CISM: Gerente certificado de seguridad de la información

Esquema del curso

Dominio 1: Gobernanza de la seguridad de la información

• Desarrollar una estrategia de seguridad de la información, alineada con los objetivos y directivas del negocio.
• Establecer y mantener un marco de gobernanza de la seguridad de la información.
• Integrar el gobierno de la seguridad de la información en el gobierno corporativo.
• Desarrollar y mantener políticas de seguridad de la información.
• Desarrollar casos de negocios para respaldar las inversiones en seguridad de la información.
• Identificar influencias internas y externas a la organización.
• Obtener el compromiso continuo de los altos directivos y otras partes interesadas.
• Definir, comunicar y monitorear las responsabilidades de seguridad de la información.
• Establecer canales de comunicación e informes internos y externos.

Dominio 2: Gestión de riesgos de la información

• Establecer y/o mantener un proceso de clasificación de activos de información para garantizar que las medidas tomadas para proteger los activos sean proporcionales a su valor comercial.
• Identificar los requisitos legales, regulatorios, organizacionales y otros requisitos aplicables para gestionar el riesgo de incumplimiento a niveles aceptables.
• Asegúrese de que las evaluaciones de riesgos, evaluaciones de vulnerabilidad y análisis de amenazas se realicen de manera consistente y en los momentos apropiados, para identificar y evaluar los riesgos para la información de la organización.
• Identificar, recomendar o implementar opciones apropiadas de tratamiento/respuesta al riesgo para gestionar el riesgo a niveles aceptables según el apetito de riesgo de la organización.
• Determinar si los controles de seguridad de la información son apropiados y gestionar eficazmente el riesgo a un nivel aceptable.
• Facilitar la integración de la gestión de riesgos de la información en los procesos empresariales y de TI para permitir un programa de gestión de riesgos de la información coherente e integral en toda la organización.
• Supervisar los factores internos y externos (por ejemplo, panorama de amenazas, ciberseguridad, cambios geopolíticos y regulatorios) que puedan requerir una reevaluación del riesgo para garantizar que los cambios en los escenarios de riesgo nuevos o existentes se identifiquen y gestionen adecuadamente.
• Informar incumplimientos y otros cambios en la información de riesgo para facilitar el proceso de toma de decisiones de gestión de riesgos.
• Asegúrese de que el riesgo de seguridad de la información se informe a la alta dirección para respaldar la comprensión del impacto potencial en las metas y objetivos de la organización.

Dominio 3: Desarrollo y gestión de programas de seguridad de la información

• Desarrollar un programa de seguridad, alineado con la estrategia de seguridad de la información.
• Garantizar la alineación entre el programa de seguridad de la información y otras funciones comerciales.
• Establecer y mantener requisitos para todos los recursos para ejecutar el programa de SI.
• Establecer y mantener arquitecturas de SI para ejecutar el programa de SI.
• Desarrollar documentación que garantice el cumplimiento de las políticas.
• Desarrollar un programa de concientización y capacitación en seguridad de la información.
• Integrar los requisitos de seguridad de la información en los procesos organizacionales.
• Integrar los requisitos de seguridad de la información en contratos y actividades de terceros.
• Desarrollar procedimientos (métricas) para evaluar la efectividad y eficiencia del programa de SI.
• Compile informes para las partes interesadas clave sobre la eficacia general del programa de SI y los procesos de negocio subyacentes para comunicar el rendimiento de la seguridad.

Dominio 4: Gestión de incidentes de seguridad de la información

• Definir (tipos de) incidentes de seguridad de la información
• Establecer un plan de respuesta a incidentes
• Desarrollar procesos para la identificación oportuna de incidentes de seguridad de la información.
• Desarrollar procesos para investigar y documentar incidentes de seguridad de la información.
• Desarrollar procesos de comunicación y escalamiento de incidentes.
• Establecer equipos que respondan eficazmente a incidentes de seguridad de la información.
• Probar y revisar el plan de respuesta a incidentes
• Establecer planes y procesos de comunicación.
• Determinar la causa raíz de los incidentes de IS
• Alinear el plan de respuesta a incidentes con DRP y BCP.