparacin con las normas generalmente aceptadas de buenas prcticas paralagestin de la seguridad de la informacin CR2.13 Conocimiento de las tcnicas del anlisis de costo-beneficio para mitigar losriesgos a niveles aceptables CR2.14 Conocimiento de los principios y las prcticas de la gestin de riesgos basada en el ciclo de vida rea 3: Desarrollo del Programa de Seguridad de la Informacin CR3.1 Conocimiento de los mtodos para traducir estrategias en planes que se puedan gestionar y mantener para implementar la seguridad de la informacin CR3.2 Conocimiento de las actividades que se deben incluir en un programa de seguridad de la informacin CR3.3 Conocimiento de los mtodos para gestionar la implementacin del programa deseguridad de la informacin CR3.4 Conocimiento de los controles de planificacin, diseo, desarrollo, prueba eimplementacin de la seguridad de la informacin CR3.5 Conocimiento de los mtodos para alinear los requerimientos del programa deseguridad de la informacin con los de otras funciones de aseguramiento (por ejemplo, seguridad fsica, recursos humanos, calidad, TI) CR3.6 Conocimiento de cmo identificar los requerimientos de recursos y habilidades tanto internos como externos (por ejemplo, finanzas, personas, equipos y sistemas) CR3.7 Conocimiento de la adquisicin de recursos y habilidades (por ejemplo, presupuesto de proyecto, empleo de personal contratado, compra de equipos)
2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
23
Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin CR3.8 C onocimiento de las arquitecturas de seguridad de la informacin (por ejemplo, arquitecturas lgicas y fsicas) y su implementacin CR3.9 Conocimiento de las tecnologas y los controles de seguridad (por ejemplo, tcnicas criptogrficas, controles de acceso, herramientas de monitoreo) CR3.10 Conocimiento del proceso para desarrollar polticas de seguridad de la informacin que satisfagan y respalden los objetivos de negocios de la empresa CR3.11 Conocimiento del contenido para la concienciacin, capacitacin y formacin sobre seguridad de la informacin en toda la empresa (por ejemplo, conciencia general de la seguridad, construccin de cdigo seguro, controles del sistema operativo) CR3.12 Conocimiento de los mtodos para identificar actividades que permitan cerrar labrecha entre los niveles de competencias y los requerimientos de habilidades CR3.13 Conocimiento de las actividades destinadas a promover una cultura y conducta de seguridad positivas CR3.14 Conocimiento de los usos de las polticas, estndares, procedimientos, directrices y otra documentacin, as como de la diferencia que existe entre ellos CR3.15 Conocimiento del proceso para vincular las polticas a los objetivos de negocio de la empresa CR3.16 Conocimiento de los mtodos para desarrollar, implementar, comunicar y mantener polticas, estndares, procedimientos, directrices y otra documentacin de seguridad de la informacin KS3.17 Conocimiento para integrar los requerimientos de seguridad de la informacin en los procesos organizacionales (por ejemplo, control de cambios, fusiones yadquisiciones) CR3.18 Conocimiento de las metodologas y actividades de ciclo de vida (por ejemplo, desarrollo, empleo, adquisiciones) CR3.19 Conocimiento de los procesos para incluir los requerimientos de seguridad en los contratos (por ejemplo, con joint ventures, proveedores de servicios externos, socios de negocios, clientes y terceros) CR3.20 Conocimiento de mtodos y tcnicas para gestionar los riesgos de terceros (por ejemplo, acuerdos de niveles de servicio, contratos, debida diligencia, proveedores y subcontratistas) CR3.21 Conocimiento del diseo, desarrollo e implementacin de las mtricas de seguridad de la informacin CR3.22 Conocimiento de certificacin y acreditacin del cumplimiento de las aplicaciones e infraestructura de negocio a las necesidades del negocio CR3.23 Mtodos para evaluar de forma continua la eficacia y la aplicabilidad de los controles de seguridad de la informacin (por ejemplo, pruebas de vulnerabilidad, herramientas de evaluacin) CR3.24 Conocimiento de los mtodos para medir y hacer seguimiento a la eficacia ylavigencia del programa de concienciacin, capacitacin y formacin sobre laseguridad de la informacin CR3.25 Conocimiento de los mtodos para mantener el programa de seguridad de la informacin (por ejemplo, planes de sucesin, asignacin de trabajos, documentacin del programa)
24
2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM rea 4: Gestin del Programa de Seguridad de la Informacin CR4.1 Conocimiento sobre cmo interpretar e implementar las polticas de seguridad de la informacin CR4.2 Conocimiento de los procesos y procedimientos administrativos de seguridad dela informacin (por ejemplo, controles de acceso, gestin de identidad, acceso remoto) CR4.3 Conocimiento de mtodos para implementar y gestionar el programa de seguridad de la informacin de la empresa considerando los acuerdos con terceros (por ejemplo, socios comerciales, contratistas, socios en joint ventures, proveedores externos) CR4.4 Conocimiento de mtodos para gestionar el programa de seguridad de la informacin a travs de proveedores de servicios de seguridad CR4.5 Conocimiento de las clusulas contractuales relacionadas con la seguridad de lainformacin (por ejemplo, derecho a auditar, confidencialidad, no divulgacin) CR4.6 Conocimiento de mtodos para definir y monitorear los requerimientos de seguridad en los acuerdos de niveles de servicio CR4.7 Conocimiento de mtodos y enfoques para proporcionar monitoreo continuo deactividades de seguridad en aplicaciones del negocio y la infraestructura dela empresa CR4.8 Conocimiento de las mtricas gerenciales para validar las inversiones hechas en el programa de seguridad de la informacin (por ejemplo, recopilacin de datos, revisin peridica, indicadores clave de desempeo) CR4.9 Conocimiento de los mtodos para probar la eficacia y la aplicabilidad de los controles de seguridad de la informacin (por ejemplo, pruebas de penetracin, violacin de contraseas, ingeniera social, herramientas de evaluacin). CR4.10 Conocimiento de las actividades de gestin de cambios y configuracin CR4.11 Conocimiento de las ventajas/desventajas de utilizar a proveedores de aseguramiento internos/externos para llevar a cabo revisiones de la seguridad dela informacin CR4.12 Conocimiento de actividades de debida diligencia, revisiones y estndares relacionados para gestionar y controlar el acceso a la informacin CR4.13 Conocimiento sobre fuentes de reporte de vulnerabilidades externas e informacin sobre posibles impactos en la seguridad de la informacin enaplicaciones einfraestructura CR4.14 Conocimiento de los eventos que afectan los niveles mnimos (baselines) de seguridad que pueden requerir re-evaluaciones de riesgo y cambios a loselementos del programa de seguridad de la informacin CR4.15 Conocimiento de prcticas para la gestin de problemas relacionados con laseguridad de la informacin CR4.16 Conocimiento de los requerimientos de reporte del estado de la seguridad delainfraestructura y los sistemas CR4.17 Conocimiento de tcnicas generales de la gerencia de lnea, incluyendo preparacin de presupuesto (por ejemplo, estimacin, cuantificacin, compensaciones), gerencia de personal (por ejemplo, motivacin, valoracin, establecimiento de objetivos) e instalaciones (por ejemplo, obtencin y uso deequipos)
2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
25
rea 5: Gestin y respuesta a incidentes CR5.1 Conocimiento de los componentes de una capacidad de respuesta a incidentes CR5.2 Conocimiento de planes de recuperacin en caso de desastre y continuidad delnegocio CR5.3 Conocimiento de las prcticas para la gestin de incidentes relacionados conlainformacin CR5.4 Conocimiento de las pruebas del plan de recuperacin en caso de desastre parala infraestructura y las aplicaciones crticas para el negocio CR5.5 Conocimiento de los eventos que desencadenan las respuestas a incidentes. CR5.6 Conocimiento sobre contencin de daos CR5.7 Conocimiento de los procesos de notificacin y escalamiento para una gestin eficaz de la seguridad CR5.8 Conocimiento del rol que desempean las personas en la identificacin y gestin de incidentes relacionados con la seguridad CR5.9 Conocimiento del proceso de notificacin de crisis CR5.10 Conocimiento de mtodos para identificar los recursos de negocio esenciales para la recuperacin CR5.11 Conocimiento de los tipos y medios disponibles de herramientas y equipos que se requieren para dotar adecuadamente a los equipos de respuesta a incidentes CR5.12 Conocimiento de los requerimientos forenses para recopilar y presentar evidencias (por ejemplo, admisibilidad, calidad y completitud de la evidencia, cadena de custodia) CR5.13 Conocimiento utilizado para documentar incidentes y acciones posteriores CR5.14 Conocimiento de los requerimientos de reporte tanto internos como externos CR5.15 Conocimiento de las prcticas de revisin posteriores al incidente y mtodos deinvestigacin para identificar las causas y determinar acciones correctivas CR5.16 Conocimiento de las tcnicas para cuantificar los daos, costos y otros impactos al negocio que se derivan de incidentes relacionados con la seguridad CR5.17 Conocimiento del tiempo objetivo de recuperacin (RTO) y su relacin con los objetivos y procesos de los planes de contingencia y de continuidad del negocio
26
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
Captulo XX Referencias
Referencias
Bloom, B.; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984 Lynas, D.; J. Sherwood; Professionalism in Information Security: A Framework for Conpetency Development, 12 Conferencia Anual de COSAC, Reino Unido, 2005 Robb, D.; How IT Is Revitalizing Staff Skills, Computerworld, EUA, Febrero de 2007 ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006 ISACA, CISM Review Manual 2008, EUA, 2008 ISACA, Critical Elements of Information Security Program Success, EUA, 2005 ISACA, Information Security Career Progression Survey Results, EUA, 2008
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
27
Otras Publicaciones
Muchas publicaciones emitidas por el IT Governance Institute (ITGITM) e ISACA contienen cuestionarios de evaluacin y programas de trabajo detallados. Para obtener ms informacin, por favor, visite www.isaca.org/bookstore o enve un correo electrnico a bookstore@isaca.org.
Seguridad
Cybercrime: Incident Response and Digital Forensics, 2005 Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition, 2006 Information Security Governance: Guidance for Information Security Managers, 2008 Information Security HarmonisationClassification of Global Guidance, 2005 Managing Enterprise Information Integrity: Security, Control and Audit Issues, 2004 Security Awareness: Best Practices to Serve Your Enterprise, 2005 Stepping Through the InfoSec Program, 2007
Aseguramiento
ITAFTM: A Professional Practices Framework for IT Assurance, 2008 Stepping Through the IS Audit, 2nd Edition, 2004 Series ERP: Security, Audit and Control Features Oracle E-Business Suite: A Technical and Risk Management Reference Guide, 2nd Edition, 2006 Security, Audit and Control Features PeopleSoft: A Technical and Risk Management Reference Guide, 2nd Edition, 2006 Security, Audit and Control Features SAPR/3: A Technical and Risk Management Reference Guide, 2nd Edition, 2005 Ambientes Especficos: Electronic and Digital Signatures: A Global Status Report, 2002 Enterprise Identity Management: Managing Secure and Controllable Access in the Extended Enterprise Environment, 2004 Linux: Security, Audit and Control Features, 2005 Managing Risk in the Wireless LAN Environment: Security, Audit and Control Issues, 2005 Oracle Database Security, Audit and Control Features, 2004 OS/390z/OS: Security, Control and Audit Features, 2003 Risks of Customer Relationship Management: A Security, Control and Audit Approach, 2003 Security Provisioning: Managing Access in Extended Enterprises, 2002 Virtual Private NetworkNew Issues for Network Security, 2001
28
2008 ISACA. TO
D O s
L O s
D E R E c H O s
R E s E R V a D O s
Gobierno de TI
Board Briefing on IT Governance, 2nd Edition, 2003 Identifying and Aligning Business Goals and IT Goals, 2008 IT Governance Global Status Report2008, 2008 Understanding How Business Goals Drive IT Goals, 2008 COBIT y publicaciones relacionadas COBiT 4.1, 2007 COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition, 2007 COBIT QuickstartTM, 2nd Edition, 2007 COBIT Security BaselineTM, 2nd Edition, 2007 IT Assurance Guide: Using COBIT , 2007 IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance, 2007 IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition, 2006 IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition, 2007 Mapeando COBIT: Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit, 2008 COBIT Mapping: Mapping of CMMI for Development V1.2 With COBIT 4.0, 2007 COBIT Mapping: Mapping of ISO/IEC 17799:2000 With COBIT 4.0, 2nd Edition, 2006 COBIT Mapping: Mapping of ISO/IEC 17799:2005 With COBIT 4.0, 2006 COBIT Mapping: Mapping of ITIL V3 With COBIT 4.1, 2008 COBIT Mapping: Mapping of NIST SP800-53 With COBIT 4.1, 2007 COBIT Mapping: Mapping of PMBOK With COBIT 4.0, 2006 COBIT Mapping: Mapping of PRINCE2 With COBIT 4.0, 2007 COBIT Mapping: Mapping of SEIs CMM for Software With COBIT 4.0, 2006 COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.0, 2007 COBIT Mapping: Overview of International IT Guidance, 2nd Edition, 2006 Prcticas y Competencias del Dominio del Gobierno de TI: Governance of Outsourcing, 2005 Information Risks: Whose Business Are They?, 2005 IT Alignment: Who Is in Charge?, 2005 Measuring and Demonstrating the Value of IT, 2005 Optimising Value Creation From IT Investments, 2005 Val IT: Enterprise Value: Governance of IT Investments, Getting Started With Value Management, 2008 Enterprise Value: Governance of IT Investments, The Business Case, 2006 Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008 Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Extract, 2008
2008 ISACA. TO
D O s L O s D E R E c H O s R E s E R V a D O s
29
3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Telfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrnico: info@isaca.org Pgina Internet: www.isaca.org