El marco global de habilidades y competencias para un mundo digital

Seguridad de la información SCTY

Definir y operar un marco de controles de seguridad y estrategias de gestión de seguridad.

Notas orientativas

El propósito de los controles de seguridad y las estrategias de gestión es:

  • mantener la seguridad, confidencialidad, integridad, disponibilidad y responsabilidad de los sistemas de información
  • asegurarse de que los sistemas de información cumplan con la legislación, la reglamentación y los estándares relevantes

Las actividades pueden incluir, entre otras, las siguientes:

  • seleccionar, adoptar y adaptar marcos de control de seguridad
  • diseñar, justificar e implementar estrategias de gestión de la seguridad
  • identificar riesgos con arquitecturas de soluciones técnicas
  • asegurarse de que los principios de seguridad se apliquen durante el diseño y el desarrollo, para reducir los riesgos

Los ejemplos de tipos de controles de seguridad incluyen, entre otros, los siguientes:

  • controles físicos 
  • controles administrativos o de procedimiento 
  • controles técnicos o lógicos 
  • controles legales y reglamentarios o de cumplimiento

Por lo general, estas actividades se realizan en colaboración con especialistas de otras áreas, que incluyen, entre otras, leyes, infraestructura técnica, auditoría, arquitectura e ingeniería de software.

Niveles de responsabilidad para esta habilidad

3 4 5 6 7

Seguridad de la información: Niveles 1-2

Por lo general, esta habilidad no se observa ni se practica en estos niveles de responsabilidad y rendición de cuentas.

Seguridad de la información: Nivel 3

Aplica y mantiene los controles de seguridad específicos exigidos por la política de la organización y las valoraciones de riesgos locales.

Comunica riesgos y asuntos de seguridad a gerentes del negocio y otras personas. Realiza valoraciones de riesgos básicas para sistemas de información de menor complejidad.

Contribuye a identificar los riesgos que surgen de potenciales arquitecturas de soluciones técnicas. Sugiere soluciones o contramedidas alternativas para mitigar los riesgos. Define configuraciones de sistemas seguros según las arquitecturas previstas.

Respalda la investigación de presuntos ataques y violaciones a la seguridad.

Seguridad de la información: Nivel 4

Proporciona orientación sobre la aplicación y el funcionamiento de controles de seguridad físicos, procedimentales y técnicos elementales.

Explica el propósito de los controles de seguridad y realiza análisis de riesgos de seguridad e impacto comercial para sistemas de información de complejidad media.

Identifica los riesgos que surgen de arquitecturas de soluciones técnicas potenciales. Diseña soluciones o contramedidas alternativas y se asegura de que mitiguen los riesgos identificados.

Investiga las sospechas de ataques y soporta la gestión de incidentes de seguridad.

Seguridad de la información: Nivel 5

Ofrece asesoramiento y orientación sobre estrategias de seguridad para la gestión de riesgos identificados y se asegura la adopción y el cumplimiento de estándares.

Contribuye al desarrollo de políticas, estándares y directrices de seguridad de la información.

Obtiene y actúa sobre información de vulnerabilidades y realiza evaluación de riesgos de seguridad, análisis de impacto al negocio y acreditaciones sobre sistemas de información complejos. Investiga las brechas de seguridad graves y recomienda mejoras adecuadas para los controles.

Desarrolla nuevas arquitecturas que mitigan los riesgos que traen las nuevas tecnologías y prácticas comerciales.

Seguridad de la información: Nivel 6

Desarrolla y comunica políticas, estándares y directrices de seguridad de la información corporativos.

Se asegura de que los principios arquitectónicos se apliquen durante el diseño para reducir los riesgos. Impulsa la adopción y el cumplimiento de políticas, estándares y directrices.

Contribuye al desarrollo de estrategias organizacionales que abordan los requisitos de control de la información. Identifica y monitorea las tendencias ambientales y del mercado, y evalúa proactivamente el impacto en las estrategias, los beneficios y los riesgos del negocio.

Lidera la provisión de asesoramiento y orientación autoritarios sobre los requisitos para los controles de seguridad en colaboración con expertos en otros temas.

Seguridad de la información: Nivel 7

Dirige el desarrollo, la implementación, la entrega y el soporte de una estrategia de seguridad de la información empresarial alineada con la estrategia de la empresa.

Asegura el cumplimiento entre las estrategias comerciales y la seguridad de la información.

Lidera la provisión de experiencia, orientación y sistemas necesarios en cuanto a seguridad de la información para ejecutar planes estratégicos y operacionales.

Asegura los recursos organizacionales para ejecutar la estrategia de seguridad de la información.