Seguridad de la información SCTY

Definir y operar un marco de controles de seguridad y estrategias de gestión de seguridad.

Notas orientativas

Las actividades pueden incluir, entre otras, las siguientes:

seleccionar y adaptar marcos de seguridad para proteger la confidencialidad, integridad y disponibilidad de los sistemas
implementar controles de seguridad, incluidas medidas físicas, de procedimiento, técnicas y de cumplimiento
garantizar la rendición de cuentas y la adhesión a las leyes y estándares pertinentes
integrar principios seguros por diseño en todo el ciclo de vida del sistema, garantizando que la seguridad se integre desde las primeras etapas de diseño, a través del desarrollo, la implementación y en las operaciones
identificar y mitigar riesgos en infraestructura y aplicaciones.

Los controles de seguridad incluyen, sin limitación, los siguientes:

controles físicos – protección de los bienes materiales y los entornos físicos
controles de procedimiento o administrativos – políticas y pautas que rigen las prácticas de seguridad organizacional
controles técnicos o lógicos – medidas de hardware y software que protegen los sistemas de información
controles legales, reglamentarios o de cumplimiento – medidas que garantizan las leyes, reglamentaciones y estándares de la industria.

Por lo general, estas actividades se realizan en colaboración con especialistas de otras áreas, que incluyen, entre otras, legal, infraestructura técnica, auditoría, arquitectura e ingeniería de software.

Comprender los niveles de responsabilidad de esta habilidad

Donde los niveles inferiores no están definidos...

Las tareas y responsabilidades específicas no se definen porque la habilidad requiere un mayor nivel de autonomía, influencia y complejidad en la toma de decisiones de lo que normalmente se espera en estos niveles. Puede utilizar las instrucciones de esencia para comprender las responsabilidades genéricas asociadas a estos niveles.

Donde los niveles superiores no están definidos...

Las responsabilidades y la rendición de cuentas no están definidas porque estos niveles superiores implican un liderazgo estratégico y una influencia organizacional más amplia que va más allá del alcance de esta habilidad específica. Véanse las declaraciones de esencia.

Desarrollar habilidades y demostrar responsabilidades relacionadas con esta habilidad.

Los niveles definidos muestran la progresión incremental en habilidades y responsabilidades.

Donde los niveles inferiores no están definidos...

Puedes desarrollar tus conocimientos y apoyar a otras personas que sí tienen responsabilidad en esta área de la siguiente manera:

Aprender conceptos y principios clave relacionados con esta habilidad y su impacto en su función
Realización de habilidades relacionadas (consulte las habilidades relacionadas con SFIA)
Apoyar a otros que realizan tareas y actividades de nivel superior

Donde los niveles superiores no están definidos...

Puede progresar desarrollando habilidades relacionadas que se adaptan mejor a niveles más altos de liderazgo organizacional.

Haga clic para saber por qué las habilidades de SFIA no están definidas en los 7 niveles.

Mostrar/ocultar descripciones y niveles adicionales.

Niveles de responsabilidad para esta habilidad

Nivel 1

Nivel 1 - Seguir: Esencia del nivel: Realiza tareas rutinarias bajo estrecha supervisión, sigue instrucciones, y requiere orientación para completar su trabajo. Aprende y aplica habilidades y conocimientos básicos.

Seguridad de la información: Nivel 2

Nivel 2 - Asistir: Esencia del nivel: Proporciona asistencia a otros, trabaja bajo supervisión de rutina y usa su discreción para abordar problemas rutinarios. Aprende activamente a través de entrenamiento y experiencias en el trabajo.

Ayuda con la implementación y el monitoreo de políticas y protocolos de seguridad en diferentes sistemas. Contribuye a identificar y abordar los riesgos potenciales en la gobernanza y el cumplimiento de la seguridad. Apoya el análisis de incidentes de seguridad documentados, escalando cuando corresponda. Ayuda en la revisión de los controles y permisos de acceso, asegurando el cumplimiento de las políticas de seguridad.

Seguridad de la información: Nivel 3

Nivel 3 - Aplicar: Esencia del nivel: Realiza tareas variadas, a veces complejas y no rutinarias, utilizando métodos y procedimientos estándar. Trabaja bajo dirección general, ejerce discreción y gestiona el propio trabajo dentro de los plazos. Potencia proactivamente las habilidades y el impacto en el lugar de trabajo.

Aplica y mantiene los controles de seguridad específicos exigidos por la política de la organización y las valoraciones de riesgos locales. Comunica riesgos y asuntos de seguridad a gerentes del negocio y otras personas. Realiza valoraciones de riesgos básicas para sistemas de información de menor complejidad. Contribuye a identificar los riesgos que surgen de potenciales arquitecturas de soluciones técnicas. Sugiere soluciones o contramedidas alternativas para mitigar los riesgos. Define configuraciones de sistemas seguros según las arquitecturas previstas. Respalda la investigación de presuntos ataques y violaciones de seguridad.

Seguridad de la información: Nivel 4

Nivel 4 - Facilitar: Esencia del nivel: Realiza diversas actividades complejas, apoya y guía a otros, delega tareas cuando corresponde, trabaja de forma autónoma bajo dirección general y aporta experiencia para cumplir los objetivos del equipo.

Proporciona orientación sobre la aplicación y el funcionamiento de controles de seguridad físicos, de procedimentales y técnicos elementales. Explica el propósito de los controles de seguridad y realiza análisis de riesgos de seguridad e impacto comercial para sistemas de información de complejidad media. Identifica los riesgos que surgen de arquitecturas de soluciones técnicas potenciales. Diseña soluciones alternativas o contramedidas y se asegura de que mitiguen los riesgos identificados. Investiga presuntos ataques y soporta la gestión de incidentes de seguridad.

Seguridad de la información: Nivel 5

Nivel 5 - Asegurar, asesorar: Esencia del nivel: Proporciona orientación autorizada en su campo y trabaja bajo una dirección amplia. Responsable de entregar resultados de trabajo significativos, desde el análisis hasta la ejecución y evaluación.

Ofrece asesoramiento y orientación sobre estrategias de seguridad para la gestión de riesgos identificados y garantiza la adopción y el cumplimiento de estándares. Contribuye al desarrollo de políticas, estándares y pautas de seguridad de la información. Obtiene y actúa sobre información de vulnerabilidades y realiza evaluación de riesgos de seguridad, análisis de impacto al negocio y acreditaciones sobre sistemas de información complejos. Investiga las violaciones de seguridad graves y recomienda mejoras adecuadas para los controles. Desarrolla nuevas arquitecturas que mitigan los riesgos que traen las nuevas tecnologías y prácticas comerciales.

Seguridad de la información: Nivel 6

Nivel 6 - Iniciar, ejercer influencia: Esencia del nivel: Tiene una influencia organizativa considerable, toma decisiones de alto nivel, moldea políticas, demuestra liderazgo, promueve la colaboración organizacional y acepta la rendición de cuentas en áreas clave.

Desarrolla y comunica políticas, estándares y pautas de seguridad de la información corporativos. Se asegura de que los principios arquitectónicos se apliquen durante el diseño para reducir los riesgos. Impulsa la adopción y el cumplimiento de políticas, estándares y pautas. Contribuye al desarrollo de estrategias organizacionales que abordan los requisitos de control de la información. Identifica y monitorea las tendencias ambientales y del mercado, y evalúa proactivamente el impacto en las estrategias, los beneficios y los riesgos del negocio. Lidera la provisión de asesoramiento y orientación autoritarios sobre los requisitos para los controles de seguridad en colaboración con expertos en la materia.

Seguridad de la información: Nivel 7

Nivel 7 - Establecer estrategias, inspirar, movilizar: Esencia del nivel: Opera al más alto nivel organizacional, determina la visión y la estrategia general de la organización y asume la responsabilidad por el éxito general.

Dirige el desarrollo, la implementación, la entrega y el apoyo de una estrategia de seguridad de la información empresarial alineada con la estrategia de la empresa. Asegura el cumplimiento entre las estrategias comerciales y la seguridad de la información. Lidera la provisión de conocimientos, orientación y sistemas necesarios en cuanto a seguridad de la información para ejecutar planes estratégicos y operacionales. Asegura los recursos organizacionales para ejecutar la estrategia de seguridad de la información.