CCISO Domain Details

Controles de Gestión de Seguridad de la Información

• Identificar los procesos y objetivos operativos de la organización.
• Diseñar controles de sistemas de información alineados con las necesidades y objetivos operativos y realizar pruebas previas a su implementación para garantizar su eficacia.
• Identificar y seleccionar los recursos necesarios para implementar y mantener eficazmente los controles de sistemas de información. Estos recursos pueden incluir capital humano, información, infraestructura y arquitectura (p. ej.: plataformas, sistemas operativos, redes, bases de datos, aplicaciones).
• Diseñar e implementar controles de sistemas de información para mitigar riesgos. Supervisar y documentar el rendimiento de los controles de sistemas de información para cumplir con los objetivos organizacionales mediante la identificación y medición de métricas e indicadores clave de rendimiento (KPI).
• Diseñar y realizar pruebas de los controles de seguridad de la información para garantizar su eficacia, detectar deficiencias y asegurar su alineación con el programa de gestión de riesgos de la organización.
• Diseñar e implementar procesos para remediar adecuadamente las deficiencias y evaluar las prácticas de gestión de problemas para garantizar que los errores se registren, analicen y resuelvan oportunamente.
• Evaluar e implementar herramientas y técnicas para automatizar los procesos de control de sistemas de información.
• Medir, gestionar e informar sobre la implementación y la eficacia de los controles de seguridad.

Cumplimiento

• Analizar y comprender las leyes, regulaciones, estándares y mejores prácticas externas comunes aplicables a la organización, así como la ética organizacional.
• Conocer las normas internacionales de seguridad y gestión de riesgos, como las series ISO 27000 y 31000.
• Implementar y gestionar estrategias, planes, políticas y procedimientos de seguridad de la información para reducir el riesgo regulatorio.
• Comprender la importancia de las organizaciones reguladoras de seguridad de la información, así como de los grupos y partes interesadas pertinentes del sector.
• Comprender los cambios en la seguridad de la información: tendencias y mejores prácticas.
• Comprender y gestionar los controles del programa de cumplimiento empresarial, los procesos y procedimientos de cumplimiento de la seguridad de la información, las auditorías de cumplimiento y los programas de certificación.
• Comprender el proceso y los procedimientos de cumplimiento de la seguridad de la información.
• Recopilar, analizar e informar sobre los programas de cumplimiento.
• Comprender los programas de auditoría y control de cumplimiento.
• Seguir la ética organizacional.

Gestión de Auditorías

• Comprender el proceso de auditoría de TI y familiarizarse con las normas de auditoría de TI.
• Aplicar los principios de auditoría de sistemas de información: habilidades y técnicas para revisar y probar la tecnología y las aplicaciones de los sistemas de información para diseñar e implementar una estrategia exhaustiva de auditoría de TI basada en riesgos.
• Ejecutar el proceso de auditoría de acuerdo con las normas establecidas e interpretar los resultados según los criterios definidos para garantizar que los sistemas de información estén protegidos, controlados y sean eficaces para respaldar los objetivos de la organización.
• Evaluar los resultados de la auditoría, sopesando la relevancia, la precisión y la perspectiva de las conclusiones frente a la evidencia de auditoría acumulada.
• Evaluar las exposiciones resultantes de prácticas de control ineficaces o inexistentes y formular un plan práctico y rentable para mejorar dichas áreas.
• Desarrollar un proceso de documentación de auditoría de TI y compartir informes con las partes interesadas relevantes como base para la toma de decisiones.
• Asegurar que los cambios necesarios basados ​​en los hallazgos de la auditoría se implementen de manera eficaz y oportuna.

Gestión del Programa de Seguridad

• Para cada proyecto de sistemas de información, desarrollar una declaración clara del alcance del proyecto, alineada con los objetivos de la organización.
• Definir las actividades necesarias para ejecutar con éxito el programa de sistemas de información, estimar la duración de las actividades y desarrollar un cronograma y un plan de personal.
• Desarrollar, gestionar y supervisar el presupuesto del programa de sistemas de información, estimar y controlar los costos de cada proyecto.
• Identificar, negociar, adquirir y gestionar los recursos necesarios para el diseño y la implementación exitosos del programa de sistemas de información (p. ej., personal, infraestructura y arquitectura).
• Adquirir, desarrollar y gestionar el equipo del proyecto de seguridad de la información.
• Asignar funciones laborales claras al personal de seguridad de la información y brindar capacitación continua para garantizar un desempeño y una rendición de cuentas eficaces.
• Dirigir al personal de seguridad de la información y establecer comunicaciones y actividades de equipo entre el equipo de sistemas de información y otro personal relacionado con la seguridad (p. ej., soporte técnico, gestión de incidentes, ingeniería de seguridad).

Operaciones del Programa de Seguridad

• Resolver problemas de personal y trabajo en equipo dentro de los límites de tiempo, costo y calidad.
• Identificar, negociar y gestionar los acuerdos con proveedores y la comunidad.
• Participar con proveedores y partes interesadas para revisar y evaluar las soluciones recomendadas; identificar incompatibilidades, desafíos o problemas con las soluciones propuestas.
• Evaluar las prácticas y controles de gestión de proyectos para determinar si se cumplen los requisitos del negocio de manera rentable, a la vez que se gestionan los riesgos para la organización.
• Desarrollar un plan para medir continuamente la efectividad de los proyectos de sistemas de información y garantizar un rendimiento óptimo del sistema.
• Identificar a las partes interesadas, gestionar sus expectativas y comunicarse eficazmente para informar sobre el progreso y el rendimiento.
• Asegurar que se implementen los cambios y mejoras necesarios en los procesos de sistemas de información según sea necesario.

Control de Acceso

• Identificar los criterios para el control de acceso obligatorio y discrecional: comprender los diferentes factores que ayudan en la implementación de los controles de acceso y diseñar un plan de control de acceso.
• Implementar y gestionar un plan de control de acceso alineado con los principios básicos que rigen los sistemas de control de acceso, como la necesidad de conocer.
• Identificar diferentes sistemas de control de acceso, como tarjetas de identificación y biometría.
• Comprender la importancia de los carteles de advertencia para la implementación de las reglas de acceso.
• Desarrollar procedimientos para garantizar que los usuarios del sistema conozcan sus responsabilidades de AI antes de otorgar acceso a los sistemas de información.

Ingeniería Social, Ataques de Phishing, Robo de Identidad

• Comprender diversos conceptos de ingeniería social y su papel en los ataques internos, y desarrollar las mejores prácticas para contrarrestarlos.
• Diseñar un plan de respuesta ante incidentes de robo de identidad.
• Identificar y diseñar un plan para contrarrestar los ataques de phishing.

Seguridad Física

• Identificar estándares, procedimientos, directivas, políticas, regulaciones y leyes de seguridad física.
• Determinar el valor de los activos físicos y su impacto en caso de no estar disponibles.
• Diseñar, implementar y gestionar un plan de seguridad física integral, coordinado y holístico para garantizar la seguridad general de la organización, incluyendo un programa de auditorías y métricas de rendimiento.

Planificación de Recuperación ante Desastres y Continuidad de Negocio

• Desarrollar, implementar y supervisar la continuidad de negocio, la recuperación de negocio, la planificación de contingencias y los planes de recuperación ante desastres en caso de eventos disruptivos, y garantizar su alineación con las metas y objetivos de la organización.
• Dirigir la planificación de contingencias, las operaciones y los programas para gestionar el riesgo.
  Diseñar el proceso de documentación como parte del programa de continuidad de operaciones.
• Diseñar y ejecutar un plan de pruebas y actualización para el programa de continuidad de operaciones.
  Comprender la importancia de integrar los requisitos de AI en el Plan de Continuidad de Operaciones (COOP).

Firewall, IDS/IPS y Sistemas de Defensa de Red

• Comprender y gestionar la seguridad de la red en la nube
  Identificar los sistemas de detección y prevención de intrusiones adecuados para la seguridad de la información organizacional.
• Diseñar y desarrollar un programa para supervisar los cortafuegos e identificar problemas de configuración.
• Comprender los sistemas de defensa perimetral, como sensores de red y listas de control de acceso en enrutadores, cortafuegos y otros dispositivos de red.
• Identificar la arquitectura básica de red, los modelos, los protocolos y los componentes, como enrutadores y concentradores, que desempeñan un papel en la seguridad de la red.
• Comprender el concepto de segmentación de red
  Administrar DMZ, VPN y tecnologías de telecomunicaciones como PBX y VoIP.
• Identificar vulnerabilidades de red y explorar controles de seguridad de red, como el uso de SSL y TLS para la seguridad de la transmisión.
• Apoyar, supervisar, probar y solucionar problemas de hardware y software.
• Administrar cuentas, derechos de red y acceso a sistemas y equipos.

Seguridad Inalámbrica

• Identificar vulnerabilidades y ataques asociados a redes inalámbricas y administrar diferentes herramientas de seguridad de redes inalámbricas.

Virus, Troyanos, Malware y Otras Amenazas de Código Malicioso

• Evaluar la amenaza que representan los virus, troyanos y malware para la seguridad organizacional e identificar las fuentes y los medios de infección de malware.
• Implementar y gestionar sistemas antivirus.
• Desarrollar un proceso para contrarrestar las amenazas de virus, troyanos y malware, incluyendo la capacitación de los equipos de seguridad y de otros equipos en procesos de desarrollo seguros.

Mejores Prácticas de Codificación Segura y Protección de Aplicaciones Web

• Desarrollar y mantener programas de garantía de software alineados con los principios de codificación segura y cada fase del ciclo de vida del desarrollo del sistema (SDLC).
• Comprender diversas prácticas de ingeniería de sistemas.
• Configurar y ejecutar herramientas que faciliten el desarrollo de programas seguros.
• Comprender las técnicas de análisis de vulnerabilidades de software, incluyendo código estático, código dinámico y análisis de composición de software.
• Instalar y operar los sistemas de TI con una configuración de prueba que no altere el código del programa ni comprometa las medidas de seguridad.
• Identificar vulnerabilidades y ataques a aplicaciones web, así como las herramientas de seguridad para contrarrestarlos.

Fortalecimiento del Sistema Operativo

• Identificar diversas vulnerabilidades y ataques del sistema operativo y desarrollar un plan para fortalecer los sistemas.
• Comprender los registros del sistema, el proceso de gestión de parches y la gestión de la configuración para la seguridad de los sistemas de información.

Tecnologías de Cifrado

• Comprender el concepto de cifrado y descifrado, certificados digitales, infraestructura de clave pública y las diferencias clave entre criptografía y esteganografía.
• Identificar los diferentes componentes de un criptosistema.
• Desarrollar un plan para técnicas de cifrado de seguridad de la información.

Evaluación de Vulnerabilidades y Pruebas de Penetración

• Diseñar, desarrollar e implementar un programa de pruebas de penetración basado en la metodología de pruebas de penetración para garantizar la seguridad organizacional.
  
• Identificar las diferentes vulnerabilidades asociadas con los sistemas de información y los aspectos legales relacionados con las pruebas de penetración.
  
• Desarrollar procedimientos previos y posteriores a las pruebas
  Desarrollar un plan para la elaboración de informes de pruebas de penetración y la implementación de correcciones de vulnerabilidades técnicas.
  
• Desarrollar sistemas de gestión de vulnerabilidades.

Gestión de Amenazas

• Crear y gestionar un programa de gestión de amenazas que incluya información sobre amenazas, amenazas de terceros y boletines de seguridad sobre hardware y software, en particular software de código abierto.

Respuesta a Incidentes e Informática Forense

• Desarrollar un plan para identificar una posible violación de seguridad y tomar las medidas adecuadas para reportar el incidente.
  
• Cumplir con los procedimientos de terminación del sistema y los requisitos de reporte de incidentes relacionados con posibles incidentes de seguridad o infracciones reales.
  
• Evaluar posibles violaciones de seguridad para determinar si se han infringido las políticas de seguridad de la red, evaluar el impacto y preservar la evidencia.
  
• Diagnosticar y resolver problemas de IA en respuesta a incidentes reportados.
  
• Diseñar procedimientos de respuesta a incidentes, incluyendo pruebas, ejercicios prácticos y manuales de estrategias.
  
• Desarrollar directrices para determinar si un incidente de seguridad indica una violación de la ley que requiere acciones legales especiales.
  
• Identificar la información volátil y persistente del sistema.
  
• Configurar y administrar laboratorios y programas forenses.
  
• Comprender diversos dispositivos de medios digitales, principios y prácticas de descubrimiento electrónico y diferentes sistemas de archivos.
  
• Desarrollar y administrar un programa de investigación forense digital organizacional.
  
• Establecer, desarrollar y administrar equipos de investigación forense.
  
• Diseñar procesos de investigación como la recopilación de evidencia, la creación de imágenes, la adquisición y el análisis de datos.
  
• Identificar las mejores prácticas para adquirir, almacenar y procesar evidencia digital.
  
• Configurar y utilizar diversas herramientas forenses.
• Herramientas de investigación.
• Diseño de técnicas antiforenses.

Seguridad de Aplicaciones

• 6.1 Modelo SDLC seguro
• 6.2 Separación de los entornos de desarrollo, pruebas y producción
  
• 6.3 Enfoques de pruebas de seguridad de aplicaciones
  
• 6.4 DevSecOps
  
• 6.5 Metodología en cascada y seguridad
  
• 6.6 Metodología ágil y seguridad
  
• 6.7 Otros enfoques de desarrollo de aplicaciones
  
• 6.8 Fortalecimiento de aplicaciones
  
• 6.9 Tecnologías de seguridad de aplicaciones
  
• 6.10 Control de versiones y gestión de parches
  
• 6.11 Seguridad de bases de datos
  
• 6.12 Fortalecimiento de bases de datos
  
• 6.13 Prácticas de codificación segura

Seguridad de la Virtualización

• 8.1 Descripción general de la virtualización
  
• 8.2 Riesgos de la virtualización
  
• 8.3 Preocupaciones sobre la seguridad de la virtualización
  
• 8.4 Controles de seguridad de la virtualización
  
• 8.5 Modelo de referencia de seguridad de la virtualización

Seguridad de la Computación en la Nube

• 9.1 Descripción general de la computación en la nube
  
• 9.2 Seguridad y resiliencia de los servicios en la nube
  
• 9.3 Preocupaciones sobre la seguridad en la nube
  
• 9.4 Controles de seguridad en la nube
  
• 9.5 Consideraciones sobre la protección de la computación en la nube

Tecnologías Transformadoras

• 10.1 Inteligencia artificial
  
• 10.2 Realidad aumentada
  
• 10.3 SOC autónomo
  
• 10.4 Engaño dinámico
  
• 10.5 Ciberseguridad definida por software

Planificación Estratégica

• Diseñar, desarrollar y mantener la arquitectura de seguridad de la información empresarial (EISA) alineando los procesos de negocio, el software y hardware de TI, las redes locales y extensas, el personal, las operaciones y los proyectos con la estrategia general de seguridad de la organización.
• Realizar análisis externos de la organización (p. ej., análisis de clientes, competidores, mercados y entorno industrial) e internos (gestión de riesgos, capacidades organizacionales, medición del rendimiento, etc.) y utilizarlos para alinear el programa de seguridad de la información con los objetivos de la organización.
• Identificar y consultar con las partes interesadas clave para asegurar la comprensión de los objetivos de la organización.
• Definir un plan estratégico visionario e innovador para el rol del programa de seguridad de la información, con metas, objetivos y objetivos claros que respalden las necesidades operativas de la organización.
• Definir indicadores clave de rendimiento y medir la eficacia de forma continua.
• Evaluar y ajustar los recursos de seguridad para garantizar que respalden los objetivos estratégicos de la organización.
• Supervisar y actualizar las actividades para garantizar la rendición de cuentas y el progreso.

Finanzas

• Analizar, pronosticar y desarrollar el presupuesto operativo del departamento de seguridad.
• Adquirir y gestionar los recursos necesarios para la implementación y gestión del plan de seguridad de la información.
• Asignar recursos financieros a proyectos, procesos y unidades dentro del programa de seguridad de la información.
• Supervisar la gestión de costes de los proyectos de seguridad de la información: retorno de la inversión (ROI) de las compras clave relacionadas con la infraestructura y seguridad de TI, y garantizar su alineación con el plan estratégico.
• Identificar e informar sobre las métricas financieras a las partes interesadas.
• Equilibrar la cartera de inversiones en seguridad de TI según las consideraciones de la EISA y las prioridades de seguridad empresarial.
• Comprender el ciclo de vida de las adquisiciones y determinar la importancia de las compras mediante el análisis de impacto en el negocio.
• Identificar diferentes estrategias de adquisición y comprender la importancia del análisis coste-beneficio durante la adquisición de un sistema de información.
• Comprender los conceptos básicos de adquisición, como la Declaración de Objetivos (SOO), la Declaración de Trabajo (SOW) y el Coste Total de Propiedad (TCO).
• Colaborar con las distintas partes interesadas (como clientes internos, abogados, profesionales de seguridad de TI, profesionales de la privacidad, ingenieros de seguridad, proveedores, etc.) en la adquisición de productos y servicios de seguridad de TI.
• Incluir requisitos de seguridad basados ​​en riesgos en la adquisición. Planes: estimaciones de costos, enunciados de trabajo, contratos y factores de evaluación para la adjudicación, acuerdos de nivel de servicio y otros documentos de adquisición pertinentes.
• Diseñar el proceso de selección de proveedores y la política de gestión.
• Desarrollar políticas de administración de contratos que orienten la evaluación y aceptación de los productos y servicios de seguridad de TI entregados bajo un contrato, así como la evaluación de la seguridad de las TI y el software que se adquieren.
• Desarrollar medidas y estándares de informes para medir e informar sobre los objetivos clave en las adquisiciones, alineados con las políticas y procedimientos de seguridad de TI.
• Comprender los requisitos de seguridad de la auditoría interna que se incluirán en los enunciados de trabajo y otros documentos de adquisición pertinentes.

Gestión de Terceros

• Diseñar el proceso de selección de terceros.
• Diseñar la política, las métricas y los procesos de gestión de terceros.
• Diseñar y gestionar el proceso de evaluación de terceros, incluyendo la gestión continua del cumplimiento normativo
• Desarrollar medidas y estándares de informes para medir e informar sobre los objetivos clave en las adquisiciones, alineados con las políticas y procedimientos de seguridad de TI.
• Incluir requisitos de seguridad basados ​​en riesgos en los planes de adquisición: estimaciones de costos, declaraciones de trabajo, contratos y factores de evaluación para la adjudicación, acuerdos de nivel de servicio y otros documentos de adquisición pertinentes.
• Comprender los requisitos de seguridad, privacidad y cumplimiento normativo que deben incluirse en las Declaraciones de Trabajo (SOW), los Acuerdos Marco de Servicios (MSA) y otros documentos de adquisición pertinentes.