Más contenido relacionado
Similar a Dominio4 comentarios (20)
Dominio4 comentarios
- 1. Convocatoria 2005
Preparación examen CISM
Dominio 4
Gestión de la Seguridad de
Información
© Fundación DINTEL DOMINIO 4 © Oscar Díez, 2005
- 2. Convocatoria 2005
Dominio 4 - Objetivo
Dar al candidato a CISM un conocimiento
de como:
“Supervisar y dirigir las actividades de
seguridad de Información para ejecutar
el programa de seguridad de
Información”
© Fundación DINTEL DOMINIO 4 – Pág. 2 © Oscar Díez, 2005
Dominio 4 - Objetivo
El objetivo de esta área es focalizarse en las tareas y el conocimiento necesario
para que el Gerente de Seguridad de la Información pueda gestionar de manera
eficiente la seguridad de la información dentro de la información. Una descripción
de varias técnicas que el gerente de seguridad puede usar y las áreas en que
debe enfocarse se discutirán en este dominio.
- 3. Convocatoria 2005
Dominio 4 - Tareas
• Asegurar que las reglas de uso de los sistemas de
información cumplen con las políticas de seguridad de
informació polí
información de la Empresa.
informació
• Asegurar que los procedimientos administrativos para los
sistemas de Información cumplen con las políticas de
Informació polí
seguridad de la empresa.
• Asegurar que los servicios facilitados por otras compañías
compañías
incluyendo los proveedores externos son consistentes con
las políticas de seguridad establecidas.
polí
• Utilizar métricas para medir, monitorizar y reportar de la
mé
eficacia y eficiencia de los controles de seguridad de
Información y el cumplimiento con las políticas de seguridad
Informació polí
de la Información.
Informació
© Fundación DINTEL DOMINIO 4 – Pág. 3 © Oscar Díez, 2005
Para poder supervisar y dirigir las actividades de Seguridad de Información para ejecutar
el programa de seguridad de Información, el gerente de seguridad de Información debe
realizar las siguientes tareas.
•Asegurar que las reglas de uso de los sistemas de información cumplen con las
cumplen
políticas de seguridad de información de la Empresa.
•Asegurar que los procedimientos administrativos para los sistemas de
sistemas
Información cumplen con las políticas de seguridad de la empresa.
empresa.
•Asegurar que los servicios facilitados por otras compañías incluyendo los
incluyendo
proveedores externos son consistentes con las políticas de seguridad
seguridad
establecidas.
•Utilizar métricas para medir, monitorizar y reportar de la eficacia y eficiencia de
eficacia
los controles de seguridad de Información y el cumplimiento con las políticas de
seguridad de la Información.
- 4. Convocatoria 2005
Dominio 4 - Tareas
• Asegurar que la Seguridad de Información no está
comprometida a lo largo del proceso de gestión de
cambio.
• Asegurar que evaluaciones de vulnerabilidades son
realizadas para evaluar la efectividad de los controles
existentes.
• Asegurar que los incumplimientos y otras variantes son
resultas en una forma oportuna.
• Asegura que el desarrollo y entrega de las actividades
que pueden influenciar la cultura y comportamiento de
la plantilla incluyendo educación y concienciación de la
seguridad de Información
© Fundación DINTEL DOMINIO 4 – Pág. 4 © Oscar Díez, 2005
Continuación de las tareas.
•Asegurar que la Seguridad de Información no está comprometida a lo largo del proceso
de gestión de cambio.
•Asegurar que evaluaciones de vulnerabilidades son realizadas para evaluar la
para
efectividad de los controles existentes.
•Asegurar que los incumplimientos y otras variantes son resultas en una forma oportuna.
•Asegura que el desarrollo y entrega de las actividades que pueden influenciar la cultura
pueden
y comportamiento de la plantilla incluyendo educación y concienciación de la seguridad
concienciación
de Información
- 5. Convocatoria 2005
Dominio 4 - Resumen
Este Dominio representa aproximadamente
el 24% del examen CISM, lo que supone
aproximadamente 48 preguntas del
examen.
© Fundación DINTEL DOMINIO 4 – Pág. 5 © Oscar Díez, 2005
Este Dominio representa aproximadamente el 24% del examen CISM, lo que
supone aproximadamente 48 preguntas del examen.
examen.
- 6. Convocatoria 2005
Dominio 4 - Recursos
• Manuales
– CISM Review Manual (ISACA)
– The CISM Prep Guide (John Wiley & Sons)
• Recursos Web
– http://www.leuthard.ch/cism/ , www.isaca.org
• Preguntas
– InfoSecAfrica / CISM / Trandumper
© Fundación DINTEL DOMINIO 4 – Pág. 6 © Oscar Díez, 2005
Recursos
Existen varios recursos disponibles.
Como siempre el mejor es el manual CISM de la isaca, que es el que contiene todo el
isaca,
temario que va a entrar y está preparado por ISACA, que son los que hacen el examen.
Otro manual es el CISM Prep Guide, más detallado que el anterior y con más preguntas.
Guide,
Respecto a los recursos en la web está la web de la propia ISACA, pero también la web
http://www.leuthard.ch/cism en donde podemos encontrar muchos enlaces a otros recursos
http://www.leuthard.ch/
Para las preguntas, podemos encontrar en los recursos antes citados muchas preguntas con
citados
respuestas y explicaciones. Por ejemplo, existe en la web http://www.leuthard.ch/cism un
http://www.leuthard.ch/
conjunto de 200 preguntas de forma gratuita. Además se puede adquirir en la web de ISACA el cd
adquirir
con preguntas de ejemplo del examen CISM.
- 7. Programa Formativo para el EXAMEN CISM
Convocatoria 2005
Consejos Examen
• Conocer bien los dominios.
• Recuerda los dominios.
• Conoce como realizar el test.
• Tomate tu tiempo, pero no lo malgastes.
• Lee, lee y después lee un poco más las preguntas.
• Realiza exámenes de prueba
• Cuidado al responder , que la respuesta coincida
• Marca las preguntas que te saltas
• Tomate un respiro
• Escucha a tus padres (descansa antes y estudia)
• ¿Ingles o Castellano?
© Fundación DINTEL DOMINIO 4 – Pág. 7 © Oscar Díez, 2005
Los principales consejos a la hora de preparar cualquier examen de TEST como CISA o CISM son:
-Conocer bien los dominios. El examen cubre una gran cantidad de información sobre el mundo de Informática, como aprenderse todo esto es
prácticamente imposible, lo mejor es centrarse en lo que tenemos en los distintos dominios.
-Recuerda los dominios. Es importante al hacer el examen recordar que incluye cada dominio y ver en que dominio encaja la pregunta a la que
nos enfrentamos, de esta forma, sabiendo el dominio, podremos descartar una o dos de las respuestas que no tienen que ver con ese dominio.
-Conoce como realizar el test. Todas las preguntas son de una sola respuesta correcta, con cuatro opciones, y las incorrectas no restan. Por eso
debes contestar todas y no dejar ninguna en blanco, esto te supone ya el 25%. Lee la pregunta y piensa una respuesta correcta antes de leer las
respuestas, y busca esa respuesta entre las que dan a elegir. Se trata de escoger la más correcta de entre las que nos dan, que puede ser la más
directa, la más específica. Si no puedes escoger la correcta, vete descartando las que creas que son erroneas hasta quedarte con las que creas
que más se aproxima a lo que debería ser.
-Tomate tu tiempo, pero no lo malgastes. Con 200 preguntas en 4 horas, por lo que tienes poco más de un minuto por pregunta, en algunas
gastarás menos, pero en otras más, si ves que una no lo tienes claro, continua adelante y déjala para el final por si sobra tiempo, pero no te olvides
de marcar las que ya has descartado de esa pregunta para no volver a gastar tiempo en algo que ya hiciste.
-Lee, lee y después lee un poco más las preguntas. La mayoría de las veces que fallamos una pregunta es por no leer bien el enunciado. En
estos exámenes juegan mucho con preguntas que parecen una cosa, pero leyéndolas detenidamente tienen un significado opuesto. Es muy
importante leer varias veces la pregunta hasta tener claro lo que nos preguntan.
-Realiza exámenes de prueba. La mejor forma de prepararte el examen es realizando examenes de prueba, practicas, etc..
-Cuidado al responder , que la respuesta coincida. No cometas el fallo de responder en la hoja de respuestas en la casilla equivocada,
comprueba siempre que respondas que la casilla de la pregunta se corresponde con la respuesta.
-Marca las preguntas que te saltas. Márcalas y déjalas para más adelante. También marca si ya has descartado alguna de las preguntas para no
tenerlas en cuanta cuando las vuelvas a repasar.
-Tomate un respiro. 4 horas concentrado se hace muy largo y a veces es mejor hacer una pequeña pausa y relajarse un poco antes de continuar
con el resto. Puedes llevar comida y tendrás bebida en la sala.
-Escucha a tus padres (descansa antes y estudia). Lo que se debe hacer es estudiar, no vamos a aprobar el examen sin habernos estudiado el
manual y haber realizado examenes previamente. Otro consejo básico es descansar el día antes del examen, es preferible estudiar 5 horas menos
e ir relajado al examen que pasarse la noche anterior estudiando e intentar hacer el examen fatigado, ya que para la mayoría de las preguntas
debemos estar al 100%.
-¿Ingles o Castellano?. Es importante que decidamos lo antes posible el lenguaje en que queremos realizar el examen. Personalmente
recomiendo si no se tiene un alto nivel de ingles realizarlo en Castellano, ya que hay muchas preguntas que utilizan doble negación o dobles
sentidos para intentar engañarnos y si no se domina el idioma esto es muy dificil.
Tip #1: Know the Domains CertCities.com
The CISA exam covers a wide range of information from the common body of knowledge (CBK). The CBK is the vast expanse of knowledge and
information available out there in the world about IT Audit and related issues. To narrow the field a bit, the CISA exam focuses on the domains from
the CBK. You'll need to know several dozen specific items, topics, keywords and concepts from each domain. There's a lot of overap between the
domains, but keep in mind the general "flavor" or "feeling" of each domain so you'll understand the aspect, perspective or application of duplicated
topics.
Tip #2: Remember the Domains
When you are taking the exam, think about which of the domains each question falls into. Often, if you can determine the domain the question is
focusing on, you can quickly eliminate one or two answers as being incorrect. Or it may highlight the correct answer between two or more possible
answers. A topic in one domain will have a different twist than the same topic in another domain, so being familiar with the domains and being able
to recognize the domain focus of question will benefit you on the exam.
Tip #3: Know How To Take a Test
All of the questions on this exam are single-answer, multiple-choice questions with four answer selections. Because wrong answers don't substract
from your score, it's in your best interest to answer every question -- even if you guess blindy, you'll have a 25 percent chance of selecting the
correct answer. However, you can usually improve those odds with a bit of clear thinking. First, read the question once and think of a valid answer in
- 8. Convocatoria 2005
Dominio 4 – Visión General
Un proceso de gestión de Seguridad de Información
requiere compromiso y soporte de la gestión senior. La
gestión debe demostrar un compromiso con la seguridad.
Los gerentes muestran este compromiso mediante su
aprobación y apoyo a políticas de seguridad formales,
apoyando la concienciación de seguridad y la formación de
forma financiera. Esto puede requerir formación
especializada de nivel gerencial, ya que la seguridad no es
necesariamente una parte de experiencia de gestión.
© Fundación DINTEL DOMINIO 4 – Pág. 8 © Oscar Díez, 2005
Un proceso efectivo de Gestión de seguridad de información requiere compromiso y soporte de
la gestión senior. La gestión debe demostrar su compromiso aprobando y respaldándole de
forma clara las políticas de seguridad, respaldando la concienciación de la seguridad y la
formación por medio de apoyo financiero. Esto puede requerir formación especial a nivel de
gerencia, ya que la seguridad no tiene por que necesariamente parte del dominio de la gestión.
Las políticas de seguridad y los procedimientos deben ser revisados regularmente, reflejar los
objetivos del negocio, las regulaciones legales y una estrategia basada en riesgos para
identificar que recursos de información críticos y sensibles deben usarse. Por ello, debe haber un
conocimiento claro de riesgos y amenazas, y las medidas apropiadas a tomar para mitigar esos
riesgos y los riesgos residuales que queden deben estar a un nivel aceptable. Todas las
excepciones a los procedimientos y políticas debido a limitaciones del sistema o de las
aplicaciones deben estar claramente documentados y aprobados.
Los procemientos administrativos para acceso a sistemas deben alinearse a las políticas de
seguridad de información de la compañía. El acceso al sistema es la habilidad de hacer uso de
un recurso informático. Normalmente esto se refiere a una habilidad tecnica, por ejemplo, la
habilidad de leer, crear, modificar o borrar un fichero, programa o utilizar una conexión externa.
Todos los empleados de una organización y , donde sea relevante, usuarios de terceras partes
deben recibir formación apropiada y actualizaciones regulares en la importancia de la seguridad
en las políticas y procedimiento de la organización. Esto incluye requerimientos de seguridad,
responsabilidades legales y controles de negocio, así como formación en el correcto uso de las
facilidades de procesamiento de información (procedmientos de inicio de sesión, uso de
paquetes software). Para nuevos empleados, esto debe ocurrir antes de tener acceso a la
información o a los servicios.
- 9. Convocatoria 2005
Reglas del uso de sistemas de Información
Tarea 1: Asegurar que las reglas del uso de
sistemas de Información cumple con las
políticas de seguridad de Información de la
compañía.
Un estándar mínimo de reglas de uso son necesarias para proteger
la información crítica. El uso de red segura puede incluir varias
reglas del uso como son:
• Compartir ficheros en la red
• Uso correcto de Sistemas Operativos (Linux, etc.)
• Software Peer to peer (Kazaa, Morpheus, etc.)
• Infracción de reglas de copyright
• Clave de cuenta segura
© Fundación DINTEL DOMINIO 4 – Pág. 9 © Oscar Díez, 2005
Tarea 1: Asegurar que las reglas del uso de sistemas de Información cumple con
Informació
las políticas de seguridad de Información de la compañía.
polí Informació compañía.
Varias reglas de uso y recomendaciones generales de seguridad deben existir en
cualquier organización bien gestionada.
Estas reglas de uso son el estandar mínimo que la organización ha definido como
necesarias para proteger su información crítica. El uso seguro de la red puede incluir
varias reglas de uso incluyendo:
•Compartición de Ficheros en la red
•Uso correcto del sistema operativo (UNIX, Linux, Windows, etc.)
•Software Peer-to-peer (emule, kazaa, etc…)
•Infracción del copyright
•Seguridad de claves de cuentas.
El gerente de seguridad de información debe asegurarse que los procedimientos
operativos cumplan con las políticas de seguridad de la compañía. El gerente de
seguridad de la información puede conseguir este objetivo de forma objetiva a través
del proceso de la gestión de cambio de la organización. Considerando las implicaciones
de seguridad durante el proceso de gestión de cambio ayudarán a asegurar que las
modificaciones al sistema de información cumplen con las políticas de seguridad de
información y que no se introducen por error vulnerabilidades en el sistema.
- 10. Convocatoria 2005
Reglas del uso de sistemas de Información
El gerente de seguridad de sistemas
de información debe hacer cumplir
estos procedimientos utilizando varios
medios incluyendo el proceso de
gestión de cambios.
© Fundación DINTEL DOMINIO 4 – Pág. 10 © Oscar Díez, 2005
El gerente de seguridad de sistemas de información debe
hacer cumplir estos procedimientos utilizando varios medios
incluyendo el proceso de gestión de cambios.
- 11. Convocatoria 2005
Reglas de uso de Sistemas de Información
Otras reglas comunes de uso incluyen:
• Reglas de uso de Internet
• Reglas de uso del Correo Electrónico
• Reglas de uso de Aplicaciones
• Reglas de uso de la red
El gerente de seguridad de la información debe estar
implicado en el desarrollo de estas reglas de uso para
asegurar que cumplen con las políticas de seguridad de
infiormación de la organización.
© Fundación DINTEL DOMINIO 4 – Pág. 11 © Oscar Díez, 2005
Otras reglas comunes de uso incluyen:
Reglas de uso de Internet
Reglas de uso del Correo Electrónico
Reglas de uso de Aplicaciones
Reglas de uso de la red
El gerente de seguridad de la información debe estar implicado en el desarrollo de
informació
estas reglas de uso para asegurar que cumplen con las políticas de seguridad de
polí
infiormación de la organización.
infiormació organizació
- 12. Convocatoria 2005
Pregunta
A contract between a customer and provider
that specifies a minimum level of service that
will be supplied by the provider is called a:
a. Quality of service agreement
b. Service level agreement
c. Measured service agreement
d. Service legal agreement
© Fundación DINTEL DOMINIO 4 – Pág. 12 © Oscar Díez, 2005
A contract between a customer and provider that specifies a minimum level of
service that will be supplied by the provider is called a:
a. Quality of service agreement
b. Service level agreement
c. Measured service agreement
d. Service legal agreement
The correct answer is b. The other answers are distracters.
- 13. Convocatoria 2005
Reglas de uso de Sistemas de Información
Para asegurar que las reglas de uso de los sistemas
de información cumplen con las políticas de
seguridad de la organización el Gerente de
Seguridad de Información debe tener
conocimiento de:
• Interpretar las políticas de Seguridad de la
Información de una forma funcional.
© Fundación DINTEL DOMINIO 4 – Pág. 13 © Oscar Díez, 2005
Para asegurar que las reglas de uso de los sistemas de información
información
cumplen con las políticas de seguridad de la organización el Gerente de
Gerente
Seguridad de Información debe tener conocimiento de:de:
Interpretar las políticas de Seguridad de la Información de una forma funcional.
polí Informació
- 14. Convocatoria 2005
Interpretando las políticas de Seguridad
– Las políticas de seguridad y los procedimientos son
inútiles si no se ponen en funcionamiento
– El Gerente de Seguridad de Información debe:
Tener una buena perspectiva del negocio
Entender los riesgos de los recursos de
información de la organización
Interpretar las políticas de seguridad de
Información
Implementar los controles de seguridad
que consideren todos estos aspectos
© Fundación DINTEL DOMINIO 4 – Pág. 14 © Oscar Díez, 2005
El conocimiento para interpretar las políticas de Seguridad de Información para
uso funcional:
El Gerente de seguridad debe tener un buen conocimiento de los objetivos de negocio
de la organización de forma que las políticas de seguridad puedan ser llevadas a uso
operacional.
Las políticas de seguridad y los procedimientos son inútiles si no son documentados y
no son puestos en funcionamiento. Sin embargo, las políticas que son muy restrictivas
y no permiten a la organización cumplir sus objetivos de negocio y restringen acceso a
los recursos de información de forma estricta se deben poner a un lado rápidamente.
El Gerente de seguridad de Información, por tanto, debe tener una buena perspectiva
del negocio, conocer los riesgos de los recursos de información de la organización,
interpretar las políticas de Seguridad de información, e implementar controles de
seguridad que consideren todos estos aspectos.
Muchos Gerentes de Seguridad de Información usan la aproximación de coste-
beneficio y gestionan cuidadosamente la implementación de las políticas de seguridad
en uso operacional. Aquí es donde el conocimiento del negocio del Gerente de
seguridad de Información es necesario de forma que el beneficio y operación del
negocio sea defendido, incluso cuando los mejores controles de seguridad no sean
empleados.
- 15. Convocatoria 2005
Procedimientos administrativos para SI
Tarea 2: Asegurar que los procedimientos
administrativos para los sistemas de
información cumplan con las políticas de
seguridad de la empresa
– El gerente de seguridad de la información debe trabajar con los
informació
Gerentes de sistemas de la información y de aplicaciones para
informació
asegurar que los procedimientos administrativos para los
sistemas de información cumplen con las políticas de seguridad
informació polí
de la empresa. Los procedimientos administrativos también
tambié
incluyen procesos como solicitudes, autorización y creación de
autorizació creació
usuarios, revisiones regulares, y cambios o terminaciones de
empleados.
– Estos procedimientos de administración pueden ser cambiados
administració
manualmente o mediante técnicas automatizadas.
té
© Fundación DINTEL DOMINIO 4 – Pág. 15 © Oscar Díez, 2005
Tarea 2: Asegurar que los procedimientos administrativos para los
los
sistemas de información cumplan con las políticas de seguridad de la
informació polí
empresa
El gerente de seguridad de la información debe trabajar con los Gerentes de sistemas
informació
de la información y de aplicaciones para asegurar que los procedimientos
informació
administrativos para los sistemas de información cumplen con las políticas de seguridad
informació polí
de la empresa. Por ejemplo, si un usuario de una aplicación solicita una clave distinta,
aplicació
los parámetros de esa clave debe cumplir con las políticas de seguridad. Parámetros
pará polí Pará
como el tamaño, que sea única Los procedimientos administrativos también incluyen
tamañ tambié
procesos como solicitudes, autorización y creación de usuarios, revisiones regulares, y
autorizació creació
penalizar el cambio de contraseñas son ejemplos de cómo el procedimiento de
contraseñ có
administración de claves necesita cumplir con las políticas de seguridad de información
administració polí informació
Los procedimientos de administración también incluyen procesos como solicitudes,
administració tambié
autorización y creación de un user ID, revisión general, terminación y transferencia de
autorizació creació revisió terminació
personal. Estos procedimientos de administración pueden ser cambiados manualmente
administració
o mediante técnicas automatizadas, pero estos procesos deben cumplir con las
té
políticas de Seguridad de Información de la compañía.
polí Informació compañía.
- 16. Convocatoria 2005
Pregunta
Which choice is an accurate statement about
the difference between monitoring and
auditing?
– a. Monitoring is a one-time event to evaluate
security.
– b. A system audit is a ongoing "real-time" activity
that examines the system.
– c. A system audit cannot be automated.
– d. Monitoring is an ongoing activity that examines
either the system or the users.
© Fundación DINTEL DOMINIO 4 – Pág. 16 © Oscar Díez, 2005
Which choice is an accurate statement about the difference between monitoring
and auditing?
a. Monitoring is a one-time event to evaluate security.
b. A system audit is a ongoing "real-time" activity that examines the system.
c. A system audit cannot be automated.
d. Monitoring is an ongoing activity that examines either the system or the users.
The correct answer is d. System audits and monitoring are the two methods
organizations use to maintain operational assurance. Although the terms are used
loosely within the computer security community, a system audit is a one-time or
periodic event to evaluate security, whereas monitoring refers to an ongoing activity
that examines either the system or the users. In general, the more "real-time" an
activity is, the more it falls into the category of monitoring.
- 17. Convocatoria 2005
Procedimientos administrativos para SI
Para asegurar que los procedimientos
administrativos de sistemas de información
cumplen con las políticas de seguridad, el
Gerentes de seguridad de la Información debe
tener conocimiento de::
• Los procedimientos administrativos y procesos
de seguridad de información
© Fundación DINTEL DOMINIO 4 – Pág. 17 © Oscar Díez, 2005
Para asegurar que los procedimientos administrativos de sistemas de información
cumplen con las políticas de seguridad, el Gerentes de seguridad de la Información debe
tener conocimiento de::
•Los procedimientos administrativos y procesos de seguridad de información
información
- 18. Convocatoria 2005
Procedimientos administrativos para SI
– Los procesos de administración de seguridad están
administració está
continuamente siendo automatizados y muchas de las
actividades que tienen que ver con conceder permisos de
autoridad a los empleados son realizados por aplicaciones
– Normalmente los responsables de los recursos de información
informació
usan aplicaciones para solicitar que den permisos a los
empleados
– Las solicitudes son aprobadas y las tareas que implican
conceder los permisos de seguridad son realizas
automáticamente, y la actividad es guardada en un log.
automá log.
– Mientras la respuesta es mejorada, el riesgo se incrementa.
– El gerente de seguridad de Información debe diseñar y utilizar
Informació diseñ
medidas para los procesos de administración de seguridad y
administració
procedimientos para monitorizar la actividad.
© Fundación DINTEL DOMINIO 4 – Pág. 18 © Oscar Díez, 2005
Conocimientos de los procesos y procedimientos de seguridad de las
información
El Gerente de seguridad de la información debe entender los diversos procesos y
procedimientos de seguridad de la información que una organización puede emplear.
La administración de la seguridad es una parte importante para mantener el programa
de seguridad global y de por eso el Gerente de seguridad de la información debe
entender sus varios componentes.
Los procesos de administración de seguridad están continuamente siendo
automatizados y muchas de las actividades implicadas en dar permisos a los
empleados son realizados mediante aplicaciones de seguridad. Normalmente los
responsables de los recursos de información utilizan aplicaciones para solicitar los
permisos para los empleados. La solicitud es entonces aprobada y las tareas
implicadas en conceder permisos son realizadas automáticamente. Todas estas
actividades son guardadas en un log.
Mientras esto incrementa responsabilidad, los riesgos implicados en la autentificación
de la parte responsable y el buen uso de los accesos de seguridad debe ser
considerado y conseguidos por el Gerente de seguridad de Información.
El Gerente de seguridad de Información también debe diseñar y emplear medidas para
los procesos y procedimientos de seguridad con objeto de monitorizar la actividad.
- 19. Convocatoria 2005
Proveedores Outsourcing
Tarea 3: Asegurar que los servicios que
proveen otras empresas incluyendo los
proveedores externos son consistentes con
las políticas de seguridad de Información
– El Gerente de seguridad de Información debe asegurar el cumpliendo de
Informació
las políticas de seguridad de la empresa para todas las áreas que
polí
proveen servicios para la organización.
organizació
– Los proveedores externos son una estrategia viable que puede ser usada
para diseñar y operar el programa de seguridad de Información
diseñ Informació
– Los proveedores externos deben cumplir con las políticas de seguridad
polí
de Información establecidas.
Informació
© Fundación DINTEL DOMINIO 4 – Pág. 19 © Oscar Díez, 2005
Tarea 3: Asegurar que los servicios que proveen otras
empresas incluyendo los proveedores externos son
consistentes con las políticas de seguridad de
Información
Las empresas a veces tienen servicios provistos por otros departamentos, divisiones,
departamentos,
subsidiarias y proveedores externos. Estos servicios no están exentos de la
está
responsabilidad de la seguridad. El Gerente de seguridad de Información debe
Informació
asegurar el cumpliendo de las políticas de seguridad de la empresa para todas las
polí
áreas que proveen servicios para la organización.
organizació
Los proveedores externos son una estrategia viable que puede ser usada para diseñar
diseñ
y operar el programa de seguridad de Información. Sin embargo, el gerente de
Informació
seguridad de la información necesita asegurar que los proveedores externos cumplen
informació
con las políticas de seguridad de información establecidas. El outsourcing no es un
polí informació
motivo para no seguir lo establecido en las políticas de seguridad de información. De
polí informació
hecho, si se varía de las políticas establecidas puede suponer una vulnerabilidad para
varí polí
la organización.
organizació
Los proveedores externos deben cumplir con las políticas de seguridad de Información
polí Informació
establecidas.
- 20. Convocatoria 2005
Proveedores externos. Outsourcing
– El Gerente de seguridad de la información debe manager
debe cumplir conformidad con las políticas y procedimientos
como un factor de decisión cuando se evalúan proveedores
de servicios.
– Esta misma y propuesta y proceso de evaluación puede ser
usada cuando se evaluar a una división autónoma de la
organización o a una subsidiaria para seleccionar servicios
– El Gerente de Seguridad de Información también debe
asegurar que los factores de confianza están claramente
definidos en el SLA con el proveedor de seguridad (ya sea
externo o interno)
– También deben implementarse Métricas de cumplimiento
que deben ser periódicamente medidas y evaluadas.
© Fundación DINTEL DOMINIO 4 – Pág. 20 © Oscar Díez, 2005
Durante el proceso de propuesta y evaluación que el Gerente de Seguridad de
Información realizará durante la evaluación y contratación de proveedores de
seguridad, el Gerente debe abordar los requerimientos y parámetros de las políticas de
seguridad de información con los proveedores. El cumplimiento de estas políticas de
seguridad por parte de los proveedores debe ser un factor importante cuando se
selecciona a un proveedor. El gerente de seguridad de la información debe entender
todas las variaciones que pueden existir y si el proveedor de servicios puede cumplir las
políticas de seguridad. A veces este mismo proceso de propuesta y evaluación es
usado para evaluar a divisiones u oficinas subsidiarias de la organización.
El Gerente de seguridad de la Información también debe asegurar que los factores de
cumplimiento están claramente definidos en el SLA con el proveedor (ya sea interno o
externo). Esto ayudará al Gerente de Seguridad de Información a gestionar el
funcionamiento del proveedor de seguridad y asegurar que cumplen el acuerdo para
cumplir con las políticas de seguridad de la organización.
Nota Importante: Este concepto explicado aquí debe ser enfatizado. Muchas
organizaciones en el pasado no hicieron un buen trabajo en la evaluación de los
procedimientos de seguridad de sus proveedores y otros servicios externos. Esto dejo
muchas veces vulnerabilidades en los programas de seguridad de las organizaciones.
Una buena idea es preguntar al grupo si piensan que se hizo un buen trabajo evaluando
y exigiendo seguridad en los contratos de sus proveedores. También se debe preguntar
si el departamento de seguridad es consultado en cualquier contrato con un proveedor.
- 21. Convocatoria 2005
Pregunta
A contract between a customer and provider
that specifies a minimum level of service that
will be supplied by the provider is called a:
a. Quality of service agreement
b. Service level agreement
c. Measured service agreement
d. Service legal agreement
© Fundación DINTEL DOMINIO 4 – Pág. 21 © Oscar Díez, 2005
A contract between a customer and provider that specifies a minimum level of
service that will be supplied by the provider is called a:
a. Quality of service agreement
b. Service level agreement
c. Measured service agreement
d. Service legal agreement
The correct answer is b. The other answers are distracters.
- 22. Convocatoria 2005
Proveedores Externos
Asegurar que los servicios provistos por otras
compañías incluido proveedores externos es
consistente con las políticas de seguridad
establecidas. , para ello el Gerente de la seguridad
de Información debe tener conocimiento de:
• Métodos para gestionar la implementación de los
programas de seguridad de la información mediante
terceras partes incluyendo partners y proveedores de
Servicios de seguridad.
© Fundación DINTEL DOMINIO 4 – Pág. 22 © Oscar Díez, 2005
Asegurar que los servicios provistos por otras compañías incluido proveedores externos
incluido
es consistente con las políticas de seguridad establecidas. , para ello el Gerente de la
para
seguridad de Información debe tener conocimiento de:
Métodos para gestionar la implementación de los programas de seguridad de la
seguridad
información mediante terceras partes incluyendo partners y proveedores de Servicios de
seguridad.
- 23. Convocatoria 2005
Métodos para gestionar proveedores externos
El gerente de seguridad de Información debe
tener conocimiento de las habilidades que los
partners y los proeveedores de servicios de
seguridad poseen, y con ello los riesgos que
conllevan.
© Fundación DINTEL DOMINIO 4 – Pág. 23 © Oscar Díez, 2005
El conocimiento de los metodos para gestionar la implementación de los
programas de seguridad de la empresa a través de las terceras partes incluyendo
los partners y los proveedores de servicios de seguridad.
El gerente de seguridad de Información debe tener conocimiento de las
Informació
habilidades que los partners y los proveedores de servicios de seguridad
poseen, y con ello los riesgos que conllevan.
- 24. Convocatoria 2005
Métodos para gestionar proveedores externos
Existen dos aspectos incluidos aquí:
• Los partners que no tienen un programa de
seguridad robusto pueden presentar un problema de
seguridad para los recursos de información.
• Según el Gerente de Seguridad de Información va
adquiriendo los servicios de proveedores de
seguridad, cómo el programa de seguridad de
información será mantenido es una cuestión clave.
Además, el Gerente de seguridad de Información debe tener
mecanismos preparados para la gestión de crisis.
© Fundación DINTEL DOMINIO 4 – Pág. 24 © Oscar Díez, 2005
Existen dos aspectos incluidos aquí:
•Los proveedores que no tienen un programa de seguridad robusto pueden presentar
debilidades de seguridad para los recursos de información del Gerente de seguridad de
la información ya que la mayoría de los sistemas están interconectados. Un ejemplo
muy comun es la posibilidad para los vendedores de revisar el inventario de stock en
los minoristas. En el diseño y desarrollo de este tipo de acceso a aplicación, la
seguridad debe ser conseguida y puestos controles para limitar el riesgo que puede
suponer.
•Según adquiere el Gerente de Seguridad los servicios de proveedores de seguridad de
información, la pregunta de cómo el programa de seguridad de información será
mantenido es un concepto clave. El SLA es una herramienta clave para el gerente de
seguridad de información que puede usar para asegurar que los servicios de seguridad
de los proveedores cumplen con los parámetros de seguridad explicados por el gerente
de seguridad. Riesgos, incluyendo el traspaso de datos con otros clientes, son un
problema que cualquier proveedor debe afrontar.
Adicionalmente, el gerente de seguridad de la información debe tener mecanismos para
la gestión de crisis y como reaccionar y responder ante incidentes que pueden ocurrir
durante el uso de partners o proveedores de servicios. Estos mecanismos suelen incluir
procesos para reaccionar a las advertencias que los proveedores de servicios de
seguridad pueden comunicar a la organización.
- 25. Convocatoria 2005
Monitorización y Metricas de Seguridad
Tarea 4: Uso de métricas para medir,
monitorizar e informar de una forma
eficiente y eficaz de los controles de
seguridad de la información y su
cumplimiento con las politicas de
Seguridad de Información.
– El gerente de seguridad de la información necesita
informació
monitorizar continuamente el programa de seguridad para
asegurarse que las políticas de seguridad de la
polí
organización se están manteniendo.
organizació está
– La monitorización permite al manager hacer
monitorizació
modificaciones según se necesite, ya que los sistemas de
segú
información y los entornos de recursos de información
informació informació
están cambiando constantemente.
está
© Fundación DINTEL DOMINIO 4 – Pág. 25 © Oscar Díez, 2005
Tarea 4: Uso de métricas para medir, monitorizar e informar de una forma
mé
eficiente y eficaz de los controles de seguridad de la información y su
informació
cumplimiento con las politicas de Seguridad de Información.
Informació
El gerente de seguridad de la información necesita monitorizar continuamente
informació
el programa de seguridad para asegurarse que las políticas de seguridad de la
polí
organización se están manteniendo.
organizació está
La monitorización permite al manager hacer modificaciones según se necesite,
monitorizació segú
ya que los sistemas de información y los entornos de recursos de información
informació informació
están cambiando constantemente.
está
- 26. Convocatoria 2005
Pregunta
Which one of the following is NOT a recommended
practice regarding electronic monitoring of
employees' email?
– a. Apply monitoring in a consistent fashion
– b. Provide individuals being monitored with a
guarantee of email privacy
– c. Inform all that email is being monitored by
means of a prominent login banner
– d. Explain who is authorized to read monitored
email
© Fundación DINTEL DOMINIO 4 – Pág. 26 © Oscar Díez, 2005
Which one of the following is NOT a recommended practice regarding electronic
monitoring of employees' email?
a. Apply monitoring in a consistent fashion
b. Provide individuals being monitored with a guarantee of email privacy
c. Inform all that email is being monitored by means of a prominent login banner
d. Explain who is authorized to read monitored email
The correct answer is b. No guarantee of email privacy should be provided or
implied by the employer.
- 27. Convocatoria 2005
Monitorización y Métricas de Seguridad
Las métricas son una potente herramienta que sirve al
Gerente de seguridad de Información para:
• Estar al tanto de los incidentes generales de
seguridad
• Estar alerta de los incidentes directos en la
organización
• Estar alerta de las vulnerabilidades existentes
en la organización
• Monitorizar el progreso y efectividad de los
programas de seguridad
© Fundación DINTEL DOMINIO 4 – Pág. 27 © Oscar Díez, 2005
Una de las mejores herramientas que puede utilizar el Gerente de Seguridad de la Información para
gestionar de forma efectiva el programa de seguridad son las métricas. Por ejemplo, el gerente debería
estar atento de los incidentes generales de seguridad. Existen un número importante de sitios en
Internet que guardan e informan de incidentes globales o que ocurren a lo largo del mundo. El gerente
de seguridad también debe realizar regulares comprobaciones de seguridad y test de intrusión para
confirmar el programa de seguridad. Las métricas resultantes de estos esfuerzos pueden ser
comparados a los test previos sobre como está progresando el programa de seguridad y cuando hay
que tomar medidas para contrarestar esas vulnerabilidades. Otras métricas son posibles y pueden
incluir tanto medidas tecnicas como de comportamiento, por ejemplo, estado de parches, infecciones
de virus, reseteo de claves, llamadas al helpdesk, etc…
Al diseñar métricas, se debe establecer un inicio para cada medida. Las buenas métricas deberían
tener atributos SMART (específicos, medibles, consegibles, repetible y dependientes del tiempo). Las
métricas pueden ser usadas en diagramas de progreso.
El gerente de sistemas de información también puede emplear un proceso de notificación donde los
ataques o penetraciones detectadas y los responsables de seguridad sean alertados automáticamente
a través de mensajes online o enviando mensajes SMS. Las medidas son importantes para cualquier
organización, pero es importante que las medidas conduzcan a acciones.
Como añadido a tener métricas disponibles, el gerente de seguridad debe tener un proceso donde las
métricas son revisadas de forma regular y cualquier actividad inusual es reportada. Un plan de acción
para reaccionar ante la actividad inusual debería ser desarrollado así como un plan proactivo para
conseguir tendencias en actividades que puedan conducir a una fallo en la seguridad
- 28. Convocatoria 2005
Monitorización y Métricas de Seguridad
– Al diseñar métricas se debe establecer un inicio.
– Buenas métricas deben tener atributos SMART
(especificos, medibles, conseguibles, repetibles,
y dependientes del tiempo)
– El gerente de seguridad de la Información
también puede emplear un proceso de
notificación
– Un proceso para revisar y actuar sobre la
información obtenida de las métricas debe estár
utilizándose.
© Fundación DINTEL DOMINIO 4 – Pág. 28 © Oscar Díez, 2005
Al diseñar métricas, se debe establecer un inicio para cada medida. Las buenas
métricas deberían tener atributos SMART (específicos, medibles, consegibles,
repetible y dependientes del tiempo). Las métricas pueden ser usadas en
diagramas de progreso.
El gerente de sistemas de información también puede emplear un proceso de
notificación donde los ataques o penetraciones detectadas y los responsables de
seguridad sean alertados automáticamente a través de mensajes online o
enviando mensajes SMS. Las medidas son importantes para cualquier
organización, pero es importante que las medidas conduzcan a acciones.
Como añadido a tener métricas disponibles, el gerente de seguridad debe tener
un proceso donde las métricas son revisadas de forma regular y cualquier
actividad inusual es reportada. Un plan de acción para reaccionar ante la
actividad inusual debería ser desarrollado así como un plan proactivo para
conseguir tendencias en actividades que puedan conducir a una fallo en la
seguridad
- 29. Convocatoria 2005
Pregunta
•A set of policies, procedures, and tools to
manage and resolve problems is defined as:
a. Project management
b. Problem management
c. Problem resolution
d. Problem prevention
© Fundación DINTEL DOMINIO 4 – Pág. 29 © Oscar Díez, 2005
A set of policies, procedures, and tools to manage and resolve problems is defined
as:
a. Project management
b. b. Problem management
c. c. Problem resolution
d. d. Problem prevention
The correct answer is b. The correct answer is b. The other answers are
distracters.
- 30. Convocatoria 2005
Monitorización y Métricas de Seguridad
Para usar métricas para medir, monitorizar e informar de
una manera efectiva y eficiente de los controles de
seuridad de información y el cumplimento de las políticas
de seguridad, el Gerente de Seguridad de Información
debe tener conocimiento de:
• Monitorización continua de las actividades de seguridad en la
Monitorizació
infraestructura y aplicaciones de negocio de la empresa
• Métodos usados para gestionar el éxito / fracaso de las inversiones
en la seguridad de información a través de la recogida de datos y
informació travé
revisiones periódicas de los indicadores claves.
perió
© Fundación DINTEL DOMINIO 4 – Pág. 30 © Oscar Díez, 2005
Para usar métricas para medir, monitorizar e informar de una manera
efectiva y eficiente de los controles de seuridad de información y el
cumplimento de las políticas de seguridad, el Gerente de Seguridad de
Información debe tener conocimiento de:
•Monitorización continua de las actividades de seguridad en la infraestructura y
infraestructura
aplicaciones de negocio de la empresa
•Métodos usados para gestionar el éxito / fracaso de las inversiones en la seguridad de
inversiones
información a través de la recogida de datos y revisiones periódicas de los indicadores
periódicas
claves.
- 31. Convocatoria 2005
Monitorización continua de actividades de Seguridad
La monitorización continua provee al Gerente de
seguridad de Información información sobre:
• Distintos intentos de intrusión
• Cuando un control de seguridad falla
© Fundación DINTEL DOMINIO 4 – Pág. 31 © Oscar Díez, 2005
Conocimiento de monitorización continua de actividades de seguridad en la
infraestructura y aplicaciones de negocio de la Organización
YA que los peligros y vulnerabilidades están activos las 24 horas del día, los 7 días de
la semana, la monitorización continua de las actividades de seguridad es un proceso de
negocio que el gerente de seguridad debe implementar.
No solo la monitorización de las actividades de seguridad de la información provee
información al Gerente de los diferentes intentos de intrusión, también denota cuando
falla un control de seguridad. Por ejemplo, cuando un cortafuegos falla debido a un
problema mecánico, la monitorización continua notará el fallo y el gerente de seguridad
de información puede tomar acciones correctivas en un tiempo razonable.
- 32. Convocatoria 2005
Monitorización continua de actividades de Seguridad
Los sistemas de detección de intrusiones pueden:
• Detectar intentos inautorizados directos
• Utilizar un análisis inteligente para determinar si
una tendencia de intentos inautorizados está
ocurriendo
Varias técnicas de monitorización incluyen:
té monitorizació
• Log de eventos
• Revisión de logs
• Evaluaciones de conformidad
• Sistemas de intrusión basados en red y en host
• Tests de intrusión
© Fundación DINTEL DOMINIO 4 – Pág. 32 © Oscar Díez, 2005
Los sistemas de detección de intrusiones son cada vez más inteligentes, ya que no solo
detectan intentos de acceso no autorizados directos, si no además usan análisis
inteligente para determinar si se sigue una tendencia en el intento de ataque. Esto da al
Gerente de Seguridad de la Información la información requerida para llevar un enfoque
proactivo para proteger los recursos de información de la organización.
Distintas técnicas de monitorización incluyendo el log de eventos, la revisión de logs,
las evaluaciones de conformidad, los sistemas de intrusión basados en red y en host, y
los test de intrusión. Los gerentes de seguridad de información están constantemente
buscando consolidar varias de estas técnicas en una consola única que el equipo de
seguridad pueda monitorizar.
Además de monitorizar las actividades de seguridad automatizadas, las actividades de
gestión de cambio de la organización también deben alimentar el programa de
monitorización del gerente de seguridad.
Nota: Preguntar al grupo si alguna de sus organizaciones ha implementado
sistemas de monitorización continua automatizada. Preguntarles si están
contentos con sus resultados. Preguntarles si tienen un proceso formal de
gestión y escalado de incidentes en practica para comprobar intrusiones y
solventarlas. Preguntarles si su sistema de monitorización también monitorizan
a nivel de aplicación, o si solo comprueban a nivel de trafico de red. Finalmente,
llegar a una conclusión sobre si estas tareas actualmente requieren procesos
manuales. Concluir que sin monitorización continua, los recursos de información
son más vulnerables.
- 33. Convocatoria 2005
Métodos usados para gestionar Exitos/fallos
Durante el diseño y la implementación del programa de
seguridad de información el gerente debe:
• Asegurar que se definen indicadores de
rendimiento claves.
• Asegurar que se implementa un mecanismo para
medir el progreso contra esos indicadores.
• Considerar todos los costos incluyendo los
administrativos, de mantenimiento, etc
De esta forma el Gerente de seguridad de información puede
asegurar el éxito o fracaso de los componentes de seguridad
y cuando son justificables en coste.
© Fundación DINTEL DOMINIO 4 – Pág. 33 © Oscar Díez, 2005
El conocimiento de métodos usados para gestionar el éxito / fallo en las
inversiones en seguridad de la información mediante recolección de datos y
revisiones periódicas de los principales indicadores de desempeño
El gerente de seguridad de información debe entender el éxito / fracaso de las
inversiones en seguridad y cuando la organización recibe los beneficios propuestos.
La mayoría de las organizaciones tienen presupuestos limitados, y los gerentes senior
examinan con detalle el uso de esos fondos para inversiones en la compañía. Durante
el diseño e implementación de un programa de seguridad el gerente de seguridad de
información debe asegurarse que los indicadores claves de rendimiento están definidos
y que exista implementado un mecanismo que mida el éxito respecto a esos
indicadores. De esta forma, el gerente de seguridad de información puede evaluar el
éxito o fracaso de los diferentes componentes y donde el coste ha sido justificable.
El gerente de seguridad de información debe también considerar otros costos relativos
a varias herramientas de seguridad y procedimientos. Algunos de estos costes incluyen
el personal necesario para administrar el control, el mantenimiento, el coste de
consultores o helpdesk y los gastos asociados con otros sistemas interrelacionados que
pueden ser modificados para incluir controles de seguridad.
- 34. Convocatoria 2005
Pregunta
Which of the following would indicate that an
automated production scheduling system has
inadequate security controls?
A. Control statements are frequently changed to point
to test libraries
B. Failure of a process will automatically initiate the
resetting of parameters
C. Developers have read access to both production
and test schedules
D. Scheduling personnel have the ability to initiate an
emergency override
© Fundación DINTEL DOMINIO 4 – Pág. 34 © Oscar Díez, 2005
Which of the following would indicate that an automated production scheduling
production
system has inadequate security controls?
A. Control statements are frequently changed to point to test libraries
libraries
B. B. Failure of a process will automatically initiate the resetting of parameters
resetting
C. C. Developers have read access to both production and test schedules
schedules
D. D. Scheduling personnel have the ability to initiate an emergency override
emergency
The correct answer is a. Frequently having production control statements point to
test libraries is a problem since test libraries are not subject to the same level of
security controls. Resetting parameters back to their original settings when a process
fails is desirable to back out any changes. Developers will often require read access
to production and test schedules, and emergency overrides are usually performed by
scheduling personnel.
- 35. Convocatoria 2005
El proceso de Gestión de Cambio
Tarea 5: Asegurar que la seguridad de la
información no es comprometida a lo largo
del proceso de gestión de cambio
– El gerente de seguridad de información necesita
implementar procesos en los que las implicaciones de
seguridad son consideradas en cada proceso de
gestión de cambio que la organización realiza.
– La seguridad de la información necesita ser
monitorizada y mantenida continuamente ya que
nuevas vulnerabilidades son descubiertas
regularmente y los procedimientos no son siempre
seguidos.
© Fundación DINTEL DOMINIO 4 – Pág. 35 © Oscar Díez, 2005
Tarea 5: Asegurar que la seguridad de la información no es comprometida a lo largo del
informació
proceso de gestión de cambio
gestió
El gerente de seguridad de información necesita implementar procesos en los que las
informació
implicaciones de seguridad son consideradas en cada proceso de gestión de cambio
gestió
que la organización realiza. La seguridad de la información necesita ser monitorizada y
organizació informació
mantenida continuamente ya que nuevas vulnerabilidades son descubiertas
descubiertas
regularmente y los procedimientos no son siempre seguidos. La seguridad
seguridad
normalmente depende de la obediencia del usuario. Esto incluye por ejemplo que no
por
compartan claves. Si lo hacen, el control de seguridad estará degradado. Además,
estará Ademá
siempre hay personal que está continuamente buscando formas de saltarse los
está
procedimientos de seguridad, haciendo visibles las vulnerabilidades.
vulnerabilidades.
- 36. Convocatoria 2005
El proceso de Gestión de Cambio
Los controles de seguridad tienden a degradarse con el
tiempo por varios motivos como son:
• Confianza de los usuarios para cumplir los
procedimientos.
• Cambios organizacionales que requieren un
programa de seguridad más evolucionado
• Vulnerabilidades que continuamente son
descubiertas y explotadas.
• Aplicaciones que requieren acceso a redes externas
• Sitios remotos realizando cambios que no cumplen
los procedimientos de control de cambio.
© Fundación DINTEL DOMINIO 4 – Pág. 36 © Oscar Díez, 2005
Otra razón por la cual los controles de seguridad tienden a degradarse con el tiempo es
porque la organización está cambiando continuamente. Los controles de seguridad
deben ser actualizados regularmente para adaptarse a los cambios organizacionales,
así como protegerse de las vulnerabilidades introducidas durante el proceso de cambio.
Un riesgo común es el desarrollo o implementación de nuevas aplicaciones que
acceden a redes externas. Si esa nueva aplicación no sigue los procedimientos y
políticas de seguridad de la organización, puede conducir a un riesgo indebido para los
recursos de información de la organización. Si la seguridad fue considerada durante el
desarrollo de la aplicación, es probable que al acceder a redes externas se realizará de
forma controlada que cumpla con los procedimientos y políticas de la organización.
El gerente de seguridad de la información es emplazado a asegurar que la seguridad
está adecuadamente considerada en situaciones donde las oficinas remotas o
divisiones están haciendo cambios sin seguir los procesos de gestión de cambio
aceptados en la organización. Organizaciones que son descentralizadas tienen más
riesgo que un cambio comprometa la seguridad de la información y el gerente de
seguridad de la información debe entender la estructura organizacional durante el
desarrollo e implementación del programa de seguridad.
Nota: preguntar a los asistentes cuantas de sus organizaciones tienen
procedimientos formales de gestión de cambio. Preguntar cuantos tienen
incluidas consideraciones de seguridad en estos procedimientos. Preguntar si
piensan que el programa de seguridad global es más fuerte por ello y que si son
más un grupo proactivo que uno reactivo apagando fuegos.
- 37. Convocatoria 2005
El proceso de Gestión de Cambio
Para asegurar que la seguridad de la información
no está comprometida durante el proceso de
gestión de cambio, el gerente de seguridad de
la información debe tener conocimiento de:
• Actividades de gestión de cambio y configuración
© Fundación DINTEL DOMINIO 4 – Pág. 37 © Oscar Díez, 2005
Para asegurar que la seguridad de la información no está comprometida durante el
proceso de gestión de cambio, el gerente de seguridad de la información debe tener
cambio,
conocimiento de:
Actividades de gestión de cambio y configuración
- 38. Convocatoria 2005
Actividades de gestión de cambio y configuración
– El gerente de seguridad debe entender las actividades de
gestión de cambio y configuración usadas por la organización
gestió configuració organizació
para asegurar que las implicaciones de seguridad pueden ser
consideradas y solucionadas.
– Cada organización puede tener diferentes procesos para el
organizació
cambio y gestión de configuración así como responsables de
gestió configuració así
varias tareas.
– El gerente de seguridad de la informacióndebe entender estos
informació
procesos de forma que las implicaciones de seguridad puedan
ser gestionadas lo antes posible, antes de propagar los cambios
posible,
a producción.
producció
© Fundación DINTEL DOMINIO 4 – Pág. 38 © Oscar Díez, 2005
Actividades de gestión de cambio y configuración
El gerente de seguridad debe entender las actividades de gestión de cambio y
gestió
configuración usadas por la organización para asegurar que las implicaciones
configuració organizació
de seguridad pueden ser consideradas y solucionadas.
Cada organización puede tener diferentes procesos para el cambio y gestión
organizació gestió
de configuración así como responsables de varias tareas.
configuració así
El gerente de seguridad de la informacióndebe entender estos procesos de
informació
forma que las implicaciones de seguridad puedan ser gestionadas lo antes
posible, antes de propagar los cambios a producción.
posible, producció
.
- 39. Convocatoria 2005
Evaluaciones de Seguridad
Tarea 6: Asegurar que las evaluaciones de
vulnerabilidades son realizadas para
evaluar de manera efectiva los controles
existentes.
Las evaluaciones de seguridad están disponibles para
monitorizar y forzar los controles de seguridad de
la información y pueden ser usados para identificar
vulnerabilidades.
© Fundación DINTEL DOMINIO 4 – Pág. 39 © Oscar Díez, 2005
Tarea 6: Asegurar que las evaluaciones de vulnerabilidades son realizadas para evaluar
de manera efectiva los controles existentes.
existentes.
Las evaluaciones de seguridad están disponibles para monitorizar y forzar los
está
controles de seguridad de la información y pueden ser usados para identificar
informació
vulnerabilidades.
vulnerabilidades.
- 40. Convocatoria 2005
Evaluaciones de Seguridad
Una evaluación de seguridad incluye típicamente:
• Escanear diversos controles de seguridad
• Probar los controles situados
• Pruebas de intrusión
• Desarrollar recomendaciones para mejorar
la seguridad.
• Comprobar y corregir el progreso.
Un proceso para conseguir allazgos debe desarrollarse
siuguiendo los estandares de un acercamiento
proactivo a la seguridad.
© Fundación DINTEL DOMINIO 4 – Pág. 40 © Oscar Díez, 2005
Las evaluaciones de seguridad son una herramienta importante para que el
para
gerente de seguridad de la información pueda usarlo para comprobar el
informació
programa de seguridad. Una evaluación de seguridad incluye típicamente:
evaluació tí
Escanear diversos controles de seguridad
Probar los controles situados
Pruebas de intrusión
Desarrollar recomendaciones para mejorar la
seguridad.
Comprobar y corregir el progreso.
- 41. Convocatoria 2005
Pregunta
•Which one of the following best describes an
express contract?
a.Exists in writing
b.Inferred from the conduct of the involved parties
c.An oral agreement
d.A voided contract
© Fundación DINTEL DOMINIO 4 – Pág. 41 © Oscar Díez, 2005
Which one of the following best describes an express contract?
a. Exists in writing
b. Inferred from the conduct of the involved parties
c. An oral agreement
d. A voided contract
The correct answer is a. Answer b defines an implied contract. Answers c and d are
distracters.
- 42. Convocatoria 2005
Evaluaciones de Seguridad
– Las herramientas más comunes incluyen detección de MODEM,
má detecció
password cracking y host y network based.
based.
– Un análisis de vulnerabilidades típicamente incluye la evaluación
aná tí evaluació
de:
Utilidades de Sistema
Debilidades de los Sistemas Operativos
Deficiencias de la red
Aplicaciones (Incluyendo BBDD, apps web, e-
mail)
– El gerente de seguridad puede utilizar un consultor para
tener una vista más independiente.
– Recomendaciones sobre como mejorar la seguridad deben
ser parte de cualquier evaluación de vulnerabilidades.
© Fundación DINTEL DOMINIO 4 – Pág. 42 © Oscar Díez, 2005
Las herramientas más comunes incluyen host-based, network-based detección de
modem y cracking de claves. Las herramientas de evaluación de vulnerabilidad
basadas en red utilizan la red como un medio para escanear diferentes equipos y
encontrar vulnerabilidades que se puedan explotar. El objetivo primario de la evaluación
de vulnerabilidades es detectar deficiencias conocidas en un entorno particular que
potencialmente puede llevar a comprometer el sistema. Una evaluación de
vulnerabilidades típicamente incluye la evaluación de:
Utilidades de Sistema
Debilidades de los Sistemas Operativos
Deficiencias de la red
Aplicaciones (Incluyendo BBDD, apps web, e-
mail)
El gerente de seguridad de información también puede emplear recursos externos,
normalmente un consultor de seguridad para llevar a cabo estas evaluaciones de
vulnerabilidades. Esto le da al gerente una vista más independiente de los controles
que se llevan a cabo. El gerente de seguridad de información también puede aportar
una experiencia de seguridad. Los proveedores también empiezan a ofrecer servicios
de gestión de evaluación de vulnerabilidades donde se realizan evaluaciones de forma
periódica. Dado que las vulnerabilidades son identificadas constantemente, es
importante que las evaluaciones de seguridad se realicen de forma periódica. Las
evaluaciones deben incluir recomendaciones sobre como erradicar o cerrar las
vulnerabilidades.
- 43. Convocatoria 2005
Evaluaciones de Seguridad
Las evaluaciones de seguridad se centran
normalmente en:
• Controles utilizados por la organización
• Una evaluación de los riesgos conocidos
que esos controles tienen
• Si es apropiado o no implementar el
control para los objetivos del negocio
© Fundación DINTEL DOMINIO 4 – Pág. 43 © Oscar Díez, 2005
Las evaluaciones de seguridad se centran normalmente en controles
utilizados por la organización y una evaluación de los
riesgos conocidos que esos controles tienen. LA
evaluación también revisa si es apropiado o no
implementar el control para los objetivos del negocio.
Por ejemplo, tener un cortafuegos es un buen control,
pero un cortafuegos puede implementarse con una
configuración pobre, que puede permitir un acceso
indeseable a la red.
- 44. Convocatoria 2005
Evaluaciones de Seguridad
Para asegurar que las evaluaciones de seguridad son
realizadas para evaluar la efectividad de los controles
existentes, el gerente de seguridad de información debe
informació
tener conocimiento de:
• Gestión de la seguridad de información en actividades y revisiones
Gestió informació
de la infraestructura.
• Actividades con proveedores internos / externos de confianza
realizando revisiones de seguridad periódicos.
perió
• Actividades, revisiones y estándares relacionados para gestionar y
está
controlar el acceso a los recursos de información
informació
• Reportes de vulnerabilidades externas que den información de
informació
que cambios hay que realizar a la seguridad de la información en
informació
aplicaciones e infraestructura.
© Fundación DINTEL DOMINIO 4 – Pág. 44 © Oscar Díez, 2005
Para asegurar que las evaluaciones de seguridad son realizadas para evaluar la
para
efectividad de los controles existentes, el gerente de seguridad de información
debe tener conocimiento de:
•Gestión de la seguridad de información en actividades y revisiones de la infraestructura.
revisiones
•Actividades con proveedores internos / externos de confianza realizando revisiones de
realizando
seguridad periódicos.
•Actividades, revisiones y estándares relacionados para gestionar y controlar el acceso a
los recursos de información
•Reportes de vulnerabilidades externas que den información de que cambios hay que
realizar a la seguridad de la información en aplicaciones e infraestructura.
infraestructura.
- 45. Convocatoria 2005
Pregunta
As stated in the National Security Agency/Central
Security Service (NSA/CSS) Circular No. 500R, the
objective of acquisition management is to manage a
project by applying a number of techniques. Which
one of the following is NOT one of these techniques?
a. Functional analysis
b. Design synthesis
c. Freezing requirements early in the design cycle
d. Verification
© Fundación DINTEL DOMINIO 4 – Pág. 45 © Oscar Díez, 2005
As stated in the National Security Agency/Central Security Service (NSA/CSS)
Agency/Central
Circular No. 500R, the objective of acquisition management is to manage a
project by applying a number of techniques. Which one of the following is NOT
techniques.
one of these techniques?
techniques?
a. Functional analysis
b. Design synthesis
c. Freezing requirements early in the design cycle
d. Verification
The correct answer is c. The circular states that the requirements shall be reviewed at
key decision points and, if necessary, refined to meet cost, schedule, and
performance objectives.
- 46. Convocatoria 2005
Revisiones y Actividades de Infraestructura
El gerente de seguridad de información necesita tener
conocimiento de las actividades de gestión de la
seguridad para asegurar que los componentes básicos de
un programa de seguridad están su sitio. Algunos de
estos componentes incluyen:
• Soporte de los gestores senior
• Concienciación y educación en la seguridad
• Evaluación de riesgos
• Backups y restablecimiento
• Implementación de controles de seguridad
• Monitorización de los programas de seguridad
© Fundación DINTEL DOMINIO 4 – Pág. 46 © Oscar Díez, 2005
Conocimiento del gerente de seguridad de información en Revisiones y
Actividades de Infraestructura Revisiones y Actividades de
Infraestructura
El gerente de seguridad de información necesita tener conocimiento de las actividades
informació
de gestión de la seguridad para asegurar que los componentes básicos de un programa
gestió bá
de seguridad están su sitio. Algunos de estos componentes incluyen:
está
•Soporte de los gestores senior
•Concienciación y educación en la seguridad
•Evaluación de riesgos
•Backups y restablecimiento
•Implementación de controles de seguridad
•Monitorización de los programas de seguridad
- 47. Convocatoria 2005
Revisiones y Actividades de Infraestructura
• El Gerente de SI también debe entender que las terceras
tambié
partes en las cuales la organización confía y usa pueden
organizació confí
presentar riesgos para los recursos de información.
informació
– Se deben mirar con cuidado los contratos y acuerdos que
se realizan
– El gerente de SI debe saber que se deben realizar
revisiones periódicas a la infraestructura, a ser posible por
perió
una parte externa e independiente.
– La infraestructura es una pieza clave en la que la
organización confía para cumplir sus objetivos de negocio
organizació confí
y por ello se debe proteger y de debe ser fiable
© Fundación DINTEL DOMINIO 4 – Pág. 47 © Oscar Díez, 2005
El Gerente de SI también debe entender que las terceras partes en las cuales
tambié
la organización confía y usa pueden presentar riesgos para los recursos de
organizació confí
información, y por tanto debe mirar con cuidado los contratos y acuerdos que
informació que
se realizan con ellos. El gerente de SI también debe saber que se deben
tambié
realizar revisiones periódicas a la infraestructura, a ser posible por una parte
perió
externa e independiente.
La infraestructura es una pieza clave en la que la organización confía para
organizació confí
cumplir sus objetivos de negocio y por ello se debe proteger y de debe ser
de
fiable
- 48. Convocatoria 2005
Relaciones con proveedores de servicios
El Gerente de SI:
• Tiene la responsabilidad principal del programa de
seguridad de información para la organización
• Debe dirigir actividades o entidades que puedan
afectar al programa de seguridad de la
información
• Debe actuar como mediador entre las partes
internas y externas para asegurar que las
actividades de seguridad se completan de una
manera efectiva
El proceso de seguridad es un proceso clave en el programa de
seguridad y el programa puede beneficiarse de revisiones periódicas
perió
y recomendaciones realizadas por proveedores de seguridad
© Fundación DINTEL DOMINIO 4 – Pág. 48 © Oscar Díez, 2005
Conocimiento de actividades de relaciones con proveedores internos/externos de
seguridad para realizar revisiones de seguridad de información
El gerente de SI tiene como responsabilidad principal el programa de seguridad de la
organización. Por lo tanto, actividades o entidades que puedan afectar al programa de
seguridad de la información necesitan ser gestionadas por el Gerente de SI. El Gerente
de SI debe actuar como mediador
entre las partes internas y
externas para asegurar que las actividades de seguridad
se completan de una manera efectiva
El proceso de seguridad es un proceso clave en el programa de seguridad y el
seguridad
programa puede beneficiarse de revisiones periódicas y recomendaciones realizadas
perió
por proveedores de seguridad. Sus proyectos pueden ser completados de una forma
completados
efectiva con cooperación del personal de seguridad.
cooperació
Nota: Comenzar una conversación acerca de los méritos del proceso de
conversació mé
seguridad. Asegurarse de que se habla de cómo el proceso de seguridad ayuda a
có
mejorar el programa de seguridad global y como el gerente de SI debe ayudar y
facilitar el proceso. Concluir con que el proceso de aseguramiento debe ser visto
aseguramiento
como una herramienta importante en el programa de seguridad.
- 49. Convocatoria 2005
Revisiones, actividades, y estandares
– El Gerente de SI debe estar al tanto de los distintos
estándares para gestionar y controlar los recursos de
información
– Dependiendo del tipo de empresa, existen diferentes
estándares regulatorios para cada área
– Existen un numero grande de estándares como:
ISO/IEC17799
AICPA SAS No.70
National Fire Protection Association (NFPA), Occupational
Safety & Health Administration (OSHA)
HIPAA
BS7799
AICPA SysTrust
© Fundación DINTEL DOMINIO 4 – Pág. 49 © Oscar Díez, 2005
Conocimiento de actividades, revisiones y estándares para gestionar y controlar
el acceso a los recursos de información
El Gerente de SI debe estar al tanto de los distintos estándares para gestionar y
está
controlar los recursos de información
informació
Dependiendo del tipo de empresa, existen diferentes estándares regulatorios para cada
está
área
Existen un numero grande de estándares como:
está
ISO/IEC17799
AICPA SAS No.70
National Fire Protection Association (NFPA), Occupational Safety
& Health Administration (OSHA)
HIPAA
BS7799
AICPA SysTrust
(Otros continuan en la siguiente transparencia)
- 50. Convocatoria 2005
Pregunta
Which choice is NOT a generally accepted benefit of
security awareness, training, and education?
a. A security awareness program can help operators
understand the value of the information.
b. A security education program can help system
administrators recognize unauthorized intrusion
attempts.
c. A security awareness and training program will
help prevent natural disasters from occurring.
d. A security awareness and training program can
help an organization reduce the number and
severity of errors and omissions.
© Fundación DINTEL DOMINIO 4 – Pág. 50 © Oscar Díez, 2005
Which choice is NOT a generally accepted benefit of security awareness, training,
and education?
a. A security awareness program can help operators understand the value of the
information.
b. A security education program can help system administrators recognize unauthorized
intrusion attempts.
c. A security awareness and training program will help prevent natural disasters from
occurring.
d. A security awareness and training program can help an organization reduce the
number and severity of errors and omissions.
The correct answer is c. An effective computer security awareness and training
program requires proper planning, implementation, maintenance, and periodic
evaluation.
In general, a computer security awareness and training program should encompass the
following seven steps:
Identify program scope, goals, and objectives.
Identify training staff.
Identify target audiences.
Motivate management and employees.
Administer the program.
Maintain the program.
Evaluate the program.
- 51. Convocatoria 2005
Revisiones, actividades, y estandares
Existen un gran número de estándares (continua)
nú está
• Office of the Comptroller (OCC), Circular 235 and Thrift
Bulletin 30
• Estatutos de seguridad, areas sobre fraude informatico,
informatico,
abuso y apropiación de activos informaticos, (Federal
apropiació informaticos,
Computer Security Act)
Act)
• Federal Financial Institutions Examination Council
(FFIEC). The FFIEC guidelines replace previously issued
Banking Circulars BC-177, BC-226, etc.
BC- BC-
• COSO
• Organization for Economic Cooperation and Development
(OECD) Security Guidelines
• Foreign Corrupt Practices Act (FCPA)Vital Records
Management Statutes, especificaciones para la retención
Statutes, retenció
y eleminación de registros electrónicos y fisicos (IRS
eleminació electró
Records Retention requirements)
requirements)
© Fundación DINTEL DOMINIO 4 – Pág. 51 © Oscar Díez, 2005
Existen un gran número de estándares (continua):
nú está
• ISO/IEC 17799
• BS 7799
• National Fire Protection Association (NFPA), Occupational Safety & Health
Administration (OSHA)
• AICPA SAS No.70
• AICPA SysTrust
• HIPAA
• Office of the Comptroller (OCC), Circular 235 and Thrift Bulletin 30
• Office of the Comptroller (OCC), Circular 235 and Thrift Bulletin 30
Estatutos de seguridad, areas sobre fraude informatico, abuso y
informatico,
apropiación de activos informaticos, (Federal Computer Security Act)
apropiació informaticos, Act)
Federal Financial Institutions Examination Council (FFIEC). The FFIEC
guidelines replace previously issued Banking Circulars BC-177, BC-226,
BC- BC-
etc.
COSO
Organization for Economic Cooperation and Development (OECD)
Security Guidelines
Foreign Corrupt Practices Act (FCPA)Vital Records Management
Statutes, especificaciones para la retención y eleminación de registros
Statutes, retenció eleminació
electrónicos y fisicos (IRS Records Retention requirements)
electró requirements)
- 52. Convocatoria 2005
Fuentes de información de vulnerabilidades externas
El Gerente de SI debe estar al tanto de:
• Que los proveedores de seguridad
externos e internos realizan
rutinariamente revisiones y evaluaciones
del programa de seguridad.
• Las evaluaciones de vulnerabilidades y
test de intrusión que la organización
puede realizar
© Fundación DINTEL DOMINIO 4 – Pág. 52 © Oscar Díez, 2005
El Gerente de SI debe estar al tanto de los
proveedores de
seguridad externos e internos realizan rutinariamente
revisiones y evaluaciones del programa de seguridad.
Por tanto, tiene que tener conocimiento de las
evaluaciones de vulnerabilidades y test de intrusión
que la organización puede realizar
- 53. Convocatoria 2005
Fuentes de información de vulnerabilidades externas
– El Gerente de SI debe saber que los peligros para la
organización pueden venir de cualquier parte del mundo.
– Por lo tanto, el Gerente de SI debe conocer las fuentes
de información de vulnerabilidades de forma que el
programa de seguridad pueda ser modificado para
resolver cualquier vulnerabilidad que se pueda
presentar.
– Además de los ataques que vienen a lo largo del mundo,
las vulnerabilidades que antes eran desconocidas son
normalmente identificadas en software y hardware
– Tener este conocimiento permite al Gerente de SI
modificar el programa de seguridad según se necesiten
resolver los presentes problemas
© Fundación DINTEL DOMINIO 4 – Pág. 53 © Oscar Díez, 2005
Conocer las fuentes de información de vulnerabilidades externas puede proveer
información que requiera cambios a la seguridad de información en aplicaciones
e infraestructura.
El Gerente de SI debe saber que los peligros para la organización pueden venir de
organizació
cualquier parte del mundo. Por lo tanto, el Gerente de SI debe conocer las fuentes de
conocer
información de vulnerabilidades de forma que el programa de seguridad pueda ser
informació pueda
modificado para resolver cualquier vulnerabilidad que se pueda presentar. Estas
presentar.
vulnerabilidades se presentan casi a diario.
Además de los ataques que vienen a lo largo del mundo, las vulnerabilidades que antes
Ademá vulnerabilidades
eran desconocidas son normalmente identificadas en software y hardware. Tener este
hardware.
conocimiento permite al Gerente de SI modificar el programa de seguridad según se
seguridad segú
necesiten resolver los presentes problemas.
- 54. Convocatoria 2005
Problemas de incumplimiento
Tarea 7: Asegurar que los problemas de
incumplimiento y otros distintos son
resueltos en un tiempo razonable
– El Gerente de SI debe utilizar un proceso en donde los
problemas de incumplimiento y otros parecidos son
resueltos de una forma efectiva a tiempo
– Normalmente un horario se desarrolla para
documentar cada punto y se asigna una
responsabilidad, se guarda y se gestiona
© Fundación DINTEL DOMINIO 4 – Pág. 54 © Oscar Díez, 2005
Tarea 7: Asegurar que los problemas de incumplimiento y otros distintos son resueltos
distintos
en un tiempo razonable
El Gerente de SI debe utilizar un proceso en donde los problemas de incumplimiento y
otros parecidos son resueltos de una forma efectiva a tiempo. Los problemas de
Los
incumplimiento y otros parecidos pueden identificarse a través de un número diferente
travé nú
de mecanismos incluyendo:
•Monitorización normal
•Reportes de auditoria
•Revisiones de seguridad
•Escaneo de vulnerabilidades
•Trabajo realizado diligentemente
Las practicas de negocio prudentes requieren que los hallazgos sean gestionados en
un tiempo razonable. Normalmente un horario se desarrolla para documentar cada
punto y se asigna una responsabilidad, se guarda y se gestiona