Propósito del estándar
Servir como referente para la evaluación y certificación de las personas que se desempeñan en la gestión integral de riesgos a la ciberseguridad y cuyas competencias incluyen plantificar el riesgo de la información digital, priorizar riesgos de la información digital y mitigar el riesgo de la información digital.
Asimismo, puede ser referente para el desarrollo de programas de capacitación y de formación basados en Estándares de Competencia (EC).
El presente EC se refiere únicamente a funciones para cuya realización no se requiere por disposición legal, la posesión de un título profesional. Por lo que para certificarse en este EC no deberá ser requisito el poser dicho documento académico.
Descripción
El EC describe el desempeño del analista al identificar los activos de la información de la organización e informar los resultados de riesgos de los activos elaborados, realizar el análisis de riesgos de activos e implementar la evaluación de las amenazas priorizadas, de acuerdo con la lista elaborada de los activos, desarrollar el impacto de pérdida del riesgo; elaborar el impacto de riesgo y diseñar la matriz de riesgo elaborada. También establece los conocimientos teóricos, básicos y prácticos con los que debe de contar la persona para realizar su trabajo, así como las actitudes relevantes en su desempeño.
El presente EC se fundamenta en criterios rectores de legalidad, competitividad, libre acceso, respeto, trabajo digno y responsabilidad social.
Elementos de competencia evaluados
Este estándar evalúa los siguientes elementos de competencia:
- E4748: Planificar el riesgo de la información digital
- E4749: Priorizar los riesgos de la información digital
- E4750: Mitigar el riesgo de la información digital
Ocupaciones relacionadas
- Desarrolladores y analistas de software y multimedia
- Sin referencia
Temario: conocimientos que evalúa
Estos son los conocimientos que el candidato debe dominar según el estándar oficial:
- Conceptos básicos sobre ciberseguridad
- Gestión de riesgos en dispositivos móviles
- Estrategia Nacional Digital y de Ciberseguridad con perspectiva de derechos humanos y enfoque basado en prevención y gestión de riesgos, así como de eficiencia en los procesos digitales. Conocimiento
- La 'Ley Olimpia' y el combate a la violencia digital. Conocimiento
Glosario del estándar: guía de estudio
Términos oficiales del EC1544 que conviene dominar antes de la evaluación:
- Activos de la información
- Todo lo que genere valor para la organización, como procesos, personas, infraestructuras y tecnologías.
- Características de los activos de información
- Hace referencia a personas, procesos, infraestructura y equipo e información; confidencialidad; disponibilidad e integridad.
- Riesgos cualitativos
- El análisis de riesgo cualitativo es el proceso de calificación o puntuación del riesgo basado en la percepción de una persona sobre la gravedad y la probabilidad de sus consecuencias. El objetivo del análisis cualitativo de riesgos es elaborar una lista corta de riesgos que deben ser priorizados por encima de otros.
- Riesgos cuantitativos
- El análisis de riesgo cuantitativo es el proceso de calcular el riesgo a partir de los datos recogidos. El objetivo del análisis cuantitativo de riesgos es especificar con más detalle cuánto le costará a la empresa el impacto del riesgo.
- Usuario
- Persona que utiliza un producto o servicio de forma habitual, beneficiándose de algún modo de dicha utilización, sin entrar a valorar la marca, el precio o las características técnicas de lo que utiliza.
- Cálculo del carácter del riesgo
- Se refiere al resultado obtenido de sumar la importancia del suceso más los daños ocasionados.
- Cálculo de la probabilidad del riesgo
- Se refiere al resultado obtenido de multiplicar el criterio de agresión (A) por el criterio de vulnerabilidad (V) 'Pb' Cálculo de la probabilidad.
- Criterio de Agresión 'A'
- Se refiere a la posibilidad o probabilidad de que el riesgo se manifieste.
- Criterio de Extensión 'E'
- Se refiere al alcance que los daños o pérdidas pueden conseguir.
- Criterio de Función 'F'
- Se refiere a las consecuencias negativas o daños que pueden alterar o afectar a la propia actividad de la empresa.
- Criterio de Profundidad 'P'
- Se refiere a la perturbación y efectos psicológicos que se podrían producir como consecuencia en la propia imagen de la empresa.
- Criterio de Sustitución 'S'
- Se refiere a las dificultades que pueden tenerse para sustituir los productos o los bienes.
- Criterio de Vulnerabilidad 'V'
- Se refiere a la posibilidad o probabilidad de que realmente se produzcan daños o pérdidas.
- Impacto de pérdida
- Es una medición de la peor consecuencia creíble que puede ocurrir como resultado de un incidente. El impacto es definido por un grado de daño potencial, enfermedad, daño a la propiedad, pérdida de recursos (tiempo, dinero y personal) o potencial para afectar una misión.
¿Cómo es la evaluación del EC1544?
Duración estimada: 2 horas en gabinete y 1 hora en campo, totalizando 3 horas.
- Para demostrar la competencia en este EC, se recomienda que se lleve a cabo en el lugar de trabajo y durante su jornada laboral; sin embargo, pudiera realizarse de forma simulada si el área de evaluación cuenta con los materiales, insumos, e infraestructura, para llevar a cabo el desarrollo de todos los criterios de evaluación referidos en el EC
Apoyos y requerimientos:
- Equipo de cómputo con paquetería office, conexión a internet, impresora y hojas blancas
- 1 persona que realice el papel de "usuario" y al menos 2 personas que realicen el papel de personas de su entorno
La evaluación oficial la realiza una Entidad de Certificación y Evaluación acreditada por el CONOCER. Esta información es orientativa y proviene del documento oficial del estándar.
Documento oficial
Este PDF es publicado por CONOCER. Consulta el contenido completo para conocer criterios de desempeño, evidencias y referencias normativas.
Cargando documento...