Certificado
Temario del curso
Dominio 1 — Gobernanza de Seguridad de la Información (24%)
Establecer y mantener un marco de gobernanza de seguridad de la información y procesos de apoyo para asegurar que la estrategia de seguridad de la información esté alineada con los objetivos organizacionales, que el riesgo de información se gestione adecuadamente y que los recursos del programa se administren responsablemente.
- 1.1 Establecer y mantener una estrategia de seguridad de la información alineada con los objetivos organizacionales para guiar el establecimiento y la gestión continua del programa de seguridad de la información.
- 1.2 Establecer y mantener un marco de gobernanza de seguridad de la información que guíe las actividades que apoyen la estrategia de seguridad de la información.
- 1.3 Integrar la gobernanza de seguridad de la información en la gobernanza corporativa para asegurar que los objetivos organizacionales sean respaldados por el programa de seguridad de la información.
- 1.4 Establecer y mantener políticas de seguridad de la información para comunicar las directrices de la gerencia y guiar el desarrollo de estándares, procedimientos y lineamientos.
- 1.5 Desarrollar estudios de justificación empresarial para respaldar las inversiones en seguridad de la información.
- 1.6 Identificar influencias internas y externas a la organización (por ejemplo, tecnología, entorno empresarial, tolerancia al riesgo, ubicación geográfica, requisitos legales y regulatorios) para asegurar que estos factores sean abordados por la estrategia de seguridad de la información.
- 1.7 Obtener el compromiso de la alta dirección y el apoyo de otros interesados para maximizar la probabilidad de una implementación exitosa de la estrategia de seguridad de la información.
- 1.8 Definir y comunicar los roles y responsabilidades de seguridad de la información en toda la organización para establecer claras asignaciones de responsabilidad y líneas de autoridad.
- 1.9 Establecer, monitorear, evaluar e informar métricas (por ejemplo, indicadores clave de meta [KGI], indicadores clave de desempeño [KPI], indicadores clave de riesgo [KRI]) para proporcionar a la gerencia información precisa sobre la efectividad de la estrategia de seguridad de la información.
Dominio 2 — Gestión del Riesgo de Información y Cumplimiento (33%)
Gestionar el riesgo de información hasta un nivel aceptable para satisfacer los requisitos comerciales y de cumplimiento de la organización.
- 2.1 Establecer y mantener un proceso para la identificación y clasificación de activos de información para asegurar que las medidas tomadas para proteger los activos sean proporcionales a su valor empresarial.
- 2.2 Identificar requisitos legales, regulatorios, organizacionales y otros aplicables para gestionar el riesgo de incumplimiento hasta niveles aceptables.
- 2.3 Asegurar que se realicen evaluaciones de riesgo, evaluaciones de vulnerabilidades y análisis de amenazas periódica y consistentemente para identificar riesgos a la información de la organización.
- 2.4 Determinar e implementar opciones adecuadas de tratamiento de riesgo para gestionar el riesgo hasta niveles aceptables.
- 2.5 Evaluar los controles de seguridad de la información para determinar si son adecuados y mitigan eficazmente el riesgo hasta un nivel aceptable.
- 2.6 Integrar la gestión del riesgo de información en los procesos comerciales y de TI (por ejemplo, desarrollo, adquisición, gestión de proyectos, fusiones y adquisiciones) para promover un proceso consistente y exhaustivo de gestión del riesgo de información en toda la organización.
- 2.7 Monitorear el riesgo existente para asegurar que los cambios sean identificados y gestionados adecuadamente.
- 2.8 Informar sobre el incumplimiento y otros cambios en el riesgo de información a la gerencia apropiada para asistir en el proceso de toma de decisiones de gestión del riesgo.
Dominio 3 — Desarrollo y Gestión del Programa de Seguridad de la Información (25%)
Establecer y gestionar el programa de seguridad de la información alineado con la estrategia de seguridad de la información.
- 3.1 Establecer y mantener el programa de seguridad de la información alineado con la estrategia de seguridad de la información.
- 3.2 Asegurar la alineación entre el programa de seguridad de la información y otras funciones comerciales (por ejemplo, recursos humanos [RRHH], contabilidad, adquisiciones y TI) para apoyar la integración con los procesos comerciales.
- 3.3 Identificar, adquirir, gestionar y definir requisitos para recursos internos y externos necesarios para ejecutar el programa de seguridad de la información.
- 3.4 Establecer y mantener arquitecturas de seguridad de la información (personas, procesos y tecnología) para ejecutar el programa de seguridad de la información.
- 3.5 Establecer, comunicar y mantener estándares, procedimientos, lineamientos y otra documentación de seguridad de la información organizacional para apoyar y guiar el cumplimiento con las políticas de seguridad de la información.
- 3.6 Establecer y mantener un programa de concientización y capacitación en seguridad de la información para promover un entorno seguro y una cultura de seguridad efectiva.
- 3.7 Integrar los requisitos de seguridad de la información en los procesos organizacionales (por ejemplo, control de cambios, fusiones y adquisiciones, desarrollo, continuidad del negocio, recuperación ante desastres) para mantener la línea base de seguridad de la organización.
- 3.8 Integrar los requisitos de seguridad de la información en contratos y actividades de terceros (por ejemplo, empresas conjuntas, proveedores externalizados, socios comerciales, clientes) para mantener la línea base de seguridad de la organización.
- 3.9 Establecer, monitorear e informar periódicamente métricas de gestión del programa y operativas para evaluar la efectividad y eficiencia del programa de seguridad de la información.
Dominio 4 — Gestión de Incidentes de Seguridad de la Información (18%)
Planificar, establecer y gestionar la capacidad para detectar, investigar, responder a incidentes de seguridad de la información y recuperarse de ellos, minimizando el impacto en el negocio.
- 4.1 Establecer y mantener un proceso de clasificación y categorización de incidentes de seguridad de la información para permitir una identificación precisa y respuesta a los incidentes.
- 4.2 Establecer, mantener y alinear el plan de respuesta ante incidentes con el plan de continuidad del negocio y el plan de recuperación ante desastres para asegurar una respuesta efectiva y oportuna a los incidentes de seguridad de la información.
- 4.3 Desarrollar e implementar procesos para asegurar la identificación oportuna de incidentes de seguridad de la información.
- 4.4 Establecer y mantener procesos para investigar y documentar incidentes de seguridad de la información, permitiendo responder adecuadamente y determinar sus causas mientras se cumplen los requisitos legales, regulatorios y organizacionales.
- 4.5 Establecer y mantener procesos de manejo de incidentes para asegurar que las partes interesadas apropiadas estén involucradas en la gestión de la respuesta a incidentes.
- 4.6 Organizar, capacitar y equipar equipos para responder efectivamente e oportunamente a incidentes de seguridad de la información.
- 4.7 Probar y revisar periódicamente los planes de gestión de incidentes para asegurar una respuesta efectiva ante incidentes de seguridad de la información y mejorar las capacidades de respuesta.
- 4.8 Establecer y mantener planes y procesos de comunicación para gestionar la comunicación con entidades internas y externas.
- 4.9 Realizar revisiones posteriores al incidente para determinar la causa raíz de los incidentes de seguridad de la información, desarrollar acciones correctivas, reevaluar el riesgo, evaluar la efectividad de la respuesta y tomar las medidas correctivas apropiadas.
- 4.10 Establecer y mantener la integración entre el plan de respuesta ante incidentes, el plan de recuperación ante desastres y el plan de continuidad del negocio.
Requerimientos
No hay prerrequisitos establecidos para este curso. ISACA requiere un mínimo de cinco años de experiencia profesional en seguridad de la información para optar a la certificación completa. Puede presentarse al examen CISM antes de cumplir con los requisitos de experiencia de ISACA, pero la cualificación CISM se otorga una vez que haya cumplido dichos requisitos. Sin embargo, no hay restricciones para certificarse en etapas tempranas de su carrera y comenzar a practicar las normas globalmente aceptadas de gestión de la seguridad de la información.
Testimonios (7)
La forma de recibir la información del formador
Mohamed Romdhani - Shams Power
Curso - CISM - Certified Information Security Manager
Traducción Automática
Me gustó el ritmo y la forma de presentar la información. También, la estructura y los descansos estaban muy claros. ¡Para mí fue perfecto!
Martin - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Traducción Automática
Cómo interactuaba con nosotros, los participantes del entrenamiento CISM
Aleksandra - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Traducción Automática
Ejemplos de la vida real y videos que respaldan el entrenamiento.
Lukasz Matusz - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Traducción Automática
Repasando las preguntas y la explicación de la lógica de ISACA
Joanna - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Traducción Automática
El formador tiene un conocimiento realmente bueno, habla inglés claro y explica todo con detalle, dibuja esquemas y proporciona documentación.
Rafal Kawalek - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Traducción Automática
El conocimiento del formador y la forma en que lo transmitió. Fue muy interactivo y mantuvo a la audiencia enganchada.
Susmit Nath - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Traducción Automática