ISACA Security ISACA Security
ManagementManagement
Programa de Investigaciones
y
Desrlollo de Productos
La Agenda
�Los Constituyentes
� Participantes en la Programa de Seguridad
� Security Management Committee
• Investigaciones
• Certificaciones
• Educación
• Normas
• Académicos
• Alianzas
Constituyentes
10 Box Matrix
ISACA
IT Assurance
(43.4%)
Info Security
(12.6%)
IT
(25.4%)
Executive
& Board
(6.9%)
Management
(34.1%)
Practitioner
(42.9%)
Academia
CAE3.6%
IS/IT Audit
Director / Manager / Consultant
9.9%
IS IT Senior or Auditor
29.9%
CIO2.2%
CSOCISO1.1%
Professor and Student (2.1%)Professor 0.8%Student 1.3%
Business Community
(10.1%) CEO
CFO
Compliance/Risk/Privacy
Security
Director / Manager / Consultant
7.5%
IS IT
Director / Manager / Consultant
16.7%
Security Staff
6.5%IS IT Staff
6.5%
2.0%
1.1%
7.0%
Ten Box MatrixISACA International
Los porcentajes representan la
parte de la base de datos de
miembros ISACA en cada
categoría (a partir de septiembre
de 2008). Los títulos de empleo
son ejemplos de los tipos de
funciones que podrían encajar en
la categoría indicada.
Composición total 88.014
Grupos
Constituyentes
IT Assurance
Information
Security
Management
Information
Technology
International Board of Directors
Strategy Advisory Group
Membership Board
Certification Boards
Governmental and Regulatory Agency Board
Publications Committees
Standards Board
Finance Board
Conference and Education Board
Security
Management
Committee
Conference &Education
CISMCertification
PublicationsCommittees
DevelopmentCommittees
ExternalRelations
ServiceProviders
Licensees
10 Box Matrix
CISM
IT Assurance
(16.8%)
Info Security
(43.5%)IT
(28.8%)
Executive
& Board
(12.7%)
Management
(62.6%)
Practitioner
(13.8%)
Academia
CAE3.5%
IS/IT Audit
Director / Manager / Consultant
7.5%
IS IT Senior or Auditor
5.8%
CIO4.7%
CSOCISO4.5%
Professor and Student (0.6%)
Business
Community (8%) CEO 3,6%CFO 0.3%
Compliance/Risk/Privacy 4.4%
Security
Director / Manager / Consultant
32.6%
IS IT
Director / Manager / Consultant
22.5%
Security Staff
6.4%
IS IT Staff
1.6%
Ten Box MatrixCISM Certification Holders
Los porcentajes representan la
parte de la base de datos de
ISACA miembros que están
certificadas CISM (a partir de
septiembre de 2008). Los títulos
de empleo son ejemplos de los
tipos de funciones que podrían
encajar en la categoría indicada.
Total de la certificación CISM
8.775
Security Program
Constituent Priorities
IT Assurance
(16.8%)
Info Security
(43.5%)IT
(28.8%)
Executive
& Board
(12.7%)
Management
(62.6%)
Practitioner
(13.8%)
Academia
CAE
IS/IT Audit Director / Manager / Consultant
IS IT Senior or Auditor
CIOCSOCISO
Professor and Student
Business
Community CEO CFO
Compliance/Risk/Privacy
Security
Director / Manager / Consultant
IS IT
Director / Manager / Consultant
Security Staff IS IT Staff
Primaria
Influencia
Crecimiento
Categorías de Membresía
Lideres de la Programa
de SeguridadS
MC
CIS
M
Bo
ard
CIS
M T
EC
SM
C D
eve
lop
me
nt
Jo Stewart-Rattray - Australia
Emil D`Angelo - USA
Kent Anderson - USA
Kyeong Hee-Oh - Korea
Manuel Aceves - Mexico
Mark Lobel - USA
Rolf von Roessing - Germany
Vernon Poole – United Kingdom
Yves le Roux - France
Evelyn Anton Venezuela
Allan Boardman – United Kingdom
Michael Wal-Kee Yung – Hong Kong
Gary Barnes – Australia
Hitoshi Ota – Japan
Dr. Smita Totade – India
Ramses Gallego – SpainJames Crawford - USA
Bruce Wilkins – USA
Han Jae-Ho - Korea
Zhu Hui, - Canada
John R. Goetz - USA
Gary David Langham - Australia
Ramesan Venkata Ramani - India
Christian Palomino – SpainAureo Monteiro Tavares Da Silva - Brazil
Abraham Soka Nyirongo - Zambia
Dr. Derek Oliver
Elisabeth Antonsson – Sweden
Dr. Christos Dimitriadis – Greece
Ghassan Youssef – Jordan
Jean-Luc Allard – Belgium
Krag Brotby – USA
Meenu Gupta – USA
Sanjay Bahl - India
Investigaciones
TheThe
BusinessBusiness
ModelModel
ForFor
InformationInformation
SecuritySecurity
Orígenes y la
Intención del Modelo
� Desarrollado por la Escuela Marshall de Negocios de la
Universidad del Sur de California por Laree Kiely doctorado y
Terry Benzel
� Presenta al nivel alto un modelo de negocio y una programa de
seguidad de la información que soporta el negicio
� Construido alrededor de un conjunto básico de principios cuyo
propósito es garantizar un equilibrio óptimo de protección,
manteniendo al mismo tiempo la capacidad de llevar a cabo
negocios
¿Por qué es
necesario?
� Más importantes retos que enfrentan losadministradores de la seguridad de la información
� Los directores no entienden la seguridad� Los gerentes de seguridad no entienden al negocio� Seguridad no participa antes de la aplicación de las
nuevas tecnología� No hay una integración entre las empresas y la
seguridad� No hay una alineación de la seguridad con los
objetivos de laorganización
Source: Critical Elements of Information Security Program Success, ISACA, 2005
Modelo Sistémica de la
Gestión de la Seguridad
SSM se desarrolló para abordar la complejidad de la seguridad.
Se trata de un modelo de negocios orientado a que promueva un
equilibrio entre la protección y las empresas
Elementos
• Diseño y Estrategia de la Organizacion
• Gente
• Procesos
• Technologia
Interconexiones Dinámicas
• Cultura
• Architectura
• Gobierno
• Emergence
• Activación y Apoyo
• Factores Humanos
Technology
Organization
Process
People
Human Factors
Architecture
Emergence
Cultu
re
Governing
Enabling & Support
CERTIFICACION CISM
Crecimiento to CISM
CISM June Exam RegistrationsPaid and Unpaid
-
500
1,000
1,500
2,000
2,500
3,000
30 29 28 27 26 25 24 23 22 21 20 19 18E
arly 16 15 14 13 12 11 10
Final 8 7 6 5 4 3 2 1
Exa
m D
ate
Weeks Out
Reg
istr
an
ts
Jun 2005 Dec 2005 Jun 2006 Dec 2006 Jun 2007 Dec 2007 June 2008 Dec-08
Crecimiento de CISM
2003
2004
2005
2006
2007
2008
1,509
3,645
400
728
1,698
2,311
10,291
1,438
3,531
60
5,029
1,271
3,040
367
682
1,673
2,311
9,344
YEAR TOTAL GRANDFATHERCURRENTMEMBER
Países Europeos
Austria
Belgium
Denmark
France
Germany
Greece
Ireland
Italy
Netherlands
Poland
Portugal
Scotland
SpainSweden
Switzerland
United Kingdom
36
111
71
93
190
27
35
123
97
42
14
6
30695
124
396
Valencia CISM
Members
CISM Members
Barcelona CISM
Members
CISM Members
Madrid CISM
Members
CISM Members
22
158
21
60
342
55
212
980
179
Numero de CISMes
14%
16%
18%
Capitulos con mas de
20% de Miembros CISM
National Capital Area
Central Maryland
Montevideo
Slovenia
Mendoza
La Paz
Lithuania
Madrid
2,348
610
74
146
4
31
101
980
24%
21%
22%
22%
50%
23%
24%
22%
CAPITULO MIEMBROS PORCENTAJE
Quienes Son Los
CISMes
Anos de experiencia en su profesion
1 - 3
4 – 7
8 – 9
10 – 13
14+
No Respuesta
20
603
849
2,034
5,813
13
0%
6%
9%
22%
62%
0%
Numero Porcentaje
Quienes Son Los
CISMes
Tomano de la Organizacion
Menos de 50
50 – 149
150 – 499
500 – 1,499
1,500 – 4,999
5,000 – 9,999
10,000 – 14,999
Mas de 15,000
1,212
552
964
957
1,312
763
400
3,104
13%
6%
10%
10%
14%
8%
4%
33%
Numero Porcentaje
Quienes Son Los
CISMes
Personal de Seguridad
0
1
2 – 5
6 – 10
11 – 25
Mas de 25
312
699
2,621
1,486
1,350
2,831
3%
7%
28%
16%
14%
30%
Numero Porcentaje
Quienes Son Los
CISMes
Nivel de Educacion
1 Ano o Menos
2
3
4
5
6
AS
BA/BS
MA/MS/MBA
PhD
NA
Otra
103
204
284
439
231
426
192
3,088
3,647
289
64
352
1%
2%
3%
5%
2%
5%
2%
33%
39%
3%
1%
4%
Numero Porcentaje
0%
1.3%
2.3%
5%
2.8%
4%
1.9%
39.1%
34.5%
1.6%
0.6%
4.7%
Porcentaje de ISACA
Quienes Son Los
CISMes
Materia de Empleo
Financial / Banking
Insurance
Public Accounting
Transportation
Aerospace
Retail/Wholesale/Distribution
Government/Military
Technology Services/Consulting
Manufacturing/ Energy
Telecom/Communications
Mining/Construction/Petrol/Agriculture
Utilities
Legal/Real Estate
Health/Medical
Pharmaceuticals
Advertising/Marketing/Media
Education/Student
Other
1,730
312
293
102
38
148
967
3,524
380
345
113
137
29
262
52
38
151
704
19%
3%
3%
1%
0%
2%
10%
38%
4%
4%
1%
1%
0%
3%
1%
0%
2%
8%
Numero Porcentaje Porcentaje de ISACA
19.8%
3.4%
9.3%
1%
0.3%
1.9%
7%
31%
4.4%
3.2%
1.5%
1.5%
0.4%
2%
0.7%
0.4%
2.9%
8.5%
Quienes Son Los
CISMes
Actividad Profesional
CEO, President, Owner, Executive
Chief Audit Executive, Partner
CISO, CSO
CIO, CTO
Chief Financial Officer
Chief Compliance, Risk, Privacy
IT Audit Director, Manager, Consultant
Security Director, Manager, Consultant
IT Director, Manager, Consultant
Compliance, Risk, Privacy
IT Senior Auditor
IT Audit
Non-IT Audit
Security Staff
IT Staff
Professor, Teacher
Student
325
224
537
407
22
56
704
2,881
1,841
618
219
302
20
661
192
63
14
3%
2%
6%
4%
0%
1%
8%
31%
20%
7%
2%
3%
0%
7%
2%
1%
0%
Numero Porcentaje Porcentaje de ISACA
5.4%
3.4%
1.2%
2.2%
1.2%
0.4%
10%
7.7%
15.8%
7.2%
7.9%
17.3%
3.9%
4%
6.5%
0.8%
1.5%
Educación –
Desarrollo Profesional
� Preparación para el examen CISM
• Semana de Enseñanza
�Conferencias
• Security Conference – Las Vegas USA
• Security Conference – Amsterdam
• Security Conference – América Latina
� Foro de Seguridad - Scottsdale
Normas – ISO SC27
�Development Involvement
• Information Security Governance (proposed pre-study period)
• ISO 27002 Code of Practice for Information Security Management (considered for revision)
• ISO 27008 Guidelines for Auditors of ISMS Controls (proposed study period)
• ISO 27008 Guidelines for Auditors of ISMS Controls (Proposed Study Period – Coordination with Assurance Committee)
Normas – ISO SC27
�Review and Comment
• ISO 27004 Information Security Management
Metrics (Committee Draft)
• ISO 27007 Guidelines for Information Security
Management Systems Auditing (Working Draft)
• ISO 27007 Guidelines for Information Security
Management Systems Auditing (Working Draft-
Coordination with Assurance Committee)
Programa Académica
�Hemos desarrollado una programa académico alienado con CISM con la ayuda de Manuel Ballester PhD IEEE, MBA,CISA, CISM, CGEIT, University Deusto, Spain
• Identificar las programas académicos de seguridad
• Promover la programa de ISACA
• Soportar a los académicos y estudiantes como un grupo de constituyentes
• Soportar a los capítulos en proveer servicios a los nuevos miembros académicos y estudiante
Alianzas
�Alliance for Enterprise Security Risk Management
� IT Policy Compliance Group
� Information Security Forum
�Microsoft
Preguntas?