Curso de Preparación para la Certificación CISM (Certified Information Security Management)

Duración: 40 horas

Código: CISM-001

Descripción:

El curso de preparación para la certificación CISM (Certified Information Security Management) está dirigido a profesionales que desean profundizar sus conocimientos en Seguridad de la Información, dicha certificación está enfocada en la gestión, promueve prácticas internacionales de seguridad y acredita personas que administran, diseñan, supervisan y evalúan la seguridad de la información de una empresa, diseñada para los profesionales responsables de administrar el riesgo de la empresa a través de eficaces controles de Seguridad de la Información, es decir los profesionales de gestión y auditoría de TI, de riesgos, de control, de seguridad, de análisis de negocio, de proyectos y de cumplimiento regulatorio.

Los profesionales que acepten el reto encontrarán en esta certificación, una herramienta de gran valor para las empresas. A la fecha, CISM está entre las certificaciones mejor retribuidas, y ha sido obtenida por más de 32,000 profesionales en todo el mundo.

Objetivos:

El curso ha sido diseñado para fortalecer los conocimientos y ayudar a los participantes en los temas clave de los contenidos del examen y que éstos asimilen el enfoque y filosofía de ISACA.

Audiencia:

Este curso está dirigido a Profesionales del Área de Sistemas, Consultores de Tecnología, Auditores Internos y Externos de Sistemas, Profesionales, Administradores y Responsables de Seguridad de la Información que deseen prepararse para una certificación reconocida internacionalmente.

Prerrequisitos:
  • Conocimientos básicos de Seguridad de la Información
  • Experiencia en el ramo de la Seguridad de la Información
  • Conocimientos básicos de Auditoria de Sistemas
Metodología:

El curso comprende de presentaciones magistrales basadas en el material del curso elaborado por el instructor mismo que será entregado a cada estudiante para su uso individual.

Simulacro de Examen:

El último día de clases se efectuará un simulacro del examen con preguntas tipo.

Contenido:
1. Gobierno de Seguridad de la Información
  • Dominio 1: Confirma su capacidad para desarrollar y supervisar un marco de gobierno de seguridad de la información para guiar actividades que respalden la estrategia de seguridad de la información.
1.1 Establecer y mantener una estrategia de seguridad de la información alineada con las metas y objetivos de la organización para guiar el establecimiento y la gestión continua del programa de seguridad de la información.
1.2 Establecer y mantener un marco de gobernanza de la seguridad de la información para guiar las actividades que apoyan la estrategia de seguridad de la información.
1.3 Integrar la gobernanza de la seguridad de la información en el gobierno corporativo para asegurar que los objetivos y las metas de la organización sean apoyados por el programa de seguridad de la información.
1.4 Establecer y mantener políticas de seguridad de la información para comunicar las directivas de la administración y guiar el desarrollo de normas, procedimientos y directrices.
1.5 Desarrollar casos de negocios para apoyar inversiones en seguridad de la información.
1.6 Identificar las influencias internas y externas a la organización (por ejemplo, tecnología, entorno empresarial, tolerancia al riesgo, ubicación geográfica, requisitos legales y normativos) para asegurar que estos factores sean abordados por la estrategia de seguridad de la información.
1.7 Obtener el compromiso de la alta dirección y el apoyo de otras partes interesadas para maximizar la probabilidad de implementación exitosa de la estrategia de seguridad de la información.
1.8 Definir y comunicar las funciones y responsabilidades de la seguridad de la información en toda la organización para establecer responsabilidades claras y líneas de autoridad.
1.9 Establecer, monitorear, evaluar e informar métricas (por ejemplo, indicadores clave de objetivos [KGI], indicadores clave de desempeño [KPI], indicadores de riesgo clave [KRI]) para proporcionar a la administración información precisa sobre la eficacia de la estrategia de seguridad de la información.
2. Gestión de Riesgos de la Información
  • Dominio 2: Demuestra experiencia en la clasificación de activos de información para garantizar que las medidas tomadas para proteger esos activos sean proporcionales a su valor comercial.
2.1 Establecer y mantener un proceso de clasificación de activos de información para asegurar que las medidas tomadas para proteger los activos sean proporcionales a su valor comercial.
2.2 Identificar requisitos legales, reglamentarios, organizacionales y otros requisitos aplicables para manejar el riesgo de incumplimiento a niveles aceptables.
2.3 Asegurar que las evaluaciones de riesgos, las evaluaciones de vulnerabilidad y los análisis de amenazas se lleven a cabo de forma periódica y consistente para identificar el riesgo de la información de la organización.
2.4 Determinar las opciones apropiadas de tratamiento del riesgo para manejar el riesgo a niveles aceptables.
2.5 Evaluar los controles de seguridad de la información para determinar si son apropiados y efectivamente mitigar el riesgo a un nivel aceptable.
2.6 Identificar la brecha entre los niveles de riesgo actuales y deseados para manejar el riesgo a un nivel aceptable.
2.7 Integrar la gestión del riesgo de la información en los procesos empresariales y de TI (por ejemplo, desarrollo, adquisiciones, gestión de proyectos, fusiones y adquisiciones) para promover un proceso coherente e integral de gestión del riesgo de la información en toda la organización.
2.8 Monitorear los riesgos existentes para asegurar que los cambios sean identificados y manejados apropiadamente.
2.9 Informar sobre el incumplimiento y otros cambios en el riesgo de información para que la administración apropiada ayude en el proceso de toma de decisiones de gestión de riesgos.
3. Desarrollo y Gestión de Programa de Seguridad de la Información
  • Dominio 3: Atestigua la capacidad de garantizar que el programa de seguridad de la información agrega valor al tiempo que respalda los objetivos operativos de otras funciones comerciales (recursos humanos, contabilidad, compras, TI, etc.).
3.1 Establecer y mantener el programa de seguridad de la información en armonía con la estrategia de seguridad de la información.
3.2 Asegurar la alineación entre el programa de seguridad de la información y otras funciones empresariales (por ejemplo, recursos humanos [RH], contabilidad, adquisiciones y TI) para apoyar la integración con los procesos empresariales.
3.3 Identificar, adquirir, gestionar y definir los requisitos de recursos internos y externos para ejecutar el programa de seguridad de la información.
3.4 Establecer y mantener arquitecturas de seguridad de la información (personas, procesos, tecnología) para ejecutar el programa de seguridad de la información.
3.5 Establecer, comunicar y mantener estándares, procedimientos, guías y otra documentación de seguridad de la información organizacional para apoyar y guiar el cumplimiento de las políticas de seguridad de la información.
3.6 Establecer y mantener un programa de sensibilización y capacitación en seguridad de la información para promover un ambiente seguro y una cultura de seguridad efectiva.
3.7 Integrar los requisitos de seguridad de la información en los procesos organizacionales (por ejemplo, control de cambios, fusiones y adquisiciones, desarrollo, continuidad de negocios, recuperación de desastres) para mantener la línea de base de seguridad de la organización.
3.8 Integrar los requisitos de seguridad de la información en los contratos y actividades de terceros (por ejemplo, empresas conjuntas, proveedores tercerizados, socios comerciales, clientes) para mantener la línea de base de seguridad de la organización.
3.9 Establecer, monitorear y reportar periódicamente la gestión de programas y métricas operacionales para evaluar la efectividad y eficiencia del programa de seguridad de la información.
4. Gestión de Incidentes de Seguridad de la Información
  • Dominio 4: Establece sus habilidades para clasificar y categorizar con precisión los incidentes de seguridad de la información y desarrollar planes para garantizar una respuesta oportuna y efectiva.
4.1 Establecer y mantener una definición organizativa de los incidentes de seguridad de la información, así como la jerarquía de gravedad de los mismos, para permitir la identificación precisa y la respuesta a los incidentes.
4.2 Establecer y mantener un plan de respuesta a incidentes para asegurar una respuesta efectiva y oportuna a incidentes de seguridad de la información.
4.3 Desarrollar e implementar procesos para asegurar la identificación oportuna de incidentes de seguridad de la información.
4.4 Establecer y mantener procesos para investigar y documentar los incidentes de seguridad de la información para poder responder apropiadamente y determinar sus causas, cumpliendo con los requisitos legales, regulatorios y organizacionales.
4.5 Establecer y mantener procesos de escalamiento y notificación de incidentes para asegurar que los interesados ​​apropiados estén involucrados en la gestión de respuesta a incidentes.
4.6 Organizar, capacitar y equipar equipos para responder eficazmente a los incidentes de seguridad de la información de manera oportuna.
4.7 Pruebe y revise el plan de respuesta a incidentes periódicamente para asegurar una respuesta efectiva a incidentes de seguridad de la información y mejorar la capacidad de respuesta.
4.8 Establecer y mantener planes y procesos de comunicación para gestionar la comunicación con entidades internas y externas.
4.9 Llevar a cabo revisiones posteriores a los incidentes para determinar la causa raíz de los incidentes de seguridad de la información, desarrollar acciones correctivas, reevaluar el riesgo, evaluar la efectividad de la respuesta y tomar las medidas correctivas apropiadas.
4.10 Establecer y mantener la integración entre el plan de respuesta a incidentes, el plan de recuperación ante desastres y el plan de continuidad empresarial.
Costos:

Este costo incluye: Material de seguimiento, Material de estudio, el uso de una computadora por persona, certificados, refrigerios e impuestos de ley.