Ver SFIA: Habilidades para profesionales de la seguridad.

Habilidades para profesionales de la seguridad.

Algunas personas tienen roles de seguridad especializados. Por lo general, todas sus responsabilidades están relacionadas con la información y la seguridad cibernética. Los profesionales de seguridad primero deben mirar las habilidades de SFIA enumeradas aquí.

Gestión de riesgo al negocio BURM

La planificación y aplicación de procesos y procedimientos a nivel de toda la organización para la gestión del riesgo en relación con el éxito o la integridad del negocio, sobre todo aquellos que surgen del uso de tecnologías de la información, la reducción o la no disponibilidad del suministro de energía o la eliminación inadecuada de materiales, hardware o datos.

Seguridad de la información SCTY

La selección, el diseño, la justificación, la implementación y la operación de los controles y las estrategias de gestión para mantener la seguridad, la confidencialidad, la integridad, la disponibilidad, la responsabilidad y el cumplimiento pertinente de los sistemas de información con la legislación, las regulaciones y los estándares relevantes.

Aseguramiento de la información INAS

La protección de la integridad, la disponibilidad, la autenticidad, la no repudiación y la confidencialidad de la información y los datos almacenados y en tránsito. La gestión del riesgo de una manera pragmática y rentable para asegurar la confianza de los interesados.

Gobierno de la información IRMG

El gobierno general de cómo se usa todo tipo de información, estructurada y no estructurada, tanto si se produce interna o externamente, para soportar la toma de decisiones, los procesos empresariales y los servicios digitales. Abarca el desarrollo y la promoción de la estrategia y las políticas que cubren el diseño de estructuras y taxonomías de información, el establecimiento de políticas para el abastecimiento y el mantenimiento del contenido de datos y el desarrollo de políticas, procedimientos, prácticas laborales y formación para promover el cumplimiento de la legislación que regula todos los aspectos de la propiedad, el uso y la divulgación de datos.

Revisión de conformidad CORE

Corresponde a la evaluación independiente de la conformidad de cualquier actividad, proceso, producto final, producto o servicio con los criterios de normas especificadas, mejores prácticas u otros requisitos documentados. Podría estar relacionado, por ejemplo, con la gestión de activos, las herramientas de seguridad de redes, los cortafuegos y la seguridad de Internet, la sostenibilidad, los sistemas en tiempo real, el diseño de aplicaciones y las certificaciones específicas.

Análisis forense digital DGFS

Se refiere a la recolección, el procesamiento, la preservación, el análisis y la presentación de evidencia forense basadas en la totalidad de hallazgos, incluyendo evidencia informática, que respalden la mitigación de vulnerabilidades de la seguridad y/o investigaciones criminales, de fraude, de contra espionaje o de cumplimiento de la ley.

Pruebas de penetración PENT

La valoración de vulnerabilidades de la organización mediante el diseño y la ejecución de pruebas de penetración que demuestran cómo un adversario puede trastocar los objetivos de seguridad de la organización o lograr objetivos adversos específicos. Ejecutar pruebas de penetración puede ser actividad aislada o parte de las pruebas de aceptación antes de la aprobación para operar. La identificación de conocimiento más profundo sobre los riesgos comerciales de diversas vulnerabilidades.

Gestión de la seguridad SCAD

La prestación de servicios de gestión de seguridad operativa y administrativos. Incluye, por lo general, la autorización y el monitoreo del acceso a las instalaciones o infraestructuras de TI, la investigación del acceso no autorizado y el cumplimiento de la legislación pertinente.

Asesoramiento especializado TECH

El desarrollo y la explotación de la habilidad en cualquier área específica de la tecnología de información o comunicaciones, trabajo digital, técnicas específicas, metodologías, productos o áreas de aplicación, con el fin de proveer asesoramiento especializado.

Gestión de la continuidad COPL

La provisión de planificación y soporte a la continuidad del servicio, como parte de, o en estrecha cooperación con, la función que planifica la continuidad del negocio para toda la organización. La identificación de sistemas de información que soportan procesos de negocio críticos. La evaluación de riesgos a la disponibilidad, integridad y confidencialidad de los sistemas críticos. La coordinación de los procedimientos de planificación, diseño, prueba y mantenimiento y los planes de contingencia para abordar las exposiciones y mantener los niveles de continuidad acordados.

Gestión de incidentes USUP

El procesamiento y la coordinación de respuestas apropiadas y oportunas a reportes de incidentes, incluyendo canalizar solicitudes de ayuda a las funciones apropiadas para su resolución, monitorear la actividad de resolución y mantener informados a los clientes acerca del progreso hacia la restauración del servicio.

Investigación RSCH

La creación sistemática de nuevo conocimiento mediante la recopilación de datos, la innovación, la experimentación, la evaluación y la difusión. La determinación de los objetivos de investigación y el método por el cual se llevará a cabo la investigación. La participación activa en una comunidad de investigadores; comunicar formal e informalmente a través de medios digitales, conferencias, revistas, libros y seminarios.

Medición MEAS

El desarrollo y operación de una capacidad de medición para apoyar las necesidades de información organizacional acordadas. La planificación, implementación y control de las actividades para medir atributos de procesos, productos y servicios con el fin de evaluar el rendimiento, progreso y proporcionar las indicaciones y perspectivas a problemas reales o potenciales, incidentes y riesgos. La identificación de requerimientos, la selección de medidas y escalas de medición, el establecimiento de métodos de recolección y análisis de datos, y la definición de valores y umbrales objetivo. Las mediciones pueden aplicarse a organizaciones, proyectos, procesos y productos de trabajo.

Gestión de proveedores SUPP

La alineación de los objetivos y las actividades de desempeño de los proveedores de una organización con las estrategias y planes de abastecimiento, el equilibrio de los costos, la eficiencia y la calidad del servicio. El establecimiento de relaciones de trabajo basadas en la colaboración, la confianza y la comunicación abierta para fomentar la co-innovación (innovación colaborativa) y la mejora del servicio con los proveedores. La participación proactiva de los proveedores para el beneficio mutuo para resolver incidentes operacionales, problemas, bajo rendimiento y otras fuentes de conflicto. El uso de rutas claras de escalamiento para discutir y resolver problemas. La gestión del rendimiento y los riesgos en múltiples proveedores (internos y externos) utilizando un conjunto de métricas acordadas.

Gestión del conocimiento KNOW

La gestión sistemática del conocimiento vital para crear valor para la organización al capturar, compartir, desarrollar y explotar el conocimiento colectivo de la organización para mejorar el desempeño, soportar la toma de decisiones y mitigar los riesgos. El desarrollo de una cultura de intercambio de conocimientos colaborativa y de apoyo para impulsar la adopción exitosa de soluciones tecnológicas para la gestión del conocimiento. Proveer acceso a conocimiento informal y tácito, así como a conocimiento formal, documentado y explícito, facilitando la colaboración y las comunicaciones internas y externas.

Entrega de aprendizaje ETDL

Se refiere a la transferencia de habilidades y conocimientos empresariales y/o técnicos y a la promoción de actitudes profesionales a fin de facilitar el aprendizaje y el desarrollo. Utiliza una variedad de técnicas, recursos y medios (que pueden incluir el e-learning, los entornos virtuales en línea, la autoevaluación, el aprendizaje asistido por homólogos, las simulaciones y otros métodos actuales).

Gestión de las relaciones con los interesados RLMT

La identificación, el análisis, la gestión, el seguimiento y la mejora sistemáticos de las relaciones con los interesados para apuntar y mejorar los resultados mutuamente beneficiosos. Logra el compromiso de actuar a través de la consulta y la consideración de los impactos. Diseña el enfoque de gestión de relaciones que se tomará; incluidos roles y responsabilidades, gobernanza, políticas, procesos y herramientas, y mecanismos de apoyo. Creativamente combina canales de comunicación formales e informales para lograr el resultado deseado.