Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección uno: descripción general

Formato de este manual

Cada uno de los cuatro capítulos de la edición del “Manual de revisión 15” del CISM está dividido en dos secciones
para un estudio enfocado.

La sección uno incluye:

 Una definición del dominio

 Objetivos de aprendizaje para el dominio como área de práctica
 Una lista de las tareas y declaraciones de conocimientos para el dominio.
 Un mapa de la relación de cada tarea con las declaraciones de conocimiento para el dominio.
 Una guía de referencia para las declaraciones de conocimientos para el dominio, incluidos los conceptos y
explicaciones relevantes
 Referencias a contenido específico en la sección dos para cada declaración de conocimiento
 Ejemplo de preguntas y respuestas de autoevaluación con explicaciones
 Recursos sugeridos para un mayor estudio del dominio

La sección dos incluye:

 Material y contenido de referencia que respalde la tarea y las declaraciones de conocimientos.

 Definiciones de términos que se encuentran con mayor frecuencia en el examen.
 Actividades de aprendizaje para reforzar conceptos y conocimientos
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección uno: descripción general

Desarrollo y gestión de programas de seguridad de la

información
Tabla de contenido
0. SECCIÓN UNO: DESCRIPCIÓN GENERAL............................................................................................................................ 3

0.1. DEFINICIÓN DEL DOMINIO.......................................................................................................................................................3

0.1.1. OBJETIVOS DE APRENDIZAJE......................................................................................................................................3
0.1.2. REFERENCIA DEL EXAMEN CISM.................................................................................................................................3
0.2. DECLARACIONES DE TAREAS Y CONOCIMIENTOS...........................................................................................................................3
0.2.1. DECLARACIONES DE TAREA........................................................................................................................................3
0.2.2. DECLARACIONES DE CONOCIMIENTOS.......................................................................................................................4
0.2.3. RELACIÓN DE LA TAREA CON LAS DECLARACIONES DE CONOCIMIENTOS.................................................................5
0.2.4. GUÍA DE REFERENCIA DE LA DECLARACIÓN DE TAREA..............................................................................................6
0.3. PREGUNTAS DE AUTOEVALUACIÓN............................................................................................................................................6
0.4. RESPUESTAS A LAS PREGUNTAS DE AUTOEVALUACIÓN...................................................................................................................8

3. SECCIÓN DOS: CONTENIDO............................................................................................................................................ 10

3.0. INTRODUCCIÓN...................................................................................................................................................................10
3.1. DESCRIPCIÓN GENERAL DE LA GESTIÓN DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN.............................................................10
3.2. OBJETIVOS DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN..................................................................................................10
3.3. CONCEPTOS DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN.................................................................................................10
3.4. ALCANCE Y ESTATUTO DE UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN................................................................................10
3.5. EL MARCO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN....................................................................................................10
3.6. COMPONENTES DEL MARCO DE SEGURIDAD DE LA INFORMACIÓN.................................................................................................10
3.7. DEFINICIÓN DE UNA HOJA DE RUTA PARA UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN...........................................................10
3.8. INFRAESTRUCTURA Y ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN......................................................................................10
3.9. IMPLEMENTACIÓN DE LA ARQUITECTURA..................................................................................................................................10
3.10. GESTIÓN DEL PROGRAMA DE SEGURIDAD Y ACTIVIDADES ADMINISTRATIVAS....................................................................................10
3.11. SERVICIOS DEL PROGRAMA DE SEGURIDAD Y ACTIVIDADES OPERATIVAS..........................................................................................10
3.12. CONTROLES Y CONTRAMEDIDAS.............................................................................................................................................10
3.13. MÉTRICAS Y MONITOREO DEL PROGRAMA DE SEGURIDAD...........................................................................................................10
3.14. DESAFÍOS COMUNES DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN.....................................................................................10
3.15. ESTUDIO DE CASO............................................................................................................................................................... 10
3.16. CAPÍTULO 3 CLAVE DE RESPUESTAS........................................................................................................................................10

Página 2 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección uno: descripción general

i. Sección uno: descripción general

Este capítulo revisa las diversas áreas de conocimiento necesarias para desarrollar y administrar un programa de
seguridad de la información.

i.1. Definición del dominio

Desarrollar y mantener un programa de seguridad de la información que identifique, administre y proteja los activos
de la organización mientras se alinea con la estrategia de seguridad de la información y los objetivos comerciales,
respaldando así una postura de seguridad eficaz.

i.1.1. OBJETIVOS DE APRENDIZAJE

El objetivo de este dominio es asegurar que el candidato CISM tenga los conocimientos necesarios para:

• Comprender los requisitos generales y las actividades necesarias para crear, administrar y mantener un
programa de seguridad de la información para implementar una estrategia de seguridad de la información.
• Definir y utilizar los recursos necesarios para lograr las metas de TI consistentes con los objetivos
organizacionales.
• Comprender a las personas, los procesos y la tecnología necesarios para ejecutar la estrategia de seguridad de la
información.

i.1.2. REFERENCIA DEL EXAMEN CISM

Este dominio representa el 27 por ciento del examen CISM (aproximadamente 41 preguntas).

i.2. Declaraciones de tareas y conocimientos

i.2.1. DECLARACIONES DE TAREA

Hay 10 tareas dentro de este dominio que un CISM debe saber cómo realizar:

T3.1 Establecer y / o mantener el programa de seguridad de la información alineado con la estrategia de seguridad
de la información.

T3.2 Alinear el programa de seguridad de la información con los objetivos operativos de otras funciones comerciales
(por ejemplo, recursos humanos [RRHH], contabilidad, adquisiciones y TI) para garantizar que el programa de
seguridad de la información agregue valor y proteja el negocio.

T3 .3 Identificar, adquirir y gestionar los requisitos de recursos internos y externos para ejecutar el programa de
seguridad de la información.

T3.4 Establecer y mantener procesos y recursos de seguridad de la información (incluidas personas y tecnologías)
para ejecutar el programa de seguridad de la información en alineación con los objetivos comerciales de la
organización.

T3.5 Establecer, comunicar y mantener estándares, pautas, procedimientos y otra documentación de seguridad de la
información de la organización para guiar y hacer cumplir el cumplimiento de las políticas de seguridad de la
información.

T3.6 Establecer, promover y mantener un programa de concientización y capacitación en seguridad de la

información para fomentar una cultura de seguridad efectiva.

Página 3 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección uno: descripción general

T3.7 Integrar los requisitos de seguridad de la información en los procesos organizacionales (por ejemplo, control de
cambios, fusiones y adquisiciones, desarrollo de sistemas, continuidad del negocio, recuperación ante desastres)
para mantener la estrategia de seguridad de la organización.

T3.8 Integrar los requisitos de seguridad de la información en los contratos y actividades de terceros (por ejemplo,
empresas conjuntas, proveedores subcontratados, socios comerciales, clientes) y monitorear el cumplimiento de los
requisitos establecidos para mantener la estrategia de seguridad de la organización.

T3.9 Establecer, monitorear y analizar la gestión del programa y métricas operativas para evaluar la efectividad y
eficiencia del programa de seguridad de la información.

T3.10 Recopilar y presentar informes a las partes interesadas clave sobre las actividades, las tendencias y la eficacia
general del programa de seguridad de la información y los procesos comerciales subyacentes para comunicar el
desempeño de la seguridad.

i.2.2. DECLARACIONES DE CONOCIMIENTOS

El candidato CISM debe tener una buena comprensión de cada uno de los dominios delineados por las declaraciones
de conocimientos. Estas declaraciones son la base del examen.

Hay 16 declaraciones de conocimiento dentro del dominio de Desarrollo y Gestión de Programas de Seguridad de la
Información:

K3.1 Conocimiento de métodos para alinear los requisitos del programa de seguridad de la información con los de
otras funciones comerciales.

K3.2 Conocimiento de métodos para identificar, adquirir, gestionar y definir requisitos para recursos internos y
externos.

K3.3 Conocimiento de las tecnologías de seguridad de la información actuales y emergentes y los conceptos
subyacentes.

K3.4 Conocimiento de métodos para diseñar e implementar controles de seguridad de la información.

K3.5 Conocimiento de los procesos y recursos de seguridad de la información (incluidas las personas y las
tecnologías) en consonancia con los objetivos comerciales de la organización y los métodos para aplicarlos.

K3.6 Conocimiento de métodos para desarrollar y documentar estándares, procedimientos y pautas de seguridad de
la información.

K3.7 Conocimiento de las regulaciones, estándares, marcos y mejores prácticas reconocidos internacionalmente
relacionados con el desarrollo y la gestión de programas de seguridad de la información.

K3.8 Conocimiento de métodos para implementar y comunicar políticas, estándares, procedimientos y pautas de
seguridad de la información.

K3.9 Conocimiento de capacitación, certificaciones y desarrollo de conjuntos de habilidades para el personal de

seguridad de la información

K3.10 Conocimiento de métodos para establecer y mantener programas efectivos de capacitación y concientización
sobre seguridad de la información.

Página 4 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección uno: descripción general

K3.11 Conocimiento de métodos para integrar los requisitos de seguridad de la información en los procesos
organizacionales (p. Ej., Gestión de acceso, gestión de cambios, procesos de auditoría)

K3.12 Conocimiento de métodos para incorporar requisitos de seguridad de la información en contratos, acuerdos y
procesos de gestión de terceros.

K3.13 Conocimiento de métodos para monitorear y revisar contratos y acuerdos con terceros y procesos según sea
necesario

K3.14 Conocimiento de métodos para diseñar, implementar y reportar métricas de seguridad de la información
operativa.

K3.15 Conocimiento de métodos para probar la efectividad y eficiencia de los controles de seguridad de la
información.

K3.16 Conocimiento de técnicas para comunicar el estado del programa de seguridad de la información a las partes
interesadas clave.

i.2.3. RELACIÓN DE LA TAREA CON LAS DECLARACIONES DE CONOCIMIENTOS

Las declaraciones de tareas son lo que se espera que el candidato CISM sepa cómo realizar. Las declaraciones de
conocimientos delinean cada una de las áreas en las que el candidato a CISM debe tener una buena comprensión
para realizar las tareas. Se mapean los enunciados de tareas y conocimientos, en la medida de lo posible. Tenga en
cuenta que, aunque a menudo se superponen, cada enunciado de tarea generalmente se correlacionará con varios
enunciados de conocimiento.

Asignación de declaraciones de conocimientos y tareas

Declaración de tarea Declaraciones de conocimientos

T3.1 K3.1/K3.2/K3.5/ K3.7/ K3.11

T3.2 K3.1/K3.5/K3.11/ K3.12

T3.3 K3.2/K3.3/K3.5/ K3.11/ K3.12/K3.13/K3.14

T3.4 K3.2/K3.3/K3.5

T3.5 K3.5/K3.6/K3.8/ K3.10

T3.6 K3.5/K3.8/K3.9/ K3.16

T3.7 K3.4/K3.5/K3.7/ K3.10/ K3.11

T3.8 K3.4/K3.7/ K3.12

T3.9 K3.14/K3.15

T3.10 K3.14/K3.15/K3.16

i.2.4. GUÍA DE REFERENCIA DE LA DECLARACIÓN DE TAREA

Página 5 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección uno: descripción general

La siguiente sección contiene las declaraciones de tareas que se espera que un candidato a CISM sepa cómo lograr
asignadas a las áreas en el manual de revisión con información que respalda la ejecución de la tarea. Las referencias
de los pies en el manual se centran en el conocimiento que el gerente de seguridad de la información debe conocer
para realizar las tareas y negociar con éxito el examen.

Guía de referencia de declaración de tareas

Declaración de tarea Referencia en el manual

T3.1 3.1.2 Alineación estratégica

3.6 Componentes del marco de seguridad de la información
3.8 Arquitectura e infraestructura de seguridad de la información
T3.2 3.1 Descripción general de la gestión del programa de seguridad de la información
3.10 Gestión del programa de seguridad y actividades administrativas
3.11 Servicios del programa de seguridad y actividades operativas
T3.3 3.10 Gestión del programa de seguridad y actividades administrativas
3.11 Servicios del programa de seguridad y actividades operativas
T3.4 3.10 Gestión del programa de seguridad y actividades administrativas
3.11 Servicios del programa de seguridad y actividades operativas
T3.5 3.10 Gestión del programa de seguridad y actividades administrativas
3.13 Métricas y monitoreo del programa de seguridad
T3.6 3.10.2 Capacitación y educación en concientización sobre seguridad
3.11 Servicios del programa de seguridad y actividades operativas
T3.7 3.9 Implementación de la arquitectura
3.11 Servicios del programa de seguridad y actividades operativas
3.12 Controles y contramedidas
T3.8 3.10.11 Gestión de proveedores
3.11.9 Proveedores de servicios y subcontratación
3.11.10 Computación en la nube
3.12 Controles y contramedidas
T3.9 3.12 Controles y contramedidas
3.13 Métricas y monitoreo del programa de seguridad
T3.10 3.10.5 Documentación
3.13 Métricas y monitoreo del programa de seguridad
i.3. Preguntas de autoevaluación

Las preguntas del examen CISM se desarrollan con la intención de medir y probar los conocimientos prácticos en la
gestión de la seguridad de la información. Las preguntas de Ali son de opción múltiple y están diseñadas para una
mejor respuesta. Cada pregunta del CISM tiene una raíz (pregunta) y cuatro opciones (opciones de respuesta). Se
pide al candidato que elija la respuesta correcta o la mejor entre las opciones. La raíz puede tener la forma de una
pregunta o una declaración incompleta. En algunos casos, también se puede incluir un escenario o un problema de
descripción. Estas preguntas normalmente incluyen una descripción de una situación y requieren que el candidato
responda dos o más preguntas en base a la información proporcionada. Muchas veces, una pregunta del examen
CISM requerirá que el candidato elija la respuesta más probable o mejor.

En todos los casos, se requiere que el candidato lea atentamente la pregunta, elimine las respuestas incorrectas
conocidas y luego haga la mejor elección posible. Conocer el formato en el que se hacen las preguntas y cómo
estudiar para obtener conocimiento de lo que se evaluará contribuirá en gran medida a responderlas correctamente.

3-1 Al implementar un sistema de detección de intrusos (IDS), el gerente de seguridad de la información debe
recomendar que se coloque:

A. fuera del cortafuegos.

Página 6 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección uno: descripción general

B. en el servidor de firewall.
C. en una subred protegida.
D. en el enrutador extremo.

3-2 ¿Cuál de las siguientes es la MEJOR métrica para evaluar la eficacia de la capacitación en conciencia de
seguridad? el número de:

A. restablecimiento de contraseña
B. incidentes denunciados
C. incidentes resueltos
D. violaciones de las reglas de acceso

3-3 Los mecanismos de supervisión de la seguridad deberían PRINCIPALMENTE:

A. centrarse en la información crítica para el negocio.

B. ayudar a los propietarios a gestionar el riesgo de control.
C. centrarse en detectar intrusiones en la red.
D. registrar todas las violaciones de seguridad.

3-4 Al contratar a un subcontratista para que proporcione la administración de seguridad, el elemento contractual
MÁS importante es:

A. cláusula de derecho a rescindir.

B. limitaciones de responsabilidad.
C. acuerdo de nivel de servicio.
D. cláusula de sanciones financieras.

3-5 ¿Cuál de las siguientes opciones es MÁS eficaz para prevenir las debilidades de seguridad en los sistemas
operativos?

A. Gestión de parches
B. Gestión del cambio
C. Líneas de base de seguridad
D. Gestión de la configuración

3-6 ¿Cuál de las siguientes es la solución MÁS eficaz para evitar que los usuarios internos modifiquen información
confidencial y clasificada?

A. Estándares de seguridad básicos

B. Registros de violaciones de acceso al sistema
C. Controles de acceso basados en roles
D. Investigaciones de antecedentes

3-7 ¿Cuál de las siguientes es la consideración MÁS importante al implementar un IDS?

A. Calendario
B. Parcheo
C. Cifrado
D. Filtrado de paquetes

Página 7 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección uno: descripción general

3-8 ¿Cuál de las siguientes prácticas se usa MEJOR para eliminar el acceso al sistema para los contratistas y otros
usuarios temporales cuando ya no es necesario?

A. Registre todo el uso de la cuenta y envíe informes periódicos a sus gerentes.

B. Establecer fechas de vencimiento automáticas predeterminadas.
C. Exigir a los gerentes que envíen un correo electrónico al departamento de seguridad cuando el usuario se vaya.
D. Asegúrese de que cada individuo haya firmado un reconocimiento de seguridad.

3-9 ¿Cuál de las siguientes opciones es MÁS importante para el éxito de un programa de seguridad de la
información?

A. Capacitación adecuada sobre tecnologías de seguridad emergentes

B. Comunicación abierta con los propietarios de procesos clave
C. Políticas, normas y procedimientos adecuados
D. Compromiso de la dirección ejecutiva

3-10 Una empresa está implementando un programa de seguridad de la información. ¿Durante qué fase se deben
establecer métricas para evaluar la efectividad del programa a lo largo del tiempo?

A. Prueba
B. Iniciación
C. Diseño
D. Desarrollo

i.4. Respuestas a las preguntas de autoevaluación

3.1 C 3.6 C
3.2 B 3.7 A
3.3 A 3.8 B
3.4 C 3.9 D
3.5 A 3.10 C

Página 8 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección dos: Contenido

1. Sección dos: contenido

1.1. Introducción

El propósito del programa de seguridad de la información es ejecutar la estrategia y lograr los objetivos
organizacionales para niveles aceptables de riesgo e interrupción del negocio. Generalmente, una hoja de ruta se
construye en base a la estrategia, un conjunto de objetivos y / o metas de alto nivel y los resultados deseados con un
plan para lograrlos. La hoja de ruta consiste en los planes detallados paso a paso para lograr esos objetivos, que son
proyectos o iniciativas específicas. Los planes también deben incluir las actividades en curso necesarias para
gestionar, mantener y mejorar la rentabilidad del programa.

El programa de seguridad de la información abarca toda la organización y todas las actividades que sirven para
brindar protección a los activos de información de la organización. Esto incluye tanto el desarrollo como la gestión
continua de las diversas actividades, procesos y proyectos relacionados con la seguridad de la información. El
programa existe únicamente para apoyar y promover los objetivos comerciales de la organización. Para ser eficaz y
agregar valor a la organización, el programa debe estar alineado y enfocado de manera demostrable en ayudar a la
empresa a lograr sus objetivos habilitando las actividades comerciales y administrando los riesgos para limitar las
interrupciones a niveles aceptables.

Los diversos elementos y actividades que componen el programa de seguridad de la información requieren de una
variedad de recursos internos y externos para lograr sus objetivos estratégicos. Es posible que los recursos ya
existan, deban adquirirse o subcontratarse a entidades externas. Los objetivos del programa se pueden cumplir de
muchas maneras, y depende del gerente de seguridad de la información identificar las opciones óptimas de recursos,
iniciar el proceso de adquisición de la organización y administrar la implementación o integración requerida de los
recursos en el programa de seguridad de la información.

La tarea consiste en desarrollar procesos de seguridad de la información, como la clasificación, escalamiento,

notificación y monitoreo de activos necesarios para proporcionar un nivel apropiado de control en apoyo de las
actividades comerciales y luego administrarlos para garantizar que se mantengan adecuadamente para garantizar la
efectividad a lo largo del tiempo.

Los controles administrativos, como los estándares, deben desarrollarse inicialmente para todas las políticas y luego
mantenerse y modificarse según sea necesario para garantizar el cumplimiento continuo de las políticas. El gerente
de seguridad de la información se asegura de que las entidades operativas desarrollen procedimientos subyacentes
que sean consistentes con los estándares. Circunstancias como entornos cambiantes, riesgo nuevo o escalado y
nuevas tecnologías pueden requerir cambios en los estándares y procedimientos para mantener el cumplimiento
continuo de las políticas.

El personal de una organización constituye una primera línea de defensa fundamental para la seguridad de la
información. Con la mayoría de las personas en la organización ocupadas enfocándose en sus propias tareas
específicas, la seguridad y el riesgo de la información generalmente no son enfoques primarios. Los esfuerzos
continuos para mantener la conciencia relacionada con la seguridad y estar alerta al riesgo potencial en toda la
empresa son componentes esenciales de un programa de seguridad de la información eficaz.

La mayoría de las actividades organizativas plantean algún grado de riesgo para la organización. Se debe desarrollar
e implementar una estrategia de seguridad de la información para abordar esos riesgos de manera rentable. Para
lograr este objetivo, se deben evaluar todos los procesos de la organización y aplicar los requisitos de seguridad
adecuados para minimizar las interrupciones y lograr los objetivos comerciales.

Página 9 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección dos: Contenido

Una parte importante de la gestión de la seguridad de la información requiere procesos para garantizar que los
contratos con proveedores de servicios externos y cualquier persona que tenga acceso a los sistemas de información
de la organización contengan un lenguaje adecuado para proporcionar seguridad coherente con los objetivos de la
estrategia. Esto requiere que estas entidades sean monitoreadas de manera continua y periódicamente
inspeccionadas y / o auditadas para garantizar que cumplan con los requisitos de seguridad. También debe haber
procesos de escalamiento claros y probados si algo sale mal y, en todos los casos, se debe usar autenticación,
autorización y segmentación de red sólidas para garantizar que las partes externas tengan acceso solo a lo que
necesitan para cumplir con sus responsabilidades.

La gestión eficaz requiere métricas y seguimiento eficaces. Se deben desarrollar métricas a nivel operativo, táctico y
estratégico, y luego monitorearlas y analizarlas de manera continua. Otros requisitos de monitoreo esenciales
incluyen controles esenciales, indicadores clave de riesgo (KRis) para advertir sobre riesgos cambiantes, entornos
internos y externos y cumplimiento de políticas y estándares.

Una vez que un programa de seguridad de la información está operativo, es esencial informar sobre su desempeño a
lo largo del tiempo. Las tendencias pueden ser fuertes indicadores de mejoras a lo largo del tiempo o de que se debe
hacer más para hacer frente al riesgo emergente.

i.2. Descripción general de la gestión del programa de seguridad de la información

Un programa de seguridad de la información abarca todas las actividades y recursos que brindan colectivamente
servicios de seguridad de la información a una organización. Las actividades principales del programa incluyen el
diseño, desarrollo e integración de controles de toda la empresa relacionados con la seguridad de la información, así
como la administración y gestión continua de estos controles. Los controles pueden variar desde políticas y procesos
simples hasta soluciones tecnológicas muy complejas. Dependiendo del tamaño y la naturaleza de la organización,
estas actividades pueden ser ejecutadas por una sola persona o un director de seguridad de la información (CISO)
que gestiona un gran personal con diversas habilidades.

En algunos casos, se le puede solicitar al gerente de seguridad de la información que inicie un programa de seguridad
de la información desde su inicio. Más a menudo, el gerente de seguridad de la información administra, modifica y
mejora un programa existente. En cualquier caso, es importante tener un conocimiento sólido de los muchos
aspectos y requisitos del diseño, la implementación y la gestión eficaces de un programa.

La gestión exitosa del programa de seguridad no es significativamente diferente de la gestión de cualquier otra
actividad organizativa. La principal diferencia es que, a pesar de una mayor visibilidad, la seguridad de la información
sigue siendo una disciplina un tanto mal definida y frecuentemente incomprendido.

Muchos gerentes de seguridad de la información tienen experiencia técnica. Muchos no se embarcaron en una
carrera administrativa; más bien, eran tecnólogos que se enfrentaban cada vez más a funciones y responsabilidades
de gestión. Además, este movimiento hacia una función de gestión más amplia ha sido impulsado por el mayor
deseo de la empresa de comprender por qué se requieren controles de seguridad específicos y cómo la empresa se
beneficia específicamente de ellos. En resumen, la alta gerencia quiere comprender el riesgo específico que está
abordando el programa de seguridad de la información y por qué los controles que exige son una inversión sólida y
realmente benefician a la empresa. Como resultado, muchos profesionales de la seguridad de la información han
tenido que ampliar su visión más allá de la tecnología y desarrollar una mayor comprensión de las actividades
comerciales que buscan proteger.

Las tendencias duales de las organizaciones de seguridad en crecimiento y la mayor presión de la empresa para
garantizar que el programa de seguridad esté alineado con los objetivos comerciales y los respalde se han
combinado para ampliar el cuerpo de conocimientos que los gerentes de seguridad deben dominar. Ahora se debe
Página 10 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección dos: Contenido

agregar una amplia gama de conocimientos y comprensión de negocios a la base del conocimiento de seguridad de
la información que todos los profesionales de seguridad deben poseer.

ii. Tendencias en la gestión de la seguridad de la información

En un número creciente de organizaciones, el gerente de seguridad de la información es un miembro del liderazgo
superior, designado como vicepresidente de seguridad, CISO o director de seguridad (CSO), como se detalla en la
sección 1.3.5 Director de seguridad de la información. Además, varias funciones de seguridad pueden depender de
una organización de seguridad de nivel corporativo independiente. Estas funciones incluyen seguridad física y de la
información, seguridad de TI, cumplimiento, privacidad, planificación de la continuidad del negocio / recuperación
ante desastres (BCP / DR) y arquitectura de seguridad. En algunas grandes organizaciones multinacionales, muchas o
todas estas funciones están incluidas actualmente bajo un gerente de riesgo corporativo senior o un director de
riesgo (CRO).

Los beneficios de esta tendencia son evidentes. Todas estas funciones responden a la necesidad básica de garantizar
la seguridad y preservación de la organización y son interdependientes. Es probable que la agregación de estas
actividades de aseguramiento bajo una sola función corporativa gane el favor, ya que se hace cada vez más evidente
que un enfoque de seguridad desintegrado y sencillo es ineficiente, costoso e ineficaz.

Sin embargo, en otras empresas, la seguridad de la información sigue siendo un esfuerzo de TI fragmentado y de
bajo nivel. En muchos sectores, como la fabricación, la industria alimentaria y el comercio minorista, la seguridad de
la información se considera principalmente una actividad técnica que se ocupa en gran medida de cuestiones de
cumplimiento en lugar de una actividad empresarial estratégica vital.

Independientemente de las tendencias y las consideraciones óptimas para la seguridad, la realidad en la mayoría de
las organizaciones es algo menos que óptima, pero la seguridad aún debe administrarse de manera continua.

Además de comprender los conceptos y tecnologías de seguridad, los gerentes de seguridad de la información
necesitarán cada vez más adquirir experiencia en una variedad de funciones de gestión, como presupuestación,
planificación, desarrollo de casos de negocios, contratación y otras funciones relacionadas con el personal.

iii. Elementos esenciales de un programa de seguridad de la información

Tres elementos son esenciales para garantizar el diseño, la implementación y la gestión continua de un programa de
seguridad exitoso:

1. El programa debe ser la ejecución de una estrategia de seguridad de la información bien desarrollada que esté
estrechamente alineada con los objetivos de la organización y los apoye.
2. El programa debe estar bien diseñado con la cooperación y el apoyo de la administración y las partes
interesadas.
3. Se deben desarrollar métricas efectivas para las fases de diseño e implementación del programa, así como para
las siguientes fases continuas de gestión del programa de seguridad para proporcionar la retroalimentación
necesaria para guiar la ejecución del programa para lograr los resultados definidos.

Muchos marcos recomiendan una evaluación de riesgos como punto de partida para desarrollar una estrategia de
seguridad de la información. Si bien esto puede ser adecuado en algunos casos, no es óptimo y no aborda el
equilibrio de resultados importantes para la seguridad de la información, incluida la alineación estratégica, la gestión
de recursos, la entrega de valor, la integración del proceso de aseguramiento y la medición del desempeño.

El enfoque integral para el desarrollo de estrategias de seguridad, como se presenta en el capítulo 1, va más allá de
abordar el riesgo al definir también los objetivos generales para la seguridad de la información. Estos objetivos
deben estar vinculados explícitamente a los objetivos de la organización. El enfoque descrito también describe
metodologías para definir el estado de seguridad deseado y proporciona la base para desarrollar una estrategia
Página 11 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección dos: Contenido

integral y eficaz para lograr esos objetivos. Más allá de centrarse únicamente en la gestión de riesgos, este enfoque
considera cómo la seguridad de la información debe estar vinculada y apoyar activamente los objetivos estratégicos
de la organización, garantizar su preservación y optimizar los recursos y actividades de seguridad.

Muchas organizaciones aún no están preparadas para asumir los costos y esfuerzos para implementar la gobernanza
de la seguridad de la información. En estos casos, el gerente de seguridad de la información puede necesitar "atajar"
el desarrollo de los objetivos. El uso de un marco estándar, como COBIT o ISO / IEC 27001: 2013, junto con la
integración del modelo de madurez de capacidad (CMMI) o un modelo de evaluación de procesos (PAM), puede
ayudar a lograr este objetivo. Este enfoque permitirá al gerente de seguridad de la información determinar el estado
actual del programa de seguridad de la información, establecer metas específicas y determinar una estrategia para
lograrlas.

El gerente de seguridad de la información debe desarrollar objetivos definidos para el programa de seguridad de la
información y obtener el consenso de la administración y las partes interesadas. Sin objetivos definidos para la
seguridad de la información, será imposible diseñar métricas de gestión de seguridad de la información efectivas
porque no habrá ningún punto de referencia para mostrar el progreso y es probable que el desarrollo sea ad hoc y
fortuito.

Independientemente de cómo se diseñen los objetivos de seguridad de la información y se desarrolle una estrategia
para lograrlos, las metas de un programa de seguridad de la información son implementar la estrategia y lograr los
objetivos definidos. Una vez desarrollado, el programa de seguridad de la información debe representar claramente
los elementos de la estrategia.

iii.1. Objetivos del programa de seguridad de la información

iii.2. Conceptos del programa de seguridad de la información

iii.3. Alcance y estatuto de un programa de seguridad de la información

iii.4. El marco de gestión de la seguridad de la información

iii.5. Componentes del marco de seguridad de la información

iii.6. Definición de una hoja de ruta para un programa de seguridad de la información

iii.7. Infraestructura y arquitectura de seguridad de la información

iii.8. Implementación de la arquitectura

iii.9. Gestión del programa de seguridad y actividades administrativas

iii.10. Servicios del programa de seguridad y actividades operativas

iii.11. Controles y contramedidas

iii.12. Métricas y monitoreo del programa de seguridad

iii.13. Desafíos comunes del programa de seguridad de la información

iii.14. Estudio de caso

Página 12 de 13
Capítulo 3 - Desarrollo y gestión de programas de seguridad de la información Sección dos: Contenido

iii.15. Capítulo 3 Clave de respuestas

Página 13 de 13