Práctica profesional para certificación CRISC – Con efecto a partir de 2015 

 

Se completó el análisis de la práctica profesional de CRISC, lo que da lugar a una nueva práctica profesional de CRISC que refleja las responsabilidades vitales y cambiantes de los profesionales de riesgos de TI y control de SI. La práctica profesional sirve de base para el examen y los requisitos para obtener la certificación. Esta nueva práctica profesional consta de conocimientos relacionados y enunciados de tareas que representan el trabajo que se lleva a cabo durante la identificación, evaluación, respuesta, mitigación y monitoreo de los riesgos de TI. Estos enunciados y los dominios son el resultado de extensas investigaciones, discusiones y validaciones por parte de expertos en materia de riesgos y control de TI, y líderes prominentes de la industria de todo el mundo.

La práctica profesional que se muestra a continuación está organizada por dominios que serán evaluados por primera vez durante el examen CRISC de junio de 2015. El cambio sobre la práctica profesional CRISC es la combinación de las tareas de riesgo y control de TI dentro de los dominios,lo que resultó en la disminución de cinco (5) a cuatro (4) dominios. A partir de junio de 2015, el examen CRISC incluirá 150 preguntas para evaluar la nueva práctica profesional.

Áreas de práctica profesional para la certificación CRISC por dominio

Los dominios de la práctica profesional y los enunciados de tareas y conocimientos relacionados son los siguientes:

Dominio 1—Identificación de riesgos de TI (27%)
Dominio 2—Evaluación de riesgos de TI (28%)
Dominio 3—Respuesta y mitigación del riesgo (23%)
Dominio 4—Monitoreo y reporte de riesgos y controles (22%)

Dominio 1—Identificación de riesgos de TI

Identificar el universo de los riesgos de TI para contribuir con la ejecución de la estrategia de gestión de riesgos de TI para respaldar los objetivos de negocio y en alineación con la estrategia de gestión de riesgos empresariales (ERM).

1.1  Recopilar y revisar información, incluyendo la documentación existente, sobre los ambientes interno y externo de la organización y los ambientes de TI a fin de identificar los impactos potenciales o materializados de los riesgos de TI con respecto a los objetivos y las operaciones de la organización.
1.2 Identificar las amenazas potenciales y vulnerabilidades respecto de las personas, los procesos y la tecnología de la organización para permitir un análisis de riesgos de TI.
1.3 Desarrollar un conjunto integral de escenarios de riesgos de TI basado en la información disponible a fin de determinar el impacto potencial para los objetivos y las operaciones de la organización.
1.4 Identificar a las partes interesadas clave con respecto a los escenarios de riesgo de TI a fin de colaborar en establecimiento de responsabilidades para rendición de cuentas.
1.5 Establecer un registro de riesgos de TI para colaborar en garantizar que los escenarios de riesgos de TI identificados se tengan en cuenta e incorporen en elperfil de riesgos general de la empresa.
1.6 Identificar el apetito y la tolerancia al riesgo definidos por el liderazgo de más alto nivel y las partes interesadas clave para garantizar alineamiento con los objetivos de la organización.
1.7 Colaborar en el desarrollo de un programa de concientización de riesgos y llevar a cabo capacitación para garantizar que las partes interesadas comprendan los riesgos y promocionar una cultura de consciencia en cuanto al riesgo.

Dominio 2—Evaluación de riesgos de TI

Analizar y evaluar los riesgos de TI para determinar la probabilidad e impacto sobre los objetivos de la organización, habilitando la toma de decisiones basada en los riesgos.

2.1  Analizar los escenarios de riesgos en función de criterios organizacionales (por ejemplo, estructura organizacional, políticas, estándares, tecnología, arquitectura, controles) para determinar la probabilidad e impacto de un riesgo identificado..
2.2 Identificar el estado actual de los controles existentes y evaluar su efectividad respecto de la mitigación de los riesgos de TI.
2.3 Revisar los resultados del análisis de riesgos y controles para evaluar cualquier brecha existente entre el estado actual y el deseado con respecto al entorno de riesgos de TI.
2.4 Garantizar que la asignación de la propiedad del riesgo se realice al nivel apropiado para establecer líneas de responsabilidad claras.
2.5 Comunicar los resultados de las evaluaciones de riesgos a la gerencia de alto nivel y a las partes interesadas apropiadas para permitir una toma de decisiones basada en riesgo.
2.6 Actualizar el registro de riesgos con los resultados de la evaluación de riesgos.

Dominio 3—Respuesta y Mitigación del riesgo

Determinar las opciones de respuesta ante los riesgos y evaluar su eficiencia y efectividad para gestionar los riesgos bajo alineamiento con los objetivos de la organización.

3.1  Consultar con los propietarios del riesgo para seleccionar y alinear las respuestas recomendadas ante riesgos con los objetivos de la organización y permitir decisiones bajo conocimiento de los riesgos.
3.2 Consultar con, o asistir a, los propietarios de los riesgos en el desarrollo de planes de acción ante riesgos para garantizar que los planes incluyan elementos clave (por ejemplo, respuesta, costo, fecha objetivo).
3.3 Consultar sobre el diseño y la implementación o ajuste de controles mitigantes para garantizar que el riesgo se ubique a un nivel aceptable.
3.4 Garantizar la asignación de la propiedad del control para establecer líneas de responsabilidad claras.
3.5 Ayudar a los propietarios del control en el desarrollo de procedimientos de control y documentación para permitir una ejecución eficiente y efectiva del control.
3.6 Actualizar el registro de riesgos para reflejar los cambios en los riesgos y la respuesta al riesgo de los gestores.
3.7 Validar que la las respuestas a los riesgos se haya realizado conforme a los planes de acción para riesgos.

Dominio 4—Monitoreo y reporte de riesgos y controles

Monitorear e informar continuamente los riesgos de TI y controles a las partes interesadas pertinentes para garantizan eficiencia y efectividad continuas de la estrategia de gestión de riesgos de TI y su alineamientocon los objetivos de la organización.

4.1  Definir y establecer los indicadores clave de riesgo (KRIs) y los umbrales en función de los datos disponibles, para permitir el monitoreo de los cambios del riesgo.
4.2 Monitorear y analizar los indicadores clave de riesgo (KRIs) para identificar los cambios o las tendencias en el perfil de riesgos de TI.
4.3 Informar sobre los cambios o las tendencias relacionadas con riesgos de TI para ayudar a la gerencia y a las partes interesadas relevantes en la toma de decisiones.
4.4 Facilitar la identificación de métricas e indicadores clave de desempeño (KPIs) para permitir la medición del desempeño del control.
4.5 Monitorear y analizar los indicadores clave de desempeño (KPIs) para identificar los cambios o tendencias relacionadas con el ambiente de control y determinar la eficiencia y efectividad de los controles.
4.6 Revisar los resultados de las evaluaciones de control para determinar la efectividad del ambiente de control.
4.7 Informar a las partes interesadas relevantes sobre el desempeño de los cambios a, o las tendencias en el perfil general de riesgos y en el ambiente de control, para permitir la toma de decisiones.

Enunciados de conocimientos relacionados de CRISC

Conocimiento sobre:

  1. leyes, regulaciones, estándares y requisitos de cumplimiento
  2. tendencias de la industria y tecnologías emergentes
  3. arquitectura de sistemas empresariales (por ejemplo, plataformas, redes, aplicaciones, bases de datos y sistemas operativos)
  4. metas y objetivos de la organización
  5. requisitos contractuales con clientes y proveedores de servicios externos
  6. amenazas y vulnerabilidades relacionadas con:
    1. 6.1. Procesos e iniciativas del negocio
    2. 6.2. Gestión de terceros
    3. 6.3. Gestión de datos
    4. 6.4. Hardware, software y dispositivos especializados (appliances)
    5. 6.5. Ciclo de vida de desarrollo de sistemas (SDLC)
    6. 6.6. Gestión de proyectos y programas
    7. 6.7. Gestión de continuidad del negocio y recuperación ante desastres (DRM)
    8. 6.8. Gestión de operaciones de TI
    9. 6.9. Tecnologías emergentes
  7. Métodos para identificar riesgos
  8. Herramientas y técnicas para el desarrollo de escenarios de riesgo
  9. Estándares de identificación clasificación de riesgos y marcos de referencia
  10. Conceptos de eventos/incidentes riesgo (por ejemplo, condiciones contribuyentes, lecciones aprendidas, resultado de pérdidas)
  11. Elementos del registro de riesgos
  12. Apetito y tolerancia al riesgo
  13. Metodologías de análisis de riesgos (cuantitativas y cualitativas)
  14. Estructuras organizacionales
  15. Cultura, ética y comportamiento organizacional
  16. Activos organizacionales (por ejemplo, personas, tecnología, datos, marcas comerciales, propia intelectual) y procesos de la organización, incluyendo la gestión de riesgos empresariales (ERM)
  17. Políticas y estándares organizacionales
  18. Herramientas y técnicas para revisión del procesos organizacionales
  19. Técnicas de análisis (por ejemplo, causa raíz, brechas, costo-beneficio, retorno de la inversión [ROI])
  20. Modelos de evaluación de capacidad y técnicas y estrategias de mejora
  21. Análisis de datos, técnicas de validación y agregación (por ejemplo, análisis de tendencias, modelado)
  22. Herramientas y técnicas de recopilación y extracción de datos
  23. Principios de propiedad del riesgo y del control
  24. Características del riesgo inherente y residual
  25. Prácticas de gestión de excepciones
  26. estándares, marcos de referencia y técnicas para evaluación de riesgos
  27. Opciones de respuesta al riesgo (es decir, aceptar, mitigar, evitar, transferir) y criterios de selección
  28. Conceptos y principios de seguridad de la información, incluyendo confidencialidad, integridad y disponibilidad de la información
  29. Diseño e implementación de controles de sistemas, incluyendo metodologías y prácticas de pruebas
  30. Impacto de las tecnologías emergentes sobre el diseño y la implementación de los controles
  31. Requisitos, principios y prácticas para educar y capacitar sobre actividades de riesgo y de control
  32. Indicadores clave de riesgo (KRIs)
  33. Marcos de referencia y estándares de monitoreo de riesgos
  34. Herramientas y técnicas de monitoreo de riesgos
  35. Herramientas y técnicas de reporte de riesgos
  36. Mejores prácticas de gestión de riesgos de TI
  37. Indicadores clave de desempeño (KPIs)
  38. Tipos de controles, estándares y marcos de referencia
  39. Herramientas y técnicas de monitoreo y reporte de controles
  40. Tipos de evaluaciones de control (por ejemplo, autoevaluaciones, auditorías, evaluaciones de vulnerabilidad, pruebas de penetración, aseguramiento de terceros)
  41. Actividades de control, objetivos, prácticas y métricas relacionadas con:
    1. 41.1. Procesos de la organización
    2. 41.2. Seguridad de la información, incluyendo certificación de tecnología y acreditación de prácticas
    3. 41.3. Gestión de terceros, incluyendo prestación de servicios
    4. 41.4. Gestión de datos
    5. 41.5. Ciclo de vida de desarrollo de sistemas (SDLC)
    6. 41.6. Gestión de proyectos y programas
    7. 41.7. Continuidad de negocios y gestión de recuperación ante desastres (DRM)
    8. 41.8. Gestión de operaciones de TI
    9. 41.9. La arquitectura de los sistemas de información (por ejemplo, plataformas, redes, aplicaciones, bases de datos y sistemas operativos)