Práctica profesional para certificación CISM 

 

El examen de CISM actual abarca 4 áreas de gestión de seguridad de la información, cada una de las cuales se define y detalla de forma más exhaustiva mediante los enunciados de tareas y conocimientos relacionados. Las cuatro nuevas divisiones de dominio de la práctica profesional 2017 son relativamente las mismas; no obstante, las especificaciones del examen (las ponderaciones) cambiaron ligeramente.

A continuación se brinda una descripción breve de estas áreas, sus definiciones y el porcentaje aproximado de preguntas en el examen destinado a cada área. Estas áreas y enunciados cuentan con la aprobación del grupo de trabajo de certificación de CISM y representan un análisis de la práctica profesional del trabajo que los gerentes de seguridad de la información llevan a cabo de acuerdo con las validaciones de líderes prominentes de la industria, expertos en la materia y profesionales del sector.

La práctica profesional que se muestra a continuación está organizada por dominios que se evaluarán por primera vez en 2017. Además, a partir de 2017, el examen CISM incluirá 150 preguntas para evaluar la nueva práctica profesional.

Áreas de práctica profesional para la certificación CISM por dominio


Los dominios de la práctica profesional y los enunciados de tareas y conocimientos relacionados son los siguientes:

Dominio 1—Gobierno de la seguridad de la información (24%)
Dominio 2—Gestión de riesgos de la información (30%)
Dominio 3—Desarrollo y gestión del programa de seguridad de la información (27%)
Dominio 4—Gestión de incidentes de seguridad de la información (19%)

 

Dominio 1—Gobierno de seguridad de la información

Establecer y/o mantener un marco de referencia del gobierno de la seguridad de la información y dar apoyo a los procesos para asegurar que la estrategia de seguridad de la información esté alineada con las metas y los objetivos de la organización. (24%)

Enunciados de tareas:

1.1  Establecer y/o mantener una estrategia de seguridad de la información alineada con las metas y los objetivos de la organización para orientar el establecimiento y/o la administración continua del programa de seguridad de la información.
1.2 Establecer y/o mantener un marco de referencia del gobierno de la seguridad de la información para orientar las actividades que apoyan la estrategia de seguridad de la información.
1.3 Integrar el gobierno de la seguridad de la información dentro del gobierno corporativo para asegurar que las metas y los objetivos organizacionales sean respaldados por el programa de seguridad de la información.
1.4 Establecer y mantener políticas de seguridad de la información para orientar el desarrollo de normas, procedimientos y guías en alineación con las metas y los objetivos de la empresa.
1.5 Desarrollar casos de negocio para apoyar la inversión en seguridad de la información.
1.6 Identificar influencias internas y externas a la organización (por ejemplo, las tecnologías emergentes, las redes sociales, el entorno empresarial, la tolerancia al riesgo, los requisitos regulatorios, las consideraciones de terceros, el panorama de amenazas) para asegurarse de que estos factores son abordados continuamente por la estrategia de seguridad de la información.
1.7 Obtener el compromiso constante del personal directivo y de otras partes interesadas para apoyar la implementación exitosa de la estrategia de seguridad de la información.
1.8 Definir, comunicar y monitorear las responsabilidades de seguridad de la información en toda la organización (por ejemplo, propietarios de datos, custodios de datos, usuarios finales, usuarios con privilegios o de alto riesgo) y las líneas de autoridad.
1.9 Establecer, supervisar, evaluar y reportar métricas clave de seguridad de la información para proporcionar a la administración información precisa e importante en cuanto a la efectividad de la estrategia de seguridad de la información.

Enunciados de conocimientos relacionados:

1.1  Conocimiento de las técnicas utilizadas para desarrollar una estrategia de seguridad de la información (por ejemplo, análisis FODA [fortalezas, oportunidades, debilidades y amenazas], análisis de brechas, investigación de amenazas)
1.2 Conocimiento de la relación de la seguridad de la información con las metas, los objetivos, las funciones, los procesos y las prácticas de la empresa
1.3 Conocimiento de los marcos de referencia disponibles del gobierno de seguridad de la información
1.4 Conocimiento de las normas, los marcos de referencia y las mejores prácticas de la industria reconocidas internacionalmente y relacionadas con el gobierno de la seguridad de la información y el desarrollo de estrategias
1.5 Conocimiento de los conceptos fundamentales de gobierno y cómo se relacionan con la seguridad de la información
1.6 Conocimiento de los métodos para evaluar, planificar, diseñar e implementar un marco de referencia del gobierno de la seguridad de la información
1.7 Conocimiento de los métodos para integrar el gobierno de la seguridad de la información dentro del gobierno corporativo
1.8 Conocimiento de los parámetros y los factores que contribuyen (por ejemplo, la estructura y la cultura de la organización, la actitud de la gerencia, las regulaciones) al desarrollo de la política de seguridad de la información
1.9 Conocimiento del contenido en, y las técnicas para desarrollar, casos de negocio
1.10 Conocimiento de la planificación estratégica presupuestaria y de los métodos para la elaboración de informes
1.11 Conocimiento de las influencias internas y externas a la organización (por ejemplo, las tecnologías emergentes, las redes sociales, el entorno empresarial, la tolerancia al riesgo, los requisitos regulatorios, las consideraciones de terceros, el panorama de amenazas) y cómo impactan en la estrategia de seguridad de la información
1.12 Conocimiento de la información clave necesaria para obtener el compromiso del personal directivo y el apoyo de otras partes interesadas (por ejemplo, cómo la seguridad de la información respalda las metas y los objetivos de la organización, los criterios para determinar la implementación exitosa, el impacto en el negocio)
1.13 Conocimiento de los métodos y las consideraciones para comunicarse con el personal directivo y otras partes interesadas (por ejemplo, la cultura de la organización, los canales de comunicación, resaltar los aspectos esenciales de la seguridad de la información)
1.14 Conocimientos de las funciones y responsabilidades del gerente de seguridad de la información
1.15 Conocimiento de las estructuras organizacionales, las líneas de autoridad y los puntos de escalamiento
1.16 Conocimiento de las responsabilidades de la seguridad de la información del personal en toda la organización (por ejemplo, propietarios de los datos, usuarios finales, usuarios con privilegios o de alto riesgo)
1.17 Conocimiento de los procesos para monitorear el rendimiento de las responsabilidades de la seguridad de la información
1.18 Conocimiento de los métodos para establecer presentación de informes y canales de comunicación nuevos, o utilizar los existentes en toda la organización
1.19 Conocimiento de los métodos para seleccionar, implementar e interpretar las mediciones clave de seguridad de la información (por ejemplo, indicadores clave de desempeño [KPI], indicadores clave de riesgo [KRI])

Dominio 2—Gestión de riesgos de la información

Gestionar el riesgo de la información a un nivel aceptable basado en el apetito de riesgo para cumplir con las metas y los objetivos de la organización. (30%)

Enunciados de tareas:

2.1  Establecer y/o mantener un proceso de clasificación de la información de los activos para asegurar que las medidas adoptadas para proteger los activos sean proporcionales a su valor para el negocio.
2.2 Identificar los requisitos legales, regulatorios, organizativos y otros aplicables para gestionar el riesgo de incumplimiento a niveles aceptables.
2.3 Asegurar que las evaluaciones de riesgos, las evaluaciones de vulnerabilidad y los análisis de amenazas se lleven a cabo de manera consistente, en momentos oportunos, para identificar y evaluar los riesgos a la información de la organización.
2.4 Identificar, recomendar o implementar opciones de tratamiento/respuesta al riesgo apropiadas para gestionar el riesgo a niveles aceptables en base a la tolerancia al riesgo de la organización.
2.5 Determinar si los controles de seguridad de la información son adecuados y gestionan el riesgo a un nivel aceptable de manera efectiva.
2.6 Facilitar la integración de la gestión de riesgos de la información en las empresas y en los procesos de TI (por ejemplo, en el desarrollo de sistemas, las compras, la gestión de proyectos) para permitir un programa de gestión de riesgos de la información integral en toda la organización.
2.7 Monitorear factores internos y externos (por ejemplo, los indicadores clave de riesgo [KRI], panorama de amenazas, cambio geopolítico, regulatorio) que pueden requerir la reevaluación del riesgo para garantizar que los cambios en los escenarios de riesgo nuevos y existentes se identifiquen y gestionen de manera apropiada.
2.8 Informar el incumplimiento y otros cambios en el riesgo de la información para facilitar el proceso de toma de decisiones en la gestión del riesgo.
2.9 Garantizar que el riesgo de seguridad de la información se informe a la alta dirección para apoyar la comprensión del posible impacto en las metas y los objetivos de la organización.

Enunciados de conocimientos relacionados:

2.1  Conocimiento de los métodos para establecer un modelo de clasificación de los activos de información coherente con los objetivos de negocio
2.2 Conocimiento de las consideraciones para asignar la propiedad de los activos de información así como el riesgo
2.3 Conocimiento de los métodos para identificar y evaluar el impacto de eventos internos y externos sobre activos de información y el negocio
2.4 Conocimiento de los métodos utilizados para monitorear los factores de riesgo internos o externos
2.5 Conocimiento de las metodologías para valuar los activos de información
2.6 Conocimiento de los requisitos legales, regulatorios, organizativos y de otro tipo, relacionados con la seguridad de la información
2.7 Conocimiento de las fuentes de información fidedignas, confiables y oportunas concernientes a las nuevas amenazas a la seguridad y vulnerabilidad de la información
2.8 Conocimiento de los eventos que pueden requerir reevaluaciones de riesgos y cambios a los elementos del programa de seguridad de la información
2.9 Conocimiento de las amenazas a la información, las vulnerabilidades y las exposiciones y su naturaleza cambiante
2.10 Conocimiento de las metodologías de evaluación y análisis de riesgos
2.11 Conocimiento de los métodos utilizados para priorizar los escenarios de riesgo y las opciones de tratamiento/respuesta al riesgo
2.12 Conocimiento de los requisitos para la presentación de informes de riesgos (por ejemplo, frecuencia, audiencia, contenido)
2.13 Conocimiento de las opciones de tratamiento/respuesta al riesgo (evitar, mitigar, aceptar o transferir) y los métodos para aplicarlas
2.14 Conocimiento de los estándares y niveles mínimos de control, y sus relaciones con las evaluaciones de riesgos
2.15 Conocimiento de los controles de seguridad de la información y los métodos para analizar su efectividad
2.16 Conocimiento de las técnicas de análisis de brecha en relación con la seguridad de la información
2.17 Conocimiento de las técnicas para la integración de la gestión de riesgos de seguridad de la información en los procesos de TI y de negocios
2.18 Conocimiento de los procesos y los requisitos de presentación de informes de cumplimiento
2.19 Conocimiento del análisis de costo-beneficio para evaluar las opciones de tratamiento de riesgos

Dominio 3—Desarrollo y gestión del programa de seguridad de la información

Desarrollar y mantener un programa de seguridad de la información que identifique, gestione y proteja los activos de la organización y se alinee con la estrategia de seguridad de la información y las metas del negocio, de manera tal que respalde una postura de seguridad efectiva. (27%)

Enunciados de tareas:

3.1  Establecer y/o mantener el programa de seguridad de la información alineado con la estrategia de seguridad de la información.
3.2 Alinear el programa de seguridad de la información con los objetivos operativos de otras funciones del negocio (por ejemplo, Recursos Humanos [RR. HH.], contabilidad, compras y TI) para garantizar que el programa de seguridad de la información agregue valor al negocio y lo proteja.
3.3 Identificar, adquirir y administrar los requisitos de recursos internos y externos para ejecutar el programa de seguridad de la información.
3.4 Establecer y mantener procesos y recursos de seguridad de la información (incluidos personas y tecnologías) para ejecutar el programa de seguridad de la información en alineación con las metas de negocio de la organización.
3.5 Establecer, comunicar y mantener estándares, procedimientos, guías y otros documentos de seguridad de la información de la organización para guiar y exigir el cumplimiento de las políticas de seguridad de la información.
3.6 Establecer, promover y mantener un programa de concientización y capacitación de seguridad de la información para promover una cultura de seguridad eficaz.
3.7 Integrar los requisitos de seguridad de la información en los procesos de la organización (por ejemplo, control de cambios, fusiones y adquisiciones, desarrollo del sistema, continuidad del negocio, recuperación ante desastres) para mantener la estrategia seguridad de la organización.
3.8 Integrar los requisitos de seguridad de la información en los contratos y en las actividades de terceros (por ejemplo, empresas conjuntas, proveedores externos, socios comerciales, clientes) y monitorear el cumplimiento con los requisitos establecidos para mantener la estrategia de seguridad de la organización.
3.9 Establecer, supervisar y analizar la gestión del programa y las mediciones operacionales para evaluar la eficacia y la eficiencia del programa de seguridad de la información.
3.10 Compilar y presentar informes a las partes interesadas clave sobre las actividades, las tendencias y la efectividad general del programa de SI y los procesos de negocio subyacentes para comunicar el desempeño de la seguridad.

Enunciados de conocimientos relacionados:

3.1  Conocimiento de los métodos para alinear los requisitos del programa de seguridad de la información con los de otras funciones del negocio
3.2 Conocimiento de los métodos para identificar, adquirir, administrar y definir los requerimientos de recursos internos y externos
3.3 Conocimiento de las tecnologías de seguridad de la información actuales y nuevas, y los conceptos subyacentes
3.4 Conocimiento de los métodos para diseñar e implementar controles de seguridad de la información
3.5 Conocimiento de los recursos y procesos de seguridad de la información (incluidos personas y tecnologías) en alineación con las metas de negocio de la organización y los métodos para aplicarlos
3.6 Conocimiento de los métodos para desarrollar normas, procedimientos y directrices de seguridad de información
3.7 Conocimiento de las regulaciones, los estándares, los marcos de referencia y las mejores prácticas reconocidas internacionalmente relacionadas con la gestión y el desarrollo del programa de seguridad de la información
3.8 Conocimiento de los métodos para implementar y comunicar políticas, normas, procedimientos y directrices de seguridad de la información
3.9 Conocimiento del desarrollo del conjunto de habilidades, certificaciones y entrenamientos para el personal de seguridad de la información
3.10 Conocimiento de los métodos para establecer y mantener un conocimiento efectivo de seguridad de la información y programas de capacitación
3.11 Conocimiento de los métodos para integrar los requisitos de seguridad de la información en procesos organizacionales (por ejemplo, gestión de acceso, gestión de cambios, procesos de auditoría)
3.12 Conocimiento de los métodos para incorporar los requisitos de seguridad de la información en contratos, acuerdos y procesos de gestión de terceros
3.13 Conocimiento de los métodos para monitorear y revisar contratos y acuerdos con terceros, y procesos de cambio asociados, según se requiera
3.14 Conocimiento de los métodos para diseñar, implementar e informar las mediciones operacionales de seguridad de la información
3.15 Conocimiento de los métodos para probar la efectividad y eficiencia de los controles de seguridad de la información
3.16 Conocimiento de las técnicas para comunicar el estado del programa de seguridad de la información a las partes interesadas clave

Dominio 4—Gestión de Incidentes de Seguridad de la Información

Planificar, establecer y administrar la capacidad de detectar, investigar, responder y recuperarse de incidentes de seguridad de la información para minimizar el impacto en el negocio.(19%)

Enunciados de tareas:

4.1  Establecer y mantener una definición organizacional de, y severidad jerarquía de los incidentes de seguridad de la información, que permita la clasificación y categorización precisas de, y la respuesta a, los incidentes.
4.2 Establecer y mantener un plan de respuesta a incidentes para asegurar una respuesta eficaz y oportuna a los incidentes de seguridad de la información.
4.3 Desarrollar e implementar procesos para garantizar la identificación oportuna de los incidentes de seguridad de la información que pudieran impactar en el negocio.
4.4 Establecer y mantener procesos para investigar y documentar los incidentes de seguridad de la información con el fin de determinar la causa y la respuesta adecuadas, adhiriéndose a los requisitos legales, reglamentarios y de la organización..
4.5 Establecer y mantener los procesos de notificación y escalamiento de incidentes para garantizar que las partes interesadas correspondientes estén involucradas en la gestión de respuesta a incidentes.
4.6 Organizar, capacitar y equipar a los equipos de respuesta a incidentes para responder a los incidentes de seguridad de la información de manera eficaz y oportuna.
4.7 Probar, examinar y revisar (según corresponda) periódicamente el plan de respuesta a incidentes para garantizar una respuesta eficaz a los incidentes de seguridad de la información y mejorar la capacidad de respuesta.
4.8 Establecer y mantener los planes y procesos de comunicación para gestionar la comunicación con entidades internas y externas.
4.9 Realizar revisiones posteriores al incidente para determinar el origen de los incidentes de seguridad de la información, desarrollar acciones correctivas, reevaluar riesgos, evaluar la efectividad de la respuesta y tomar las medidas correctivas adecuadas.
4.10 Establecer y mantener la integración entre el plan de respuesta a incidentes, el plan de continuidad del negocio y el plan de recuperación ante desastres.

Enunciados de conocimientos relacionados:

4.1  Conocimiento de los conceptos y las prácticas de gestión de incidentes
4.2 Conocimiento de los componentes de un plan de respuesta a incidentes
4.3 Conocimiento de planificación de la continuidad del negocio (BCP) y de la planificación de recuperación ante desastres (DRP) y su relación con el plan de respuesta a incidentes
4.4 Conocimiento de los métodos de clasificación/categorización de incidentes
4.5 Conocimiento de los métodos de contención de incidentes para minimizar el impacto operativo adverso
4.6 Conocimiento de los procesos de notificación y escalamiento
4.7 Conocimiento de las funciones y responsabilidades en la identificación y gestión de incidentes de seguridad de la información
4.8 Conocimiento de los tipos y recursos disponibles de capacitación, herramientas y equipos que se requieren para dotar adecuadamente a los equipos de respuesta a incidentes
4.9 Conocimiento de los requisitos y las capacidades forenses para recoger, preservar y presentar evidencia (por ej., admisibilidad, calidad e integridad de la evidencia, cadena de custodia)
4.10 Conocimiento de los requisitos y procedimientos de reportes internos y externos de incidentes
4.11 Conocimiento de las prácticas de revisión posteriores al incidente y los métodos de investigación para identificar el origen y determinar las acciones correctivas
4.12 Conocimiento de las técnicas para cuantificar daños, costos y otros impactos empresariales ocasionados por incidentes de seguridad de la información
4.13 Conocimiento de las tecnologías y los procesos para detectar, registrar, analizar y documentar eventos de seguridad de la información
4.14 Conocimiento de los recursos internos y externos disponibles para investigar incidentes de seguridad de la información
4.15 Conocimiento de los métodos para identificar y cuantificar el posible impacto de los cambios realizados al ambiente operativo durante el proceso de respuesta a incidentes
4.16 Conocimiento de las técnicas para probar el plan de respuesta a incidentes
4.17 Conocimiento de los requerimientos regulatorios, legales y organizativos aplicables
4.18 Conocimiento de los indicadores/métricas clave para evaluar la eficacia del plan de respuesta a incidentes