Programa del Curso

Dominio 1: Seguridad de la información Governance (24%)

Establecer y mantener un marco de gobernanza de la seguridad de la información y procesos de apoyo para garantizar que la estrategia de seguridad de la información esté alineada con las metas y objetivos de la organización, que el riesgo de la información se gestione adecuadamente y que los recursos del programa se gestionen de forma responsable.

  • 1.1 Establecer y mantener una estrategia de seguridad de la información alineada con las metas y objetivos de la organización para guiar el establecimiento y la gestión continua del programa de seguridad de la información.
  • 1.2 Establecer y mantener un marco de gobernanza de la seguridad de la información para orientar las actividades que apoyen la estrategia de seguridad de la información.
  • 1.3 Integrar la gobernanza de la seguridad de la información en el gobierno corporativo para garantizar que las metas y objetivos de la organización estén respaldados por el programa de seguridad de la información.
  • 1.4 Establecer y mantener políticas de seguridad de la información para comunicar las directrices de la gerencia y guiar el desarrollo de normas, procedimientos y directrices.
  • 1.5 Desarrollar casos de negocio para apoyar las inversiones en seguridad de la información.
  • 1.6 Identificar las influencias internas y externas de la organización (por ejemplo, la tecnología, el entorno empresarial, la tolerancia al riesgo, la ubicación geográfica, los requisitos legales y reglamentarios) para garantizar que estos factores se aborden en la estrategia de seguridad de la información.
  • 1.7 Obtener el compromiso de la alta dirección y el apoyo de otras partes interesadas para maximizar la probabilidad de una implementación exitosa de la estrategia de seguridad de la información.
  • 1.8 Definir y comunicar las funciones y responsabilidades de la seguridad de la información en toda la organización para establecer responsabilidades y líneas de autoridad claras.
  • 1.9 Establecer, monitorear, evaluar e informar métricas (por ejemplo, indicadores clave de objetivos [KGI], indicadores clave de rendimiento [KPI], indicadores clave de riesgo [KRI]) para proporcionar a la gerencia información precisa sobre la efectividad de la estrategia de seguridad de la información.

Dominio 2: Información Risk Management y cumplimiento (33 %)

Gestione el riesgo de la información a un nivel aceptable para cumplir con los requisitos comerciales y de cumplimiento de la organización.

  • 2.1 Establecer y mantener un proceso de identificación y clasificación de los activos de información para garantizar que las medidas adoptadas para proteger los activos sean proporcionales a su valor comercial.
  • 2.2 Identificar los requisitos legales, reglamentarios, organizativos y otros requisitos aplicables para gestionar el riesgo de incumplimiento a niveles aceptables.
  • 2.3 Asegurar que las evaluaciones de riesgos, las evaluaciones de vulnerabilidad y los análisis de amenazas se lleven a cabo de manera periódica y coherente para identificar el riesgo para la información de la organización.
  • 2.4 Determinar e implementar opciones apropiadas de tratamiento de riesgos para manejar el riesgo a niveles aceptables.
  • 2.5 Evaluar los controles de seguridad de la información para determinar si son apropiados y mitigar eficazmente el riesgo a un nivel aceptable.
  • 2.6 Integrar la gestión de riesgos de la información en los procesos empresariales y de TI (por ejemplo, desarrollo, adquisiciones, gestión de proyectos, fusiones y adquisiciones) para promover un proceso de gestión de riesgos de la información coherente y completo en toda la organización.
  • 2.7 Supervisar los riesgos existentes para garantizar que los cambios se identifiquen y gestionen adecuadamente.
  • 2.8 Reportar el incumplimiento y otros cambios en el riesgo de la información a la gerencia apropiada para ayudar en el proceso de toma de decisiones de gestión de riesgos.

Dominio 3: Desarrollo de programas de seguridad de la información y Management (25%)

Establecer y gestionar el programa de seguridad de la información en consonancia con la estrategia de seguridad de la información.

  • 3.1 Establecer y mantener el programa de seguridad de la información alineado con la estrategia de seguridad de la información.
  • 3.2 Garantizar la alineación entre el programa de seguridad de la información y otras funciones empresariales (por ejemplo, recursos humanos, contabilidad, adquisiciones y TI) para apoyar la integración con los procesos empresariales.
  • 3.3 Identificar, adquirir, administrar y definir los requisitos de recursos internos y externos para ejecutar el programa de seguridad de la información.
  • 3.4 Establecer y mantener arquitecturas de seguridad de la información (personas, procesos, tecnología) para ejecutar el programa de seguridad de la información.
  • 3.5 Establecer, comunicar y mantener los estándares, procedimientos, directrices y otra documentación de seguridad de la información de la organización para respaldar y guiar el cumplimiento de las políticas de seguridad de la información.
  • 3.6 Establecer y mantener un programa de concientización y capacitación en seguridad de la información para promover un entorno seguro y una cultura de seguridad efectiva.
  • 3.7 Integrar los requisitos de seguridad de la información en los procesos de la organización (por ejemplo, control de cambios, fusiones y adquisiciones, desarrollo, continuidad del negocio, recuperación ante desastres) para mantener la línea de base de seguridad de la organización.
  • 3.8 Integrar los requisitos de seguridad de la información en los contratos y actividades de terceros (por ejemplo, empresas conjuntas, proveedores subcontratados, socios comerciales, clientes) para mantener la línea de base de seguridad de la organización.
  • 3.9 Establecer, monitorear e informar periódicamente la gestión del programa y las métricas operativas para evaluar la eficacia y eficiencia del programa de seguridad de la información.

Dominio 4: Incidente de seguridad de la información Management (18 %)

Planifique, establezca y gestione la capacidad de detectar, investigar, responder y recuperarse de incidentes de seguridad de la información para minimizar el impacto en el negocio.

  • 4.1 Establecer y mantener un proceso de clasificación y categorización de incidentes de seguridad de la información que permita la identificación precisa de los incidentes y la respuesta a los mismos.
  • 4.2 Establecer, mantener y alinear el plan de respuesta a incidentes con el plan de continuidad del negocio y el plan de recuperación ante desastres para garantizar una respuesta eficaz y oportuna a los incidentes de seguridad de la información.
  • 4.3 Desarrollar e implementar procesos que garanticen la identificación oportuna de incidentes de seguridad de la información.
  • 4.4 Establecer y mantener procesos para investigar y documentar los incidentes de seguridad de la información para poder responder adecuadamente y determinar sus causas, al tiempo que se cumplen los requisitos legales, reglamentarios y organizativos.
  • 4.5 Establecer y mantener procesos de gestión de incidentes para garantizar que las partes interesadas adecuadas participen en la gestión de la respuesta a incidentes.
  • 4.6 Organizar, capacitar y equipar a los equipos para responder de manera efectiva a los incidentes de seguridad de la información de manera oportuna.
  • 4.7 Probar y revisar periódicamente los planes de gestión de incidentes para garantizar una respuesta eficaz a los incidentes de seguridad de la información y mejorar las capacidades de respuesta.
  • 4.8 Establecer y mantener planes y procesos de comunicación para gestionar la comunicación con entidades internas y externas.
  • 4.9 Llevar a cabo revisiones posteriores a los incidentes para determinar la causa raíz de los incidentes de seguridad de la información, desarrollar acciones correctivas, reevaluar el riesgo, evaluar la eficacia de la respuesta y tomar las medidas correctivas adecuadas.
  • 4.10 Establecer y mantener la integración entre el plan de respuesta a incidentes, el plan de recuperación ante desastres y el plan de continuidad del negocio.

Requerimientos

No hay ningún requisito previo establecido para este curso. ISACA requiere un mínimo de cinco años de experiencia laboral profesional en seguridad de la información para calificar para la certificación completa. Puede tomar el examen CISM antes de cumplir con los requisitos de experiencia de ISACA, pero la calificación CISM se otorga después de cumplir con los requisitos de experiencia. Sin embargo, no hay ninguna restricción para obtener la certificación en las primeras etapas de su carrera y comenzar a practicar prácticas de gestión de seguridad de la información aceptadas a nivel mundial.

 28 horas

Número de participantes



Precio por participante

Testimonios (5)

Categorías Relacionadas