Download Gerencia de La Seguridad PDF

TitleGerencia de La Seguridad
Tags Information Security Information Human Resources Software Development Process
File Size741.7 KB
Total Pages30
Document Text Contents
Page 1

Definición de

n Orientación para ejecutivos y gerentes

Gerencia de la seguridad
de la información

Requerimientos de la posición

Page 2

Definición de los requerimientos para la posición de gerencia de seguridad de la información

2 © 2 0 0 8 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .2 © 2 0 0 8 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .

ISACA®

Con más de 86.000 miembros en más de 160 países, ISACA (www.isaca.org) es reconocida como
el líder mundial en gobierno, control, seguridad y aseguramiento de TI. Fundada en 1969, ISACA
patrocina conferencias internacionales, publica el Information Systems Control Journal® y desarrolla
estándares de auditoría y control de sistemas de información a nivel internacional. También administra
la designación mundialmente respetada Certified Information Systems Auditor™ (CISA®), obtenida
por más de 60.000 profesionales desde 1978; la designación Certified Information Security
Manager® (CISM®), obtenida por más de 9.000 profesionales desde 2002 y la nueva designación
Certified in the Governance of Enterprise IT™ (CGEIT™).

Cláusula de exención de responsabilidad
ISACA ha diseñado y creado la Definición de los requerimientos para la posición de gerencia de
seguridad de la información: Orientación para ejecutivos y gerentes (el “Trabajo”) principalmente
como un recurso educacional para gerentes de seguridad de la información. ISACA no afirma que
el uso del Trabajo garantizará un resultado satisfactorio. No debe considerarse que el Trabajo incluye
toda la información, procedimientos y pruebas adecuados o que excluye otro tipo de información,
procedimientos y pruebas que estén razonablemente destinados a obtener los mismos resultados.
Para determinar la conveniencia de cualquier información, procedimiento o prueba específica, los
profesionales de seguridad deben aplicar su propio juicio profesional a las circunstancias específicas
presentadas por los sistemas o ambientes de tecnología de la información específicos.

Reserva de Derechos
© 2008 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación se puede
utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperación o
transmitir de alguna manera a través de algún medio (electrónico, mecánico, fotocopias, grabación u
otros) sin la autorización previa por escrito de ISACA. La reproducción y uso de la totalidad de esta
publicación o parte de la misma se permite únicamente para uso académico, interno y no comercial
y para acuerdos de consultoría/asesoría, y debe incluir la mención completa de la fuente del material.
No se otorga otra clase de derechos ni permisos en relación con este trabajo.

ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EUA
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: [email protected]
Página Internet: www.isaca.org

Definición de los requerimientos para la posición de gerencia de seguridad de la información:
Orientación para ejecutivos y gerentes

Impreso en los Estados Unidos de América

Page 15

Capítulo XX

15© 2 0 0 8 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .

3. Evolución de la Carrera
Los gerentes de seguridad de la información deben poseer una amplia gama de habilidades
para alcanzar el éxito en sus funciones. Algunas de estas habilidades pertenecen al área de
gestión, gestión de riesgos, tecnología, comunicación, gestión de proyectos, organización
y liderazgo. Debido a que las empresas se concentran cada vez más en habilidades de
negocio y a veces les resulta difícil ponderar las habilidades interpersonales, se recomienda
que, al seleccionar un gerente de seguridad de la información, hagan énfasis en una
persona con experiencia en las cinco áreas de contenido de trabajo de CISM.

Es importante tener en cuenta que el reclutamiento externo no es siempre la única opción.
Con frecuencia, las empresas poseen en su nómina empleados con habilidades críticas. Es
posible que un profesional de seguridad de la información ingrese a una empresa en un área
particular y posteriormente adquiera habilidades adicionales que le permitan avanzar a otra.

La figura 2 ilustra las numerosas trayectorias de desarrollo de carrera por las que puede
transitar un gerente de seguridad de la información dentro de una empresa. Muestra el
desarrollo típico de la carrera de un profesional de seguridad de la información y cómo estos
profesionales pueden moverse horizontal, vertical y diagonalmente a medida que progresan
en sus carreras. Esta figura también resalta el hecho de que son muchos los antecedentes y
recursos de carrera en los cuales pueden apoyarse los gerentes de seguridad de la información
para adquirir nuevos conocimientos, certificaciones, capacitación y experiencia.

El ascenso desde una posición inicial a una posición de nivel C puede seguir varias trayectorias;
de hecho, éste es precisamente el patrón observado al realizar un sondeo entre quienes poseen
la certificación CISM en todo el mundo. Estos profesionales ingresaron a sus organizaciones
desde numerosas áreas funcionales y progresaron por el escalafón corporativo siguiendo
patrones tanto verticales como horizontales y, con frecuencia, también describieron trayectorias
de ascenso diagonal. Para ascender dentro de una empresa se requiere una combinación de
habilidades técnicas y gerenciales, y se cree que este patrón continuará en el futuro.

El conjunto de habilidades que deben poseer los gerentes de seguridad de la información de
la actualidad no siempre son fáciles de medir. Los empleadores necesitan una referencia sobre
la cual apoyarse al evaluar empleados, para efectos de ascensos, y a los candidatos externos,
para efectos de contratación. La taxonomía de Bloom6 ofrece a las empresas una escala para
determinar si los candidatos a ciertos trabajos poseen el conjunto de habilidades necesarias
para desempeñarse en las funciones de gerente de seguridad de la información.

Bloom identificó seis niveles de dominio cognitivo, desde el nivel más bajo—un simple
recuerdo o el reconocimiento de los hechos—pasando por niveles mentales cada vez más
complejos y abstractos, hasta el nivel más alto, que se clasifica como evaluación; en la
figura 3 se citan ejemplos de verbos que representan la actividad intelectual en cada nivel.

En la figura 4 se aprecian con más detalle las competencias de la posición de gerente de
seguridad de la información, en función de los seis niveles de aprendizaje de Bloom. Se
sugiere una correlación de niveles de competencia entre los diferentes niveles corporativos
y las competencias de Bloom: conocimiento, comprensión, aplicación, análisis, síntesis y
evaluación. Los requerimientos de competencia en las distintas áreas se pueden satisfacer
asignando al equipo profesionales con las diferentes fortalezas necesarias.

6 Bloom, B; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984

3. Evolución de la Carrera

Page 16

Figura 2—Modelo típico de progreso y gestión de seguridad de la información

Comité del Consejo Directivo de Seguridad/ Aseguramiento de la Información

Equipo Multidisciplinario de Nivel C

Nivel Gestión Tecnología Arquitectura
Asegura­
miento

Legal/Gestión
de Riesgos/
Privacidad

Alto
directivo
(Nivel C) CIO COO CTO CISO CArO CAO GC CRO CPO

Gerente/
director

Consultoría en
Operaciones

Seguridad de la información en desarrollo/
sistemas e infraestructura

Auditoría
interna

Riesgo de la
información/
consultoría en
privacidad

Experto Consultor de
TI principal

Profesional
senior
de TI

Ingeniero
senior de
desarrollo
de TI

Arquitecto
senior de TI

Auditor
senior de
seguridad
de la
información

Consultor de TI
principal

Especialista,
gerente

Gerente de productos/programas/proyectos, líder de equipo, gerente de cuenta en ventas

Especialista,
técnico

Consultor de
seguridad,
analista de
negocios

Gerente de
producto
de
seguridad

Diseñador de
seguridad

Profesional
de sistemas
de seguridad

Auditor de
seguridad

Consultor de
riesgos de la
información

Entrante Analista Desarrollador Pasante/
Practicante
de diseñador
de seguridad

Pasante/
Practicante
de sistemas
de seguridad

Pasante/
Practicante
de auditor
de seguridad

El desarrollo de carrera a través del nivel C puede ser vertical, horizontal y/o diagonal.

Fuente: Adaptado de Lynas, David; John Sherwood; “Professionalism in Information Security:
A Framework for Competency Development,” 12 Conferencia Anual de COSAC, Reino Unido, 2005

Clave de Nivel C:
CIO = Director de TI (Chief Information Officer) CAO = Director de Aseguramiento (Chief Assurance Officer)
COO = Director de Operaciones (Chief Operating Officer) GC = Consultor General (General Counsel)
CTO = Director de Tecnología (Chief Technology Officer) CRO = Director de Riesgos (Chief Risk Officer)
CISO = Director de Seguridad de la Información CPO = Director de Privacidad (Chief Privacy Officer)
(Chief Information Security Officer)
CARO = Director de Arquitectura (Chief Architecture Officer)

N
iv

el
es

d
e

C
ar

re
ra

Definición de los requerimientos para la posición de gerencia de seguridad de la información

16 © 2 0 0 8 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .

Al promover o contratar a un gerente de seguridad de la información, las empresas
pueden comprobar la utilidad de este concepto de competencias para determinar las
calificaciones y requerimientos del candidato a la posición.

Un gerente de seguridad de la información requiere de vastos y profundos conocimientos
de una amplia gama de áreas. En muchos casos, este nivel de conocimiento no se encuentra
en una sola persona, especialmente en las etapas iniciales de su carrera. Por lo tanto,
en las grandes empresas, es probable que sea necesario un equilibrio de competencias
profesionales distribuidas dentro de un conjunto de profesionales y, dentro de este conjunto
de profesionales, quienes posean una comprensión más amplia y profunda de las áreas
necesarias podrán acceder a los cargos más altos. En virtud de que la tecnología está
cambiando muy rápidamente, se requiere capacitación y formación continuas.

Page 29

Capítulo XX

29© 2 0 0 8 I S A C A . T o d o S l o S d e r e C h o S r e S e r v A d o S .

Gobierno de TI
• Board Briefing on IT Governance, 2nd Edition, 2003
• Identifying and Aligning Business Goals and IT Goals, 2008
• IT Governance Global Status Report—2008, 2008
• Understanding How Business Goals Drive IT Goals, 2008

CobiT y publicaciones relacionadas
• CobIT ® 4.1, 2007
• CobiT ® Control Practices: Guidance to Achieve Control Objectives for Successful

IT Governance, 2nd Edition, 2007
• CobiT ® QuickstartTM, 2nd Edition, 2007
• CobiT ® Security BaselineTM, 2nd Edition, 2007
• IT Assurance Guide: Using CobiT ®, 2007
• IT Control Objectives for Basel II: The Importance of Governance and Risk

Management for Compliance, 2007
• IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and

Implementation of Internal Control Over Financial Reporting, 2nd Edition, 2006
• IT Governance Implementation Guide: Using CobiT ® and Val IT™, 2nd Edition, 2007

Mapeando CobiT:
• Aligning CobiT ® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit, 2008
• CobiT ® Mapping: Mapping of CMMI® for Development V1.2 With CobiT ® 4.0, 2007
• CobiT ® Mapping: Mapping of ISO/IEC 17799:2000 With CobiT ® 4.0, 2nd Edition, 2006
• CobiT® Mapping: Mapping of ISO/IEC 17799:2005 With CobiT ® 4.0, 2006
• CobiT ® Mapping: Mapping of ITIL V3 With CobiT ® 4.1, 2008
• CobiT ® Mapping: Mapping of NIST SP800-53 With CobiT ® 4.1, 2007
• CobiT ® Mapping: Mapping of PMBOK With CobiT ® 4.0, 2006
• CobiT ® Mapping: Mapping of PRINCE2 With CobiT ® 4.0, 2007
• CobiT ® Mapping: Mapping of SEI’s CMM for Software With CobiT ® 4.0, 2006
• CobiT ® Mapping: Mapping of TOGAF 8.1 With CobiT ® 4.0, 2007
• CobiT ® Mapping: Overview of International IT Guidance, 2nd Edition, 2006

Prácticas y Competencias del Dominio del Gobierno de TI:
• Governance of Outsourcing, 2005
• Information Risks: Whose Business Are They?, 2005
• IT Alignment: Who Is in Charge?, 2005
• Measuring and Demonstrating the Value of IT, 2005
• Optimising Value Creation From IT Investments, 2005

Val IT:
• Enterprise Value: Governance of IT Investments, Getting Started With Value

Management, 2008
• Enterprise Value: Governance of IT Investments, The Business Case, 2006
• Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008
• Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Extract, 2008

Otras Publicaciones

Page 30

3701 Algonquin Road, Suite 1010

Rolling Meadows, IL 60008 EUA

Teléfono: +1.847.253.1545

Fax: +1.847.253.1443

Correo electrónico: [email protected]

Página Internet: www.isaca.org

Similer Documents