INFORMACIÓN GENERAL EVOLUCIÓN EN EL COMPLEJO PANAROMA ACTUAL DE LA SEGURIDAD BENEFITS A medida que el paisaje mundial de seguridad de la información evoluciona rápidamente, las empresas y las agencias gubernamentales implementan nuevas tecnologías que muy pocos usuarios comprenden verdaderamente. No se trata de un problema pequeño. Aunque la influencia de los medios sociales aumentó el uso de la tecnología móvil y la transición a nuevos modelos comerciales tales como la computación en la nube puede ser beneficiosa, el nivel de exposición que trae a su empresa implica un riesgo considerable. Un creciente número de clientes, contratistas, socios y empleados acceden a su información y de esta nueva forma cambian la forma en que usted protege los activos de su organización. En pocas palabras, comprender la nueva dinámica reduce el riesgo potencial. Es básicamente una cuestión de comprender, anticipar y prevenir las futuras amenazas de seguridad. Afortunadamente, existe una solución. Miembros de (ISC)2® - La fuerza que impulsa en la seguridad La seguridad de la información trasciende la tecnología y toca la misma esencia de su organización a través de las personas que operan dentro de su ambiente. Dado que la mayoría de las violaciones de seguridad son atribuidas al error humano, ningún software ni hardware se puede comparar a una persona con credenciales de (ISC)2. Nuestros miembros certificados poseen los conocimientos, destrezas y habilidades requeridas para desarrollar, diseñar e implementar inteligentes políticas y procedimientos de seguridad. En resumen, los atributos que necesita para triunfar. Hechos clave del Estudio Seguridad 2011 (GISWS) global de la Fuerza de Trabajo de -Las vulnerabilidades de aplicaciones, dispositivos móviles y servicios basados en la nube figuran entre las principales amenazas que enfrentan en la actualidad los profesionales en seguridad informática. -En 2010, había 2,2 millones de profesionales en seguridad de la información en todo el mundo y se proyecta que este número se duplicará para 2015. -Los miembros de (ISC)2 informan un 25% de salarios más altos que las personas que no son miembros. DESCRIPCIÓN En el principio había una variedad de asociaciones separadas que se unieron en 1989, el Consorcio Internacional de Certificación de Seguridad de Sistemas –(ISC)2– es un organismo mundial sin fines de lucro conocido por su educación de primer nivel y las certificaciones Estándar Industrial. Nuestro enfoque principal es desarrollar un estándar aceptado de la industria para la práctica de la seguridad de la información en todas sus formas. Los miembros de (ISC)2 protegen los activos de información de una organización, la arquitectura de seguridad de la información, la tecnología y los procesos comerciales para ayudar a que el negocio fluya sin fallas. En la actualidad, (ISC)2 continúa proporcionando productos neutrales de proveedores, servicios y credenciales Estándar Industrial en más de 135 países. Nos enorgullecemos personalmente por nuestra intachable reputación basada en la confianza, la integridad y el profesionalismo desarrollado a lo largo de los años. De hecho, la credibilidad de (ISC)2 es superior a cualquier otra en la industria. Nuestro sólido núcleo de apasionados expertos de la industria, combinado con más de 80.000 miembros certificados, crea un frente sólido para la innovación y una visión en el campo de la seguridad de la información. Gobernado por un directorio elegido por sus miembros, (ISC)2 está formado por un equipo global de los mejores profesionales en seguridad de la información y está administrado por un equipo de profesionales que trabaja junto con Juntas Consultoras regionales y temáticas para enfrentar todos los nuevos problemas de seguridad de la información con afán. Este enfoque multifacético permite a los miembros de (ISC)2 alcanzar los más altos niveles de profesionalismo y mérito en sus áreas respectivas de conocimiento en seguridad de la información. 1 M E M B E R RUTA DE CARRERA: PROGRESO EN LA PROFESIÓN DE SEGURIDAD (ISC)2® ofrece una ruta de carrera para los profesionales en seguridad desde el comienzo de su carrera hasta el retiro. Se ofrece una exclusiva combinación de certificaciones, educación avanzada, rigurosas pruebas y concentraciones especializadas. La ruta de carrera está destinada a cubrir un amplio rango de funciones laborales dentro de la seguridad de la información. Si usted es del tipo práctico, las credenciales sugeridas para mejorar su carrera serán muy distintas a las sugeridas para un candidato que desea alcanzar una posición directiva o gerencial. La figura siguiente está destinada a ayudarlo a determinar qué certificación es adecuada para usted. Certified Secure Software Lifecycle Professional Los miembros de (ISC)2 se encuentran en la vanguardia de la industria dinámica actual de seguridad de la información. Las personas que desean seguir una carrera en seguridad de la información y los empleadores que buscan personal calificado puede contactar a (ISC)2 para obtener más información, visite www.isc2.org/careerpath. REQUISITOS DE CERTIFICACIONES ISO/IEC (ISC)2 fue el primer organismo de certificación de seguridad de la información en cumplir los requisitos de la Certificación ISO/IEC 17024, un hito global para la certificación de personal. En la actualidad, todas las credenciales de (ISC)2 han sido acreditadas en función de esta certificación, convirtiendo al programa de credenciales de (ISC)2 en una obligación en la comunidad internacional de negocios. 2 COMPENDIO DE TEMAS DE SEGURIDAD DE LA INFORMACIÓN El CBK® de (ISC)2® es un compendio de temas relevantes para profesionales de la seguridad de la información y aplicaciones en todo el mundo. El CBK de (ISC)2 es el estándar aceptado en la industria, el tema de numerosos libros escritos sobre seguridad de la información y la esencia de programas universitarios de aseguramiento de la información en todo el mundo. El CBK se actualiza anualmente por los Comités de CBK de (ISC)2 formados por miembros de numerosas industrias y regiones en todo el mundo, para reflejar los temas más actuales y relevantes requeridos para la práctica en el campo. (ISC)2 usa los dominios CBK para evaluar el nivel de dominio de un candidato sobre la seguridad de la información. Los dominios de las credenciales de (ISC)2 se extraen de varios temas dentro del CBK de (ISC)2. Cada credencial contiene los siguientes dominios: Dominios de CBK de SSCP® (Systems Security Certified Practitioner) 1. Controles de acceso 5. Criptografía 2. Administración y operaciones de seguridad 6. Redes y comunicaciones 3. Supervisión y análisis 7. Código y actividad maliciosa 4. Riesgo, respuesta y recuperación Dominios CBK de CAP® (Certified Authorization Professional) 1.Comprender la autorización de seguridad de los sistemas de información 2. Categorizar los sistemas de información 3. Establecer al nivel inicial de control de seguridad 4. 5. 6. 7. Aplicar controles de seguridad Evaluar los controles de seguridad Autorizar los sistemas de información Supervisar controles de seguridad Dominios CBK de CSSLP® (Certified Secure Software Lifecycle Professional) 1. Asegurar conceptos de software 5. Asegurar las pruebas de software 2. Asegurar requisitos de software 6. Aceptación del software 3. Asegurar el diseño de software 7.Implementación, operaciones, 4.Asegurar la implementación/codificación mantenimiento y desecho del software de software Dominios CBK de CISSP® (Certified Information Systems Security Professional) 1. Controles de acceso 2. Telecomunicaciones y seguridad de red 3.Dirección de la seguridad de la información y gestión de riesgos 4. Seguridad del desarrollo del software 5. Criptografía 6. Arquitectura y diseño de seguridad 7. Seguridad de las operaciones 8.Continuidad comercial y planificación para la recuperación de desastres 9. Leyes, regulaciones, investigaciones y cumplimiento 10. Seguridad física (ambiental) Los dominios CBK de las Concentraciones CISSP están formados por: CISSP-ISSAP® (Information Systems Security Architecture Professional) 1. 2. 3. 4. Sistemas y metodología del control de acceso Comunicaciones y seguridad de red Criptografía Análisis de la arquitectura de seguridad 5.Planificación de continuidad comercial relacionada con la tecnología (BCP) y planificación para la recuperación de desastres (DRP) 6. Consideraciones sobre la seguridad física CISSP-ISSEP® (Information System Security Engineering Professional) 1. Ingeniería de seguridad de los sistemas 2.Certificación y acreditación (C&A)/Marco de gestión de riesgo (RMF) 3. Gestión técnica 4.Políticas y emisiones del gobierno de los EE. UU. relacionadas con el aseguramiento de la información CISSP-ISSMP® (Information System Security Management Professional) 1. Prácticas de gestión de la seguridad 2. Seguridad del desarrollo de sistemas 3. Gestión de cumplimiento de seguridad 4.Comprender la planificación de continuidad comercial (BCP) y la planificación para la recuperación de desastres (DRP) 5. Ley, investigación, argumentaciones y ética Para obtener más información sobre los temas de CBK requeridos para cada programa de certificación, descargue un Boletín de información para candidatos en www.isc2.org/cib. 3 CÓDIGO DE ÉTICA Todos los profesionales en seguridad de la información certificados por (ISC)2® reconocen que tal certificación es un privilegio que debe ser ganado y mantenido. En sustento de este principio, todos los miembros deben comprometerse a apoyar totalmente el Código de Ética de (ISC)2. Los miembros que violan las disposiciones del Código de Ética estarán sujetos a una acción por parte de un panel de revisión de pares, que puede resultar en la revocación de la certificación. El Código de Ética ofrece una garantía acerca de la naturaleza, capacidad, fortaleza o verdad de un miembro de (ISC)2, y ofrece un alto nivel de confianza al tratar con un par. M E M B E R BENEFITS Existen cuatro principios obligatorios que se incluyen en el Código de Ética, y se ofrecen lineamientos adicionales para cada uno. Si bien estos lineamientos pueden ser considerados por el directorio al juzgar un comportamiento, son recomendados y no obligatorios. Están destinados a ayudar a los profesionales a identificar y resolver los inevitables dilemas éticos que enfrentarán durante el curso de sus carreras en seguridad de la información. Por necesidad, tales lineamientos de alto nivel no están destinados a ser un sustituto del juicio ético del profesional. Preámbulo del Código de Ética Seguridad de la mancomunidad de naciones, el deber con nuestros superiores (contratadores, contratistas, personas para quienes trabajamos), y para los demás requiere que respetemos, y que se nos observe respetar, los más altos estándares éticos de comportamiento. En consecuencia, la estricta adherencia a este Código es una condición para la certificación. Cánones del código de ética • • • • Proteger a la sociedad, a la mancomunidad de naciones y la infraestructura. Actuar de forma honorable, honesta, justa, responsable y legal. Proporcionar un servicio diligente y competente a los directivos. Avanzar y proteger la profesión. Objetivos de los lineamientos El comité tiene presente su responsabilidad de: • Proporcionar lineamientos para resolver dilemas donde se enfrenta el bien con el bien y el mal con el mal. •Alentar el comportamiento correcto, tal como la investigación, la enseñanza, la identificación, la mentoría y el patrocinio de candidatos para la profesión y la valoración de la certificación. •Desalentar comportamientos tales como la generación de dudas innecesarias, otorgar un confort no garantizado ni garantías, consentir a malas prácticas, conectar sistemas débiles a la red pública y asociación profesional con no profesionales, amateurs o delincuentes. Estos objetivos se incluyen sólo para fines informativos; no se espera que el profesional esté de acuerdo con ellos. Para determinar las opciones que se le presentan, el profesional debe recordar que los lineamientos se incluyen sólo con fines de orientación. El cumplimiento de los lineamientos no es necesario ni suficiente para un comportamiento ético. El cumplimiento del preámbulo y los cánones es obligatorio. Los conflictos entre los cánones deben resolverse según el orden de los cánones. Los cánones no son iguales y la intención de los conflictos que existen entre sí no es crear lazos éticos. Para obtener más información sobre el código de ética de (ISC)2, visite www.isc2.org/ethics. En (ISC)2®, nos comprometemos a ayudar a los profesionales en seguridad de la información a continuar su educación en todas las áreas de su profesión. Una vez que ha obtenido con éxito una credencial (ISC)2, debe continuar su educación para garantizar que su certificación se mantenga vigente. Para mantener una credencial de (ISC)2, todos los miembros deben acumular créditos en Educación Profesional Continua (CPE) de forma anual. La cantidad de CPE necesaria depende del tipo de credencial. Los créditos CPE se categorizan como créditos del Grupo A o créditos del Grupo B, según la relación de las actividades asociadas con el dominio para cada certificación. Los créditos del Grupo A son para actividades directamente relacionadas con el dominio. Los créditos del Grupo B son para actividades que están fuera del dominio, pero que mejoran las destrezas y competencias profesionales generales del miembro. 4 LA CONTINUACIÓN DE LA EDUCACIÓN PROFESIONAL M E M B E R En (ISC)2®, nos comprometemos a ayudar a los profesionales en seguridad a continuar su educación en todas las áreas de su profesión. Una vez que ha obtenido con éxito una credencial (ISC)2, debe continuar su educación para garantizar que su certificación se mantenga vigente. BENEFITS Para mantener una credencial de (ISC)2, todos los miembros deben acumular créditos en Educación Profesional Continua (CPE) de forma anual. La cantidad de CPE necesaria depende del tipo de credencial. Los créditos CPE se categorizan como créditos del Grupo A o créditos del Grupo B, según la relación de las actividades asociadas con el dominio para cada certificación. Los créditos del Grupo A son para actividades directamente relacionadas con el dominio. Los créditos del Grupo B son para actividades que están fuera del dominio, pero que mejoran las destrezas y competencias profesionales generales del miembro. eríodo de certificación P de 3 años Credencial Mínimo anual (Obligatorio) Sólo Grupo A Grupo A Grupo B Total requerido (Mínimo por período de certificación de 3 años) Opcional (Máximo ver a continuación) (Por período de certificación de 3 años) SSCP 10 40 20 60 CAP 10 40 20 60 CSSLP 15 60 30 90 CISSP 20 80 40 120 ISSAP ISSEP ISSMP Durante los períodos siguientes de certificación de 3 años para estas concentraciones, 20 de los 120 CPE ya requeridos para el certificado previo CISSP deben relacionarse con el área específica de concentración. Por ejemplo, si un CISSP tomó el examen de la concentración ISSEP y aprobó, debe presentar al menos 20 de las 120 horas totales requeridas para el certificado CISSP en el área específica de ingeniería. Requisitos de la Designación de CPE Asociado de Designación de (ISC)2 Grupo A Total (Por año) Asociado de (ISC)2 que trabaja para alcanzar SSCP 10 10 Asociado de (ISC)2 que trabaja para alcanzar CAP 10 10 Asociado de (ISC)2 que trabaja para alcanzar CSSLP 15 15 Asociado de (ISC)2 que trabaja para alcanzar CISSP 20 20 5 LA CONTINUACIÓN DE LA EDUCACIÓN PROFESIONAL • • • • • Concurrir a cursos educativos/de capacitación y seminarios Concurrir a conferencias de la industria - Se ofrecen eventos de la serie Liderazgo en Seguridad de (ISC)2® sin costo alguno o con descuento para miembros. Ingrese a www.isc2.org/events para encontrar un evento cerca de usted. Concurrir a una reunión del Capítulo de la Asociación Profesional Concurrir a presentaciones educativas de proveedores Completar un curso académico superior Proporcionar capacitación sobre seguridad Publicar un artículo o un libro sobre seguridad Ofrecerse como voluntario para desempeñarse en el directorio de una organización de seguridad profesional Estudio independiente a través de capacitación basada en computadora, Webcasts, Podcasts - (ISC)2 ofrece las siguientes oportunidades de CPE sin cargo para los miembros: • Webinarios de mesa redonda de liderazgo ThinkTank (www.isc2.org/thinktank) • Series de seminarios de simposios electrónicos (www.isc2.org/e-symposium) • SecurityTALK (www.isc2.org/securitytalk) Lectura de un libro/revista sobre seguridad, tal como - El periódico de (ISC)2 - Revista InfoSecurity Professional Revisar una aplicación o un libro de seguridad de la información Trabajar como voluntario en el gobierno, el sector público y otras organizaciones de caridad Escribir preguntas de prueba para un examen de (ISC)2 - redacción de elementos Iniciar un Capítulo (ISC)2 Registros y auditoría de las horas de CPE El auditor de CPE de (ISC)2 realiza auditorías aleatorias de los créditos CPE reclamados. Si usted es seleccionado para una auditoría, recibirá instrucciones por correo electrónico con respecto a la documentación necesaria para sustentar sus actividades. Debe responder a esta solicitud y proporcionar esta información exactamente como se le indicó dentro de los 90 días. Sus créditos de CPE se publicarán dentro de los 30 días de la aprobación de la documentación. No es necesario que presente evidencia de actividades de créditos CPE a (ISC)2 en el momento de su presentación. Sin embargo, debe conservar la evidencia de los créditos obtenidos por al menos 12 meses después de que haya caducado su ciclo anterior de certificación. La evidencia de créditos CPE obtenidos puede estar en la forma de certificados analíticos de cursos, diplomas otorgados, certificados o comprobantes de asistencia, notas de investigación/preparación para conferencias o clases, copias de actas de reuniones oficiales o listas de asistencia o documentación de materiales de registro. Para cursos en línea que no entregan ninguno de los elementos anteriores, una toma de pantalla es suficiente. Para créditos CPE por libros y/o revistas, debe conservar la “prueba de posesión” como el libro o la revista, un recibo de venta, factura o registro de biblioteca. Como mínimo, su prueba debe incluir el título y, en caso de un libro, el autor y número ISBN; o, en caso de una revista, la editorial. La aceptación de un libro revisado por (ISC)2 también constituirá prueba suficiente, incluso en ausencia de otra prueba. Para obtener más información sobre los CPE y lineamientos detallados, visite www.isc2.org/cpes. (ISC)2 es la más grande entidad de membresía sin afanes de lucro formada por profesionales certificados en seguridad de la información en todo el mundo, con más de 80.000 miembros en más de 135 países. Globalmente reconocido como Estándar Industrial, (ISC)2 emite credenciales de Certified Information Systems Security Professional (CISSP®) y concentraciones relacionadas, así como el Certified Secure Software Lifecycle Professional (CSSLP®), Certified Authorization Professional(CAP®) y Systems Security Certified Practitioner (SSCP®) a los candidatos elegibles. Las certificaciones de (ISC)2 fueron unas de las primeras credenciales sobre seguridad de la información que cumplieron con los estrictos requisitos de la Certificación ISO/IEC 17024, un hito global para evaluar y certificar al personal. (ISC)2 también ofrece programas y servicios educativos basados en su CBK®, un compendio de temas de seguridad de la información. Puede encontrar más información en www.isc2.org. 6 • • • • • • • • • © 2012 International Information Systems Security Certification Consortium, Inc. Todos los derechos reservados. Los créditos CPE están ponderados por actividad. A continuación se muestran categorías comunes de actividades y la cantidad de créditos que puede obtener con cada una. Típicamente, se obtiene un crédito CPE por cada hora pasada en una actividad educativa. Sin embargo, algunas actividades otorgan más créditos debido a la profundidad del estudio o a la cantidad de compromiso continuo involucrado. En general, no se obtienen créditos CPE por actividades en el trabajo. ISC.1 (03/12)