Contacta con nosotros

award icon svg Certificado

Temario del curso

Dominio 1—Gobernanza de la Seguridad de la Información (24%)

Establecer y mantener un marco de gobernanza de la seguridad de la información y los procesos asociados para garantizar que la estrategia de seguridad de la información esté alineada con las metas y objetivos organizacionales, que el riesgo de información se gestione adecuadamente y que los recursos del programa sean gestionados responsablemente.

  • 1.1 Establecer y mantener una estrategia de seguridad de la información alineada con las metas y objetivos organizacionales para guiar el establecimiento y la gestión continua del programa de seguridad de la información.
  • 1.2 Establecer y mantener un marco de gobernanza de la seguridad de la información para orientar las actividades que apoyan la estrategia de seguridad de la información.
  • 1.3 Integrar la gobernanza de la seguridad de la información en la gobernanza corporativa para garantizar que las metas y objetivos organizacionales sean apoyados por el programa de seguridad de la información.
  • 1.4 Establecer y mantener políticas de seguridad de la información para comunicar las directrices de la dirección y guiar el desarrollo de estándares, procedimientos y lineamientos.
  • 1.5 Elaborar casos de negocio para respaldar las inversiones en seguridad de la información.
  • 1.6 Identificar influencias internas y externas a la organización (por ejemplo, tecnología, entorno empresarial, tolerancia al riesgo, ubicación geográfica, requisitos legales y regulatorios) para garantizar que estos factores sean abordados por la estrategia de seguridad de la información.
  • 1.7 Obtener el compromiso de la alta dirección y el apoyo de otras partes interesadas para maximizar la probabilidad de una implementación exitosa de la estrategia de seguridad de la información.
  • 1.8 Definir y comunicar los roles y responsabilidades de la seguridad de la información en toda la organización para establecer claras responsabilidades y líneas de autoridad.
  • 1.9 Establecer, monitorear, evaluar e informar métricas (por ejemplo, indicadores clave de meta [KGI], indicadores clave de rendimiento [KPI], indicadores clave de riesgo [KRI]) para proporcionar a la dirección información precisa sobre la efectividad de la estrategia de seguridad de la información.

Dominio 2—Gestión del Riesgo de Información y Cumplimiento (33%)

Gestionar el riesgo de información hasta un nivel aceptable para satisfacer los requisitos comerciales y de cumplimiento normativo de la organización.

  • 2.1 Establecer y mantener un proceso de identificación y clasificación de activos de información para garantizar que las medidas tomadas para proteger los activos sean proporcionales a su valor comercial.
  • 2.2 Identificar requisitos legales, regulatorios, organizacionales y otros aplicables para gestionar el riesgo de incumplimiento hasta niveles aceptables.
  • 2.3 Asegurar que las evaluaciones de riesgos, evaluaciones de vulnerabilidades y análisis de amenazas se realicen periódica y consistentemente para identificar el riesgo a la información de la organización.
  • 2.4 Determinar e implementar opciones apropiadas de tratamiento del riesgo para gestionar este hasta niveles aceptables.
  • 2.5 Evaluar los controles de seguridad de la información para determinar si son apropiados y mitigan efectivamente el riesgo hasta un nivel aceptable.
  • 2.6 Integrar la gestión del riesgo de información en los procesos comerciales y de TI (por ejemplo, desarrollo, adquisiciones, gestión de proyectos, fusiones y adquisiciones) para promover un proceso consistente y exhaustivo de gestión del riesgo de información en toda la organización.
  • 2.7 Monitorear el riesgo existente para asegurar que los cambios sean identificados y gestionados adecuadamente.
  • 2.8 Informar sobre el incumplimiento y otros cambios en el riesgo de información a la gestión apropiada para asistir en el proceso de toma de decisiones de gestión de riesgos.

Dominio 3—Desarrollo y Gestión del Programa de Seguridad de la Información (25%)

Establecer y gestionar el programa de seguridad de la información en alineación con la estrategia de seguridad de la información.

  • 3.1 Establecer y mantener el programa de seguridad de la información en alineación con la estrategia de seguridad de la información.
  • 3.2 Asegurar la alineación entre el programa de seguridad de la información y otras funciones comerciales (por ejemplo, recursos humanos [RRHH], contabilidad, adquisiciones y TI) para apoyar la integración con los procesos comerciales.
  • 3.3 Identificar, adquirir, gestionar y definir los requisitos para recursos internos y externos necesarios para ejecutar el programa de seguridad de la información.
  • 3.4 Establecer y mantener arquitecturas de seguridad de la información (personas, procesos, tecnología) para ejecutar el programa de seguridad de la información.
  • 3.5 Establecer, comunicar y mantener estándares, procedimientos, lineamientos y otra documentación organizacional de seguridad de la información para apoyar y guiar el cumplimiento con las políticas de seguridad de la información.
  • 3.6 Establecer y mantener un programa de concienciación y capacitación en seguridad de la información para promover un entorno seguro y una cultura de seguridad efectiva.
  • 3.7 Integrar los requisitos de seguridad de la información en los procesos organizacionales (por ejemplo, control de cambios, fusiones y adquisiciones, desarrollo, continuidad del negocio, recuperación ante desastres) para mantener la línea base de seguridad de la organización.
  • 3.8 Integrar los requisitos de seguridad de la información en los contratos y actividades de terceros (por ejemplo, empresas conjuntas, proveedores externalizados, socios comerciales, clientes) para mantener la línea base de seguridad de la organización.
  • 3.9 Establecer, monitorear e informar periódicamente métricas de gestión del programa y operaciones para evaluar la efectividad y eficiencia del programa de seguridad de la información.

Dominio 4—Gestión de Incidentes de Seguridad de la Información (18%)

Planificar, establecer y gestionar la capacidad para detectar, investigar, responder y recuperarse de incidentes de seguridad de la información con el fin de minimizar el impacto empresarial.

  • 4.1 Establecer y mantener un proceso de clasificación y categorización de incidentes de seguridad de la información para permitir una identificación precisa y respuesta a los incidentes.
  • 4.2 Establecer, mantener y alinear el plan de respuesta a incidentes con el plan de continuidad del negocio y el plan de recuperación ante desastres para asegurar una respuesta efectiva y oportuna a los incidentes de seguridad de la información.
  • 4.3 Desarrollar e implementar procesos para asegurar la identificación oportuna de incidentes de seguridad de la información.
  • 4.4 Establecer y mantener procesos para investigar y documentar incidentes de seguridad de la información, permitiendo responder adecuadamente y determinar sus causas mientras se adhieren a los requisitos legales, regulatorios y organizacionales.
  • 4.5 Establecer y mantener procesos de manejo de incidentes para asegurar que las partes interesadas apropiadas estén involucradas en la gestión de la respuesta al incidente.
  • 4.6 Organizar, capacitar y equipar equipos para responder efectivamente a los incidentes de seguridad de la información de manera oportuna.
  • 4.7 Probar y revisar periódicamente los planes de gestión de incidentes para asegurar una respuesta efectiva y mejorar las capacidades de respuesta.
  • 4.8 Establecer y mantener planes y procesos de comunicación para gestionar la comunicación con entidades internas y externas.
  • 4.9 Realizar revisiones posteriores al incidente para determinar la causa raíz de los incidentes de seguridad de la información, desarrollar acciones correctivas, reevaluar el riesgo, evaluar la efectividad de la respuesta y tomar las acciones remediales apropiadas.
  • 4.10 Establecer y mantener la integración entre el plan de respuesta a incidentes, el plan de recuperación ante desastres y el plan de continuidad del negocio.

Requerimientos

No hay prerrequisitos establecidos para este curso. ISACA requiere un mínimo de cinco años de experiencia profesional en seguridad de la información para optar a la certificación completa. Puede presentarse al examen CISM antes de cumplir con los requisitos de experiencia de ISACA, pero la calificación CISM se otorga después de que cumpla dichos requisitos. Sin embargo, no hay restricción alguna para certificarse en las etapas iniciales de su carrera y comenzar a practicar prácticas globales aceptadas de gestión de la seguridad de la información.

 28 Horas

Número de participantes


Precio por participante

Testimonios (7)

Próximos cursos

Categorías Relacionadas