Certificacin Profesionales en Seguridad

Haga clic para modificar el estilo de subttulo del patrn

Copyright

2004 by Information Systems Audit and Control Association, Buenos Aires Chapter Corrientes 389, Entrepiso - Ciudad de Buenos Aires, Argentina

Todos los derechos reservados. No est permitida la reproduccin parcial o total del material de este Curso, ni su tratamiento informtico, ni la transmisin de ninguna forma o por cualquier medio, ya sea electrnico, mecnico, por fotocopia, por registro u otros mtodos, sin el permiso previo y por escrito del titular de los derechos. Si bien este Curso ha sido concebido para difusin y promocin en el mbito de la profesin a nivel mundial, previamente deber solicitarse una autorizacin por escrito y mediar la debida aprobacin para su uso. El Captulo Buenos Aires manifiesta que la participacin de los candidatos en este curso no garantiza la aprobacin del Examen CISA . Information Systems Audit and Control Association, ISACA, COBIT, COBIT 3RD Edition y Certified Information Systems Auditor son marcas registradas de ISACA. Est expresamente prohibida la utilizacin de las marcas sin autorizacin previa.

ISACA
Asociacin reconocida mundialmente como lder en la profesin de Gobierno, Seguridad y Auditora de TI. Fundada en 1969, representa a ms de 38.000 miembros en 100 pases. Ms de con 170 Captulos en todo el mundo.
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 3

Information Technology Governance Institute

Es la fundacin de la Asociacin

Realiza proyectos de investigacin Patrocina y lleva a cabo estudios que ayudan a los profesionales de TI a mantenerse actualizados Tambin, desarrolla y promulga estndares para la prctica profesional de Seguridad.
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 4

ISACA en Argentina ADACSI

ADACSI
Es una entidad reconocida localmente como lder en el gobierno, control y auditora de T.I. Nuestra asociacin se ha establecido desde 1991 como el Captulo Buenos Aires de la ISACA Desde 1992 ha difundido en espaol el programa CISA y desde 2004 CISM.

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

Resumen del Programa CISM y del Examen

Haga clic para modificar el estilo de subttulo del patrn

Antecedentes
Ms de 5,200 CISMs a nivel mundial El examen se ofrece en ingls, espaol y japons, en ms de 220 sitios En 2005, hubo 2900 registraciones para el examen CISM. Comparado con los 223 individuos que se registraon en 2003

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

Certified Information Security Manager (CISM)

La designacin CISM es una credential destinada los gerentes con experiencia en seguridad de informacin y otros ejecutivos quienes pueden tener responsabilidades de gerenciar la seguridad de informacin. CISM puede asegurarle a un empleador que un candidato tiene el conocimiento requerido y necesario para una efectiva gestin y asesoramiento de la seguridad de informacin. El examen cubre:
Gobierno de la Seguridad de Informacin Gestin del Riesgo Gerenciamiento del Programa de Seguridad de Informacin Gestin de Seguridad de Informacin Gestin de Respuestas

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

Certified Information Security Manager (CISM)

A quien esta dirigida esta certificacin? A especialistas que definen, conducen y coordinan el programa de seguridad de la organizacin, asegurando su implementacin y comunicacin.
Directores y Gerentes de la organizacin responsables por la gestin y manejo de informacin Directores y Gerentes de Seguridad Responsables de Seguridad Consultores y Proveedores de servicios

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

Certified Information Systems Auditor (CISA)

La Information Systems Audit and Control Association (ISACA) y el IT Governance Institute promueven la credencial CISA como apropiada para los profesionales de auditora de redes y seguridad. El examen cubre las siguientes dominios de auditora de sistemas de informacin:
El proceso de auditora de SI Gobierno de TI Gestin del ciclo de vida de Infraestructura y los sistemas Prestaciones y Servicios de TI Proteccin de activos de informacin Continuidad de negocio y recuperacin de desastres

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

10

Tipo de Preguntas del Examen

Todas las preguntas son de eleccin nica y estn diseadas para una mejor respuesta. Se requiere que el candidato escoja la respuesta apropiada. Cada pregunta CISM/CISA tiene un ncleo (pregunta) y 4 opciones (elecciones posibles).

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

11

Tipos de pregunas en el examen

Se recomienda que el candidato lea cada pregunta cuidadosamente Se requiere que el candidato escoja la respuesta apropiada puede ser
LAS MS probable LA MENOS probable LA MEJOR O que no este relacionada con las anteriores

En todo caso se requiere que se lea la pregunta cuidadosamente, elimine las respuestas que sabe que son incorrectas y luego haga la mejor eleccin posible
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 12

Realizacin del Examen

Sbado 10 de Junio de 2006 Sbado 9 de diciembre de 2006 200 Preguntas Espaol, Ingls y Japons. 4 horas Aproximadamente 186 Test Sites en 71 Pases El examen se ofrece en cada ciudad donde haya Captulo de ISACA, o lugares donde haya 5 o ms asociados Nota mnima 75
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 13

Computer Security Day

30 de noviembre Actividades de concientizacin en Seguridad

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

14

Por ltimo...

PREGUNTAS Y RESPUESTAS...
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 15

Cmo estudiar?
Haga clic para modificar el estilo de subttulo del patrn

Cmo prepararse para pasar el Examen

Prcticas de prueba Auto-Estudio Grupos de estudio Seminario de repaso o curso

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

17

Mtodos de estudio
Certification Magazine, Tim Sosbe Certification Training: Real Results, Real Value

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

18

Cmo estudiar para el Examen?

Un plan adecuado de estudio consta de varios pasos
Auto-evaluacin.

Determinar el tipo de programa de estudio

Destinar suficiente tiempo para prepararse. Mantener la actitud. Repaso final.

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

19

Cmo estudiar?
Lea cuidadosamente la Gua del Candidato Estudie el Manual de Revisin CISM/CISA Trabaje a conciencia con las preguntas y respuestas de prctica Participe en los cursos y talleres del Captulo (opcional) Lea bibliografa de las reas que necesite fortalecer Dedique tiempo a complementar el campo de su especialidad. Unase u organice grupos de estudio Analice los tips que ayudan a contestar preguntas de mltiples opciones
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 20

Requerimientos para la Certificacin

Haga clic para modificar el estilo de subttulo del patrn

Requerimientos para la Certificacin

Aprobar el examen CISM/CISA Mnimo 5 aos de experiencia (10 aos previos o 5 posteriores) Acatar el Cdigo de tica Profesional de ISACA

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

22

Aplicacin para la Certificacin

Se le enva a todos los que aprueban el examen Contiene:
Requerimientos para la Certificacin Cdigo de Etica Profesional Instrucciones para Completar el Formulario Formulario para confirmar la experiencia laboral Aplicacin para la Certificacin

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

23

Certificaciones Profesionales en Seguridad

Lo ms importante no es ser inteligente y talentoso, sino adems poder demostrarlo...

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

24

Captulo 1: Gobierno de Seguridad de Informacin

Objetivos: Proveer entendimiento al candidato a CISM en cmo:
- Establecer y mantener una estructura que provea certeza respecto a que las estrategias en seguridad de la informacin estn alineadas con los objetivos del negocio. - Asegurar la suficiencia y lo adecuado de los controles. - Asegurar que las operaciones son consistentes con las leyes y regulaciones aplicables.

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

25

Gobierno
de Seguridad de la Informacin
Definicin: El Gobierno de la Seguridad de Informacin es la combinacin de las polticas, operaciones y estructuras gerenciales que buscan asegurar que las estrategias en Seguridad de la Informacin estn alineadas con los objetivos del negocio y son consistentes con las leyes y regulaciones aplicables.

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

26

Tareas del GSI relativas al Gobierno de la Seguridad

Desarrollar la estrategia de seguridad de la informacin, en apoyo de la estrategia y direccin establecida por la organizacin. Obtener el patrocinio y apoyo de la alta gerencia en las iniciativas relacionadas con la seguridad de la informacin a ser desarrolladas en toda la organizacin. Asegurarse de que en la definicin de los roles y responsabilidades en la compaa se incluyan actividades de Gobierno en Seguridad de la Informacin. Establecer canales efectivos de comunicacin y reporte que apoyen las iniciativas de Gobierno en Seguridad de la Informacin.
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 27

Tareas del GSI relativas al Gobierno de la Seguridad

Identificar aspectos legales y regulatorios, actuales y potenciales, que puedan afectar la seguridad de la informacin y medir su impacto en la organizacin. Establecer y mantener las polticas de seguridad de la informacin de manera que apoyen los objetivos y metas del negocio. Desarrollar estndares, procedimientos y normas que soporten las polticas de seguridad de la informacin. Desarrollar casos de negocio y anlisis de valor empresariales, que puedan ser utilizados para justificar la inversin en seguridad de la informacin.
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 28

Resumen del Captulo 1

De acuerdo con el comit de certificacin
CISM, esta rea representar

aproximadamente el 21% del examen de

certificacin CISM (aproximadamente 42 preguntas)
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 29

Captulo 2: Gestin de Riesgos

Gestin de Riesgos es el proceso requerido para identificar, controlar y mitigar el impacto de eventos inciertos a un nivel aceptable para la organizacin.
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 30

Gestin de riesgos
Objetivos

Proveer al candidato CISM con un entendimiento de como

Identificar y administrar los riesgos de seguridad de la informacin para lograr los objetivos del negocio.

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

31

Tareas del GSI en la Gestin de riesgos

Desarrollar un proceso de administracin de riesgos sistemtico, analtico y continuo Asegurar que las actividades de identificacin, anlisis y mitigacin de riesgos estn integradas al ciclo de vida de los procesos

Aplicar mtodos de identificacin y anlisis de riesgos

Definir estrategias y priorizar opciones para mitigar los riesgos a niveles aceptables para la empresa Reportar cambios significativos en los riesgos a los niveles apropiados de la administracin (gerencia), tanto en forma peridica como ante la ocurrencia de eventos
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 32

Resumen del Captulo 2

De acuerdo con la Junta de Certificacin CISM, esta rea representar aproximadamente el 21 % del examen CISM (42 preguntas aproximadamente)

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

33

Captulo 3: Gerenciamiento del Programa de Seguridad

El Gerenciamiento del Programa de seguridad de informacin est relacionado con en el diseo, desarrollo y gestin de un programa para implementar un marco para el gobierno de seguridad de la informacin

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

34

Objetivos
Provee al candidato CISM de un entendimiento de como ..
Disear, desarrollar y gerenciar un programa de seguridad de informacin para implementar el marco de gobierno de seguridad de la informacin.

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

35

Tareas del GSI en el Gerenciamiento del Programa

Crear y mantener planes para implementar un marco de gobierno de la seguridad de informacin Desarrolla lneas bases sobre seguridad de informacin Desarrolla procedimientos y pautas para asegurar la direccin de los riesgos en la seguridad de informacin en procesos de negocio Desarrolla procedimientos y pautas para las actividades de infraestructura de TI para asegurarse el cumplimiento con las polticas de seguridad de informacin Integra los requerimientos del programa de seguridad de informacin en las activiodades del ciclo de vida de la organizacin.
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

36

Tareas del GSI en el Gerenciamiento del Programa

Desarrolla mtodos de reunin de requerimientos de polticas de seguridad de informacin que se toman en cuenta en el impacto sobre los usuarios finales. Promueve la responsabilidad a travs de los propietarios de los procesos del negocio y otros responsables en el manejo de los riesgos de la seguridad de informacin. Establece mtricas para manejar cuadros de gobernabilidad de la seguridad de informacin.

Asegura que los recursos internos y externos para la seguridad de informacin sean identificados, apropiados y bien gestionados.
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 37

Resumen del Captulo 3

De acuerdo al Board de certificacin CISM, esta rea va representar aproximadamente el 21% del Examen CISM (aproximadamente 42 preguntas)
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

38

Captulo 4: Gestin de Seguridad de la Informacin

Definicin: La Gestin de la Seguridad de la Informacin involucra la supervisin y la direccin de las actividades de seguridad de informacin, de tal manera que permitan la ejecucin de programa de seguridad de la informacin.

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

39

Gestin de Seguridad
Objetivos

Proveer al candidato CISM el entendimiento de cmo:

Supervisin y dirigir las actividades de seguridad de la informacin para ejecutar el programa de seguridad de la informacin

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

40

Tareas del GSI en la Gestin de la Seguridad

Asegurar que las reglas de uso para los sistemas de informacin cumplan con las polticas de seguridad de la informacin de la empresa
Asegurar que los procedimientos administrativos para los sistemas de informacin cumplan con las polticas de seguridad de la informacin de la empresa. Asegurar que los servicios provistos por otras empresas, incluyendo los proveedores de servicios tercerizados, son consistentes con las polticas establecidas de seguridad de la informacin Utilizar mecanismos de medicin y escalas para medir, monitorear y reportar la efectividad y eficiencia de los controles de seguridad de la informacin.
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 41

Tareas del GSI en la Gestin de la Seguridad

Asegurar que la seguridad de la informacin no se vea comprometida durante el proceso de Gerenciamiento de cambios Asegurar que se realicen evaluaciones de las vulnerabilidades para valorar la efectividad de los controles existentes Asegurar que los temas de no-cumplimiento y otras variaciones sean resueltos a tiempo Asegurar el desarrollo y entrega de las actividades que pueden influir en la cultura y en el comportamiento del grupo directivo, incluyendo la capacitacin y la concientizacin y nocin general del tema de seguridad de la informacin.
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 42

Resumen del Captulo 4

De acuerdo a la Junta de Certificacin CISM, esta rea representar aproximadamente 24% del examen CISM (aproximadamente 48 preguntas)

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

43

Captulo 5: Gestin de la Respuesta

Definicin: La Gestin de la Respuesta est relacionada con desarrollar y manejar la capacidad para responder y recuperarse de eventos disasociadores y destructivos de la seguridad de la informacin. Se refiere a la gestin o manejo de los incidentes de Seguridad.

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

44

Objetivos del Captulo 5

Asegurarse que el CISM sabe como Desarrollar polticas y procedimientos que permitirn a una organizacin responder a y recuperarse de eventos disasociadores y destructivos de la seguridad de la informacin
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 45

Tareas del GSI en relacin a la Gestin de Respuesta

Desarrollo e implantacin del proceso para descubrir, identificar y analizar los eventos relacionados a la seguridad

Desarrollo de los planes de respuesta y recuperacin que incluyen la organizacin, entrenamiento y equipamiento de los grupos
Asegurar la comprobacin peridica de los planes de respuesta y recuperacin donde sea apropiado Asegurar la ejecucin de los planes de respuesta y recuperacin tal como se ha requerido Establecer los procedimientos para documentar un evento como una base para la accin subsiguiente incluyendo registros para anlisis forense cuando sea necesario Realizar revisiones posteriores a los eventos para identificar las causas y las acciones correctivas
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 46

Resumen del Captulo 5

Segn la Junta de Certificacin CISM, esta rea representar

aproximadamente 13% del examen

CISM (aproximadamente 26 preguntas)
Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006 47

Para ms informacin...
Juan de Dios Bel, CISM, CISA

juan.bel@adacsi.org.ar
Gabriel Snchez Barbeito, CISM, CIFI

gabriel.barbeito@adacsi.org.ar

Copyright 2006, Preparado para la Academia Latinoamericana de Seguridad Informtica 2006

48