Habilidades para profesionales de la seguridad.

La planificación y aplicación de procesos y procedimientos a nivel de toda la organización para la gestión del riesgo en relación con el éxito o la integridad del negocio, sobre todo aquellos que surgen del uso de tecnologías de la información, la reducción o la no disponibilidad del suministro de energía o la eliminación inadecuada de materiales, hardware o datos.

La selección, el diseño, la justificación, la implementación y la operación de los controles y las estrategias de gestión para mantener la seguridad, la confidencialidad, la integridad, la disponibilidad, la responsabilidad y el cumplimiento pertinente de los sistemas de información con la legislación, las regulaciones y los estándares relevantes.

La protección de la integridad, la disponibilidad, la autenticidad, la no repudiación y la confidencialidad de la información y los datos almacenados y en tránsito. La gestión del riesgo de una manera pragmática y rentable para asegurar la confianza de los interesados.

El gobierno general de cómo se usa todo tipo de información, estructurada y no estructurada, tanto si se produce interna o externamente, para soportar la toma de decisiones, los procesos empresariales y los servicios digitales. Abarca el desarrollo y la promoción de la estrategia y las políticas que cubren el diseño de estructuras y taxonomías de información, el establecimiento de políticas para el abastecimiento y el mantenimiento del contenido de datos y el desarrollo de políticas, procedimientos, prácticas laborales y formación para promover el cumplimiento de la legislación que regula todos los aspectos de la propiedad, el uso y la divulgación de datos.

Corresponde a la evaluación independiente de la conformidad de cualquier actividad, proceso, producto final, producto o servicio con los criterios de normas especificadas, mejores prácticas u otros requisitos documentados. Podría estar relacionado, por ejemplo, con la gestión de activos, las herramientas de seguridad de redes, los cortafuegos y la seguridad de Internet, la sostenibilidad, los sistemas en tiempo real, el diseño de aplicaciones y las certificaciones específicas.

Se refiere a la recolección, el procesamiento, la preservación, el análisis y la presentación de evidencia forense basadas en la totalidad de hallazgos, incluyendo evidencia informática, que respalden la mitigación de vulnerabilidades de la seguridad y/o investigaciones criminales, de fraude, de contra espionaje o de cumplimiento de la ley.

La valoración de vulnerabilidades de la organización mediante el diseño y la ejecución de pruebas de penetración que demuestran cómo un adversario puede trastocar los objetivos de seguridad de la organización o lograr objetivos adversos específicos. Ejecutar pruebas de penetración puede ser actividad aislada o parte de las pruebas de aceptación antes de la aprobación para operar. La identificación de conocimiento más profundo sobre los riesgos comerciales de diversas vulnerabilidades.

La prestación de servicios de gestión de seguridad operativa y administrativos. Incluye, por lo general, la autorización y el monitoreo del acceso a las instalaciones o infraestructuras de TI, la investigación del acceso no autorizado y el cumplimiento de la legislación pertinente.

El desarrollo y la explotación de la habilidad en cualquier área específica de la tecnología de información o comunicaciones, trabajo digital, técnicas específicas, metodologías, productos o áreas de aplicación, con el fin de proveer asesoramiento especializado.

La provisión de planificación y soporte a la continuidad del servicio, como parte de, o en estrecha cooperación con, la función que planifica la continuidad del negocio para toda la organización. La identificación de sistemas de información que soportan procesos de negocio críticos. La evaluación de riesgos a la disponibilidad, integridad y confidencialidad de los sistemas críticos. La coordinación de los procedimientos de planificación, diseño, prueba y mantenimiento y los planes de contingencia para abordar las exposiciones y mantener los niveles de continuidad acordados.

El procesamiento y la coordinación de respuestas apropiadas y oportunas a reportes de incidentes, incluyendo canalizar solicitudes de ayuda a las funciones apropiadas para su resolución, monitorear la actividad de resolución y mantener informados a los clientes acerca del progreso hacia la restauración del servicio.

La creación sistemática de nuevo conocimiento mediante la recopilación de datos, la innovación, la experimentación, la evaluación y la difusión. La determinación de los objetivos de investigación y el método por el cual se llevará a cabo la investigación. La participación activa en una comunidad de investigadores; comunicar formal e informalmente a través de medios digitales, conferencias, revistas, libros y seminarios.

El desarrollo y operación de una capacidad de medición para apoyar las necesidades de información organizacional acordadas. La planificación, implementación y control de las actividades para medir atributos de procesos, productos y servicios con el fin de evaluar el rendimiento, progreso y proporcionar las indicaciones y perspectivas a problemas reales o potenciales, incidentes y riesgos. La identificación de requerimientos, la selección de medidas y escalas de medición, el establecimiento de métodos de recolección y análisis de datos, y la definición de valores y umbrales objetivo. Las mediciones pueden aplicarse a organizaciones, proyectos, procesos y productos de trabajo.

La alineación de los objetivos y las actividades de desempeño de los proveedores de una organización con las estrategias y planes de abastecimiento, el equilibrio de los costos, la eficiencia y la calidad del servicio. El establecimiento de relaciones de trabajo basadas en la colaboración, la confianza y la comunicación abierta para fomentar la co-innovación (innovación colaborativa) y la mejora del servicio con los proveedores. La participación proactiva de los proveedores para el beneficio mutuo para resolver incidentes operacionales, problemas, bajo rendimiento y otras fuentes de conflicto. El uso de rutas claras de escalamiento para discutir y resolver problemas. La gestión del rendimiento y los riesgos en múltiples proveedores (internos y externos) utilizando un conjunto de métricas acordadas.

La gestión sistemática del conocimiento vital para crear valor para la organización al capturar, compartir, desarrollar y explotar el conocimiento colectivo de la organización para mejorar el desempeño, soportar la toma de decisiones y mitigar los riesgos. El desarrollo de una cultura de intercambio de conocimientos colaborativa y de apoyo para impulsar la adopción exitosa de soluciones tecnológicas para la gestión del conocimiento. Proveer acceso a conocimiento informal y tácito, así como a conocimiento formal, documentado y explícito, facilitando la colaboración y las comunicaciones internas y externas.

Se refiere a la transferencia de habilidades y conocimientos empresariales y/o técnicos y a la promoción de actitudes profesionales a fin de facilitar el aprendizaje y el desarrollo. Utiliza una variedad de técnicas, recursos y medios (que pueden incluir el e-learning, los entornos virtuales en línea, la autoevaluación, el aprendizaje asistido por homólogos, las simulaciones y otros métodos actuales).

La identificación, el análisis, la gestión, el seguimiento y la mejora sistemáticos de las relaciones con los interesados para apuntar y mejorar los resultados mutuamente beneficiosos. Logra el compromiso de actuar a través de la consulta y la consideración de los impactos. Diseña el enfoque de gestión de relaciones que se tomará; incluidos roles y responsabilidades, gobernanza, políticas, procesos y herramientas, y mecanismos de apoyo. Creativamente combina canales de comunicación formales e informales para lograr el resultado deseado.