©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®

©Copyright 2013 ISACA. Todos los derechos reservados. Curso de Preparación 2014 CISM  Capítulo 2 Gestión de Riesgos de la Información y Cumplimiento 2

©Copyright 2013 ISACA. Todos los derechos reservados. Relevancia del Examen Asegurar que el candidato CISM … Comprenda la importancia de la gestión de riesgos como una herramienta para satisfacer las necesidades del negocio y desarrollar un programa de gestión de la seguridad a fin de apoyar dichas necesidades. El área de contenido en este capítulo representa aproximadamente el 33% del examen CISM (aproximadamente 66 preguntas).

©Copyright 2013 ISACA. Todos los derechos reservados. Gestión de riesgos de la información y cumplimiento Definición: Gestionar los riesgos de la información a un nivel aceptable para cumplir con los requerimientos de negocio y cumplimiento de la organización. La gestión de riesgos de la información es la aplicación sistemática de las políticas, procedimientos y prácticas de gestión a las tareas de identificar, analizar, evaluar, informar, tratar y monitorear el riesgo relacionado con la información. 4

©Copyright 2013 ISACA. Todos los derechos reservados. Objetivos de aprendizaje Asegurar que el Gerente de Seguridad de la Información comprenda la importancia de la gestión de riesgos como una herramienta para satisfacer las necesidades del negocio y desarrollar un programa de gestión de la seguridad a fin de apoyar dichas necesidades. 5

©Copyright 2013 ISACA. Todos los derechos reservados. Dominio 2 Enunciados de las tareas Existen nueve tareas dentro de este dominio que un candidato a CISM tiene que saber cómo realizar: T2.1Establecer y mantener un proceso de clasificación de la información de los activos para asegurar que las medidas adoptadas para proteger los activos sean proporcionales a su valor para el negocio. T2.2Identificar los requisitos legales, reglamentarios, organizativos y otros aplicables para gestionar el riesgo de incumplimiento a niveles aceptables. T2.3Asegurar que las evaluaciones de riesgos, las evaluaciones de vulnerabilidad y los análisis de amenazas se lleven a cabo periódicamente y de manera consistente para identificar los riesgos de la información de la organización. T2.4Determinar las opciones adecuadas de tratamiento del riesgo para gestionar el riesgo a niveles aceptables. T2.5Evaluar los controles de seguridad de la información para determinar si son apropiados y en efecto mitigan el riesgo a un nivel aceptable. 6

©Copyright 2013 ISACA. Todos los derechos reservados. T2.6Identificar las diferencias entre los niveles vigentes de riesgo y los deseados para gestionar el riesgo a un nivel aceptable. T2.7Integrar la gestión de riesgos de información en el negocio y en los procesos de TI (por ejemplo, en el desarrollo, las compras, la gestión de proyectos, las fusiones y las adquisiciones), para promover un proceso de gestión de riesgo de la información consistente e integral en toda la organización. T2.8Supervisar el riesgo existente para asegurar que los cambios sean identificados y manejados apropiadamente. T2.9Informar el incumplimiento y otros cambios en el riesgo de la información a la gerencia correspondiente para asistir en el proceso de toma de decisiones en la gestión del riesgo. 7 Dominio 2 Enunciados de las tareas

©Copyright 2013 ISACA. Todos los derechos reservados. Dominio 2 Conocimientos relacionados Existen 19 conocimientos relacionados en este dominio, que el candidato debe comprender bien porque son los conocimientos base del examen: KS2.1Conocimiento de los métodos para establecer un modelo de clasificación de los activos de información coherente con los objetivos de negocio. KS2.2Conocimiento de los métodos utilizados para asignar las responsabilidades y propiedad de los activos de la información y del riesgo. KS2.3Conocimiento de los métodos para evaluar el impacto de eventos adversos en el negocio. KS2.4Conocimiento de metodologías de valoración de activos de la información. KS2.5Conocimiento de los requisitos legales, regulatorios, organizativos y otros relacionados con la seguridad de la información 8

©Copyright 2013 ISACA. Todos los derechos reservados. KS2.6Conocimiento de fuentes de información fidedignas, confiables y oportunas concernientes a las nuevas amenazas y vulnerabilidades de la información. KS2.7Conocimiento de los eventos que pueden requerir reevaluaciones de riesgos y cambios a los elementos del programa de seguridad de la información. KS2.8Conocimiento de las amenazas a la información, las vulnerabilidades, las exposiciones y su naturaleza cambiante. KS2.9Conocimiento de las metodologías de evaluación y análisis de riesgos. KS2.10Conocimiento de los métodos utilizados para priorizar los riesgos. KS2.11 Conocimiento de los requisitos para la presentación de informes de riesgos (por ejemplo, frecuencia, audiencia, componentes). KS2.12 Conocimiento de los métodos utilizados para monitorear los riesgos. 9 Dominio 2 Conocimientos relacionados

©Copyright 2013 ISACA. Todos los derechos reservados. KS2.13Conocimiento de estrategias para tratamiento de riesgos y métodos para aplicarlos. KS2.14 Conocimiento de modelado de línea base de controles y su relación con el análisis basado en riesgos. KS2.15 Conocimiento de los controles de seguridad de la información y de las contramedidas y los métodos para analizar su efectividad y su eficiencia. KS2.16 Conocimiento de las técnicas de análisis de brechas en relación con la seguridad de la información. KS2.17 Conocimiento de las técnicas para la integración de la gestión de riesgos en el negocio y en los procesos de TI. KS2.18 Conocimiento de los procesos y los requisitos de presentación de informes de cumplimiento. KS2.19 Conocimiento del análisis de costo-beneficio para evaluar las opciones de tratamiento de riesgos. 10 Dominio 2 Conocimientos relacionados

©Copyright 2013 ISACA. Todos los derechos reservados. SECCIÓN 2 11

©Copyright 2013 ISACA. Todos los derechos reservados. 2.4 Visión general de la gestión de riesgos Definición de la gestión de riesgos 12 Proceso orientado a alcanzar un equilibrio óptimo entre concretar oportunidades para obtener ganancias y minimizar las vulnerabilidades y las pérdidas. Proceso para asegurar que las perdidas son evitadas y su impacto se mantiene dentro de límites y costos aceptables.

©Copyright 2013 ISACA. Todos los derechos reservados. 2.4 Visión general de la gestión de riesgos Objetivo del Proceso 13 Objetivo del Proceso - Gestionar los riesgos para que no tengan un impacto significativo en los procesos de negocio. Términos clave y suposiciones El riesgo es inherente en todas las actividades de negocio.

©Copyright 2013 ISACA. Todos los derechos reservados. Áreas Clave de Enfoque La evaluación de riesgos es un requisito fundamental para una estrategia efectiva de seguridad de la información. El riesgo debe ser tratado independientemente del estado del gobierno de la seguridad de información en una organización. La gestión de riesgos equilibra la exposición al riesgo respecto de las estrategias de mitigación. Los controles y las contramedidas son diseñados como parte del Marco de Referencia de la Gestión de Riesgos. 14

©Copyright 2013 ISACA. Todos los derechos reservados. Modelo de Riesgo El riesgo tiene: —Posibilidad/Probabilidad de ocurrencia —Consecuencia/Impacto en el negocio 15 Actividad/ Empresa Stakeholders/Dueños Clientes Empleados / Financieros Modelo de negocios Reguladores / Sociedad Ambiente del negocio