Definicin de

Gerencia de la seguridad
de la informacin
Requerimientos de la posicin
n

Orientacin para ejecutivos y gerentes

Alexander
Jose Osorio
Delgado

Firmado digitalmente por Alexander Jose

Osorio Delgado
Nombre de reconocimiento (DN): c=VE,
o=SUSCERTE, ou=Auditor, st=Distrito
Capital, l=Libertador, cn=Alexander Jose
Osorio Delgado,
email=alexander.osorio@inacomp.com.ve,
serialNumber=CI-V-8872421
Fecha: 2016.05.19 12:17:54 -04'30'

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

ISACA
Con ms de 86.000 miembros en ms de 160 pases, ISACA (www.isaca.org) es reconocida como
el lder mundial en gobierno, control, seguridad y aseguramiento de TI. Fundada en 1969, ISACA
patrocina conferencias internacionales, publica el Information Systems Control Journal y desarrolla
estndares de auditora y control de sistemas de informacin a nivel internacional. Tambin administra
la designacin mundialmente respetada Certified Information Systems Auditor (CISA), obtenida
por ms de 60.000 profesionales desde 1978; la designacin Certified Information Security
Manager (CISM), obtenida por ms de 9.000 profesionales desde 2002 y la nueva designacin
Certified in the Governance of Enterprise IT (CGEIT).
Clusula de exencin de responsabilidad
ISACA ha diseado y creado la Definicin de los requerimientos para la posicin de gerencia de
seguridad de la informacin: Orientacin para ejecutivos y gerentes (el Trabajo) principalmente
como un recurso educacional para gerentes de seguridad de la informacin. ISACA no afirma que
eluso del Trabajo garantizar un resultado satisfactorio. No debe considerarse que el Trabajo incluye
toda la informacin, procedimientos y pruebas adecuados o que excluye otro tipo de informacin,
procedimientos y pruebas que estn razonablemente destinados a obtener los mismos resultados.
Para determinar la conveniencia de cualquier informacin, procedimiento o prueba especfica, los
profesionales de seguridad deben aplicar su propio juicio profesional a las circunstancias especficas
presentadas por los sistemas o ambientes de tecnologa de la informacin especficos.
Reserva de Derechos
2008 ISACA. Todos los derechos reservados. Ninguna parte de esta publicacin se puede
utilizar, copiar, reproducir, modificar, distribuir, mostrar, almacenar en un sistema de recuperacin o
transmitir de alguna manera a travs de algn medio (electrnico, mecnico, fotocopias, grabacin u
otros) sin la autorizacin previa por escrito de ISACA. La reproduccin y uso de la totalidad de esta
publicacin o parte de la misma se permite nicamente para uso acadmico, interno y no comercial
y para acuerdos de consultora/asesora, y debe incluir la mencin completa de la fuente del material.
No se otorga otra clase de derechos ni permisos en relacin con este trabajo.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EUA
Telfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrnico: info@isaca.org
Pgina Internet: www.isaca.org

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin:

Orientacin para ejecutivos y gerentes
Impreso en los Estados Unidos de Amrica

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Reconocimientos

Reconocimientos
ISACA desea expresar su reconocimiento a:
Grupo de Discusin de Liderazgo
Ken Baylor, Ph.D., CISM, CISSP, Nuance, EUA
Robert Coles, CISA, CISM, Merrill Lynch, Reino Unido
Sonia DaSilva, CISA, CISM, CGEIT, Memorial Sloan-Kettering Cancer Center, EUA
Lee Kushner, LJ Kushner, EUA
Hans Joern Lund-Andersen, CISA, CISM, Dong Energy, Dinamarca
Marc Noble, CISM, CISSP, ISSAP, Federal Communications Commission, EUA
John Nugent, Ph.D., CISM, CFE, CPA, DBA, University of Dallas, EUA
Michael Raisinghani, Ph.D., CISM, CECC, PMP, Texas Womens University, EUA
Marc A. L. J. Vael, Ph.D., CISA, CISM, KPMG, Blgica
Vishnal Vilas Salvi, CISM, HDFC Bank Limited, India
Consejo de Direccin
Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, Reino Unido,
Presidente Internacional
George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Blgica, Vicepresidente
Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vicepresidente
Jos ngel Pea Ibarra, CGEIT, Consultora en Comunicaciones e Informtica. SA & CV, Mxico,
Vicepresidente
Robert E. Stroud, CA Inc., EUA, Vicepresidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retirado), EUA, Vicepresidente
Frank Yam, CISA, FHKCS, FHKIoD, CIA, CFE, CCP, CFSA, FFA, Focus Strategic Group Inc.,
Hong Kong, Vicepresidente
Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young, EUA, Anterior Presidente Internacional
Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (retirado), EUA, Anterior Presidente Internacional
Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, Director
Tony Hayes, CPA, Gobierno de Queensland, Australia, Director
Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Director
Comit de Gestin de la Seguridad
Jo Stewart-Rattray, CISA, CISM, CSEPS, RSM Bird Cameron, Australia, Presidente
Manuel Aceves, CISA, CISM, CISSP, Cerberian Consulting, Mxico
Kent Anderson, CISM, Encurve LLC, EUA
Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd, EUA
Yves Le Roux, CISM, CA Inc., Francia
Mark Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers, EUA
Kyeong-Hee Oh, CISA, CISM, Fullbitsoft, Corea del Sur
Vernon Poole, CISM, CGEIT, Sapphire Technologies Ltd., Reino Unido
Rolf von Roessing, CISA, CISM, CGEIT, KPMG Alemania, Alemania
Consejo de Certificacin de CISM
Evelyn Susana Anton, CISA, CISM, UTE, Venezuela, Presidente
Garry James Barnes, CISA, CISM, CISA, Commonwealth Bank of Australia, Australia
Allan Neville Boardman, CISA, CISM, CA, CISSP, JP Morgan Chase, Reino Unido
John Randolph Caraway, CISM, CISSP, JP Morgan Chase, EUA
James A. Crawford Jr., CISM, CISSP, MSIA, Marine Forces Reserve, EUA.
Ramses Gallego, CISM, CISSP, SCPM, Entel IT Consulting, Espaa
Hitoshi Ota, CISA, CISM, CIA, Mizuho Corporate Bank Ltd., Japn
Smita Dilip Totade, Ph.D., CISA, CISM, FEI, National Insurance Academy, India
Michael Wai-Kee Yung, CISA, CISM, ESD Services Ltd., Hong Kong
2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Tabla de Contenido
Introduccin...................................................................................................................... 5
Audiencia...................................................................................................................... 5
Metas y Objetivos......................................................................................................... 6
Datos de ISACA........................................................................................................... 6
Beneficios de Este Esfuerzo......................................................................................... 6
1. Seguridad en Contexto............................................................................................... 7
Rol de los gerentes de seguridad de la informacin.................................................... 8
2.

Descripcin de la Posicin........................................................................................ 10
Gobierno de seguridad de la informacin.................................................................. 10
Gestin de Riesgos..................................................................................................... 11
Desarrollo del Programa de Seguridad de la Informacin......................................... 12
Gestin del Programa de Seguridad de la Informacin............................................. 13
Gestin y respuesta a incidentes................................................................................. 14

3. Evolucin de la Carrera........................................................................................... 15
Bases para las Habilidades......................................................................................... 18
Conclusin....................................................................................................................... 19
Apndice APerfil Profesional de los Participantes en el Sondeo Analtico
sobre la Prctica Laboral del CISM............................................................................. 20
Apndice BTareas y Calificaciones de Conocimientos............................................ 21
Apndice CConocimientos Relacionados para Cada rea de Contenido
de la Prctica Laboral del CISM.................................................................................. 22
Referencias....................................................................................................................... 27
Otras Publicaciones........................................................................................................ 28

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Introduccin

Introduccin
Dado que la seguridad de la informacin ha madurado para convertirse en una disciplina, han
surgido mltiples y nuevas oportunidades de carrera. Ya que ha resultado cada vez ms difcil
definir estos puestos de trabajo y las habilidades necesarias, ISACA y el IT Governance
Institute (ITGITM) han realizado investigaciones para proporcionar a los miembros
informacin que puede ayudarles a definir los requerimientos de la posicin de seguridad.
Conforme la profesin de la seguridad de la informacin ha madurado, se ha enfrentado
con requerimientos empresariales y tcnicos cada vez mayores. Las empresas se enfrentan
ahora a mltiples requerimientos regulatorios, as como a un perfil de amenaza siempre
presente y siempre cambiante y la necesidad de gestionar el riesgo. Es imperativo que las
empresas contraten profesionales con las capacidades adecuadas para garantizar que los
activos de informacin estn protegidos contra el uso no autorizado, que los sistemas estn
disponibles, y que la integridad continua de la informacin y los procesos est asegurada.
Tambin es imprescindible que los profesionales de la seguridad que ocupen puestos de
direccin tengan la experiencia prctica en seguridad y negocios para poder responder a las
necesidades cambiantes de la empresa en materia de proteccin.
En la actualidad, no existe ninguna especificacin de facto que defina las responsabilidades,
los conocimientos ni las relaciones de subordinacin ptimas de la gestin de seguridad
de la informacin. Muchas posiciones de seguridad de la informacin reportan al
Director de TI (CIO), otras a un Oficial de Seguridad de la Informacin (CISO), a un
Director de Riesgo (CRO) o un Director de Cumplimiento (CCO). Lasresponsabilidades
del trabajo difieren tambin entre las empresas. Algunas empresas han adoptado un
modelo de convergencia de la seguridad donde un CSO es responsable tanto de la
seguridad de la informacin como de la seguridad fsica. Otras conciben la seguridad de
la informacin nicamente como un tema tecnolgico. Muchas empresas estn llegando
a la conclusin de que la seguridad de la informacin es un asunto de negocios que
afecta la situacin financiera de la empresa en general.

Audiencia
Este informe ha sido preparado para proporcionar una descripcin de la posicin y la
trayectoria de carrera actual para los profesionales de la seguridad de la informacin. Su
objetivo es servir de gua para quienes estn involucrados en la seguridad de la informacin,
incluyendo los profesionales de recursos humanos, profesionales de la seguridad de la
informacin, los ejecutivos, los rganos rectores y los consejos de direccin o los sndicos.
Dado que el campo de la seguridad de la informacin es relativamente nuevo, toda vez
que surgi en la dcada de 1970, muchos profesionales han entrado en la disciplina
de la seguridad de la informacin procedentes de diversas trayectorias profesionales,
incluyendo TI, contabilidad, auditora, derecho, operaciones de negocios, ingeniera,
gestin de proyectos y seguridad fsica. Debido a la diversa formacin que los
profesionales de la seguridad de la informacin aportan a sus posiciones, un elemento
esencial de este informe es un diagrama de los distintos caminos por los que estos
profesionales han incursionado y avanzado en las posiciones de seguridad de la
informacin. Este diagrama (figura 2) se incluye para resumir y presentar, de manera
2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

lgica y fcil de entender, las trayectorias, niveles, roles y funciones que acumulan los
profesionales y gerentes de la seguridad de la informacin en una empresa.
Este informe ha sido concebido como una gua prctica para la definicin de trayectorias
profesionales y los atributos esenciales de la posicin de gerente de seguridad de la informacin.
Puede adaptarse a los requerimientos especficos de una empresa determinada, de acuerdo
con su tamao, nivel jerrquico, naturaleza, recursos, nivel y complejidad de la posicin.

Metas y Objetivos
Este informe proporciona un marco para comprender los numerosos requerimientos
cambiantes e interrelacionados de la posicin de gerente de seguridad de la informacin
y las responsabilidades asignadas a los profesionales en los distintos niveles en una
empresa. Tambin identifica las vas que los profesionales suelen tomar durante sus
carreras para llegar a estas posiciones. La intencin del informe es ayudar a aquellos que
ingresan a la profesin procedentes de un programa universitario, planifican su carrera o
avanzan dentro de la profesin. Tambin sirve como una gua para los responsables de la
contratacin de profesionales de seguridad de la informacin o los que gestionan, lideran
o tienen responsabilidades de supervisin de una funcin de seguridad de la informacin.

Datos de ISACA
La exhaustiva investigacin que se llev a cabo para la preparacin de este informe
incluye los datos recopilados bajo la direccin de ISACA como parte de un amplio
sondeo global realizado en 2006 entre aproximadamente 600 profesionales de seguridad
de la informacin que poseen la designacin Certified Information Security Manager
(CISM), as como un grupo activo de ejecutivos de seguridad de la informacin,
incluyendo ms de 100 CISMs. En el Apndice A se presentan otros datos demogrficos
recopilados en el estudio de 2006. Adems, en 2007, ISACA lanz su Estudio sobre la
Evolucin de la Carrera de Seguridad de la Informacin,1, el cual gener respuestas de
ms de 1.400 CISMs en todo el mundo. Esos resultados se reflejan en esta publicacin.
La designacin CISM es emitida por ISACA y cuenta con el reconocimiento de la
Organizacin Internacional de Estandarizacin (ISO) como parte de un selecto grupo
de certificaciones a profesionales de la seguridad de la informacin que gozan de
reconocimiento mundial.

Beneficios de Este Esfuerzo

Al usar este informe, el lector obtendr una clara comprensin de la dinmica y los
requerimientos para la posicin de gerencia de seguridad de la informacin en cuanto
a las necesidades cambiantes de empleo, la tasa y el grado de cambio tecnolgico que
tienen lugar, y cmo estas condiciones incidirn en el rol del gerente de seguridad de
la informacin. Ser de utilidad para la definicin, perfeccionamiento y actualizacin
de los requerimientos para las posiciones de gerencia de seguridad de la informacin,
teniendo en cuenta que la capacidad y habilidades de gestin pueden ser ms crticas que
las competencias tcnicas, en particular al escalar posiciones dentro de una empresa.
1

ISACA, Information Security Career Progression Survey Results, EUA, 2008

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

1. Seguridad en Contexto

1. Seguridad en Contexto
La seguridad de la informacin es una funcin de negocio. Como tal, es fundamental
que los profesionales de la seguridad de la informacin en busca de progresar dentro
de una empresa desarrollen habilidades de negocio sanas, adems de las habilidades,
conocimientos y destrezas funcionales.
En un artculo publicado recientemente en Computerworld, titulado How IT Is
Revitalizing Staff Skills,2 los entrevistados sealaron que es sumamente necesario
contar con conocimientos y experiencia multifuncionales, as como con destrezas
de negocios y gestin en general, para progresar en la empresa. Los entrevistados
tambin sealaron que es necesario que los profesionales tcnicos dominen habilidades,
conocimientos y destrezas de negocios.
Hoy en da es esencial que los profesionales de seguridad de la informacin no slo
comprendan las cuestiones tcnicas que son una parte esencial de su rol funcional, sino
tambin que sean capaces de comunicarse, interactuar con otros y gestionar sobre la base
de buenos principios y prcticas de administracin de negocios.
El informe de investigacin de ISACA titulado Critical Elements of Information Security
Program Success3 identifica claramente la necesidad de que los ejecutivos y la alta
direccin, as como el gerente de seguridad de la informacin, consoliden una relacin
que transmitir un mensaje coherente con respecto a la prioridad que da la empresa a la
proteccin de la informacin y sus valiosos activos.
Para alinear correctamente los riesgos de negocio y las soluciones de seguridad de la
informacin, es necesario un dilogo de cooperacin entre las reas de negocio y los
expertos en seguridad de la informacin. Sin embargo, para obtener resultados satisfactorios,
es necesario que el dilogo sea respaldado con una accin visible y coherente. La mejor
expresin de dicha accin es el establecimiento y aplicacin coherente de las polticas
y estndares de la empresa. El informe de ISACA indica que, sin la participacin activa
de la direccin ejecutiva en la aplicacin y gestin de una estrategia de seguridad de la
informacin, el progreso se vera reducido por el cumplimiento inconsistente de las polticas,
dando lugar a una falsa sensacin de comodidad en materia de proteccin de activos.
Los conflictos entre las prioridades cotidianas afectan la calidad y la consistencia de la
proteccin de los activos de informacin. Estos conflictos deben tratarse de manera coordinada.
Para garantizar que cada empleado y agente de la empresa tome en serio los riesgos asociados,
la direccin ejecutiva y la alta direccin deben mostrarse abiertamente interesados en asegurar el
xito del programa de seguridad de la informacin dentro de sus empresas.
Otra conclusin clave del informe es que los profesionales de seguridad de la
informacin estn comenzando a reconocer que necesitan desarrollar una slida
comprensin del negocio a medida que su rol se hace ms visible en la empresa. Sus
decisiones exigen una justificacin de riesgo de negocios, y la dependencia de la
empresa en la tecnologa impulsa una mayor interaccin con sus homlogos de las reas
legal y de cumplimiento dentro de la empresa.
2
3

Robb, D; How IT Is Revitalizing Staff Skills, Computerworld, EUA, febrero de 2007

ISACA, Critical Elements of Information Security Program Success, EUA, 2005
2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Rol de los gerentes de seguridad de la informacin

Al parecer, el rol del gerente de seguridad de la informacin est en constante evolucin,
no es slo que los caminos para llegar a una posicin de gerente de seguridad de la
informacin son diferentes, sino que los roles y responsabilidades entre los profesionales
de seguridad de la informacin tambin difieren.
En Information Security Career Progression Survey Results, los CISM indicaron que
sus actividades laborales cambiaron considerablemente de su trabajo anterior al actual. Los
CISM estn experimentando un descenso en las responsabilidades tcnicas y un aumento
significativo en reas como la gestin de programas de seguridad, gestin de riesgos y
cumplimiento. El Apndice B muestra la cantidad de tiempo que los CISM dicen dedicar a
las cinco reas de prctica laboral de la certificacin. La figura 1 presenta el porcentaje de
CISMs que realizan ciertas actividades. La figura indica que un porcentaje mucho mayor de
CISMs son responsables de funciones de negocios (que se muestran en negritas) en su rol
actual en comparacin con el rol anterior. Correlacionar la seguridad de la informacin con el
negocio se ha convertido en alta prioridad.
Figura 1Porcentaje de CISMs responsables de actividades de seguridad
Rango
1
2

Posicin actual
Gestin de riesgos
Gestin de programas de
seguridad
Seguridad de los datos

Porcentaje
76,6

Posicin anterior
Seguridad de los datos

Porcentaje

74,0

Gestin de riesgos

54,8

56,6

70,7

Seguridad de la red

53,5

Creacin y mantenimiento
de polticas
Cumplimiento regulatorio

65,3

49,0

59,6

Gestin de proyectos de
seguridad
Gestin de incidentes

Seguridad de la red

57,3

Gestin de programas de
seguridad
Creacin y mantenimiento de
polticas
Continuidad del negocio/
recuperacin en caso de desastre
Seguridad de sistemas y
aplicaciones
Arquitectura de seguridad

Continuidad del negocio/

recuperacin en caso de
desastre
Arquitectura de seguridad

56,1

Gestin de incidentes

44,8

55,9

Gestin de proyectos de
seguridad

44,8

3
4
5
6

10

63,4

58,5

48,8
45,8
45,2
45,1

Fuente: ISACA, Information Security Career Progression Survey Results, EUA, 2008

En la actualidad, algunos requerimientos de trabajo comn para los gerentes de seguridad

de la informacin incluyen:
Supervisar el establecimiento, implementacin y cumplimiento de las polticas y
estndares que orientan y apoyan los trminos de la estrategia de seguridad de la
informacin
Comunicarse con la direccin ejecutiva para asegurar el apoyo al programa de
seguridad de la informacin
8

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

1. Seguridad en Contexto
Supervisar y realizar actividades de gestin de riesgos (evaluacin de riesgos, anlisis
de brechas, anlisis de impacto al negocio, etc.) para ayudar a la empresa a alcanzar
un nivel aceptable de riesgo
Asesorar y formular recomendaciones en relacin con controles adecuados de
seguridad de personal, fsica y tcnica
Administrar el programa de gestin de incidentes de seguridad de la informacin para
asegurar la prevencin, deteccin, contencin y correccin de brechas deseguridad
Notificar los indicadores apropiados a la direccin ejecutiva
Participar en la solucin de problemas relacionados con brechas a la seguridad
Crear una campaa de formacin y concienciacin sobre seguridad de la informacin
dirigida a toda la empresa
Coordinar la comunicacin de la campaa de concienciacin/concientizacin sobre
laseguridad de la informacin a todos los miembros de la empresa
Coordinar con los proveedores, auditores, la direccin ejecutiva y los departamentos
usuarios para mejorar la seguridad de la informacin
Para mantenerse al da con los roles y responsabilidades en constante cambio, es
indispensable la formacin, la certificacin y el desarrollo profesional continuos.
Laseguridad de la informacin ha madurado hasta convertirse en ms que un rol de respuesta
tcnica, y los ejecutivos y la alta direccin estn comenzando a reconocer este cambio.
Para seguir impulsando la profesin, los gerentes de seguridad de la informacin deben
estar en capacidad de demostrar el valor de la seguridad de la informacin a la empresa.
La comunicacin efectiva del valor del programa de seguridad requiere que el gerente
de seguridad de la informacin no slo entienda la tecnologa y las soluciones, sino
tambin, y ms importante aun, que sea competente en las reas que tradicionalmente
seconciben como habilidades empresariales. Las habilidades de comunicacin (escrita y
oral), organizacionales, financieras y de gestin son muy importantes al comunicarse con
los lderes de la empresa.

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

2. Descripcin de la Posicin
Segn el Estudio Analtico de las Prcticas Laborales del Gerente Certificado de Seguridad
de la Informacin,4 los CISM encuestados esperan que el gerente de seguridad de la
informacin desempee un rol ms central en los negocios dentro de los prximos tres aos.
Adems, los encuestados esperan ver un mayor nfasis en el gobierno, as como un mayor
enfoque hacia la gestin de riesgos y la gestin de incidentes.
Los participantes en el estudio analtico de las prcticas laborales tambin indicaron que
hubo muchas reas de conocimiento y habilidades que tuvieron que adquirir en el ltimo
ao. Estas habilidades y reas de conocimiento incluyen:
Habilidades de negocios
Habilidades de gestin
Mayor conocimiento acerca de los requerimientos regulatorios/de cumplimiento
Conocimiento de la Ley Sarbanes-Oxley
Habilidades de evaluacin/gestin de riesgos
Informtica/Cmputo forense
Seguridad, incluyendo la gestin de seguridad de la informacin, la seguridad fsica
yseguridad de redes
Para ayudar a las empresas en la eleccin de profesionales altamente calificados para posiciones
de gestin de la seguridad de la informacin, se ha creado una serie de certificaciones
profesionales. ISACA lanz su certificacin CISM en 2002. La certificacin est diseada
para gerentes de seguridad de la informacin que poseen al menos cinco aos de experiencia
yhabilidades en las reas de seguridad y negocios.
El examen CISM abarca cinco reas de prcticas laborales que se centran en diferentes tareas
de seguridad de la informacin y conocimientos relacionados. Las tareas representan lo que
un profesional de la seguridad de la informacin debera estar en capacidad de hacer y los
conocimientos relacionados (ver apndice C) representan lo que el gerente de seguridad de
lainformacin debera saber para realizar las tareas.

Gobierno de seguridad de la informacin

La primera rea de prctica laboral que los gerentes de seguridad de la informacin
identifican como esencial para su funcin es el gobierno de seguridad de la informacin.
Puesto que obviamente el gobierno es un asunto de negocios, en esta categora es
donde se espera que el gerente de seguridad de la informacin cuente con habilidades
efectivas al trabajar con ejecutivos y entender cmo demostrar el valor de la seguridad
de la informacin a la empresa. A continuacin se presentan ocho tareas clave en el rea
degobierno de seguridad de la informacin:5
Desarrollar una estrategia de seguridad de la informacin que est alineada con
lasmetas y los objetivos del negocio.
Alinear la estrategia de seguridad de la informacin con el gobierno corporativo.
Desarrollar casos de negocio (business cases) que justifiquen la inversin en
seguridad de la informacin.
4
5

ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006
ISACA, CISM Review Manual 2008, EUA, 2008

10

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

2. Descripcin de la Posicin
Identificar requerimientos legales y regulatorios tanto reales como potenciales que
afecten la seguridad de la informacin.
Identificar impulsores/drivers que afecten la organizacin (por ejemplo, tecnologa,
ambiente de negocio, tolerancia al riesgo, ubicacin geogrfica) y su impacto en la
seguridad de la informacin.
Obtener el compromiso de la alta direccin con la seguridad de la informacin.
Definir roles y responsabilidades relacionados con la seguridad de la informacin
atravs de la organizacin.
Establecer canales de comunicacin y reporte, tanto internos como externos, que
apoyen la seguridad de la informacin.
Las tareas demuestran una alineacin entre el programa de seguridad de la informacin
y las necesidades del negocio. Para gestionar con eficacia el programa de seguridad de
la informacin, el gerente debe tener conocimiento del negocio para realizar las tareas
mencionadas anteriormente. El gerente debe poseer habilidades de comunicacin para
obtener el apoyo de los ejecutivos y debe ser capaz de entender los informes financieros
paraver claramente los impulsores del negocio. El gerente tambin debe ser capaz de trabajar
eficazmente con otras reas, incluyendo el rea legal y de auditora para detectar posibles
problemas regulatorios, recursos humanos y jefes de las unidades funcionales de negocio
paradefinir las responsabilidades que se relacionan con la seguridad de la informacin.

Gestin de Riesgos
La gestin de riesgos de seguridad de la informacin es la segunda rea de
responsabilidad crtica de la gestin de seguridad de la informacin contenida en las
reas de prctica laboral del CISM. Esta rea representa la totalidad del ciclo de gestin
del riesgo en una empresa, desde la evaluacin hasta la mitigacin. En este caso, es
necesario que los gerentes de seguridad de la informacin realicen evaluaciones de
riesgo, comprendan y comuniquen claramente el posible impacto para el negocio, y
recomienden los controles para la mitigacin de riesgos.
Las tareas crticas para manejar la gestin de riesgos de manera eficaz son las siguientes:
Establecer un proceso para clasificar los activos de informacin y determinar su propiedad.
Implementar un proceso de evaluacin de riesgos de informacin sistemtico y estructurado.
Garantizar que las evaluaciones de impacto al negocio se lleven a cabo con regularidad.
Garantizar que las evaluaciones de amenazas y vulnerabilidades se lleven a cabo de
manera continua.
Identificar y evaluar de manera peridica los controles y las contramedidas
delaseguridad de la informacin para mitigar el riesgo a niveles aceptables.
Integrar la identificacin y gestin de riesgos, amenazas y vulnerabilidades
dentrodel ciclo de vida de los proceso (por ejemplo, desarrollo y adquisiciones).
Reportar los cambios significativos en los riesgos de la informacin a niveles de
gestin apropiados para su aceptacin tanto de forma peridica como a medida
quesuceda algn incidente.
Las siete tareas mencionadas representan una amplia gama de conocimientos. Los gerentes de
seguridad de la informacin no slo deben poseer un conocimiento profundo de las amenazas,
vulnerabilidades y exposiciones posibles, sino que tambin deben comprender los mtodos
para evaluar riesgos, las estrategias de mitigacin posibles, los mtodos para realizar anlisis
2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

11

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

debrechas y anlisis de impacto al negocio, y deben tener un conocimiento slido acerca
de los controles y contramedidas de seguridad. Ms importante aun, para tomar decisiones
sobre el tratamiento del riesgo, el gerente de seguridad de la informacin debe saber cmo
comunicarse con la direccin ejecutiva con relacin a la tolerancia al riesgo de la empresa
ydebe ser capaz de contribuir a la identificacin y gestin del riesgo a nivel empresarial.

Desarrollo del Programa de Seguridad de la Informacin

El desarrollo del Programa de seguridad de la informacin es la tercera destreza esencial
que es fundamental para el rol del gerente de seguridad de la informacin. Al crear un
programa de seguridad de la informacin, es fundamental que los gerentes de seguridad
dela informacin alineen el programa con los objetivos de la empresa y demuestren el
valor que el programa le provee al negocio. Es necesario que los gerentes de seguridad
de la informacin posean una slida comprensin acerca de las personas, procesos y
tecnologas para alcanzar los objetivos delnegocio de manera efectiva.
Los gerentes de seguridad de la informacin deben ser capaces de realizar las 11 tareas
siguientes en el desarrollo de programas de seguridad de la informacin:
Desarrollar y mantener planes para implementar la estrategia de seguridad de la
informacin.
Especificar las actividades que se van a realizar dentro del programa de seguridad
de la informacin.
Asegurar la alineacin entre el programa de seguridad de la informacin y otras
funciones de aseguramiento (por ejemplo, seguridad fsica, recursos humanos, calidad, TI).
Identificar recursos internos y externos (por ejemplo, finanzas, personas, equipos,
sistemas) que se requieren para ejecutar el programa de seguridad de la informacin.
Verificar el desarrollo de las arquitecturas de seguridad de la informacin (por ejemplo,
personas, procesos, tecnologa).
Establecer, comunicar y mantener polticas de seguridad de la informacin
querespalden la estrategia de seguridad.
Disear y desarrollar un programa para fomentar la concientizacion, entrenamiento
yformacin sobre la seguridad de la informacin.
Garantizar el desarrollo, comunicacin y mantenimiento de estndares, procedimientos
y otra documentacin (por ejemplo, directrices, niveles mnimos (baselines), cdigos
de conducta) que respalden las polticas de seguridad de la informacin.
Integrar los requerimientos de seguridad de la informacin a los procesos de
laorganizacin (por ejemplo, control de cambios, fusiones y adquisiciones) y a
lasactividades del ciclo de vida (por ejemplo, desarrollo, empleo, adquisiciones).
Desarrollar un proceso para integrar los controles de seguridad de la informacin a
los contratos (por ejemplo, con joint ventures, proveedores en outsourcing, socios
de negocio, clientes, terceros).
Establecer mtricas para evaluar la eficacia del programa de seguridad de la informacin.
Las tareas para el desarrollo del programa de seguridad de la informacin que el
gerente de seguridad de la informacin debe cumplir ponen claramente de relieve que se
necesitan personas que sean capaces de entender los objetivos del negocio y que tengan
slidas habilidades de comunicacin. El desarrollo de un programa de seguridad eficaz
depende de la capacidad del gerente para comprender la estrategia y los objetivos de
la empresa y para trabajar con los ejecutivos y lderes de las unidades funcionales de
negocios a fin de integrar la seguridad dentro de la cultura de la empresa.
12

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

2. Descripcin de la Posicin

Gestin del Programa de Seguridad de la Informacin

La gestin del Programa de seguridad de la informacin es la cuarta rea de prcticas laborales
de CISM. Su objetivo es gestionar con eficacia el programa de seguridad de la informacin,
reuniendo los recursos humanos, fsicos y financieros para ayudar a lograr los objetivos
denegocio.
Hay nueve tareas dentro de esta rea de prctica laboral que el gerente de seguridad
delainformacin debe ser capaz de completar de manera eficaz:
Gestionar los recursos tanto internos como externos (por ejemplo, finanzas,
personas, equipos, sistemas) que se requieren para ejecutar el programa de
seguridad de la informacin.
Asegurar que los procesos y procedimientos se realicen en cumplimiento con
laspolticas y los estndares de seguridad de la informacin de la organizacin.
Asegurar la ejecucin de los controles de seguridad de la informacin acordados por
contrato (por ejemplo, joint ventures, proveedores en outsourcing, socios de negocio,
clientes, terceros).
Proveer la certeza que la seguridad de la informacin sea parte integral del proceso
de desarrollo de sistemas y los procesos de adquisicin.
Proveer la certeza que la seguridad de la informacin se mantenga a travs de
los procesos de la organizacin (por ejemplo, control de cambios, fusiones y
adquisiciones) y actividades del ciclo de vida.
Brindar asesora y orientacin sobre la seguridad de la informacin (por ejemplo,
anlisis de riesgos, seleccin de controles) en la organizacin.
Proporcionar concientizacin, entrenamiento y formacin sobre seguridad de la
informacin a las partes interesadas (por ejemplo, dueos de procesos de negocio,
usuarios, personal de tecnologa de la informacin).
Monitorear, medir, probar e informar sobre la eficacia y la eficiencia de los
controles de la seguridad de la informacin y el cumplimiento con las polticas
deseguridad de la informacin.
Asegurarse que los problemas de no cumplimiento y otras divergencias se resuelvan
de manera oportuna.
Como se puede apreciar en el conjunto de actividades indicadas, las habilidades de
comunicacin son un elemento crtico para la gestin del programa. Los gerentes
de seguridad de la informacin deben desarrollar y notificar mediciones apropiadas
para demostrar la creacin de valor a la alta direccin. Los gerentes de seguridad de
la informacin tambin deben ser capaces de comunicarse a nivel tcnico con los
especialistas en TI, los lderes y empleados de las unidades de negocio, quienes sern
responsables por la proteccin de los valiosos activos de informacin.

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

13

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Gestin y respuesta a incidentes

La prctica laboral final es la gestin y respuesta a incidentes. La gestin de incidentes se
define como el proceso de desarrollar y mantener la capacidad de resolver incidentes dentro
de una empresa, de manera que se pueda contener la exposicin a estos incidentes y poder
recuperarse de los mismos dentro de un tiempo objetivo especificado. Entre los incidentes
figuran el uso indebido de activos de cmputo, revelacin de informacin o eventos que
pongan en riesgo la continuidad de los procesos de negocio. Dentro de esta rea de prctica,
hay 10 tareas crticas que los gerentes de seguridad deben dominar con fluidez:
Desarrollar e implementar procesos para prevenir, detectar, identificar, analizar
yresponder a incidentes relacionados con la seguridad de la informacin.
Establecer procesos de escalamiento y comunicacin, as como lneas deautoridad.
Desarrollar planes para responder y documentar los incidentes relacionados con
laseguridad de la informacin.
Establecer la capacidad para investigar incidentes relacionados con la seguridad
dela informacin (por ejemplo, cmputo forense, recopilacin y conservacin
deevidencias, anlisis de registros (logs), entrevistas).
Desarrollar un proceso para comunicarse dentro de la organizacin y con
organizaciones externas (por ejemplo, medios, autoridades, clientes).
Integrar planes de respuesta a incidentes de seguridad de la informacin con
los planes de recuperacin en caso de desastre y continuidad del negocio de
laorganizacin.
Organizar, capacitar y dotar a los equipos para que puedan responder a los
incidentes de seguridad de la informacin.
Probar y optimizar peridicamente los planes de respuesta a incidentes
relacionados con la seguridad de la informacin.
Gestionar la respuesta a los incidentes relacionados con la seguridad de la informacin
Realizar revisiones para identificar las causas de los incidentes relacionados con la
seguridad de la informacin, desarrollar acciones correctivas y reevaluar los riesgos.
El rea de prctica laboral en gestin y respuesta a incidentes exige a los gerentes de
seguridad de la informacin identificar, analizar, gestionar y responder a interrupciones
ofallas en las funciones de procesamiento de la informacin.

14

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

3. Evolucin de Captulo
la Carrera
XX

3. Evolucin de la Carrera
Los gerentes de seguridad de la informacin deben poseer una amplia gama de habilidades
para alcanzar el xito en sus funciones. Algunas de estas habilidades pertenecen al rea de
gestin, gestin de riesgos, tecnologa, comunicacin, gestin de proyectos, organizacin
y liderazgo. Debido a que las empresas se concentran cada vez ms en habilidades de
negocio y a veces les resulta difcil ponderar las habilidades interpersonales, se recomienda
que, al seleccionar un gerente de seguridad de la informacin, hagan nfasis en una
persona con experiencia en las cinco reas de contenido de trabajo de CISM.
Es importante tener en cuenta que el reclutamiento externo no es siempre la nica opcin.
Con frecuencia, las empresas poseen en su nmina empleados con habilidades crticas. Es
posible que un profesional de seguridad de la informacin ingrese a una empresa en un rea
particular y posteriormente adquiera habilidades adicionales que le permitan avanzar a otra.
La figura 2 ilustra las numerosas trayectorias de desarrollo de carrera por las que puede
transitar un gerente de seguridad de la informacin dentro de una empresa. Muestra el
desarrollo tpico de la carrera de un profesional de seguridad de la informacin y cmo estos
profesionales pueden moverse horizontal, vertical y diagonalmente a medida que progresan
en sus carreras. Esta figura tambin resalta el hecho de que son muchos los antecedentes y
recursos de carrera en los cuales pueden apoyarse los gerentes de seguridad de la informacin
para adquirir nuevos conocimientos, certificaciones, capacitacin y experiencia.
El ascenso desde una posicin inicial a una posicin de nivel C puede seguir varias trayectorias;
de hecho, ste es precisamente el patrn observado al realizar un sondeo entre quienes poseen
la certificacin CISM en todo el mundo. Estos profesionales ingresaron a sus organizaciones
desde numerosas reas funcionales y progresaron por el escalafn corporativo siguiendo
patrones tanto verticales como horizontales y, con frecuencia, tambin describieron trayectorias
de ascenso diagonal. Para ascender dentro de una empresa se requiere una combinacin de
habilidades tcnicas y gerenciales, y se cree que este patrn continuar en el futuro.
El conjunto de habilidades que deben poseer los gerentes de seguridad de la informacin de
la actualidad no siempre son fciles de medir. Los empleadores necesitan una referencia sobre
la cual apoyarse al evaluar empleados, para efectos de ascensos, y a los candidatos externos,
para efectos de contratacin. La taxonoma de Bloom6 ofrece a las empresas una escala para
determinar si los candidatos a ciertos trabajos poseen el conjunto de habilidades necesarias
para desempearse en las funciones de gerente de seguridad de la informacin.
Bloom identific seis niveles de dominio cognitivo, desde el nivel ms bajoun simple
recuerdo o el reconocimiento de los hechospasando por niveles mentales cada vez ms
complejos y abstractos, hasta el nivel ms alto, que se clasifica como evaluacin; en la
figura 3 se citan ejemplos de verbos que representan la actividad intelectual en cada nivel.
En la figura 4 se aprecian con ms detalle las competencias de la posicin de gerente de
seguridad de la informacin, en funcin de los seis niveles de aprendizaje de Bloom. Se
sugiere una correlacin de niveles de competencia entre los diferentes niveles corporativos
y las competencias de Bloom: conocimiento, comprensin, aplicacin, anlisis, sntesis y
evaluacin. Los requerimientos de competencia en las distintas reas se pueden satisfacer
asignando al equipo profesionales con las diferentes fortalezas necesarias.
6

Bloom, B; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

15

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Figura 2Modelo tpico de progreso y gestin de seguridad de la informacin
Comit del Consejo Directivo de Seguridad/ Aseguramiento de la Informacin
Equipo Multidisciplinario de Nivel C

Nivel

Gestin

Niveles de Carrera

Alto
directivo
(Nivel C)

CIO

Tecnologa

COO

CTO

Arquitectura

CISO

Legal/Gestin
de Riesgos/
Privacidad

CAO

GC CRO CPO

Gerente/
director

Consultora en Seguridad de la informacin en desarrollo/ Auditora

Operaciones sistemas e infraestructura
interna

Riesgo de la
informacin/
consultora en
privacidad

Experto

Consultor de
TI principal

Consultor de TI
principal

Profesional Ingeniero
senior
senior de
de TI
desarrollo
de TI

CArO

Asegura
miento

Arquitecto
senior de TI

Auditor
senior de
seguridad
de la
informacin

Especialista, Gerente de productos/programas/proyectos, lder de equipo, gerente de cuenta en ventas

gerente
Especialista, Consultor de
tcnico
seguridad,
analista de
negocios
Entrante

Analista

Gerente de Diseador de Profesional

producto
seguridad
de sistemas
de
de seguridad
seguridad
Desarrollador Pasante/
Practicante
de diseador
de seguridad

Auditor de
seguridad

Consultor de
riesgos de la
informacin

Pasante/
Practicante
de sistemas
de seguridad

Pasante/
Practicante
de auditor
deseguridad

El desarrollo de carrera a travs del nivel C puede ser vertical, horizontal y/o diagonal.
Fuente: Adaptado de Lynas, David; John Sherwood; Professionalism in Information Security:
A Framework for Competency Development, 12 Conferencia Anual de COSAC, Reino Unido, 2005
Clave de Nivel C:

CIO = Director de TI (Chief Information Officer)

COO = Director de Operaciones (Chief Operating Officer)
CTO = Director de Tecnologa (Chief Technology Officer)
CISO = Director de Seguridad de la Informacin
(Chief Information Security Officer)
CARO = Director de Arquitectura (Chief Architecture Officer)

CAO = Director de Aseguramiento (Chief Assurance Officer)

GC = Consultor General (General Counsel)
CRO = Director de Riesgos (Chief Risk Officer)
CPO = Director de Privacidad (Chief Privacy Officer)

Al promover o contratar a un gerente de seguridad de la informacin, las empresas

pueden comprobar la utilidad de este concepto de competencias para determinar las
calificaciones y requerimientos del candidato a la posicin.
Un gerente de seguridad de la informacin requiere de vastos y profundos conocimientos
de una amplia gama de reas. En muchos casos, este nivel de conocimiento no se encuentra
en una sola persona, especialmente en las etapas iniciales de su carrera. Por lo tanto,
en las grandes empresas, es probable que sea necesario un equilibrio de competencias
profesionales distribuidas dentro de un conjunto de profesionales y, dentro de este conjunto
de profesionales, quienes posean una comprensin ms amplia y profunda de las reas
necesarias podrn acceder a los cargos ms altos. En virtud de que la tecnologa est
cambiando muy rpidamente, se requiere capacitacin y formacin continuas.
16

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

3. Evolucin de la Carrera
Figura 3Competencias tcnicas, basadas en la taxonoma de Bloom
Nivel de
competencia

Habilidad demostrada

Ejemplos de verbos de
comportamiento

Conocimiento

Observar y recordar informacin.

Demostrar conocimiento de hechos.
Demostrar conocimiento de ideas
principales.
Demostrar dominio de la materia.
Llevar a cabo investigaciones para
hallar informacin.

Enumerar, definir, decir, describir,

identificar, mostrar, etiquetar,
recopilar, examinar, tabular, citar,
nombrar, hallar, identificar

Comprensin

Comprender informacin.
Captar el sentido.
Convertir el conocimiento para que
se adapte a nuevos contextos.
Interpretar hechos.
Comparar y contrastar.
Inferir causas.
Predecir consecuencias.

Resumir, explicar, interpretar,

contrastar, predecir, asociar,
distinguir, estimar, diferenciar,
discutir, ampliar, ordenar, agrupar

Aplicacin

Usar la informacin de manera

inteligente.
Usar mtodos, conceptos y teoras
en nuevas situaciones.
Resolver problemas utilizando
las habilidades o conocimientos
necesarios.

Aplicar, demostrar, calcular,

completar, ilustrar, mostrar, resolver,
examinar, modificar, relacionar,
cambiar, clasificar, experimentar,
descubrir

Anlisis

Identificar patrones.
Organizar las partes.
Reconocer significados ocultos.
Identificar componentes.

Analizar, separar, ordenar, conectar,

clasificar, organizar, dividir,
comparar, seleccionar, inferir

Sntesis

Usar ideas antiguas para crear

ideas nuevas.
Generalizar a partir de hechos
dados.
Relacionar conocimientos de
diversas reas.
Realizar predicciones y sacar
conclusiones.

Combinar, integrar, modificar,

reordenar, sustituir, planificar,
crear, construir, disear, inventar,
componer, formular, preparar,
generalizar, reescribir

Evaluacin

Comparar y discriminar entre

ideas.
Evaluar el valor de teoras y
presentaciones.
Tomar decisiones apoyndose en
una argumentacin razonada.
Verificar el valor de la evidencia.
Reconocer la subjetividad.

Valorar, evaluar, decidir, jerarquizar,

calificar, probar, medir, recomendar,
convencer, seleccionar, juzgar,
discriminar, fundamentar, concluir

Fuente: Bloom, Benjamin; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

17

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Figura 4Competencias que debe tener un gerente de seguridad de la informacin
Dominio

Conocimiento Comprensin

Aplicacin

Neg.

Seg.

Neg.

Seg.

Neg.

Seg.

Neg.

Ejecutivo de
nivel C

Director

Gerente

Experto
tcnico

Especialista
tcnico

Analista
tcnico

Nivel/
Categora

Anlisis

Sntesis

Evaluacin

Seg. Neg. Seg. Neg. Seg.

Fuente: University of Dallas Center for Information Assurance, 2007

Leyenda de la tabla
Neg. = Conocimiento de Negocios
Seg. = Conocimiento sobre seguridad de la informacin
M = Dominio total
C = Algn nivel de competencia
U = Comprensin bsica

Bases para las Habilidades

Las certificaciones profesionales y la formacin desempean un papel importante en
el desarrollo de habilidades y, adems, demuestran profesionalismo y compromiso de
mantener un alto nivel profesional.
La formacin puede ser impartida en un escenario de educacin formal, como una
universidad o institucin de educacin superior, las cuales ahora ofrecen programas
de licenciatura, postgrado y doctorado para gerentes de seguridad de la informacin,
o puede obtenerse durante el ejercicio de la profesin en conferencias, seminarios y
talleres.
Una certificacin profesional puede ser muy valiosa para demostrar conocimientos en
gestin de seguridad de la informacin, adems de experiencia, porque requiere que
los candidatos aprueben un examen que se basa en sus competencias en seguridad de
la informacin. CISM es una certificacin en gestin de seguridad de la informacin
altamente respetada que requiere que los candidatos aprueben un examen riguroso
y que posean cinco aos de experiencia en gestin de seguridad de la informacin,
y posteriormente acumular horas de educacin profesional continua (CPE), a fin de
mantener la certificacin.

18

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

3. Evolucin de la Carrera

Conclusin
Los roles, las responsabilidades y las relaciones que los gerentes de seguridad de la
informacin deben cumplir son enormes, crecientes, complejos y a veces conflictivos, pero
son uniformes en todo el mundo. Su desafo, de acuerdo con el sondeo analtico sobre la
prctica laboral del CISM,7 es que, si desean avanzar en su carrera, deben convertirse en
expertos en la comprensin de los problemas y fundamentos de los negocios, as como
en la gestin y trabajo en coordinacin con otros profesionales tcnicos. Es necesario
acumular y actualizar mucho conocimiento con respecto a la evolucin de la tecnologa;
por lo tanto, la capacitacin, las certificaciones y la formacin continua son indispensables.
Tambin se determin, a partir del sondeo analtico sobre la prctica laboral del CISM,
que muchos gerentes de seguridad de la informacin avanzaron hasta su posicin a travs
de diferentes carreras y antecedentes educativos. Esto ha funcionado porque, de esta
manera, se acumula un conjunto de conocimientos, experiencia, formacin, capacitacin
y certificacin, todo lo cual optimiza el perfil de seguridad general de una empresa.
Poresta razn, se cree que los ascensos en las carreras de los gerentes de seguridad de
la informacin tienden a seguir diversas trayectorias profesionales: algunos profesionales
han avanzado verticalmente y otros han avanzado horizontalmente, otros han sido
transferidos desde una posicin puramente tcnica y han pasado a desempear una
funcin ms gerencial y viceversa.
Finalmente, para que la seguridad de la empresa sea realmente eficaz, debe haber, en
los niveles ms altos, la disposicin a asumir un compromiso. Esto significa que la
seguridad de la informacin debe estar indisolublemente ligada a las estructuras de
gobierno corporativo y debe contar con la participacin y apoyo del consejo de direccin
y los altos directivos.
La creacin de una cultura de apoyo a la seguridad de la informacin es justamente,uno
de los muchos desafos que los gerentes de seguridad de la informacin enfrentan hoy
enda, pero una combinacin adecuada de formacin y experiencia ayudar a prepararlos
para enfrentar esos desafos.

ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006
2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

19

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Apndice APerfil Profesional de los Participantes en el Sondeo Analtico sobre la

Prctica Laboral del CISM
Las siguientes estadsticas representan los datos demogrficos obtenidos del Certified
Information Security Manager Job Practice Analysis Study de ISACA 2006:
El 70 por ciento de los encuestados tena entre seis y 15 aos de experiencia como
gerente de seguridad de la informacin.
El 59 por ciento provena de cuatro sectores: servicios bancarios (16 por ciento),
consultora (23 por ciento), finanzas (7 por ciento) y gobierno/nacional (13 por ciento).
El 83 por ciento era de sexo masculino.
El 77 por ciento tena un ttulo de licenciatura (pregrado) o superior (38 por ciento tena
un ttulo de licenciatura y 39 por ciento tena, adicionalmente, un ttulo de maestra).
Si bien todos los encuestados contaban con una credencial CISM, ms del 73 por
ciento tena una certificacin adicional (40 por ciento contaba con la certificacin
CISSP, 33 por ciento tena CISA, 33 por ciento otras).
El 65 por ciento tena uno de los tres ttulos siguientes: CISO (13 por ciento),
director de seguridad de la informacin (13 por ciento) o gerente de seguridad
delainformacin (39 por ciento).
El 94 por ciento estaba certificado desde 2003.
El 33 por ciento estaba empleado en empresas con 1.500 a 9.999 trabajadores
(otrasrespuestas se distribuan de forma equilibrada en una curva de campana).
El 62 por ciento tena una nmina de personal de seguridad a tiempo completo de
menos de 25 personas (El 39 por ciento tena personal de cero a cinco, 17 por ciento
contaba con una plantilla de seis a 10, y 16 por ciento contaba con una plantilla de 11
a 25 empleados).
Nota: Los porcentajes se han redondeado a nmeros enteros.
Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study,
EUA, 2006, p. 19-27

20

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Apndice BTareas y Calificaciones de Conocimientos

Apndice BTareas y Calificaciones de Conocimientos

La figura 5 representa las respuestas de los gerentes CISM que participaron en el
estudio analtico de las prcticas laborales de 2006. Los gerentes CISM respondieron
con el porcentaje de tiempo que invirtieron en la gestin de las actividades en cada
una de las reas de contenido laboral de CISM y tambin en funcin de la criticidad de
las reas de contenido en su trabajo. La media de criticidad es un promedio de todas
las puntuaciones, en una escala lineal de 1 a 5; 1 indica la menos crtica y 5 indica la
mscrtica.
Figura 5Estadsticas descriptivas del rea de contenido en el examen CISM
reas de contenido del examen CISM

Porcentaje de tiempo

Media de criticidad

Gobierno de seguridad de la informacin

22,0

3,5

Gestin de riesgos de seguridad de la

informacin

21,5

3,6

Desarrollo de programas de seguridad

delainformacin

17,6

3,4

Gestin de programas de seguridad

delainformacin

24,0

3,5

Gestin y respuesta a incidentes

13,6

3,4

Otros

1,2

Fuente: ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006, p. 29

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

21

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Apndice CConocimientos Relacionados para Cada rea de Contenido de la

Prctica Laboral del CISM
(Fuente: ISACA, CISM Review Manual 2008, EUA, 2008)
rea 1:
CR1.1
CR1.2
CR1.3

Gobierno de seguridad de la informacin

Conocimiento de las metas y objetivos de negocio
Conocimiento de los conceptos de seguridad de la informacin
Conocimiento de los componentes que integran una estrategia de seguridad
dela informacin (por ejemplo, personas, procesos, tecnologas, arquitecturas)
CR1.4 Conocimiento de la relacin que existe entre la seguridad de la informacin
ylas funciones de negocio
CR1.5 Conocimiento del alcance y los estatutos del gobierno de la seguridad de la
informacin
CR1.6 Conocimiento de los conceptos de los gobiernos corporativo y de la seguridad
de la informacin.
CR1.7 Conocimiento de los mtodos que integran el gobierno de la seguridad de
lainformacin en el marco general de gobierno de la empresa
CR1.8 Conocimiento de las estrategias de planificacin presupuestaria y mtodos
dereporte
CR1.9 Conocimiento de las metodologas para desarrollar un caso de negocio
(businesscase)
CR1.10 Conocimiento de los tipos de impulsores tanto internos como externos
(porejemplo, tecnologa, ambiente de negocio, tolerancia al riesgo) que
pudieran repercutir en las organizaciones y la seguridad de la informacin
CR1.11 Conocimiento de los requerimientos regulatorios y su posible impacto al
negocio desde el punto de vista de la seguridad de la informacin
CR1.12 Conocimiento de las estrategias de gestin de la responsabilidad comn
y opciones de seguros (por ejemplo, seguro contra delito o de fidelidad,
interrupciones del negocio)
CR1.13 Conocimiento de las relaciones con terceros y su impacto en la seguridad de
lainformacin (por ejemplo, fusiones y adquisiciones, sociedades, outsourcing)
CR1.14 Conocimiento de los mtodos utilizados para obtener el compromiso de la alta
direccin con la seguridad de la informacin
CR1.15 Conocimiento del establecimiento y operacin de un grupo directivo para
laseguridad de la informacin
CR1.16 Conocimiento de los roles, responsabilidades y estructuras organizacionales
generales de la gestin de seguridad de la informacin
CR1.17 Conocimiento de los enfoques para vincular las polticas a los objetivos
denegocio de la empresa
CR1.18 Conocimiento de las normas internacionales generalmente aceptadas aplicables
a la gestin de la seguridad de la informacin
CR1.19 Conocimiento de los mtodos centralizados y distribuidos para coordinar
lasactividades relacionadas con la seguridad de la informacin
CR1.20 Conocimiento de los mtodos para establecer canales de reporte y comunicacin
en toda la organizacin
22

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM
rea 2: Gestin de Riesgos de la Seguridad de la Informacin
CR2.1 Conocimiento de los componentes que se requieren para establecer un esquema
de clasificacin de la de seguridad de la informacin que sea congruente con
los objetivos de negocio (incluyendo la identificacin de activos)
CR2.2 Conocimiento de los componentes del esquema de propiedad de la informacin
(incluyendo los impulsores del esquema, tales como roles y responsabilidades)
CR2.3 Conocimiento de amenazas, vulnerabilidades y exposiciones relacionadas con
lainformacin.
CR2.4 Conocimiento de las metodologas para valorar los recursos de informacin.
CR2.5 Conocimiento de las metodologas de evaluacin y anlisis de riesgos
(incluyendo la mensurabilidad, la repeticin y la documentacin)
CR2.6 Conocimiento de los factores que se utilizan para determinar la frecuencia
ylosrequerimientos para reportar algn riesgo
CR2.7 Conocimiento de los mtodos cuantitativos y cualitativos utilizados para
determinar la sensibilidad y la criticidad de los recursos de informacin,
ascomo el impacto que tienen los eventos adversos en el negocio
CR2.8 Conocimiento de los modelos de niveles mnimos (baselines) y su relacin
conlas evaluaciones basadas en riesgos de los requerimientos de control
CR2.9 Conocimiento de los controles y las contramedidas de seguridad
CR2.10 Conocimiento de los mtodos para analizar la efectividad de los controles
ylascontramedidas de la seguridad de la informacin
CR2.11 Conocimiento de las estrategias de mitigacin de riesgos que se utilizan
paradefinir los requerimientos de seguridad para los recursos de informacin
CR2.12 Conocimiento del anlisis de brechas para evaluar el estado actual en
comparacin con las normas generalmente aceptadas de buenas prcticas
paralagestin de la seguridad de la informacin
CR2.13 Conocimiento de las tcnicas del anlisis de costo-beneficio para mitigar
losriesgos a niveles aceptables
CR2.14 Conocimiento de los principios y las prcticas de la gestin de riesgos basada
en el ciclo de vida
rea 3: Desarrollo del Programa de Seguridad de la Informacin
CR3.1 Conocimiento de los mtodos para traducir estrategias en planes que se puedan
gestionar y mantener para implementar la seguridad de la informacin
CR3.2 Conocimiento de las actividades que se deben incluir en un programa de
seguridad de la informacin
CR3.3 Conocimiento de los mtodos para gestionar la implementacin del programa
deseguridad de la informacin
CR3.4 Conocimiento de los controles de planificacin, diseo, desarrollo, prueba
eimplementacin de la seguridad de la informacin
CR3.5 Conocimiento de los mtodos para alinear los requerimientos del programa
deseguridad de la informacin con los de otras funciones de aseguramiento
(por ejemplo, seguridad fsica, recursos humanos, calidad, TI)
CR3.6 Conocimiento de cmo identificar los requerimientos de recursos y habilidades
tanto internos como externos (por ejemplo, finanzas, personas, equipos y sistemas)
CR3.7 Conocimiento de la adquisicin de recursos y habilidades (por ejemplo,
presupuesto de proyecto, empleo de personal contratado, compra de equipos)
2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

23

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

CR3.8 C
 onocimiento de las arquitecturas de seguridad de la informacin (por ejemplo,
arquitecturas lgicas y fsicas) y su implementacin
CR3.9 Conocimiento de las tecnologas y los controles de seguridad (por ejemplo,
tcnicas criptogrficas, controles de acceso, herramientas de monitoreo)
CR3.10 Conocimiento del proceso para desarrollar polticas de seguridad de la
informacin que satisfagan y respalden los objetivos de negocios de la empresa
CR3.11 Conocimiento del contenido para la concienciacin, capacitacin y formacin
sobre seguridad de la informacin en toda la empresa (por ejemplo, conciencia
general de la seguridad, construccin de cdigo seguro, controles del sistema
operativo)
CR3.12 Conocimiento de los mtodos para identificar actividades que permitan cerrar
labrecha entre los niveles de competencias y los requerimientos de habilidades
CR3.13 Conocimiento de las actividades destinadas a promover una cultura y conducta
de seguridad positivas
CR3.14 Conocimiento de los usos de las polticas, estndares, procedimientos, directrices
y otra documentacin, as como de la diferencia que existe entre ellos
CR3.15 Conocimiento del proceso para vincular las polticas a los objetivos de negocio
de la empresa
CR3.16 Conocimiento de los mtodos para desarrollar, implementar, comunicar y
mantener polticas, estndares, procedimientos, directrices y otra documentacin
de seguridad de la informacin
KS3.17 Conocimiento para integrar los requerimientos de seguridad de la informacin
en los procesos organizacionales (por ejemplo, control de cambios, fusiones
yadquisiciones)
CR3.18 Conocimiento de las metodologas y actividades de ciclo de vida (por ejemplo,
desarrollo, empleo, adquisiciones)
CR3.19 Conocimiento de los procesos para incluir los requerimientos de seguridad
en los contratos (por ejemplo, con joint ventures, proveedores de servicios
externos, socios de negocios, clientes y terceros)
CR3.20 Conocimiento de mtodos y tcnicas para gestionar los riesgos de terceros
(por ejemplo, acuerdos de niveles de servicio, contratos, debida diligencia,
proveedores y subcontratistas)
CR3.21 Conocimiento del diseo, desarrollo e implementacin de las mtricas de
seguridad de la informacin
CR3.22 Conocimiento de certificacin y acreditacin del cumplimiento de las
aplicaciones e infraestructura de negocio a las necesidades del negocio
CR3.23 Mtodos para evaluar de forma continua la eficacia y la aplicabilidad de
los controles de seguridad de la informacin (por ejemplo, pruebas de
vulnerabilidad, herramientas de evaluacin)
CR3.24 Conocimiento de los mtodos para medir y hacer seguimiento a la eficacia
ylavigencia del programa de concienciacin, capacitacin y formacin sobre
laseguridad de la informacin
CR3.25 Conocimiento de los mtodos para mantener el programa de seguridad de
la informacin (por ejemplo, planes de sucesin, asignacin de trabajos,
documentacin del programa)
24

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Apndice CConocimientos Relacionados para Cada rea de Contenido de la Prctica Laboral del CISM
rea 4: Gestin del Programa de Seguridad de la Informacin
CR4.1 Conocimiento sobre cmo interpretar e implementar las polticas de seguridad
de la informacin
CR4.2 Conocimiento de los procesos y procedimientos administrativos de seguridad
dela informacin (por ejemplo, controles de acceso, gestin de identidad,
acceso remoto)
CR4.3 Conocimiento de mtodos para implementar y gestionar el programa de
seguridad de la informacin de la empresa considerando los acuerdos con
terceros (por ejemplo, socios comerciales, contratistas, socios en joint ventures,
proveedores externos)
CR4.4 Conocimiento de mtodos para gestionar el programa de seguridad de la
informacin a travs de proveedores de servicios de seguridad
CR4.5 Conocimiento de las clusulas contractuales relacionadas con la seguridad de
lainformacin (por ejemplo, derecho a auditar, confidencialidad, no divulgacin)
CR4.6 Conocimiento de mtodos para definir y monitorear los requerimientos de
seguridad en los acuerdos de niveles de servicio
CR4.7 Conocimiento de mtodos y enfoques para proporcionar monitoreo continuo
deactividades de seguridad en aplicaciones del negocio y la infraestructura
dela empresa
CR4.8 Conocimiento de las mtricas gerenciales para validar las inversiones hechas en
el programa de seguridad de la informacin (por ejemplo, recopilacin de datos,
revisin peridica, indicadores clave de desempeo)
CR4.9 Conocimiento de los mtodos para probar la eficacia y la aplicabilidad de los
controles de seguridad de la informacin (por ejemplo, pruebas de penetracin,
violacin de contraseas, ingeniera social, herramientas de evaluacin).
CR4.10 Conocimiento de las actividades de gestin de cambios y configuracin
CR4.11 Conocimiento de las ventajas/desventajas de utilizar a proveedores de
aseguramiento internos/externos para llevar a cabo revisiones de la seguridad
dela informacin
CR4.12 Conocimiento de actividades de debida diligencia, revisiones y estndares
relacionados para gestionar y controlar el acceso a la informacin
CR4.13 Conocimiento sobre fuentes de reporte de vulnerabilidades externas e
informacin sobre posibles impactos en la seguridad de la informacin
enaplicaciones einfraestructura
CR4.14 Conocimiento de los eventos que afectan los niveles mnimos (baselines)
de seguridad que pueden requerir re-evaluaciones de riesgo y cambios a
loselementos del programa de seguridad de la informacin
CR4.15 Conocimiento de prcticas para la gestin de problemas relacionados con
laseguridad de la informacin
CR4.16 Conocimiento de los requerimientos de reporte del estado de la seguridad
delainfraestructura y los sistemas
CR4.17 Conocimiento de tcnicas generales de la gerencia de lnea, incluyendo
preparacin de presupuesto (por ejemplo, estimacin, cuantificacin,
compensaciones), gerencia de personal (por ejemplo, motivacin, valoracin,
establecimiento de objetivos) e instalaciones (por ejemplo, obtencin y uso
deequipos)
2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

25

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

rea 5: Gestin y respuesta a incidentes

CR5.1 Conocimiento de los componentes de una capacidad de respuesta a incidentes
CR5.2 Conocimiento de planes de recuperacin en caso de desastre y continuidad
delnegocio
CR5.3 Conocimiento de las prcticas para la gestin de incidentes relacionados
conlainformacin
CR5.4 Conocimiento de las pruebas del plan de recuperacin en caso de desastre
parala infraestructura y las aplicaciones crticas para el negocio
CR5.5 Conocimiento de los eventos que desencadenan las respuestas a incidentes.
CR5.6 Conocimiento sobre contencin de daos
CR5.7 Conocimiento de los procesos de notificacin y escalamiento para una gestin
eficaz de la seguridad
CR5.8 Conocimiento del rol que desempean las personas en la identificacin y
gestin de incidentes relacionados con la seguridad
CR5.9 Conocimiento del proceso de notificacin de crisis
CR5.10 Conocimiento de mtodos para identificar los recursos de negocio esenciales
para la recuperacin
CR5.11 Conocimiento de los tipos y medios disponibles de herramientas y equipos que
se requieren para dotar adecuadamente a los equipos de respuesta a incidentes
CR5.12 Conocimiento de los requerimientos forenses para recopilar y presentar
evidencias (por ejemplo, admisibilidad, calidad y completitud de la evidencia,
cadena de custodia)
CR5.13 Conocimiento utilizado para documentar incidentes y acciones posteriores
CR5.14 Conocimiento de los requerimientos de reporte tanto internos como externos
CR5.15 Conocimiento de las prcticas de revisin posteriores al incidente y mtodos
deinvestigacin para identificar las causas y determinar acciones correctivas
CR5.16 Conocimiento de las tcnicas para cuantificar los daos, costos y otros impactos
al negocio que se derivan de incidentes relacionados con la seguridad
CR5.17 Conocimiento del tiempo objetivo de recuperacin (RTO) y su relacin con los
objetivos y procesos de los planes de contingencia y de continuidad del negocio

26

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Captulo XX
Referencias

Referencias
Bloom, B.; Taxonomy of Educational Objectives, Allyn and Bacon, EUA, 1984
Lynas, D.; J. Sherwood; Professionalism in Information Security: A Framework for
Conpetency Development, 12 Conferencia Anual de COSAC, Reino Unido, 2005
Robb, D.; How IT Is Revitalizing Staff Skills, Computerworld, EUA, Febrero de 2007
ISACA, Certified Information Security Manager Job Practice Analysis Study, EUA, 2006
ISACA, CISM Review Manual 2008, EUA, 2008
ISACA, Critical Elements of Information Security Program Success, EUA, 2005
ISACA, Information Security Career Progression Survey Results, EUA, 2008

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

27

Definicin de los requerimientos para la posicin de gerencia de seguridad de la informacin

Otras Publicaciones
Muchas publicaciones emitidas por el IT Governance Institute (ITGITM) e ISACA
contienen cuestionarios de evaluacin y programas de trabajo detallados. Para obtener
ms informacin, por favor, visite www.isaca.org/bookstore o enve un correo electrnico
a bookstore@isaca.org.

Seguridad
Cybercrime: Incident Response and Digital Forensics, 2005
Information Security Governance: Guidance for Boards of Directors and Executive
Management, 2nd Edition, 2006
Information Security Governance: Guidance for Information Security Managers, 2008
Information Security HarmonisationClassification of Global Guidance, 2005
Managing Enterprise Information Integrity: Security, Control and Audit Issues, 2004
Security Awareness: Best Practices to Serve Your Enterprise, 2005
Stepping Through the InfoSec Program, 2007

Aseguramiento
ITAFTM: A Professional Practices Framework for IT Assurance, 2008
Stepping Through the IS Audit, 2nd Edition, 2004
Series ERP:
Security, Audit and Control Features Oracle E-Business Suite: A Technical and Risk
Management Reference Guide, 2nd Edition, 2006
Security, Audit and Control Features PeopleSoft: A Technical and Risk Management
Reference Guide, 2nd Edition, 2006
Security, Audit and Control Features SAPR/3: A Technical and Risk Management
Reference Guide, 2nd Edition, 2005
Ambientes Especficos:
Electronic and Digital Signatures: A Global Status Report, 2002
Enterprise Identity Management: Managing Secure and Controllable Access in the
Extended Enterprise Environment, 2004
Linux: Security, Audit and Control Features, 2005
Managing Risk in the Wireless LAN Environment: Security, Audit and Control
Issues, 2005
Oracle Database Security, Audit and Control Features, 2004
OS/390z/OS: Security, Control and Audit Features, 2003
Risks of Customer Relationship Management: A Security, Control and Audit
Approach, 2003
Security Provisioning: Managing Access in Extended Enterprises, 2002
Virtual Private NetworkNew Issues for Network Security, 2001

28

2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

Captulo XX
Otras Publicaciones

Gobierno de TI
Board Briefing on IT Governance, 2nd Edition, 2003
Identifying and Aligning Business Goals and IT Goals, 2008
IT Governance Global Status Report2008, 2008
Understanding How Business Goals Drive IT Goals, 2008
CobiT y publicaciones relacionadas
CobiT 4.1, 2007
CobiT Control Practices: Guidance to Achieve Control Objectives for Successful
IT Governance, 2nd Edition, 2007
CobiT QuickstartTM, 2nd Edition, 2007
CobiT Security BaselineTM, 2nd Edition, 2007
IT Assurance Guide: Using CobiT , 2007
IT Control Objectives for Basel II: The Importance of Governance and Risk
Management for Compliance, 2007
IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and
Implementation of Internal Control Over Financial Reporting, 2nd Edition, 2006
IT Governance Implementation Guide: Using CobiT and Val IT, 2nd Edition, 2007
Mapeando CobiT:
Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit, 2008
CobiT Mapping: Mapping of CMMI for Development V1.2 With CobiT 4.0, 2007
CobiT Mapping: Mapping of ISO/IEC 17799:2000 With CobiT 4.0, 2nd Edition, 2006
CobiT Mapping: Mapping of ISO/IEC 17799:2005 With CobiT 4.0, 2006
CobiT Mapping: Mapping of ITIL V3 With CobiT 4.1, 2008
CobiT Mapping: Mapping of NIST SP800-53 With CobiT 4.1, 2007
CobiT Mapping: Mapping of PMBOK With CobiT 4.0, 2006
CobiT Mapping: Mapping of PRINCE2 With CobiT 4.0, 2007
CobiT Mapping: Mapping of SEIs CMM for Software With CobiT 4.0, 2006
CobiT Mapping: Mapping of TOGAF 8.1 With CobiT 4.0, 2007
CobiT Mapping: Overview of International IT Guidance, 2nd Edition, 2006
Prcticas y Competencias del Dominio del Gobierno de TI:
Governance of Outsourcing, 2005
Information Risks: Whose Business Are They?, 2005
IT Alignment: Who Is in Charge?, 2005
Measuring and Demonstrating the Value of IT, 2005
Optimising Value Creation From IT Investments, 2005
Val IT:
Enterprise Value: Governance of IT Investments, Getting Started With Value
Management, 2008
Enterprise Value: Governance of IT Investments, The Business Case, 2006
Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0, 2008
Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Extract, 2008
2008 ISACA. To

d o s

l o s

d e r e c h o s

r e s e r v a d o s

29

3701 Algonquin Road, Suite 1010

Rolling Meadows, IL 60008 EUA
Telfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrnico: info@isaca.org
Pgina Internet: www.isaca.org