dominio4 comentarios

1

Programa Formativo para el EXAMEN CISM

Convocatoria 2005

© Fundación DINTEL DOMINIO 4 © Oscar Díez, 2005

Dominio 4Dominio 4GestiGestióón de la Seguridad de n de la Seguridad de

InformaciInformacióónn

Preparación examen CISMPreparación examen CISM

2


Convocatoria 2005

© Fundación DINTEL DOMINIO 4 – Pág. 2 © Oscar Díez, 2005

Dominio 4 - Objetivo

Dar al candidato a CISM un conocimiento Dar al candidato a CISM un conocimiento de como:de como:

““Supervisar y dirigir las actividades de Supervisar y dirigir las actividades de seguridad de Informaciseguridad de Informacióón para ejecutar n para ejecutar

el programa de seguridad de el programa de seguridad de InformaciInformacióónn””

Dominio 4 - ObjetivoEl objetivo de esta área es focalizarse en las tareas y el conocimiento necesario para que el Gerente de Seguridad de la Información pueda gestionar de manera eficiente la seguridad de la información dentro de la información. Una descripción de varias técnicas que el gerente de seguridad puede usar y las áreas en que debe enfocarse se discutirán en este dominio.

3


Convocatoria 2005


Dominio 4 - Tareas

•• Asegurar que las reglas de uso de los sistemas de Asegurar que las reglas de uso de los sistemas de informaciinformacióón cumplen con las poln cumplen con las polííticas de seguridad de ticas de seguridad de informaciinformacióón de la Empresa.n de la Empresa.

•• Asegurar que los procedimientos administrativos para los Asegurar que los procedimientos administrativos para los sistemas de Informacisistemas de Informacióón cumplen con las poln cumplen con las polííticas de ticas de seguridad de la empresa.seguridad de la empresa.

•• Asegurar que los servicios facilitados por otras compaAsegurar que los servicios facilitados por otras compañíñías as incluyendo los proveedores externos son consistentes con incluyendo los proveedores externos son consistentes con las pollas polííticas de seguridad establecidas.ticas de seguridad establecidas.

•• Utilizar mUtilizar méétricas para medir, monitorizar y reportar de la tricas para medir, monitorizar y reportar de la eficacia y eficiencia de los controles de seguridad de eficacia y eficiencia de los controles de seguridad de InformaciInformacióón y el cumplimiento con las poln y el cumplimiento con las polííticas de seguridad ticas de seguridad de la Informacide la Informacióón.n.

Para poder supervisar y dirigir las actividades de Seguridad de Para poder supervisar y dirigir las actividades de Seguridad de Información para ejecutar Información para ejecutar el programa de seguridad de Información, el gerente de seguridadel programa de seguridad de Información, el gerente de seguridad de Información debe de Información debe realizar las siguientes tareas.realizar las siguientes tareas.

••Asegurar que las reglas de uso de los sistemas de información cuAsegurar que las reglas de uso de los sistemas de información cumplen con las mplen con las políticas de seguridad de información de la Empresa.políticas de seguridad de información de la Empresa.••Asegurar que los procedimientos administrativos para los sistemaAsegurar que los procedimientos administrativos para los sistemas de s de Información cumplen con las políticas de seguridad de la empresaInformación cumplen con las políticas de seguridad de la empresa..••Asegurar que los servicios facilitados por otras compañías incluAsegurar que los servicios facilitados por otras compañías incluyendo los yendo los proveedores externos son consistentes con las políticas de segurproveedores externos son consistentes con las políticas de seguridad idad establecidas.establecidas.••Utilizar métricas para medir, monitorizar y reportar de la eficaUtilizar métricas para medir, monitorizar y reportar de la eficacia y eficiencia de cia y eficiencia de los controles de seguridad de Información y el cumplimiento con los controles de seguridad de Información y el cumplimiento con las políticas de las políticas de seguridad de la Información.seguridad de la Información.

4


Convocatoria 2005


Dominio 4 - Tareas

•• Asegurar que la Seguridad de InformaciAsegurar que la Seguridad de Informacióón no estn no estáácomprometida a lo largo del proceso de gesticomprometida a lo largo del proceso de gestióón de n de cambio.cambio.

•• Asegurar que evaluaciones de vulnerabilidades son Asegurar que evaluaciones de vulnerabilidades son realizadas para evaluar la efectividad de los controles realizadas para evaluar la efectividad de los controles existentes.existentes.

•• Asegurar que los incumplimientos y otras variantes son Asegurar que los incumplimientos y otras variantes son resultas en una forma oportuna. resultas en una forma oportuna.

•• Asegura que el desarrollo y entrega de las actividades Asegura que el desarrollo y entrega de las actividades que pueden influenciar la cultura y comportamiento de que pueden influenciar la cultura y comportamiento de la plantilla incluyendo educacila plantilla incluyendo educacióón y concienciacin y concienciacióón de la n de la seguridad de Informaciseguridad de Informacióónn

Continuación de las tareas.

••Asegurar que la Seguridad de Información no está comprometida a Asegurar que la Seguridad de Información no está comprometida a lo largo del proceso lo largo del proceso de gestión de cambio.de gestión de cambio.••Asegurar que evaluaciones de vulnerabilidades son realizadas parAsegurar que evaluaciones de vulnerabilidades son realizadas para evaluar la a evaluar la efectividad de los controles existentes.efectividad de los controles existentes.••Asegurar que los incumplimientos y otras variantes son resultas Asegurar que los incumplimientos y otras variantes son resultas en una forma oportuna. en una forma oportuna. ••Asegura que el desarrollo y entrega de las actividades que puedeAsegura que el desarrollo y entrega de las actividades que pueden influenciar la cultura n influenciar la cultura y comportamiento de la plantilla incluyendo educación y conciency comportamiento de la plantilla incluyendo educación y concienciación de la seguridad iación de la seguridad de Informaciónde Información

5


Convocatoria 2005


Dominio 4 - Resumen

EsteEste DominioDominio representarepresenta aproximadamenteaproximadamente

el 24% del el 24% del examenexamen CISM, lo CISM, lo queque suponesupone

aproximadamenteaproximadamente 48 48 preguntaspreguntas del del

examenexamen..

EsteEste DominioDominio representarepresenta aproximadamenteaproximadamente el 24% del el 24% del examenexamen CISM, lo CISM, lo queque

suponesupone aproximadamenteaproximadamente 48 48 preguntaspreguntas del del examenexamen..

6


Convocatoria 2005


Dominio 4 - Recursos

•• ManualesManuales

–– CISM Review Manual (ISACA)CISM Review Manual (ISACA)

–– TheThe CISM CISM PrepPrep GuideGuide (John Wiley & Sons)

•• RecursosRecursos WebWeb

–– http://www.leuthard.ch/cism/http://www.leuthard.ch/cism/ , , www.isaca.orgwww.isaca.org

•• PreguntasPreguntas

– InfoSecAfrica / CISM / Trandumper

RecursosRecursos

Existen varios recursos disponibles. Existen varios recursos disponibles.

Como siempre el mejor es el manual CISM de la Como siempre el mejor es el manual CISM de la isacaisaca, que es el que contiene todo el , que es el que contiene todo el

temario que va a entrar y está preparado por ISACA, que son los temario que va a entrar y está preparado por ISACA, que son los que hacen el examen.que hacen el examen.

Otro manual es el CISM Otro manual es el CISM PrepPrep GuideGuide, más detallado que el anterior y con más preguntas., más detallado que el anterior y con más preguntas.

Respecto a los recursos en la Respecto a los recursos en la webweb está la está la webweb de la propia ISACA, pero también la de la propia ISACA, pero también la webweb

httphttp://://www.leuthard.chwww.leuthard.ch//cismcism en donde podemos encontrar muchos enlaces a otros recursosen donde podemos encontrar muchos enlaces a otros recursos

Para las preguntas, podemos encontrar en los recursos antes citaPara las preguntas, podemos encontrar en los recursos antes citados muchas preguntas con dos muchas preguntas con

respuestas y explicaciones. Por ejemplo, existe en la respuestas y explicaciones. Por ejemplo, existe en la webweb httphttp://://www.leuthard.chwww.leuthard.ch//cismcism un un

conjunto de 200 preguntas de forma gratuita. Además se puede adqconjunto de 200 preguntas de forma gratuita. Además se puede adquirir en la uirir en la webweb de ISACA el de ISACA el cdcd

con preguntas de ejemplo del examen CISM.con preguntas de ejemplo del examen CISM.

7


Convocatoria 2005


Consejos Examen

• Conocer bien los dominios.• Recuerda los dominios.• Conoce como realizar el test.• Tomate tu tiempo, pero no lo malgastes.• Lee, lee y después lee un poco más las preguntas.• Realiza exámenes de prueba• Cuidado al responder , que la respuesta coincida• Marca las preguntas que te saltas• Tomate un respiro• Escucha a tus padres (descansa antes y estudia)• ¿Ingles o Castellano?

Los principales consejos a la hora de preparar cualquier examen de TEST como CISA o CISM son:-Conocer bien los dominios. El examen cubre una gran cantidad de información sobre el mundo de Informática, como aprenderse todo esto es prácticamente imposible, lo mejor es centrarse en lo que tenemos en los distintos dominios.-Recuerda los dominios. Es importante al hacer el examen recordar que incluye cada dominio y ver en que dominio encaja la pregunta a la que nos enfrentamos, de esta forma, sabiendo el dominio, podremos descartar una o dos de las respuestas que no tienen que ver con ese dominio.-Conoce como realizar el test. Todas las preguntas son de una sola respuesta correcta, con cuatro opciones, y las incorrectas no restan. Por eso debes contestar todas y no dejar ninguna en blanco, esto te supone ya el 25%. Lee la pregunta y piensa una respuesta correcta antes de leer las respuestas, y busca esa respuesta entre las que dan a elegir. Se trata de escoger la más correcta de entre las que nos dan, que puede ser la más directa, la más específica. Si no puedes escoger la correcta, vete descartando las que creas que son erroneas hasta quedarte con las que creas que más se aproxima a lo que debería ser.-Tomate tu tiempo, pero no lo malgastes. Con 200 preguntas en 4 horas, por lo que tienes poco más de un minuto por pregunta, en algunas gastarás menos, pero en otras más, si ves que una no lo tienes claro, continua adelante y déjala para el final por si sobra tiempo, pero no te olvides de marcar las que ya has descartado de esa pregunta para no volver a gastar tiempo en algo que ya hiciste.-Lee, lee y después lee un poco más las preguntas. La mayoría de las veces que fallamos una pregunta es por no leer bien el enunciado. En estos exámenes juegan mucho con preguntas que parecen una cosa, pero leyéndolas detenidamente tienen un significado opuesto. Es muy importante leer varias veces la pregunta hasta tener claro lo que nos preguntan.-Realiza exámenes de prueba. La mejor forma de prepararte el examen es realizando examenes de prueba, practicas, etc.. -Cuidado al responder , que la respuesta coincida. No cometas el fallo de responder en la hoja de respuestas en la casilla equivocada, comprueba siempre que respondas que la casilla de la pregunta se corresponde con la respuesta.-Marca las preguntas que te saltas. Márcalas y déjalas para más adelante. También marca si ya has descartado alguna de las preguntas para no tenerlas en cuanta cuando las vuelvas a repasar.-Tomate un respiro. 4 horas concentrado se hace muy largo y a veces es mejor hacer una pequeña pausa y relajarse un poco antes de continuar con el resto. Puedes llevar comida y tendrás bebida en la sala. -Escucha a tus padres (descansa antes y estudia). Lo que se debe hacer es estudiar, no vamos a aprobar el examen sin habernos estudiado el manual y haber realizado examenes previamente. Otro consejo básico es descansar el día antes del examen, es preferible estudiar 5 horas menos e ir relajado al examen que pasarse la noche anterior estudiando e intentar hacer el examen fatigado, ya que para la mayoría de las preguntas debemos estar al 100%.-¿Ingles o Castellano?. Es importante que decidamos lo antes posible el lenguaje en que queremos realizar el examen. Personalmente recomiendo si no se tiene un alto nivel de ingles realizarlo en Castellano, ya que hay muchas preguntas que utilizan doble negación o dobles sentidos para intentar engañarnos y si no se domina el idioma esto es muy dificil.

Tip #1: Know the Domains CertCities.comThe CISA exam covers a wide range of information from the common body of knowledge (CBK). The CBK is the vast expanse of knowledge and

information available out there in the world about IT Audit and related issues. To narrow the field a bit, the CISA exam focuses on the domains fromthe CBK. You'll need to know several dozen specific items, topics, keywords and concepts from each domain. There's a lot of overap between thedomains, but keep in mind the general "flavor" or "feeling" of each domain so you'll understand the aspect, perspective or application of duplicatedtopics. Tip #2: Remember the DomainsWhen you are taking the exam, think about which of the domains each question falls into. Often, if you can determine the domain the question isfocusing on, you can quickly eliminate one or two answers as being incorrect. Or it may highlight the correct answer between two or more possibleanswers. A topic in one domain will have a different twist than the same topic in another domain, so being familiar with the domains and being ableto recognize the domain focus of question will benefit you on the exam.Tip #3: Know How To Take a TestAll of the questions on this exam are single-answer, multiple-choice questions with four answer selections. Because wrong answers don't substractfrom your score, it's in your best interest to answer every question -- even if you guess blindy, you'll have a 25 percent chance of selecting thecorrect answer. However, you can usually improve those odds with a bit of clear thinking. First, read the question once and think of a valid answer in your head without looking at the answer selection. If you can't think of an answer, read the question again before looking at the four answerselections. Theneliminate at least one of the answer selections as being incorrect.Keep in mind that the goal is to select the most correct answer. There are many questions with two or three correct answer selections, but only oneis the most correct. Being most correct may mean most complete or most specific or most direct to the question asked. If you can't figure out thebest answer, eliminate all answers that are definitely wrong, then make a guess. If you can eliminate one selection, then you have a 33 percentchance of guessing the correct answer. If you can eliminate two selections, then you have 50 percent chance of guessing the correct answer.Tip #4: Take Your Time, but Don't Waste TimeTime management is a crucial part of completing at the CISA exam. With 200 questions to be answered in four hours, you have just under 60 seconds per question. Some questions will take you 10 seconds to read and answer, while other will take you 4 minutes or more to realize that you

ll d 't h l h t it i ki

8


Convocatoria 2005


Dominio 4 – Visión General

Un proceso de gestiUn proceso de gestióón de Seguridad de Informacin de Seguridad de Informacióón n requiere compromiso y soporte de la gestirequiere compromiso y soporte de la gestióón n seniorsenior. La . La gestigestióón debe demostrar un compromiso con la seguridad. n debe demostrar un compromiso con la seguridad. Los gerentes muestran este compromiso mediante su Los gerentes muestran este compromiso mediante su aprobaciaprobacióón y apoyo a poln y apoyo a polííticas de seguridad formales, ticas de seguridad formales, apoyando la concienciaciapoyando la concienciacióón de seguridad y la formacin de seguridad y la formacióón de n de forma financiera. Esto puede requerir formaciforma financiera. Esto puede requerir formacióón n especializada de nivel gerencial, ya que la seguridad no es especializada de nivel gerencial, ya que la seguridad no es necesariamente una parte de experiencia de gestinecesariamente una parte de experiencia de gestióón.n.

Un proceso efectivo de Gestión de seguridad de información requiere compromiso y soporte de la gestión senior. La gestión debe demostrar su compromiso aprobando y respaldándole de forma clara las políticas de seguridad, respaldando la concienciación de la seguridad y la formación por medio de apoyo financiero. Esto puede requerir formación especial a nivel de gerencia, ya que la seguridad no tiene por que necesariamente parte del dominio de la gestión.

Las políticas de seguridad y los procedimientos deben ser revisados regularmente, reflejar los objetivos del negocio, las regulaciones legales y una estrategia basada en riesgos para identificar que recursos de información críticos y sensibles deben usarse. Por ello, debe haber un conocimiento claro de riesgos y amenazas, y las medidas apropiadas a tomar para mitigar esos riesgos y los riesgos residuales que queden deben estar a un nivel aceptable. Todas las excepciones a los procedimientos y políticas debido a limitaciones del sistema o de las aplicaciones deben estar claramente documentados y aprobados.

Los procemientos administrativos para acceso a sistemas deben alinearse a las políticas de seguridad de información de la compañía. El acceso al sistema es la habilidad de hacer uso de un recurso informático. Normalmente esto se refiere a una habilidad tecnica, por ejemplo, la habilidad de leer, crear, modificar o borrar un fichero, programa o utilizar una conexión externa.Todos los empleados de una organización y , donde sea relevante, usuarios de terceras partesdeben recibir formación apropiada y actualizaciones regulares en la importancia de la seguridaden las políticas y procedimiento de la organización. Esto incluye requerimientos de seguridad, responsabilidades legales y controles de negocio, así como formación en el correcto uso de lasfacilidades de procesamiento de información (procedmientos de inicio de sesión, uso de paquetes software). Para nuevos empleados, esto debe ocurrir antes de tener acceso a la información o a los servicios.

9


Convocatoria 2005


Reglas del uso de sistemas de Información

Tarea 1: Asegurar que las reglas del uso de Tarea 1: Asegurar que las reglas del uso de sistemas de Informacisistemas de Informacióón cumple con las n cumple con las polpolííticas de seguridad de Informaciticas de seguridad de Informacióón de la n de la compacompañíñía.a.

Un estándar mínimo de reglas de uso son necesarias para proteger la información crítica. El uso de red segura puede incluir varias reglas del uso como son:

• Compartir ficheros en la red• Uso correcto de Sistemas Operativos (Linux, etc.)• Software Peer to peer (Kazaa, Morpheus, etc.)• Infracción de reglas de copyright• Clave de cuenta segura

Tarea 1: Asegurar que las reglas del uso de sistemas de InformaciAsegurar que las reglas del uso de sistemas de Informacióón cumple con n cumple con las pollas polííticas de seguridad de Informaciticas de seguridad de Informacióón de la compan de la compañíñía.a.Varias reglas de uso y recomendaciones generales de seguridad deben existir en cualquier organización bien gestionada.Estas reglas de uso son el estandar mínimo que la organización ha definido como necesarias para proteger su información crítica. El uso seguro de la red puede incluir varias reglas de uso incluyendo:•Compartición de Ficheros en la red•Uso correcto del sistema operativo (UNIX, Linux, Windows, etc.)•Software Peer-to-peer (emule, kazaa, etc…)•Infracción del copyright•Seguridad de claves de cuentas.El gerente de seguridad de información debe asegurarse que los procedimientos operativos cumplan con las políticas de seguridad de la compañía. El gerente de seguridad de la información puede conseguir este objetivo de forma objetiva a través del proceso de la gestión de cambio de la organización. Considerando las implicaciones de seguridad durante el proceso de gestión de cambio ayudarán a asegurar que las modificaciones al sistema de información cumplen con las políticas de seguridad de información y que no se introducen por error vulnerabilidades en el sistema.

10


Convocatoria 2005


Reglas del uso de sistemas de Información

El El gerentegerente de de seguridadseguridad de de sistemassistemasde de informaciinformacióónn debedebe hacerhacer cumplircumplirestosestos procedimientosprocedimientos utilizandoutilizando variosvariosmediosmedios incluyendoincluyendo el el procesoproceso de de gestigestióónn de de cambioscambios..

El El gerentegerente de de seguridadseguridad de de sistemassistemas de de informaciinformacióónn debedebehacerhacer cumplircumplir estosestos procedimientosprocedimientos utilizandoutilizando variosvarios mediosmediosincluyendoincluyendo el el procesoproceso de de gestigestióónn de de cambioscambios..

11


Convocatoria 2005


Reglas de uso de Sistemas de Información

Otras reglas comunes de uso incluyen:Otras reglas comunes de uso incluyen:

•• Reglas de uso de InternetReglas de uso de Internet•• Reglas de uso del Correo ElectrReglas de uso del Correo Electróóniconico•• Reglas de uso de AplicacionesReglas de uso de Aplicaciones•• Reglas de uso de la redReglas de uso de la red

El gerente de seguridad de la informaciEl gerente de seguridad de la informacióón debe estar n debe estar implicado en el desarrollo de estas reglas de uso para implicado en el desarrollo de estas reglas de uso para asegurar que cumplen con las polasegurar que cumplen con las polííticas de seguridad de ticas de seguridad de infiormaciinfiormacióónn de la organizacide la organizacióón.n.

Otras reglas comunes de uso incluyen:Otras reglas comunes de uso incluyen:

Reglas de uso de InternetReglas de uso de InternetReglas de uso del Correo ElectrReglas de uso del Correo ElectróóniconicoReglas de uso de AplicacionesReglas de uso de AplicacionesReglas de uso de la redReglas de uso de la red

El gerente de seguridad de la informaciEl gerente de seguridad de la informacióón debe estar implicado en el desarrollo de n debe estar implicado en el desarrollo de estas reglas de uso para asegurar que cumplen con las polestas reglas de uso para asegurar que cumplen con las polííticas de seguridad de ticas de seguridad de infiormaciinfiormacióónn de la organizacide la organizacióón.n.

12


Convocatoria 2005


A contract between a customer and provider that specifies a minimum level of service that will be supplied by the provider is called a:

a. Quality of service agreementb. Service level agreementc. Measured service agreementd. Service legal agreement

Pregunta



The correct answer is b. The other answers are distracters.

13


Convocatoria 2005


Para asegurar que las reglas de uso de los sistemas Para asegurar que las reglas de uso de los sistemas de informacide informacióón cumplen con las poln cumplen con las polííticas de ticas de seguridad de la organizaciseguridad de la organizacióón el Gerente de n el Gerente de Seguridad de InformaciSeguridad de Informacióón debe tener n debe tener conocimiento deconocimiento de::

•• Interpretar las polInterpretar las polííticas de Seguridad de la ticas de Seguridad de la InformaciInformacióón de una forma funcionaln de una forma funcional..

Reglas de uso de Sistemas de Información

Para asegurar que las reglas de uso de los sistemas de informaciPara asegurar que las reglas de uso de los sistemas de información ón cumplen con las políticas de seguridad de la organización el Gercumplen con las políticas de seguridad de la organización el Gerente de ente de Seguridad de Información debe tener conocimiento deSeguridad de Información debe tener conocimiento de::

Interpretar las polInterpretar las polííticas de Seguridad de la Informaciticas de Seguridad de la Informacióón de una forma funcionaln de una forma funcional..

14


Convocatoria 2005


Interpretando las políticas de Seguridad

–– Las polLas polííticas de seguridad y los procedimientos son ticas de seguridad y los procedimientos son ininúútiles si no se ponen en funcionamientotiles si no se ponen en funcionamiento

–– El Gerente de Seguridad de InformaciEl Gerente de Seguridad de Informacióón debe:n debe:Tener una buena perspectiva del negocioTener una buena perspectiva del negocioEntender los riesgos de los recursos de Entender los riesgos de los recursos de informaciinformacióón de la organizacin de la organizacióónnInterpretar las polInterpretar las polííticas de seguridad de ticas de seguridad de InformaciInformacióónnImplementar los controles de seguridad Implementar los controles de seguridad que consideren todos estos aspectosque consideren todos estos aspectos

El conocimiento para interpretar las políticas de Seguridad de Información para uso funcional:

El Gerente de seguridad debe tener un buen conocimiento de los objetivos de negocio de la organización de forma que las políticas de seguridad puedan ser llevadas a uso operacional.

Las políticas de seguridad y los procedimientos son inútiles si no son documentados y no son puestos en funcionamiento. Sin embargo, las políticas que son muy restrictivas y no permiten a la organización cumplir sus objetivos de negocio y restringen acceso a los recursos de información de forma estricta se deben poner a un lado rápidamente.

El Gerente de seguridad de Información, por tanto, debe tener una buena perspectiva del negocio, conocer los riesgos de los recursos de información de la organización, interpretar las políticas de Seguridad de información, e implementar controles de seguridad que consideren todos estos aspectos.

Muchos Gerentes de Seguridad de Información usan la aproximación de coste-beneficio y gestionan cuidadosamente la implementación de las políticas de seguridad en uso operacional. Aquí es donde el conocimiento del negocio del Gerente de seguridad de Información es necesario de forma que el beneficio y operación del negocio sea defendido, incluso cuando los mejores controles de seguridad no sean empleados.

15


Convocatoria 2005


Procedimientos administrativos para SI

Tarea 2: Asegurar que los procedimientos Tarea 2: Asegurar que los procedimientos administrativos para los sistemas de administrativos para los sistemas de informaciinformacióón cumplan con las poln cumplan con las polííticas de ticas de seguridad de la empresaseguridad de la empresa–– El gerente de seguridad de la informaciEl gerente de seguridad de la informacióón debe trabajar con los n debe trabajar con los

Gerentes de sistemas de la informaciGerentes de sistemas de la informacióón y de aplicaciones para n y de aplicaciones para asegurar que los procedimientos administrativos para los asegurar que los procedimientos administrativos para los sistemas de informacisistemas de informacióón cumplen con las poln cumplen con las polííticas de seguridad ticas de seguridad de la empresa. Los procedimientos administrativos tambide la empresa. Los procedimientos administrativos tambiéén n incluyen procesos como solicitudes, autorizaciincluyen procesos como solicitudes, autorizacióón y creacin y creacióón de n de usuarios, revisiones regulares, y cambios o terminaciones de usuarios, revisiones regulares, y cambios o terminaciones de empleados. empleados.

–– Estos procedimientos de administraciEstos procedimientos de administracióón pueden ser cambiados n pueden ser cambiados manualmente o mediante tmanualmente o mediante téécnicas automatizadas.cnicas automatizadas.

Tarea 2: Asegurar que los procedimientos administrativos para loTarea 2: Asegurar que los procedimientos administrativos para los s sistemas de informacisistemas de informacióón cumplan con las poln cumplan con las polííticas de seguridad de la ticas de seguridad de la empresaempresa

El gerente de seguridad de la informaciEl gerente de seguridad de la informacióón debe trabajar con los Gerentes de sistemas n debe trabajar con los Gerentes de sistemas de la informacide la informacióón y de aplicaciones para asegurar que los procedimientos n y de aplicaciones para asegurar que los procedimientos administrativos para los sistemas de informaciadministrativos para los sistemas de informacióón cumplen con las poln cumplen con las polííticas de seguridad ticas de seguridad de la empresa. Por ejemplo, si un usuario de una aplicacide la empresa. Por ejemplo, si un usuario de una aplicacióón solicita una clave distinta, n solicita una clave distinta, los parlos paráámetros de esa clave debe cumplir con las polmetros de esa clave debe cumplir con las polííticas de seguridad. Particas de seguridad. Paráámetros metros como el tamacomo el tamañño, que sea o, que sea úúnica Los procedimientos administrativos tambinica Los procedimientos administrativos tambiéén incluyen n incluyen procesos como solicitudes, autorizaciprocesos como solicitudes, autorizacióón y creacin y creacióón de usuarios, revisiones regulares, y n de usuarios, revisiones regulares, y penalizar el cambio de contrasepenalizar el cambio de contraseññas son ejemplos de cas son ejemplos de cóómo el procedimiento de mo el procedimiento de administraciadministracióón de claves necesita cumplir con las poln de claves necesita cumplir con las polííticas de seguridad de informaciticas de seguridad de informacióónn

Los procedimientos de administraciLos procedimientos de administracióón tambin tambiéén incluyen procesos como solicitudes, n incluyen procesos como solicitudes, autorizaciautorizacióón y creacin y creacióón de un n de un useruser ID, revisiID, revisióón general, terminacin general, terminacióón y transferencia de n y transferencia de personal. Estos procedimientos de administracipersonal. Estos procedimientos de administracióón pueden ser cambiados manualmente n pueden ser cambiados manualmente o mediante to mediante téécnicas automatizadas, pero estos procesos deben cumplir con las cnicas automatizadas, pero estos procesos deben cumplir con las polpolííticas de Seguridad de Informaciticas de Seguridad de Informacióón de la compan de la compañíñía.a.

16


Convocatoria 2005


Which choice is an accurate statement about the difference between monitoring and auditing?

– a. Monitoring is a one-time event to evaluate security.

– b. A system audit is a ongoing "real-time" activity that examines the system.

– c. A system audit cannot be automated.– d. Monitoring is an ongoing activity that examines

either the system or the users.

Pregunta

Which choice is an accurate statement about the difference between monitoring and auditing?a. Monitoring is a one-time event to evaluate security.b. A system audit is a ongoing "real-time" activity that examines the system.c. A system audit cannot be automated.d. Monitoring is an ongoing activity that examines either the system or the users.

The correct answer is d. System audits and monitoring are the two methods organizations use to maintain operational assurance. Although the terms are used loosely within the computer security community, a system audit is a one-time or periodic event to evaluate security, whereas monitoring refers to an ongoing activity that examines either the system or the users. In general, the more "real-time" an activity is, the more it falls into the category of monitoring.

17


Convocatoria 2005


Para asegurar que los procedimientos Para asegurar que los procedimientos administrativos de sistemas de informaciadministrativos de sistemas de informacióón n cumplen con las polcumplen con las polííticas de seguridad, el ticas de seguridad, el Gerentes de seguridad de la InformaciGerentes de seguridad de la Informacióón debe n debe tener conocimiento de::tener conocimiento de::

•• Los procedimientos administrativos y procesos Los procedimientos administrativos y procesos de seguridad de informacide seguridad de informacióónn


Para asegurar que los procedimientos administrativos de sistemasPara asegurar que los procedimientos administrativos de sistemas de información de información cumplen con las políticas de seguridad, el Gerentes de seguridadcumplen con las políticas de seguridad, el Gerentes de seguridad de la Información debe de la Información debe tener conocimiento de::tener conocimiento de::

••Los procedimientos administrativos y procesos de seguridad de inLos procedimientos administrativos y procesos de seguridad de informaciónformación

18


Convocatoria 2005


–– Los procesos de administraciLos procesos de administracióón de seguridad estn de seguridad estáán n continuamente siendo automatizados y muchas de las continuamente siendo automatizados y muchas de las actividades que tienen que ver con conceder permisos de actividades que tienen que ver con conceder permisos de autoridad a los empleados son realizados por aplicacionesautoridad a los empleados son realizados por aplicaciones

–– Normalmente los responsables de los recursos de informaciNormalmente los responsables de los recursos de informacióón n usan aplicaciones para solicitar que den permisos a los usan aplicaciones para solicitar que den permisos a los empleados empleados

–– Las solicitudes son aprobadas y las tareas que implican Las solicitudes son aprobadas y las tareas que implican conceder los permisos de seguridad son realizas conceder los permisos de seguridad son realizas automautomááticamente, y la actividad es guardada en un ticamente, y la actividad es guardada en un loglog..

–– Mientras la respuesta es mejorada, el riesgo se incrementa.Mientras la respuesta es mejorada, el riesgo se incrementa.–– El gerente de seguridad de InformaciEl gerente de seguridad de Informacióón debe disen debe diseññar y utilizar ar y utilizar

medidas para los procesos de administracimedidas para los procesos de administracióón de seguridad y n de seguridad y procedimientos para monitorizar la actividad.procedimientos para monitorizar la actividad.


Conocimientos de los procesos y procedimientos de seguridad de las información

El Gerente de seguridad de la información debe entender los diversos procesos y procedimientos de seguridad de la información que una organización puede emplear. La administración de la seguridad es una parte importante para mantener el programa de seguridad global y de por eso el Gerente de seguridad de la información debe entender sus varios componentes.

Los procesos de administración de seguridad están continuamente siendo automatizados y muchas de las actividades implicadas en dar permisos a los empleados son realizados mediante aplicaciones de seguridad. Normalmente los responsables de los recursos de información utilizan aplicaciones para solicitar los permisos para los empleados. La solicitud es entonces aprobada y las tareas implicadas en conceder permisos son realizadas automáticamente. Todas estas actividades son guardadas en un log.

Mientras esto incrementa responsabilidad, los riesgos implicados en la autentificación de la parte responsable y el buen uso de los accesos de seguridad debe ser considerado y conseguidos por el Gerente de seguridad de Información.

El Gerente de seguridad de Información también debe diseñar y emplear medidas para los procesos y procedimientos de seguridad con objeto de monitorizar la actividad.

19


Convocatoria 2005


Proveedores Outsourcing

Tarea 3: Asegurar que los servicios que Tarea 3: Asegurar que los servicios que proveen otras empresas incluyendo los proveen otras empresas incluyendo los proveedores externos son consistentes con proveedores externos son consistentes con las pollas polííticas de seguridad de Informaciticas de seguridad de Informacióónn

–– El Gerente de seguridad de InformaciEl Gerente de seguridad de Informacióón debe asegurar el cumpliendo de n debe asegurar el cumpliendo de las pollas polííticas de seguridad de la empresa para todas las ticas de seguridad de la empresa para todas las ááreas que reas que proveen servicios para la organizaciproveen servicios para la organizacióón.n.

–– Los proveedores externos son una estrategia viable que puede serLos proveedores externos son una estrategia viable que puede ser usada usada para disepara diseññar y operar el programa de seguridad de Informaciar y operar el programa de seguridad de Informacióón n

–– Los proveedores externos deben cumplir con las polLos proveedores externos deben cumplir con las polííticas de seguridad ticas de seguridad de Informacide Informacióón establecidas.n establecidas.

Tarea 3: Asegurar que los servicios que proveen otras Tarea 3: Asegurar que los servicios que proveen otras empresas incluyendo los proveedores externos son empresas incluyendo los proveedores externos son consistentes con las polconsistentes con las polííticas de seguridad de ticas de seguridad de InformaciInformacióónn

Las empresas a veces tienen servicios provistos por otros departLas empresas a veces tienen servicios provistos por otros departamentos, divisiones, amentos, divisiones, subsidiarias y proveedores externos. Estos servicios no estsubsidiarias y proveedores externos. Estos servicios no estáán exentos de la n exentos de la responsabilidad de la seguridad. El Gerente de seguridad de Infresponsabilidad de la seguridad. El Gerente de seguridad de Informaciormacióón debe n debe asegurar el cumpliendo de las polasegurar el cumpliendo de las polííticas de seguridad de la empresa para todas las ticas de seguridad de la empresa para todas las ááreas que proveen servicios para la organizacireas que proveen servicios para la organizacióón.n.

Los proveedores externos son una estrategia viable que puede serLos proveedores externos son una estrategia viable que puede ser usada para diseusada para diseññar ar y operar el programa de seguridad de Informaciy operar el programa de seguridad de Informacióón. Sin embargo, el gerente de n. Sin embargo, el gerente de seguridad de la informaciseguridad de la informacióón necesita asegurar que los proveedores externos cumplen n necesita asegurar que los proveedores externos cumplen con las polcon las polííticas de seguridad de informaciticas de seguridad de informacióón establecidas. El n establecidas. El outsourcingoutsourcing no es un no es un motivo para no seguir lo establecido en las polmotivo para no seguir lo establecido en las polííticas de seguridad de informaciticas de seguridad de informacióón. De n. De hecho, si se varhecho, si se varíía de las pola de las polííticas establecidas puede suponer una vulnerabilidad para ticas establecidas puede suponer una vulnerabilidad para la organizacila organizacióón.n.Los proveedores externos deben cumplir con las polLos proveedores externos deben cumplir con las polííticas de seguridad de Informaciticas de seguridad de Informacióón n establecidas.establecidas.

20


Convocatoria 2005


Proveedores externos. Outsourcing

–– El Gerente de seguridad de la informaciEl Gerente de seguridad de la informacióón debe manager n debe manager debe cumplir conformidad con las poldebe cumplir conformidad con las polííticas y procedimientos ticas y procedimientos como un factor de decisicomo un factor de decisióón cuando se evaln cuando se evalúúan proveedores an proveedores de servicios. de servicios.

–– Esta misma y propuesta y proceso de evaluaciEsta misma y propuesta y proceso de evaluacióón puede ser n puede ser usada cuando se evaluar a una divisiusada cuando se evaluar a una divisióón autn autóónoma de la noma de la organizaciorganizacióón o a una subsidiaria para seleccionar serviciosn o a una subsidiaria para seleccionar servicios

–– El Gerente de Seguridad de InformaciEl Gerente de Seguridad de Informacióón tambin tambiéén debe n debe asegurar que los factores de confianza estasegurar que los factores de confianza estáán claramente n claramente definidos en el SLA con el proveedor de seguridad (ya sea definidos en el SLA con el proveedor de seguridad (ya sea externo o interno) externo o interno)

–– TambiTambiéén deben implementarse Mn deben implementarse Méétricas de cumplimiento tricas de cumplimiento que deben ser perique deben ser perióódicamente medidas y evaluadas.dicamente medidas y evaluadas.

Durante el proceso de propuesta y evaluación que el Gerente de Seguridad de Información realizará durante la evaluación y contratación de proveedores de seguridad, el Gerente debe abordar los requerimientos y parámetros de las políticas de seguridad de información con los proveedores. El cumplimiento de estas políticas de seguridad por parte de los proveedores debe ser un factor importante cuando se selecciona a un proveedor. El gerente de seguridad de la información debe entender todas las variaciones que pueden existir y si el proveedor de servicios puede cumplir las políticas de seguridad. A veces este mismo proceso de propuesta y evaluación es usado para evaluar a divisiones u oficinas subsidiarias de la organización.

El Gerente de seguridad de la Información también debe asegurar que los factores de cumplimiento están claramente definidos en el SLA con el proveedor (ya sea interno o externo). Esto ayudará al Gerente de Seguridad de Información a gestionar el funcionamiento del proveedor de seguridad y asegurar que cumplen el acuerdo para cumplir con las políticas de seguridad de la organización.

Nota Importante: Este concepto explicado aquí debe ser enfatizado. Muchas organizaciones en el pasado no hicieron un buen trabajo en la evaluación de los procedimientos de seguridad de sus proveedores y otros servicios externos. Esto dejo muchas veces vulnerabilidades en los programas de seguridad de las organizaciones. Una buena idea es preguntar al grupo si piensan que se hizo un buen trabajo evaluando y exigiendo seguridad en los contratos de sus proveedores. También se debe preguntar si el departamento de seguridad es consultado en cualquier contrato con un proveedor.

21


Convocatoria 2005




Pregunta



The correct answer is b. The other answers are distracters.

22


Convocatoria 2005


Proveedores Externos

Asegurar que los servicios provistos por otras Asegurar que los servicios provistos por otras compacompañíñías incluido proveedores externos es as incluido proveedores externos es consistente con las polconsistente con las polííticas de seguridad ticas de seguridad establecidas. , para ello el Gerente de la seguridad establecidas. , para ello el Gerente de la seguridad de Informacide Informacióón debe tener conocimiento de:n debe tener conocimiento de:

•• MMéétodos para gestionar la implementacitodos para gestionar la implementacióón de los n de los programas de seguridad de la informaciprogramas de seguridad de la informacióón mediante n mediante terceras partes incluyendo terceras partes incluyendo partnerspartners y proveedores de y proveedores de Servicios de seguridad.Servicios de seguridad.

Asegurar que los servicios provistos por otras compañías incluidAsegurar que los servicios provistos por otras compañías incluido proveedores externos o proveedores externos es consistente con las políticas de seguridad establecidas. , paes consistente con las políticas de seguridad establecidas. , para ello el Gerente de la ra ello el Gerente de la seguridad de Información debe tener conocimiento de:seguridad de Información debe tener conocimiento de:

Métodos para gestionar la implementación de los programas de segMétodos para gestionar la implementación de los programas de seguridad de la uridad de la información mediante terceras partes incluyendo información mediante terceras partes incluyendo partnerspartners y proveedores de Servicios de y proveedores de Servicios de seguridad.seguridad.

23


Convocatoria 2005


Métodos para gestionar proveedores externos

El gerente de seguridad de InformaciEl gerente de seguridad de Informacióón debe n debe tener conocimiento de las habilidades que los tener conocimiento de las habilidades que los partnerspartners y los y los proeveedoresproeveedores de servicios de de servicios de seguridad poseen, y con ello los riesgos que seguridad poseen, y con ello los riesgos que conllevan.conllevan.

El conocimiento de los metodos para gestionar la implementación de los programas de seguridad de la empresa a través de las terceras partes incluyendo los partners y los proveedores de servicios de seguridad.

El gerente de seguridad de InformaciEl gerente de seguridad de Informacióón debe tener conocimiento de las n debe tener conocimiento de las habilidades que los habilidades que los partnerspartners y los proveedores de servicios de seguridad y los proveedores de servicios de seguridad poseen, y con ello los riesgos que conllevan.poseen, y con ello los riesgos que conllevan.

24


Convocatoria 2005


Existen dos aspectos incluidos aquExisten dos aspectos incluidos aquíí::•• Los Los partnerspartners que no tienen un programa de que no tienen un programa de

seguridad robusto pueden presentar un problema de seguridad robusto pueden presentar un problema de seguridad para los recursos de informaciseguridad para los recursos de informacióón.n.

•• SegSegúún el Gerente de Seguridad de Informacin el Gerente de Seguridad de Informacióón va n va adquiriendo los servicios de proveedores de adquiriendo los servicios de proveedores de seguridad, cseguridad, cóómo el programa de seguridad de mo el programa de seguridad de informaciinformacióón sern seráá mantenido es una cuestimantenido es una cuestióón clave. n clave.

AdemAdemáás, el Gerente de seguridad de Informacis, el Gerente de seguridad de Informacióón debe tener n debe tener mecanismos preparados para la gestimecanismos preparados para la gestióón de crisis.n de crisis.

Métodos para gestionar proveedores externos

Existen dos aspectos incluidos aquí:•Los proveedores que no tienen un programa de seguridad robusto pueden presentar debilidades de seguridad para los recursos de información del Gerente de seguridad de la información ya que la mayoría de los sistemas están interconectados. Un ejemplo muy comun es la posibilidad para los vendedores de revisar el inventario de stock en los minoristas. En el diseño y desarrollo de este tipo de acceso a aplicación, la seguridad debe ser conseguida y puestos controles para limitar el riesgo que puede suponer. •Según adquiere el Gerente de Seguridad los servicios de proveedores de seguridad de información, la pregunta de cómo el programa de seguridad de información serámantenido es un concepto clave. El SLA es una herramienta clave para el gerente de seguridad de información que puede usar para asegurar que los servicios de seguridad de los proveedores cumplen con los parámetros de seguridad explicados por el gerente de seguridad. Riesgos, incluyendo el traspaso de datos con otros clientes, son un problema que cualquier proveedor debe afrontar.

Adicionalmente, el gerente de seguridad de la información debe tener mecanismos para la gestión de crisis y como reaccionar y responder ante incidentes que pueden ocurrir durante el uso de partners o proveedores de servicios. Estos mecanismos suelen incluir procesos para reaccionar a las advertencias que los proveedores de servicios de seguridad pueden comunicar a la organización.

25


Convocatoria 2005


Monitorización y Metricas de Seguridad

Tarea 4: Uso de mTarea 4: Uso de méétricas para medir, tricas para medir, monitorizar e informar de una forma monitorizar e informar de una forma eficiente y eficaz de los controles de eficiente y eficaz de los controles de seguridad de la informaciseguridad de la informacióón y su n y su cumplimiento con las cumplimiento con las politicaspoliticas de de Seguridad de InformaciSeguridad de Informacióón.n.–– El gerente de seguridad de la informaciEl gerente de seguridad de la informacióón necesita n necesita

monitorizar continuamente el programa de seguridad para monitorizar continuamente el programa de seguridad para asegurarse que las polasegurarse que las polííticas de seguridad de la ticas de seguridad de la organizaciorganizacióón se estn se estáán manteniendo.n manteniendo.

–– La monitorizaciLa monitorizacióón permite al manager hacer n permite al manager hacer modificaciones segmodificaciones segúún se necesite, ya que los sistemas de n se necesite, ya que los sistemas de informaciinformacióón y los entornos de recursos de informacin y los entornos de recursos de informacióón n estestáán cambiando constantemente.n cambiando constantemente.

Tarea 4: Uso de mTarea 4: Uso de méétricas para medir, monitorizar e informar de una forma tricas para medir, monitorizar e informar de una forma eficiente y eficaz de los controles de seguridad de la informacieficiente y eficaz de los controles de seguridad de la informacióón y su n y su cumplimiento con las cumplimiento con las politicaspoliticas de Seguridad de Informacide Seguridad de Informacióón.n.

El gerente de seguridad de la informaciEl gerente de seguridad de la informacióón necesita monitorizar continuamente n necesita monitorizar continuamente el programa de seguridad para asegurarse que las polel programa de seguridad para asegurarse que las polííticas de seguridad de la ticas de seguridad de la organizaciorganizacióón se estn se estáán manteniendo.n manteniendo.La monitorizaciLa monitorizacióón permite al manager hacer modificaciones segn permite al manager hacer modificaciones segúún se necesite, n se necesite, ya que los sistemas de informaciya que los sistemas de informacióón y los entornos de recursos de informacin y los entornos de recursos de informacióón n estestáán cambiando constantemente.n cambiando constantemente.

26


Convocatoria 2005


Which one of the following is NOT a recommended practice regarding electronic monitoring of employees' email?

– a. Apply monitoring in a consistent fashion– b. Provide individuals being monitored with a

guarantee of email privacy– c. Inform all that email is being monitored by

means of a prominent login banner– d. Explain who is authorized to read monitored

email

Pregunta

Which one of the following is NOT a recommended practice regarding electronic monitoring of employees' email?

a. Apply monitoring in a consistent fashionb. Provide individuals being monitored with a guarantee of email privacyc. Inform all that email is being monitored by means of a prominent login bannerd. Explain who is authorized to read monitored email

The correct answer is b. No guarantee of email privacy should be provided or implied by the employer.

27


Convocatoria 2005


Las mLas méétricas son una potente herramienta que sirve al tricas son una potente herramienta que sirve al Gerente de seguridad de InformaciGerente de seguridad de Informacióón para:n para:

•• Estar al tanto de los incidentes generales de Estar al tanto de los incidentes generales de seguridadseguridad

•• Estar alerta de los incidentes directos en la Estar alerta de los incidentes directos en la organizaciorganizacióónn

•• Estar alerta de las vulnerabilidades existentes Estar alerta de las vulnerabilidades existentes en la organizacien la organizacióónn

•• Monitorizar el progreso y efectividad de los Monitorizar el progreso y efectividad de los programas de seguridadprogramas de seguridad

Monitorización y Métricas de Seguridad

Una de las mejores herramientas que puede utilizar el Gerente de Seguridad de la Información para gestionar de forma efectiva el programa de seguridad son las métricas. Por ejemplo, el gerente debería estar atento de los incidentes generales de seguridad. Existen un número importante de sitios en Internet que guardan e informan de incidentes globales o que ocurren a lo largo del mundo. El gerente de seguridad también debe realizar regulares comprobaciones de seguridad y test de intrusión para confirmar el programa de seguridad. Las métricas resultantes de estos esfuerzos pueden ser comparados a los test previos sobre como está progresando el programa de seguridad y cuando hay que tomar medidas para contrarestar esas vulnerabilidades. Otras métricas son posibles y pueden incluir tanto medidas tecnicas como de comportamiento, por ejemplo, estado de parches, infecciones de virus, reseteo de claves, llamadas al helpdesk, etc…

Al diseñar métricas, se debe establecer un inicio para cada medida. Las buenas métricas deberían tener atributos SMART (específicos, medibles, consegibles, repetible y dependientes del tiempo). Las métricas pueden ser usadas en diagramas de progreso.

El gerente de sistemas de información también puede emplear un proceso de notificación donde los ataques o penetraciones detectadas y los responsables de seguridad sean alertados automáticamente a través de mensajes online o enviando mensajes SMS. Las medidas son importantes para cualquier organización, pero es importante que las medidas conduzcan a acciones.

Como añadido a tener métricas disponibles, el gerente de seguridad debe tener un proceso donde las métricas son revisadas de forma regular y cualquier actividad inusual es reportada. Un plan de acción para reaccionar ante la actividad inusual debería ser desarrollado así como un plan proactivo para conseguir tendencias en actividades que puedan conducir a una fallo en la seguridad

28


Convocatoria 2005


–– Al diseAl diseññar mar méétricas se debe establecer un inicio.tricas se debe establecer un inicio.–– Buenas mBuenas méétricas deben tener atributos SMART tricas deben tener atributos SMART

((especificosespecificos, , mediblesmedibles, , conseguiblesconseguibles, repetibles, , repetibles, y dependientes del tiempo) y dependientes del tiempo)

–– El gerente de seguridad de la InformaciEl gerente de seguridad de la Informacióón n tambitambiéén puede emplear un proceso de n puede emplear un proceso de notificacinotificacióónn

–– Un proceso para revisar y actuar sobre la Un proceso para revisar y actuar sobre la informaciinformacióón obtenida de las mn obtenida de las méétricas debe tricas debe estestáárrutilizutilizáándose.ndose.


Al diseñar métricas, se debe establecer un inicio para cada medida. Las buenas métricas deberían tener atributos SMART (específicos, medibles, consegibles, repetible y dependientes del tiempo). Las métricas pueden ser usadas en diagramas de progreso.

El gerente de sistemas de información también puede emplear un proceso de notificación donde los ataques o penetraciones detectadas y los responsables de seguridad sean alertados automáticamente a través de mensajes online o enviando mensajes SMS. Las medidas son importantes para cualquier organización, pero es importante que las medidas conduzcan a acciones.

Como añadido a tener métricas disponibles, el gerente de seguridad debe tener un proceso donde las métricas son revisadas de forma regular y cualquier actividad inusual es reportada. Un plan de acción para reaccionar ante la actividad inusual debería ser desarrollado así como un plan proactivo para conseguir tendencias en actividades que puedan conducir a una fallo en la seguridad

29


Convocatoria 2005


•A set of policies, procedures, and tools to manage and resolve problems is defined as:

a. Project managementb. Problem managementc. Problem resolutiond. Problem prevention

Pregunta

A set of policies, procedures, and tools to manage and resolve problems is defined as:

a. Project managementb. b. Problem managementc. c. Problem resolutiond. d. Problem prevention

The correct answer is b. The correct answer is b. The other answers are distracters.

30


Convocatoria 2005


Para usar métricas para medir, monitorizar e informar de una manera efectiva y eficiente de los controles de seuridad de información y el cumplimento de las políticas de seguridad, el Gerente de Seguridad de Información debe tener conocimiento de:

•• MonitorizaciMonitorizacióón continua de las actividades de seguridad en la n continua de las actividades de seguridad en la infraestructura y aplicaciones de negocio de la empresainfraestructura y aplicaciones de negocio de la empresa

•• MMéétodos usados para gestionar el todos usados para gestionar el ééxito / fracaso de las inversiones xito / fracaso de las inversiones en la seguridad de informacien la seguridad de informacióón a travn a travéés de la recogida de datos y s de la recogida de datos y revisiones perirevisiones perióódicas de los indicadores claves.dicas de los indicadores claves.


Para usar métricas para medir, monitorizar e informar de una manera efectiva y eficiente de los controles de seuridad de información y el cumplimento de las políticas de seguridad, el Gerente de Seguridad de Información debe tener conocimiento de:

••Monitorización continua de las actividades de seguridad en la inMonitorización continua de las actividades de seguridad en la infraestructura y fraestructura y aplicaciones de negocio de la empresaaplicaciones de negocio de la empresa

••Métodos usados para gestionar el éxito / fracaso de las inversioMétodos usados para gestionar el éxito / fracaso de las inversiones en la seguridad de nes en la seguridad de información a través de la recogida de datos y revisiones periódinformación a través de la recogida de datos y revisiones periódicas de los indicadores icas de los indicadores claves.claves.

31


Convocatoria 2005


Monitorización continua de actividades de Seguridad

La monitorizaciLa monitorizacióón continua provee al Gerente de n continua provee al Gerente de seguridad de Informaciseguridad de Informacióón informacin informacióón sobre:n sobre:

••Distintos intentos de intrusiDistintos intentos de intrusióónn••Cuando un control de seguridad fallaCuando un control de seguridad falla

Conocimiento de monitorización continua de actividades de seguridad en la infraestructura y aplicaciones de negocio de la Organización

YA que los peligros y vulnerabilidades están activos las 24 horas del día, los 7 días de la semana, la monitorización continua de las actividades de seguridad es un proceso de negocio que el gerente de seguridad debe implementar.

No solo la monitorización de las actividades de seguridad de la información provee información al Gerente de los diferentes intentos de intrusión, también denota cuando falla un control de seguridad. Por ejemplo, cuando un cortafuegos falla debido a un problema mecánico, la monitorización continua notará el fallo y el gerente de seguridad de información puede tomar acciones correctivas en un tiempo razonable.

32


Convocatoria 2005


Los sistemas de detecciLos sistemas de deteccióón de intrusiones pueden:n de intrusiones pueden:•• Detectar intentos inautorizados directosDetectar intentos inautorizados directos•• Utilizar un anUtilizar un anáálisis inteligente para determinar si lisis inteligente para determinar si

una tendencia de intentos inautorizados estuna tendencia de intentos inautorizados estááocurriendoocurriendo

Varias tVarias téécnicas de monitorizacicnicas de monitorizacióón incluyen:n incluyen:

•• Log de eventosLog de eventos•• RevisiRevisióón de n de logslogs•• Evaluaciones de conformidadEvaluaciones de conformidad•• Sistemas de intrusiSistemas de intrusióón basados en red y en n basados en red y en hosthost•• TestsTests de intruside intrusióónn

Monitorización continua de actividades de Seguridad

Los sistemas de detección de intrusiones son cada vez más inteligentes, ya que no solo detectan intentos de acceso no autorizados directos, si no además usan análisis inteligente para determinar si se sigue una tendencia en el intento de ataque. Esto da al Gerente de Seguridad de la Información la información requerida para llevar un enfoque proactivo para proteger los recursos de información de la organización.

Distintas técnicas de monitorización incluyendo el log de eventos, la revisión de logs, las evaluaciones de conformidad, los sistemas de intrusión basados en red y en host, y los test de intrusión. Los gerentes de seguridad de información están constantemente buscando consolidar varias de estas técnicas en una consola única que el equipo de seguridad pueda monitorizar.

Además de monitorizar las actividades de seguridad automatizadas, las actividades de gestión de cambio de la organización también deben alimentar el programa de monitorización del gerente de seguridad.

Nota: Preguntar al grupo si alguna de sus organizaciones ha implementado sistemas de monitorización continua automatizada. Preguntarles si están contentos con sus resultados. Preguntarles si tienen un proceso formal de gestión y escalado de incidentes en practica para comprobar intrusiones y solventarlas. Preguntarles si su sistema de monitorización también monitorizan a nivel de aplicación, o si solo comprueban a nivel de trafico de red. Finalmente, llegar a una conclusión sobre si estas tareas actualmente requieren procesos manuales. Concluir que sin monitorización continua, los recursos de información son más vulnerables.

33


Convocatoria 2005


Métodos usados para gestionar Exitos/fallos

Durante el diseDurante el diseñño y la implementacio y la implementacióón del programa de n del programa de seguridad de informaciseguridad de informacióón el gerente debe:n el gerente debe:

•• Asegurar que se definen indicadores de Asegurar que se definen indicadores de rendimiento claves.rendimiento claves.

•• Asegurar que se implementa un mecanismo para Asegurar que se implementa un mecanismo para medir el progreso contra esos indicadores.medir el progreso contra esos indicadores.

•• Considerar todos los costos incluyendo los Considerar todos los costos incluyendo los administrativos, de mantenimiento, administrativos, de mantenimiento, etcetc

De esta forma el Gerente de seguridad de informaciDe esta forma el Gerente de seguridad de informacióón puede n puede asegurar el asegurar el ééxito o fracaso de los componentes de seguridad xito o fracaso de los componentes de seguridad y cuando son justificables en coste.y cuando son justificables en coste.

El conocimiento de métodos usados para gestionar el éxito / fallo en las inversiones en seguridad de la información mediante recolección de datos y revisiones periódicas de los principales indicadores de desempeño

El gerente de seguridad de información debe entender el éxito / fracaso de las inversiones en seguridad y cuando la organización recibe los beneficios propuestos.

La mayoría de las organizaciones tienen presupuestos limitados, y los gerentes seniorexaminan con detalle el uso de esos fondos para inversiones en la compañía. Durante el diseño e implementación de un programa de seguridad el gerente de seguridad de información debe asegurarse que los indicadores claves de rendimiento están definidos y que exista implementado un mecanismo que mida el éxito respecto a esos indicadores. De esta forma, el gerente de seguridad de información puede evaluar el éxito o fracaso de los diferentes componentes y donde el coste ha sido justificable.

El gerente de seguridad de información debe también considerar otros costos relativos a varias herramientas de seguridad y procedimientos. Algunos de estos costes incluyen el personal necesario para administrar el control, el mantenimiento, el coste de consultores o helpdesk y los gastos asociados con otros sistemas interrelacionados quepueden ser modificados para incluir controles de seguridad.

34


Convocatoria 2005


Which of the following would indicate that an Which of the following would indicate that an automated production scheduling system has automated production scheduling system has inadequate security controls?inadequate security controls?

A.A. Control statements are frequently changed to point Control statements are frequently changed to point to test libraries to test libraries

B.B. Failure of a process will automatically initiate the Failure of a process will automatically initiate the resetting of parameters resetting of parameters

C.C. Developers have read access to both production Developers have read access to both production and test schedules and test schedules

D.D. Scheduling personnel have the ability to initiate an Scheduling personnel have the ability to initiate an emergency override emergency override

Pregunta

Which of the following would indicate that an automated productiWhich of the following would indicate that an automated production scheduling on scheduling system has inadequate security controls?system has inadequate security controls?

A.A. Control statements are frequently changed to point to test libraControl statements are frequently changed to point to test libraries ries B.B. B. Failure of a process will automatically initiate the resettinB. Failure of a process will automatically initiate the resetting of parameters g of parameters C.C. C. Developers have read access to both production and test schedC. Developers have read access to both production and test schedules ules D.D. D. Scheduling personnel have the ability to initiate an emergencD. Scheduling personnel have the ability to initiate an emergency override y override

The correct answer is a. Frequently having production control statements point to test libraries is a problem since test libraries are not subject to the same level of security controls. Resetting parameters back to their original settings when a process fails is desirable to back out any changes. Developers will often require read access to production and test schedules, and emergency overrides are usually performed by scheduling personnel.

35


Convocatoria 2005


Tarea 5: Asegurar que la seguridad de la Tarea 5: Asegurar que la seguridad de la informaciinformacióón no es comprometida a lo largo n no es comprometida a lo largo del proceso de gestidel proceso de gestióón de cambion de cambio–– El gerente de seguridad de informaciEl gerente de seguridad de informacióón necesita n necesita

implementar procesos en los que las implicaciones de implementar procesos en los que las implicaciones de seguridad son consideradas en cada proceso de seguridad son consideradas en cada proceso de gestigestióón de cambio que la organizacin de cambio que la organizacióón realiza.n realiza.

–– La seguridad de la informaciLa seguridad de la informacióón necesita ser n necesita ser monitorizada y mantenida continuamente ya que monitorizada y mantenida continuamente ya que nuevas vulnerabilidades son descubiertas nuevas vulnerabilidades son descubiertas regularmente y los procedimientos no son siempre regularmente y los procedimientos no son siempre seguidos.seguidos.

El proceso de Gestión de Cambio

Tarea 5: Asegurar que la seguridad de la informaciTarea 5: Asegurar que la seguridad de la informacióón no es comprometida a lo largo del n no es comprometida a lo largo del proceso de gestiproceso de gestióón de cambion de cambio

El gerente de seguridad de informaciEl gerente de seguridad de informacióón necesita implementar procesos en los que las n necesita implementar procesos en los que las implicaciones de seguridad son consideradas en cada proceso de gimplicaciones de seguridad son consideradas en cada proceso de gestiestióón de cambio n de cambio que la organizacique la organizacióón realiza. La seguridad de la informacin realiza. La seguridad de la informacióón necesita ser monitorizada y n necesita ser monitorizada y mantenida continuamente ya que nuevas vulnerabilidades son descumantenida continuamente ya que nuevas vulnerabilidades son descubiertas biertas regularmente y los procedimientos no son siempre seguidos. La seregularmente y los procedimientos no son siempre seguidos. La seguridad guridad normalmente depende de la obediencia del usuario. Esto incluye pnormalmente depende de la obediencia del usuario. Esto incluye por ejemplo que no or ejemplo que no compartan claves. Si lo hacen, el control de seguridad estarcompartan claves. Si lo hacen, el control de seguridad estaráá degradado. Ademdegradado. Ademáás, s, siempre hay personal que estsiempre hay personal que estáá continuamente buscando formas de saltarse los continuamente buscando formas de saltarse los procedimientos de seguridad, haciendo visibles las vulnerabilidaprocedimientos de seguridad, haciendo visibles las vulnerabilidades.des.

36


Convocatoria 2005


Los controles de seguridad tienden a degradarse con el Los controles de seguridad tienden a degradarse con el tiempo por varios motivos como son:tiempo por varios motivos como son:

•• Confianza de los usuarios para cumplir los Confianza de los usuarios para cumplir los procedimientos.procedimientos.

•• Cambios organizacionales que requieren un Cambios organizacionales que requieren un programa de seguridad mprograma de seguridad máás evolucionados evolucionado

•• Vulnerabilidades que continuamente son Vulnerabilidades que continuamente son descubiertas y explotadas.descubiertas y explotadas.

•• Aplicaciones que requieren acceso a redes externasAplicaciones que requieren acceso a redes externas•• Sitios remotos realizando cambios que no cumplen Sitios remotos realizando cambios que no cumplen

los procedimientos de control de cambio.los procedimientos de control de cambio.


Otra razón por la cual los controles de seguridad tienden a degradarse con el tiempo es porque la organización está cambiando continuamente. Los controles de seguridad deben ser actualizados regularmente para adaptarse a los cambios organizacionales, así como protegerse de las vulnerabilidades introducidas durante el proceso de cambio.

Un riesgo común es el desarrollo o implementación de nuevas aplicaciones que acceden a redes externas. Si esa nueva aplicación no sigue los procedimientos y políticas de seguridad de la organización, puede conducir a un riesgo indebido para los recursos de información de la organización. Si la seguridad fue considerada durante el desarrollo de la aplicación, es probable que al acceder a redes externas se realizará de forma controlada que cumpla con los procedimientos y políticas de la organización.

El gerente de seguridad de la información es emplazado a asegurar que la seguridad está adecuadamente considerada en situaciones donde las oficinas remotas o divisiones están haciendo cambios sin seguir los procesos de gestión de cambio aceptados en la organización. Organizaciones que son descentralizadas tienen más riesgo que un cambio comprometa la seguridad de la información y el gerente de seguridad de la información debe entender la estructura organizacional durante el desarrollo e implementación del programa de seguridad.

Nota: preguntar a los asistentes cuantas de sus organizaciones tienen procedimientos formales de gestión de cambio. Preguntar cuantos tienen incluidas consideraciones de seguridad en estos procedimientos. Preguntar si piensan que el programa de seguridad global es más fuerte por ello y que si son más un grupo proactivo que uno reactivo apagando fuegos.

37


Convocatoria 2005



Para Para asegurarasegurar queque la la seguridadseguridad de la de la informaciinformacióónnno no estestáá comprometidacomprometida durantedurante el el procesoproceso de de gestigestióónn de de cambiocambio, el , el gerentegerente de de seguridadseguridad de de la la informaciinformacióónn debedebe tenertener conocimientoconocimiento de:de:

•• ActividadesActividades de de gestigestióónn de de cambiocambio y y configuraciconfiguracióónn

Para Para asegurarasegurar queque la la seguridadseguridad de la de la informacióninformación no no estáestá comprometidacomprometida durantedurante el el procesoproceso de de gestióngestión de de cambiocambio, el , el gerentegerente de de seguridadseguridad de la de la informacióninformación debedebe tenertenerconocimientoconocimiento de:de:

ActividadesActividades de de gestióngestión de de cambiocambio y y configuraciónconfiguración

38


Convocatoria 2005


–– El gerente de seguridad debe entender las actividades de El gerente de seguridad debe entender las actividades de gestigestióón de cambio y configuracin de cambio y configuracióón usadas por la organizacin usadas por la organizacióón n para asegurar que las implicaciones de seguridad pueden ser para asegurar que las implicaciones de seguridad pueden ser consideradas y solucionadas.consideradas y solucionadas.

–– Cada organizaciCada organizacióón puede tener diferentes procesos para el n puede tener diferentes procesos para el cambio y gesticambio y gestióón de configuracin de configuracióón asn asíí como responsables de como responsables de varias tareas.varias tareas.

–– El El gerentegerente de de seguridadseguridad de la de la informaciinformacióóndebendebe entenderentender estosestosprocesosprocesos de forma de forma queque laslas implicacionesimplicaciones de de seguridadseguridad puedanpuedanser ser gestionadasgestionadas lo antes lo antes posibleposible, antes de , antes de propagarpropagar loslos cambioscambiosa a producciproduccióónn..

Actividades de gestión de cambio y configuración

Actividades de gestión de cambio y configuración

El gerente de seguridad debe entender las actividades de gestiEl gerente de seguridad debe entender las actividades de gestióón de cambio y n de cambio y configuraciconfiguracióón usadas por la organizacin usadas por la organizacióón para asegurar que las implicaciones n para asegurar que las implicaciones de seguridad pueden ser consideradas y solucionadas.de seguridad pueden ser consideradas y solucionadas.Cada organizaciCada organizacióón puede tener diferentes procesos para el cambio y gestin puede tener diferentes procesos para el cambio y gestióón n de configuracide configuracióón asn asíí como responsables de varias tareas.como responsables de varias tareas.El El gerentegerente de de seguridadseguridad de la de la informaciinformacióóndebendebe entenderentender estosestos procesosprocesos de de forma forma queque laslas implicacionesimplicaciones de de seguridadseguridad puedanpuedan ser ser gestionadasgestionadas lo antes lo antes posibleposible, antes de , antes de propagarpropagar loslos cambioscambios a a producciproduccióónn..

.

39


Convocatoria 2005


TareaTarea 6: 6: AsegurarAsegurar queque laslas evaluacionesevaluaciones de de vulnerabilidadesvulnerabilidades son son realizadasrealizadas paraparaevaluarevaluar de de maneramanera efectivaefectiva loslos controlescontrolesexistentesexistentes..

Las Las evaluacionesevaluaciones de de seguridadseguridad estestáánn disponiblesdisponibles paraparamonitorizarmonitorizar y y forzarforzar loslos controlescontroles de de seguridadseguridad de de la la informaciinformacióónn y y puedenpueden ser ser usadosusados parapara identificaridentificarvulnerabilidadesvulnerabilidades..

Evaluaciones de Seguridad

TareaTarea 6: 6: AsegurarAsegurar queque laslas evaluacionesevaluaciones de de vulnerabilidadesvulnerabilidades son son realizadasrealizadas parapara evaluarevaluarde de maneramanera efectivaefectiva loslos controlescontroles existentesexistentes..

Las Las evaluacionesevaluaciones de de seguridadseguridad estestáánn disponiblesdisponibles parapara monitorizarmonitorizar y y forzarforzar losloscontrolescontroles de de seguridadseguridad de la de la informaciinformacióónn y y puedenpueden ser ser usadosusados parapara identificaridentificarvulnerabilidadesvulnerabilidades..

40


Convocatoria 2005


Una evaluaciUna evaluacióón de seguridad incluye tn de seguridad incluye tíípicamente:picamente:

•• Escanear diversos controles de seguridadEscanear diversos controles de seguridad•• Probar los controles situadosProbar los controles situados•• Pruebas de intrusiPruebas de intrusióónn•• Desarrollar recomendaciones para mejorar Desarrollar recomendaciones para mejorar

la seguridad.la seguridad.•• Comprobar y corregir el progreso.Comprobar y corregir el progreso.

Un proceso para conseguir Un proceso para conseguir allazgosallazgos debe desarrollarse debe desarrollarse siuguiendosiuguiendo los los estandaresestandares de un acercamiento de un acercamiento proactivoproactivo a la seguridad.a la seguridad.


Las evaluaciones de seguridad son una herramienta importante parLas evaluaciones de seguridad son una herramienta importante para que el a que el gerente de seguridad de la informacigerente de seguridad de la informacióón pueda usarlo para comprobar el n pueda usarlo para comprobar el programa de seguridad. Una evaluaciprograma de seguridad. Una evaluacióón de seguridad incluye tn de seguridad incluye tíípicamente:picamente:

Escanear diversos controles de seguridadEscanear diversos controles de seguridadProbar los controles situadosProbar los controles situadosPruebas de intrusiPruebas de intrusióónnDesarrollar recomendaciones para mejorar la Desarrollar recomendaciones para mejorar la seguridad.seguridad.Comprobar y corregir el progreso.Comprobar y corregir el progreso.

41


Convocatoria 2005


•Which one of the following best describes an express contract?

a.Exists in writingb.Inferred from the conduct of the involved partiesc.An oral agreementd.A voided contract

Pregunta

Which one of the following best describes an express contract?

a. Exists in writingb. Inferred from the conduct of the involved partiesc. An oral agreementd. A voided contract

The correct answer is a. Answer b defines an implied contract. Answers c and d are distracters.

42


Convocatoria 2005


–– Las herramientas mLas herramientas máás comunes incluyen deteccis comunes incluyen deteccióón de MODEM, n de MODEM, passwordpassword crackingcracking y y hosthost y y networknetwork basedbased..

–– Un anUn anáálisis de vulnerabilidades tlisis de vulnerabilidades tíípicamente incluye la evaluacipicamente incluye la evaluacióón n de:de:

Utilidades de SistemaUtilidades de SistemaDebilidades de los Sistemas OperativosDebilidades de los Sistemas OperativosDeficiencias de la redDeficiencias de la redAplicaciones (Incluyendo BBDD, Aplicaciones (Incluyendo BBDD, appsapps webweb, e, e--mail)mail)

–– El gerente de seguridad puede utilizar un consultor para El gerente de seguridad puede utilizar un consultor para tener una vista mtener una vista máás independiente.s independiente.

–– Recomendaciones sobre como mejorar la seguridad deben Recomendaciones sobre como mejorar la seguridad deben ser parte de cualquier evaluaciser parte de cualquier evaluacióón de vulnerabilidades.n de vulnerabilidades.


Las herramientas más comunes incluyen host-based, network-based detección de modem y cracking de claves. Las herramientas de evaluación de vulnerabilidad basadas en red utilizan la red como un medio para escanear diferentes equipos y encontrar vulnerabilidades que se puedan explotar. El objetivo primario de la evaluación de vulnerabilidades es detectar deficiencias conocidas en un entorno particular que potencialmente puede llevar a comprometer el sistema. Una evaluación de vulnerabilidades típicamente incluye la evaluación de:

Utilidades de SistemaUtilidades de SistemaDebilidades de los Sistemas OperativosDebilidades de los Sistemas OperativosDeficiencias de la redDeficiencias de la redAplicaciones (Incluyendo BBDD, Aplicaciones (Incluyendo BBDD, appsapps webweb, e, e--

mail)mail)

El gerente de seguridad de información también puede emplear recursos externos, normalmente un consultor de seguridad para llevar a cabo estas evaluaciones de vulnerabilidades. Esto le da al gerente una vista más independiente de los controles que se llevan a cabo. El gerente de seguridad de información también puede aportar una experiencia de seguridad. Los proveedores también empiezan a ofrecer servicios de gestión de evaluación de vulnerabilidades donde se realizan evaluaciones de forma periódica. Dado que las vulnerabilidades son identificadas constantemente, es importante que las evaluaciones de seguridad se realicen de forma periódica. Las evaluaciones deben incluir recomendaciones sobre como erradicar o cerrar las vulnerabilidades.

43


Convocatoria 2005


Las evaluaciones de seguridad se centran Las evaluaciones de seguridad se centran normalmente en:normalmente en:

••Controles utilizados por la organizaciControles utilizados por la organizacióónn••Una evaluaciUna evaluacióón de los riesgos conocidos n de los riesgos conocidos que esos controles tienenque esos controles tienen

••Si es apropiado o no implementar el Si es apropiado o no implementar el control para los objetivos del negociocontrol para los objetivos del negocio


Las evaluaciones de seguridad se centran normalmente en cLas evaluaciones de seguridad se centran normalmente en controles ontroles utilizados por la organizaciutilizados por la organizacióón y una evaluacin y una evaluacióón de los n de los riesgos conocidos que esos controles tienen. LA riesgos conocidos que esos controles tienen. LA evaluacievaluacióón tambin tambiéén revisa si es apropiado o no n revisa si es apropiado o no implementar el control para los objetivos del negocio. implementar el control para los objetivos del negocio. Por ejemplo, tener un cortafuegos es un buen control, Por ejemplo, tener un cortafuegos es un buen control, pero un cortafuegos puede implementarse con una pero un cortafuegos puede implementarse con una configuraciconfiguracióón pobre, que puede permitir un acceso n pobre, que puede permitir un acceso indeseable a la red.indeseable a la red.

44


Convocatoria 2005


Para asegurar que las evaluaciones de seguridad son Para asegurar que las evaluaciones de seguridad son realizadas para evaluar la efectividad de los controles realizadas para evaluar la efectividad de los controles existentes, el gerente de seguridad de informaciexistentes, el gerente de seguridad de informacióón debe n debe tener conocimiento de:tener conocimiento de:

•• GestiGestióón de la seguridad de informacin de la seguridad de informacióón en actividades y revisiones n en actividades y revisiones de la infraestructura.de la infraestructura.

•• Actividades con proveedores internos / externos de confianza Actividades con proveedores internos / externos de confianza realizando revisiones de seguridad perirealizando revisiones de seguridad perióódicos.dicos.

•• Actividades, revisiones y estActividades, revisiones y estáándares relacionados para gestionar y ndares relacionados para gestionar y controlar el acceso a los recursos de informacicontrolar el acceso a los recursos de informacióónn

•• Reportes de vulnerabilidades externas que den informaciReportes de vulnerabilidades externas que den informacióón de n de que cambios hay que realizar a la seguridad de la informacique cambios hay que realizar a la seguridad de la informacióón en n en aplicaciones e infraestructura.aplicaciones e infraestructura.


Para asegurar que las evaluaciones de seguridad son realizadas pPara asegurar que las evaluaciones de seguridad son realizadas para evaluar la ara evaluar la efectividad de los controles existentes, el gerente de seguridadefectividad de los controles existentes, el gerente de seguridad de información de información debe tener conocimiento de:debe tener conocimiento de:••Gestión de la seguridad de información en actividades y revisionGestión de la seguridad de información en actividades y revisiones de la infraestructura.es de la infraestructura.••Actividades con proveedores internos / externos de confianza reaActividades con proveedores internos / externos de confianza realizando revisiones de lizando revisiones de seguridad periódicos.seguridad periódicos.••Actividades, revisiones y estándares relacionados para gestionarActividades, revisiones y estándares relacionados para gestionar y controlar el acceso a y controlar el acceso a los recursos de informaciónlos recursos de información••Reportes de vulnerabilidades externas que den información de queReportes de vulnerabilidades externas que den información de que cambios hay que cambios hay que realizar a la seguridad de la información en aplicaciones e infrrealizar a la seguridad de la información en aplicaciones e infraestructura.aestructura.

45


Convocatoria 2005


As As statedstated in in thethe NationalNational SecuritySecurity AgencyAgency/Central /Central SecuritySecurity ServiceService (NSA/CSS) Circular No. 500R, (NSA/CSS) Circular No. 500R, thetheobjectiveobjective ofof acquisitionacquisition managementmanagement isis toto managemanage a a projectproject by by applyingapplying a a numbernumber ofof techniquestechniques. . WhichWhichoneone ofof thethe followingfollowing isis NOT NOT oneone ofof thesethese techniquestechniques??

a. Functional analysisb. Design synthesisc. Freezing requirements early in the design cycled. Verification

Pregunta

As As statedstated in in thethe NationalNational SecuritySecurity AgencyAgency/Central /Central SecuritySecurity ServiceService (NSA/CSS) (NSA/CSS) Circular No. 500R, Circular No. 500R, thethe objectiveobjective ofof acquisitionacquisition managementmanagement isis toto managemanage a a projectproject by by applyingapplying a a numbernumber ofof techniquestechniques. . WhichWhich oneone ofof thethe followingfollowing isis NOT NOT oneone ofof thesethese techniquestechniques??

a. Functional analysisb. Design synthesisc. Freezing requirements early in the design cycled. Verification

The correct answer is c. The circular states that the requirements shall be reviewed atkey decision points and, if necessary, refined to meet cost, schedule, andperformance objectives.

46


Convocatoria 2005


Revisiones y Actividades de Infraestructura

El gerente de seguridad de informaciEl gerente de seguridad de informacióón necesita tener n necesita tener conocimiento de las actividades de gesticonocimiento de las actividades de gestióón de la n de la seguridad para asegurar que los componentes bseguridad para asegurar que los componentes báásicos de sicos de un programa de seguridad estun programa de seguridad estáán su sitio. Algunos de n su sitio. Algunos de estos componentes incluyen:estos componentes incluyen:•• Soporte de los gestores Soporte de los gestores seniorsenior•• ConcienciaciConcienciacióón y educacin y educacióón en la seguridadn en la seguridad•• EvaluaciEvaluacióón de riesgosn de riesgos•• Backups y restablecimiento Backups y restablecimiento •• ImplementaciImplementacióón de controles de seguridadn de controles de seguridad•• MonitorizaciMonitorizacióón de los programas de seguridadn de los programas de seguridad

Conocimiento del gerente de seguridad de información en Revisiones y Actividades de Infraestructura Revisiones y Actividades de Infraestructura

El gerente de seguridad de informaciEl gerente de seguridad de informacióón necesita tener conocimiento de las actividades n necesita tener conocimiento de las actividades de gestide gestióón de la seguridad para asegurar que los componentes bn de la seguridad para asegurar que los componentes báásicos de un programa sicos de un programa de seguridad estde seguridad estáán su sitio. Algunos de estos componentes incluyen:n su sitio. Algunos de estos componentes incluyen:

••Soporte de los gestores Soporte de los gestores seniorsenior••ConcienciaciConcienciacióón y educacin y educacióón en la seguridadn en la seguridad••EvaluaciEvaluacióón de riesgosn de riesgos••Backups y restablecimiento Backups y restablecimiento ••ImplementaciImplementacióón de controles de seguridadn de controles de seguridad••MonitorizaciMonitorizacióón de los programas de seguridadn de los programas de seguridad

47


Convocatoria 2005


•• El Gerente de SI tambiEl Gerente de SI tambiéén debe entender que las terceras n debe entender que las terceras partes en las cuales la organizacipartes en las cuales la organizacióón confn confíía y usa pueden a y usa pueden presentar riesgos para los recursos de informacipresentar riesgos para los recursos de informacióón.n.

–– Se deben mirar con cuidado los contratos y acuerdos que Se deben mirar con cuidado los contratos y acuerdos que se realizanse realizan

–– El gerente de SI debe saber que se deben realizar El gerente de SI debe saber que se deben realizar revisiones perirevisiones perióódicas a la infraestructura, a ser posible por dicas a la infraestructura, a ser posible por una parte externa e independiente.una parte externa e independiente.

–– La infraestructura es una pieza clave en la que la La infraestructura es una pieza clave en la que la organizaciorganizacióón confn confíía para cumplir sus objetivos de negocio a para cumplir sus objetivos de negocio y por ello se debe proteger y de debe ser fiabley por ello se debe proteger y de debe ser fiable

Revisiones y Actividades de Infraestructura

El Gerente de SI tambiEl Gerente de SI tambiéén debe entender que las terceras partes en las cuales n debe entender que las terceras partes en las cuales la organizacila organizacióón confn confíía y usa pueden presentar riesgos para los recursos de a y usa pueden presentar riesgos para los recursos de informaciinformacióón, y por tanto debe mirar con cuidado los contratos y acuerdos qn, y por tanto debe mirar con cuidado los contratos y acuerdos que ue se realizan con ellos. El gerente de SI tambise realizan con ellos. El gerente de SI tambiéén debe saber que se deben n debe saber que se deben realizar revisiones perirealizar revisiones perióódicas a la infraestructura, a ser posible por una parte dicas a la infraestructura, a ser posible por una parte externa e independiente.externa e independiente.La infraestructura es una pieza clave en la que la organizaciLa infraestructura es una pieza clave en la que la organizacióón confn confíía para a para cumplir sus objetivos de negocio y por ello se debe proteger y dcumplir sus objetivos de negocio y por ello se debe proteger y de debe ser e debe ser fiablefiable

48


Convocatoria 2005


El Gerente de SI:El Gerente de SI:

•• Tiene la responsabilidad principal del programa de Tiene la responsabilidad principal del programa de seguridad de informaciseguridad de informacióón para la organizacin para la organizacióónn

•• Debe dirigir actividades o entidades que puedan Debe dirigir actividades o entidades que puedan afectar al programa de seguridad de la afectar al programa de seguridad de la informaciinformacióónn

•• Debe actuar como mediador entre las partes Debe actuar como mediador entre las partes internas y externas para asegurar que las internas y externas para asegurar que las actividades de seguridad se completan de una actividades de seguridad se completan de una manera efectivamanera efectiva

El proceso de seguridad es un proceso clave en el programa de El proceso de seguridad es un proceso clave en el programa de seguridad y el programa puede beneficiarse de revisiones periseguridad y el programa puede beneficiarse de revisiones perióódicas dicas y recomendaciones realizadas por proveedores de seguridady recomendaciones realizadas por proveedores de seguridad

Relaciones con proveedores de servicios

Conocimiento de actividades de relaciones con proveedores internos/externos de seguridad para realizar revisiones de seguridad de información

El gerente de SI tiene como responsabilidad principal el programa de seguridad de la organización. Por lo tanto, actividades o entidades que puedan afectar al programa de seguridad de la información necesitan ser gestionadas por el Gerente de SI. El Gerente

de SI debe actuar como mediador entre las partes internas y mediador entre las partes internas y externas para asegurar que las actividades de seguridad externas para asegurar que las actividades de seguridad se completan de una manera efectivase completan de una manera efectiva

El proceso de seguridad es un proceso clave en el programa de seEl proceso de seguridad es un proceso clave en el programa de seguridad y el guridad y el programa puede beneficiarse de revisiones periprograma puede beneficiarse de revisiones perióódicas y recomendaciones realizadas dicas y recomendaciones realizadas por proveedores de seguridad. Sus proyectos pueden ser completadpor proveedores de seguridad. Sus proyectos pueden ser completados de una forma os de una forma efectiva con cooperaciefectiva con cooperacióón del personal de seguridad. n del personal de seguridad.

Nota: Comenzar una conversaciNota: Comenzar una conversacióón acerca de los mn acerca de los mééritos del proceso de ritos del proceso de seguridad. Asegurarse de que se habla de cseguridad. Asegurarse de que se habla de cóómo el proceso de seguridad ayuda a mo el proceso de seguridad ayuda a mejorar el programa de seguridad global y como el gerente de SI mejorar el programa de seguridad global y como el gerente de SI debe ayudar y debe ayudar y facilitar el proceso. Concluir con que el proceso de aseguramienfacilitar el proceso. Concluir con que el proceso de aseguramiento debe ser visto to debe ser visto como una herramienta importante en el programa de seguridad.como una herramienta importante en el programa de seguridad.

49


Convocatoria 2005


–– El Gerente de SI debe estar al tanto de los distintos El Gerente de SI debe estar al tanto de los distintos estestáándares para gestionar y controlar los recursos de ndares para gestionar y controlar los recursos de informaciinformacióónn

–– Dependiendo del tipo de empresa, existen diferentes Dependiendo del tipo de empresa, existen diferentes estestáándares ndares regulatoriosregulatorios para cada para cada áárearea

–– Existen un numero grande de estExisten un numero grande de estáándares como:ndares como:ISO/IEC17799ISO/IEC17799AICPA SAS No.70AICPA SAS No.70NationalNational FireFire ProtectionProtection AssociationAssociation (NFPA), (NFPA), OccupationalOccupationalSafetySafety & & HealthHealth AdministrationAdministration (OSHA)(OSHA)HIPAAHIPAABS7799BS7799AICPA AICPA SysTrustSysTrust

Revisiones, actividades, y estandares

Conocimiento de actividades, revisiones y estándares para gestionar y controlar el acceso a los recursos de información

El Gerente de SI debe estar al tanto de los distintos estEl Gerente de SI debe estar al tanto de los distintos estáándares para gestionar y ndares para gestionar y controlar los recursos de informacicontrolar los recursos de informacióónnDependiendo del tipo de empresa, existen diferentes estDependiendo del tipo de empresa, existen diferentes estáándares ndares regulatoriosregulatorios para cada para cada ááreareaExisten un numero grande de estExisten un numero grande de estáándares como:ndares como:

ISO/IEC17799ISO/IEC17799AICPA SAS No.70AICPA SAS No.70NationalNational FireFire ProtectionProtection AssociationAssociation (NFPA), (NFPA), OccupationalOccupational SafetySafety& & HealthHealth AdministrationAdministration (OSHA)(OSHA)HIPAAHIPAABS7799BS7799AICPA AICPA SysTrustSysTrust

(Otros continuan en la siguiente transparencia)

50


Convocatoria 2005


Which choice is NOT a generally accepted benefit of security awareness, training, and education?

a. A security awareness program can help operators understand the value of the information.

b. A security education program can help system administrators recognize unauthorized intrusion attempts.

c. A security awareness and training program will help prevent natural disasters from occurring.

d. A security awareness and training program can help an organization reduce the number and severity of errors and omissions.

Pregunta

Which choice is NOT a generally accepted benefit of security awareness, training, and education?

a. A security awareness program can help operators understand the value of the information.

b. A security education program can help system administrators recognize unauthorized intrusion attempts.

c. A security awareness and training program will help prevent natural disasters from occurring.

d. A security awareness and training program can help an organization reduce the number and severity of errors and omissions.

The correct answer is c. An effective computer security awareness and training program requires proper planning, implementation, maintenance, and periodic evaluation.

In general, a computer security awareness and training program should encompass the following seven steps:

Identify program scope, goals, and objectives.Identify training staff.Identify target audiences.Motivate management and employees.Administer the program.Maintain the program.Evaluate the program.

51


Convocatoria 2005


Existen un gran nExisten un gran núúmero de estmero de estáándares (continua) ndares (continua)

•• Office Office ofof thethe ComptrollerComptroller (OCC), Circular 235 (OCC), Circular 235 andand ThriftThriftBulletinBulletin 3030

•• Estatutos de seguridad, Estatutos de seguridad, areasareas sobre fraude sobre fraude informaticoinformatico, , abuso y apropiaciabuso y apropiacióón de activos n de activos informaticosinformaticos, (Federal , (Federal ComputerComputer SecuritySecurity ActAct))

•• Federal Federal FinancialFinancial InstitutionsInstitutions ExaminationExamination CouncilCouncil(FFIEC). (FFIEC). TheThe FFIEC FFIEC guidelinesguidelines replacereplace previouslypreviously issuedissuedBankingBanking CircularsCirculars BCBC--177, BC177, BC--226, etc. 226, etc.

•• COSOCOSO•• OrganizationOrganization forfor EconomicEconomic CooperationCooperation andand DevelopmentDevelopment

(OECD) (OECD) SecuritySecurity GuidelinesGuidelines•• ForeignForeign CorruptCorrupt PracticesPractices ActAct ((FCPA)VitalFCPA)Vital RecordsRecords

ManagementManagement StatutesStatutes, especificaciones para la retenci, especificaciones para la retencióón n y y eleminacieleminacióónn de registros electrde registros electróónicos y nicos y fisicosfisicos (IRS (IRS RecordsRecords RetentionRetention requirementsrequirements))

Revisiones, actividades, y estandares

Existen un gran nExisten un gran núúmero de estmero de estáándares (continua): ndares (continua):

• ISO/IEC 17799• BS 7799• National Fire Protection Association (NFPA), Occupational Safety & Health Administration (OSHA)• AICPA SAS No.70• AICPA SysTrust• HIPAA• Office of the Comptroller (OCC), Circular 235 and Thrift Bulletin 30

• Office Office ofof thethe ComptrollerComptroller (OCC), Circular 235 (OCC), Circular 235 andand ThriftThrift BulletinBulletin 3030Estatutos de seguridad, Estatutos de seguridad, areasareas sobre fraude sobre fraude informaticoinformatico, abuso y , abuso y apropiaciapropiacióón de activos n de activos informaticosinformaticos, (Federal , (Federal ComputerComputer SecuritySecurity ActAct))Federal Federal FinancialFinancial InstitutionsInstitutions ExaminationExamination CouncilCouncil (FFIEC). (FFIEC). TheThe FFIEC FFIEC guidelinesguidelines replacereplace previouslypreviously issuedissued BankingBanking CircularsCirculars BCBC--177, BC177, BC--226, 226, etc. etc. COSOCOSOOrganizationOrganization forfor EconomicEconomic CooperationCooperation andand DevelopmentDevelopment (OECD) (OECD) SecuritySecurity GuidelinesGuidelinesForeignForeign CorruptCorrupt PracticesPractices ActAct ((FCPA)VitalFCPA)Vital RecordsRecords ManagementManagementStatutesStatutes, especificaciones para la retenci, especificaciones para la retencióón y n y eleminacieleminacióónn de registros de registros electrelectróónicos y nicos y fisicosfisicos (IRS (IRS RecordsRecords RetentionRetention requirementsrequirements))

52


Convocatoria 2005


El Gerente de SI debe estar al tanto de:El Gerente de SI debe estar al tanto de:

••Que los proveedores de seguridad Que los proveedores de seguridad externos e internos realizan externos e internos realizan rutinariamente revisiones y evaluaciones rutinariamente revisiones y evaluaciones del programa de seguridad.del programa de seguridad.

•• Las evaluaciones de vulnerabilidades y Las evaluaciones de vulnerabilidades y testtest de intruside intrusióón que la organizacin que la organizacióón n puede realizarpuede realizar

Fuentes de información de vulnerabilidades externas

El Gerente de SI debe estar al tanto de El Gerente de SI debe estar al tanto de los proveedores de los proveedores de seguridad externos e internos realizan rutinariamente seguridad externos e internos realizan rutinariamente revisiones y evaluaciones del programa de seguridad. revisiones y evaluaciones del programa de seguridad. Por tanto, tiene que tener conocimiento de las Por tanto, tiene que tener conocimiento de las evaluaciones de vulnerabilidades y evaluaciones de vulnerabilidades y testtest de intruside intrusióón n que la organizacique la organizacióón puede realizarn puede realizar

53


Convocatoria 2005


–– El Gerente de SI debe saber que los peligros para la El Gerente de SI debe saber que los peligros para la organizaciorganizacióón pueden venir de cualquier parte del mundo.n pueden venir de cualquier parte del mundo.

–– Por lo tanto, el Gerente de SI debe conocer las fuentes Por lo tanto, el Gerente de SI debe conocer las fuentes de informacide informacióón de vulnerabilidades de forma que el n de vulnerabilidades de forma que el programa de seguridad pueda ser modificado para programa de seguridad pueda ser modificado para resolver cualquier vulnerabilidad que se pueda resolver cualquier vulnerabilidad que se pueda presentar.presentar.

–– AdemAdemáás de los ataques que vienen a lo largo del mundo, s de los ataques que vienen a lo largo del mundo, las vulnerabilidades que antes eran desconocidas son las vulnerabilidades que antes eran desconocidas son normalmente identificadas en software y hardwarenormalmente identificadas en software y hardware

–– Tener este conocimiento permite al Gerente de SI Tener este conocimiento permite al Gerente de SI modificar el programa de seguridad segmodificar el programa de seguridad segúún se necesiten n se necesiten resolver los presentes problemasresolver los presentes problemas

Fuentes de información de vulnerabilidades externas

Conocer las fuentes de información de vulnerabilidades externas puede proveer información que requiera cambios a la seguridad de información en aplicaciones e infraestructura.

El Gerente de SI debe saber que los peligros para la organizaciEl Gerente de SI debe saber que los peligros para la organizacióón pueden venir de n pueden venir de cualquier parte del mundo. Por lo tanto, el Gerente de SI debe ccualquier parte del mundo. Por lo tanto, el Gerente de SI debe conocer las fuentes de onocer las fuentes de informaciinformacióón de vulnerabilidades de forma que el programa de seguridad puedn de vulnerabilidades de forma que el programa de seguridad pueda ser a ser modificado para resolver cualquier vulnerabilidad que se pueda pmodificado para resolver cualquier vulnerabilidad que se pueda presentar. Estas resentar. Estas vulnerabilidades se presentan casi a diario.vulnerabilidades se presentan casi a diario.

AdemAdemáás de los ataques que vienen a lo largo del mundo, las vulnerabils de los ataques que vienen a lo largo del mundo, las vulnerabilidades que antes idades que antes eran desconocidas son normalmente identificadas en software y haeran desconocidas son normalmente identificadas en software y hardware. Tener este rdware. Tener este conocimiento permite al Gerente de SI modificar el programa de sconocimiento permite al Gerente de SI modificar el programa de seguridad segeguridad segúún se n se necesiten resolver los presentes problemas.necesiten resolver los presentes problemas.

54


Convocatoria 2005


Tarea 7: Asegurar que los problemas de Tarea 7: Asegurar que los problemas de incumplimiento y otros distintos son incumplimiento y otros distintos son resueltos en un tiempo razonableresueltos en un tiempo razonable–– El Gerente de SI debe utilizar un proceso en donde los El Gerente de SI debe utilizar un proceso en donde los

problemas de incumplimiento y otros parecidos son problemas de incumplimiento y otros parecidos son resueltos de una forma efectiva a tiemporesueltos de una forma efectiva a tiempo

–– Normalmente un horario se desarrolla para Normalmente un horario se desarrolla para documentar cada punto y se asigna una documentar cada punto y se asigna una responsabilidad, se guarda y se gestionaresponsabilidad, se guarda y se gestiona

Problemas de incumplimiento

Tarea 7: Asegurar que los problemas de incumplimiento y otros diTarea 7: Asegurar que los problemas de incumplimiento y otros distintos son resueltos stintos son resueltos en un tiempo razonableen un tiempo razonable

El Gerente de SI debe utilizar un proceso en donde los problemasEl Gerente de SI debe utilizar un proceso en donde los problemas de incumplimiento y de incumplimiento y otros parecidos son resueltos de una forma efectiva a tiempo. Lootros parecidos son resueltos de una forma efectiva a tiempo. Los problemas de s problemas de incumplimiento y otros parecidos pueden identificarse a travincumplimiento y otros parecidos pueden identificarse a travéés de un ns de un núúmero diferente mero diferente de mecanismos incluyendo:de mecanismos incluyendo:

•Monitorización normal•Reportes de auditoria•Revisiones de seguridad•Escaneo de vulnerabilidades•Trabajo realizado diligentemente

Las practicas de negocio prudentes requieren que los hallazgos sean gestionados en un tiempo razonable. Normalmente un horario se desarrolla para documentar cada Normalmente un horario se desarrolla para documentar cada punto y se asigna una responsabilidad, se guarda y se gestionapunto y se asigna una responsabilidad, se guarda y se gestiona

55


Convocatoria 2005


–– Los problemas de incumplimiento y otros parecidos Los problemas de incumplimiento y otros parecidos pueden identificarse a travpueden identificarse a travéés de un ns de un núúmero diferente mero diferente de mecanismos incluyendo:de mecanismos incluyendo:

– Monitorización normal– Reportes de auditoria– Revisiones de seguridad– Escaneo de vulnerabilidades– Trabajo realizado diligentemente


Los problemas de incumplimiento y otros parecidos pueden identifLos problemas de incumplimiento y otros parecidos pueden identificarse a travicarse a travéés s de un nde un núúmero diferente de mecanismos incluyendo:mero diferente de mecanismos incluyendo:

•Monitorización normal•Reportes de auditoria•Revisiones de seguridad•Escaneo de vulnerabilidades•Trabajo realizado diligentemente

56


Convocatoria 2005


Para asegurarse que problemas de incumplimiento y otros parecidos son resueltos en tiempo, tl Gerente de SI debe tener un conocimiento de:

• Eventos que afecten la base de seguridad que puedan requerir una reconsideración y cambios a los requerimientos de seguridad de información en los planes de seguridad, planes de test y de rendimiento

• Practicas de gestión de problemas de seguridad de información


Para asegurarse que problemas de incumplimiento y otros parecidos son resueltos en tiempo, tl Gerente de SI debe tener un conocimiento de:

•Eventos que afecten la base de seguridad que puedan requerir unareconsideración y cambios a los requerimientos de seguridad de información en los planes de seguridad, planes de test y de rendimiento

•Practicas de gestión de problemas de seguridad de información

57


Convocatoria 2005


Which statement is true about security awareness and educational programs?

a. Awareness and training help users become more accountable for their actions.

b. Security education assists management in determining who should be promoted.

c. A security awareness and training program helps prevent the occurrence of natural disasters.

d. Security awareness is not necessary for high-level senior executives.

Pregunta

Which statement is true about security awareness and educational programs?

a. Awareness and training help users become more accountable for their actions.

b. Security education assists management in determining who should be promoted.

c. A security awareness and training program helps prevent the occurrence of natural disasters.

d. Security awareness is not necessary for high-level senior executives.

The correct answer is b Making computer system users aware of their security responsibilities and teaching them correct practices helps users change their behavior. It also supports individual accountability because without the knowledge of the necessary security measures and how to use them, users cannot be truly accountable for their actions.

58


Convocatoria 2005


–– Eventos que afectan los principios de seguridad son los que Eventos que afectan los principios de seguridad son los que los gerentes necesitan monitorizar y evaluar como y si los gerentes necesitan monitorizar y evaluar como y si requieren modificaciones a los requerimientos de la requieren modificaciones a los requerimientos de la organizaciorganizacióón en sus planes de seguridad , planes de prueba n en sus planes de seguridad , planes de prueba y revalidaciy revalidacióónn

–– Las bases de seguridad pueden ser cambiadas por varios Las bases de seguridad pueden ser cambiadas por varios motivos incluyendo: motivos incluyendo:

•• Un proveedor que identifica que un parUn proveedor que identifica que un paráámetro metro en su software o hardware debe ser cambiado en su software o hardware debe ser cambiado para conseguir la proteccipara conseguir la proteccióón deseadan deseadaEventos externos que requieren que se Eventos externos que requieren que se incremente los principios de seguridadincremente los principios de seguridad

Eventos que afectan los principios de Seguridad

Conocimiento de eventos que afectan las bases de seguridad y pueden requerir reconsideraciones de riesgos y cambios a los requerimientos de la seguridad de información en los planes de seguridad, planes de test y revalidación

El gerente de SI debe continuamente estar al tanto de eventos que pueden afectar al programa de seguridad de la organización. Eventos que afectan los principios de Eventos que afectan los principios de seguridad son los que los gerentes necesitan monitorizar y evaluseguridad son los que los gerentes necesitan monitorizar y evaluar como y si requieren ar como y si requieren modificaciones a los requerimientos de la organizacimodificaciones a los requerimientos de la organizacióón en sus planes de seguridad , n en sus planes de seguridad , planes de prueba y revalidaciplanes de prueba y revalidacióónn

Las bases de seguridad pueden ser cambiadas por varios motivos, Las bases de seguridad pueden ser cambiadas por varios motivos, como por ejemplo si como por ejemplo si hay una protesta o manifestacihay una protesta o manifestacióón cerca de las instalaciones de la organizacin cerca de las instalaciones de la organizacióón, las n, las bases de la seguridad fbases de la seguridad fíísica pueden ser incrementadas por un periodo hasta que el sica pueden ser incrementadas por un periodo hasta que el peligro pase. peligro pase.

Nota: Preguntar que mecanismos usan para monitorizar los eventos de cambio que pueden afectar a sus principios de seguridad. Preguntar por un ejemplo de un evento que haya requerido que cambiasen sus principios de seguridad

59


Convocatoria 2005


–– La gestiLa gestióón de problemas normalmente requiere un n de problemas normalmente requiere un acercamiento metacercamiento metóódico para descomponer y definir dico para descomponer y definir el problema, y diseel problema, y diseññar un programa de acciar un programa de accióón n ademademáás de asignar responsabilidades y fechas de s de asignar responsabilidades y fechas de finalizacifinalizacióón para la resolucin para la resolucióónn

–– TambiTambiéén debe implementarse un proceso de n debe implementarse un proceso de comunicacicomunicacióón para comprobar los resultados y n para comprobar los resultados y asegurar que el problema es resueltoasegurar que el problema es resuelto

–– El Gerente de SI tambiEl Gerente de SI tambiéén debe estar familiarizado n debe estar familiarizado identificando debilidades y con los controles de identificando debilidades y con los controles de mitigacimitigacióón que pueden ser empleados si los controles n que pueden ser empleados si los controles de seguridad primarios fallan.de seguridad primarios fallan.

Practicas de Gestión de problemas de SI

Practicas de Gestión de problemas de SI

Además de las practicas de gestión de eventos o crisis el gerente de necesita entender los distintos aspectos de la gestión efectiva de un problema. La gestiLa gestióón de problemas n de problemas normalmente requiere un acercamiento metnormalmente requiere un acercamiento metóódico para descomponer y definir el dico para descomponer y definir el problema, y diseproblema, y diseññar un programa de acciar un programa de accióón ademn ademáás de asignar responsabilidades y s de asignar responsabilidades y fechas de finalizacifechas de finalizacióón para la resolucin para la resolucióónnTambiTambiéén debe implementarse un proceso de comunicacin debe implementarse un proceso de comunicacióón para comprobar los n para comprobar los resultados y asegurar que el problema es resueltoresultados y asegurar que el problema es resueltoYa que los entornos estYa que los entornos estáán continuamente cambiando con modificaciones y mejoras, no n continuamente cambiando con modificaciones y mejoras, no es difes difíícil que los controles utilizados no funcionen como se pensaron. cil que los controles utilizados no funcionen como se pensaron. Es en este punto Es en este punto donde el Gerente de SI necesita identificar el problema y asignadonde el Gerente de SI necesita identificar el problema y asignarle una prioridad.rle una prioridad.

El Gerente de SI tambiEl Gerente de SI tambiéén debe estar familiarizado identificando debilidades y con los n debe estar familiarizado identificando debilidades y con los controles de mitigacicontroles de mitigacióón que pueden ser empleados si los controles de seguridad n que pueden ser empleados si los controles de seguridad primarios fallan. Antes de tener una vulnerabilidad de seguridadprimarios fallan. Antes de tener una vulnerabilidad de seguridad, puede ser necesario , puede ser necesario para el Gerente de seguridad de informacipara el Gerente de seguridad de informacióón tomar acciones alternativas para proteger n tomar acciones alternativas para proteger los recursos de informacilos recursos de informacióón hasta que el problema sea resuelto. Por ejemplo, si un n hasta que el problema sea resuelto. Por ejemplo, si un cortafuegos falla, el gerente de seguridad de informacicortafuegos falla, el gerente de seguridad de informacióón puede decidir desconectar el n puede decidir desconectar el sistema del exterior hasta que el problema del cortafuegos estsistema del exterior hasta que el problema del cortafuegos estéé resuelto. Mientras esto resuelto. Mientras esto puede proteger a la informacipuede proteger a la informacióón de los riesgos externos, tambin de los riesgos externos, tambiéén puede afectar a la n puede afectar a la organizaciorganizacióón para realizar su negocio.n para realizar su negocio.

60


Convocatoria 2005


Pregunta

Which of the following is MOSTWhich of the following is MOSTimportant in writing good informationimportant in writing good informationsecurity policies?security policies?

A.A. Easy to read and understandEasy to read and understandB.B. Allows for flexible interpretationAllows for flexible interpretationC.C. Describes technical vulnerability issuesDescribes technical vulnerability issuesD.D. Changes whenever operating systems are upgradedChanges whenever operating systems are upgraded

Página 128 del CISM Review Manual 2004 para explicación a las preguntas.

Which of the following is MOST important in writing good informaWhich of the following is MOST important in writing good informationtionsecurity policies?security policies?

A. Easy to read and understandA. Easy to read and understandB. Allows for flexible interpretationB. Allows for flexible interpretationC. Describes technical vulnerability issuesC. Describes technical vulnerability issuesD. Changes whenever operating systems are upgradedD. Changes whenever operating systems are upgraded

Suggested answer: ASuggested answer: A

61


Convocatoria 2005


Tarea 8: Asegurar el desarrollo y entrega de Tarea 8: Asegurar el desarrollo y entrega de las actividades que puede influenciar la las actividades que puede influenciar la cultura y el comportamiento de los cultura y el comportamiento de los empleados incluyendo educaciempleados incluyendo educacióón y n y concienciaciconcienciacióón de Seguridad de la n de Seguridad de la InformaciInformacióónn–– ConcienciaciConcienciacióón y educacin y educacióón en seguridad es criticon en seguridad es critico–– La importancia en este punto debe venir de la funciLa importancia en este punto debe venir de la funcióón n

gerencial gerencial seniorsenior de la organizacide la organizacióónn

Cultura, conducta y concienciación de la seguridad

Tarea 8: Asegurar el desarrollo y entrega de las actividades queTarea 8: Asegurar el desarrollo y entrega de las actividades que puede influenciar la puede influenciar la cultura y el comportamiento de los empleados incluyendo educacicultura y el comportamiento de los empleados incluyendo educacióón y concienciacin y concienciacióón de n de Seguridad de la InformaciSeguridad de la Informacióónn

Uno de los factores críticos de éxito para tener un programa de seguridad exitoso es tener una organización con una buena concienciación y educación en Seguridad. La La importancia en este punto debe venir de la funciimportancia en este punto debe venir de la funcióón gerencial n gerencial seniorsenior de la organizacide la organizacióón.n.

La concienciaciLa concienciacióón y educacin y educacióón en seguridad incluye desde los conocimientos tn en seguridad incluye desde los conocimientos téécnicos cnicos empleados por el personal de seguridad a los conocimientos generempleados por el personal de seguridad a los conocimientos generales aplicados por ales aplicados por cualquiera en la organizacicualquiera en la organizacióón. LA organizacin. LA organizacióón debe tener conciencia de su propia n debe tener conciencia de su propia cultura, y debe tener una actitud a favor de la seguridad y sus cultura, y debe tener una actitud a favor de la seguridad y sus objetivos para actuar de objetivos para actuar de una forma segura. La concienciaciuna forma segura. La concienciacióón y educacin y educacióón nunca acaba y por esta razn nunca acaba y por esta razóón el n el Gerente de SI debe pensar cuidadosamente acerca de cual es la meGerente de SI debe pensar cuidadosamente acerca de cual es la mejor forma de jor forma de conseguir esto.conseguir esto.

La concienciación debe empezar desde que se entra en la organización (formación de inducción ) y continuar regularmente. Deben existir técnicas para evitar que este tema resulte aburrido y debe incorporarse en otros programas de formación de la organización.

62


Convocatoria 2005


La educaciLa educacióón y concienciacin y concienciacióón en seguridad n en seguridad puede incluir:puede incluir:

•• Educar profesionales tEducar profesionales téécnicos en cnicos en seguridadseguridad

••EducaciEducacióón general de todo el personaln general de todo el personal••ConcienciaciConcienciacióón continuan continua••Presentaciones formalesPresentaciones formales••Noticias regularesNoticias regulares


Parte del proceso de desarrollo también deben incluir metodos para medir la efectividad de la educación y la concienciacion del personal con retroalimentación que se utilizará para una mejora continua.

La educaciLa educacióón y concienciacin y concienciacióón en seguridad puede incluir:n en seguridad puede incluir:

Educar profesionales tEducar profesionales téécnicos en seguridadcnicos en seguridadEducaciEducacióón general de todo el personaln general de todo el personalConcienciaciConcienciacióón continuan continuaPresentaciones formalesPresentaciones formalesNoticias regularesNoticias regulares

63


Convocatoria 2005


Para asegurar el desarrollo y la entrega de actividades que Para asegurar el desarrollo y la entrega de actividades que pueden influenciar la cultura y el comportamiento del pueden influenciar la cultura y el comportamiento del personal incluyendo la concienciacipersonal incluyendo la concienciacióón y educacin y educacióón en n en seguridad de informaciseguridad de informacióón, el Gerente de SI debe tener n, el Gerente de SI debe tener conocimiento de:conocimiento de:

•• Se deben utilizar roles como agentes de cambio, educadores y Se deben utilizar roles como agentes de cambio, educadores y consultoresconsultores

•• La forma en como la cultura y las diferencias culturales afectanLa forma en como la cultura y las diferencias culturales afectanal comportamiento del personal.al comportamiento del personal.

•• Las actividades que pueden cambiar la cultura y el Las actividades que pueden cambiar la cultura y el comportamiento en el personalcomportamiento en el personal

•• MMéétodos y ttodos y téécnicas para formacicnicas para formacióón en concienciacin en concienciacióón y n y educacieducacióón en seguridadn en seguridad


Para asegurar el desarrollo y la entrega de actividades que puedPara asegurar el desarrollo y la entrega de actividades que pueden influenciar la en influenciar la cultura y el comportamiento del personal incluyendo la conciencicultura y el comportamiento del personal incluyendo la concienciación y ación y educación en seguridad de información, el Gerente de SI debe teneducación en seguridad de información, el Gerente de SI debe tener er conocimiento de:conocimiento de:

••Se deben utilizar roles como agentes de cambio, educadores y conSe deben utilizar roles como agentes de cambio, educadores y consultoressultores••La forma en como la cultura y las diferencias culturales afectanLa forma en como la cultura y las diferencias culturales afectan al comportamiento del al comportamiento del personal.personal.••Las actividades que pueden cambiar la cultura y el comportamientLas actividades que pueden cambiar la cultura y el comportamiento en el personalo en el personal••Métodos y técnicas para formación en concienciación y educación Métodos y técnicas para formación en concienciación y educación en seguridaden seguridad

64


Convocatoria 2005


The MOST important responsibility of an information security manager in an organization is:

A. Recommending and monitoring security policies.

B. Promoting security awareness within the organization.

C. Establishing procedures for security policies.D. Administering physical and logical access controls.

Pregunta

The MOST important responsibility of an information security manager in an organization is:

A. Recommending and monitoring security policies.B. B. Promoting security awareness within the organization.C. C. Establishing procedures for security policies.D. D. Administering physical and logical access controls.

The correct answer is a. An information security manager's prime responsibility is recommending and monitoring information security policies. Promoting security awareness within the organization is one of the responsibilities of an information security manager. but it is not as important as recommending and monitoring information security policies. The IT departrnent is responsible for establishing procedures for IT security policies recommended by the information security manager and for the administration of physical and logical access controls, not the information security manager.

65


Convocatoria 2005


Facilitar roles como agentes de cambio, educadores y consultores

–– El Gerente de Seguridad de informaciEl Gerente de Seguridad de informacióón necesita ser un n necesita ser un gestor y gestor y facilitadorfacilitador y evitar el trabajo ty evitar el trabajo téécnico en detalle cnico en detalle que puede ser delegado a otros en la organizacique puede ser delegado a otros en la organizacióónn

–– Ganarse el apoyo de la gestiGanarse el apoyo de la gestióón n seniorsenior y la conformidad y la conformidad de la organizacide la organizacióón con las poln con las polííticas y procedimientos de ticas y procedimientos de seguridad de Informaciseguridad de Informacióón requiere un n requiere un facilitadorfacilitador efectivo efectivo con habilidades de persuasicon habilidades de persuasióónn

Conocimiento del Gerente de SI para Facilitar roles como agentes de cambio, educadores y consultores

El Gerente de Seguridad de informaciEl Gerente de Seguridad de informacióón necesita ser un gestor y n necesita ser un gestor y facilitadorfacilitador y evitar el y evitar el trabajo ttrabajo téécnico en detalle que puede ser delegado a otros en la organizacicnico en detalle que puede ser delegado a otros en la organizacióónn

Ganarse el apoyo de la gestiGanarse el apoyo de la gestióón n seniorsenior y la conformidad de la organizaciy la conformidad de la organizacióón con las n con las polpolííticas y procedimientos de seguridad de Informaciticas y procedimientos de seguridad de Informacióón requiere un n requiere un facilitadorfacilitador efectivo efectivo con habilidades de persuasicon habilidades de persuasióónn

Nota: Este es un concepto importante que debe ser tenido en cuenta. Si el gerente de seguridad de información no trabaja en un rol como agente de cambio, educador y contsultor, es probable que se meta entrabajo de mucho nivel de detalle y puede que no se centre en la estrategía de seguridad y en el programa de seguridad global. Preguntar a los participantes si se han visto metiendose en tareas más detalladas ya que se sienten más comodos por su concoimiento tecnico. Se debe encontrar recursos, ya sea internos o externos que pùedan encargarse de los detalles.

66


Convocatoria 2005


–– Un aspecto importante para asegurar que el programa de seguridadUn aspecto importante para asegurar que el programa de seguridadde informacide informacióón se cumple es la educacin se cumple es la educacióón, la concienciacin, la concienciacióón y la n y la formaciformacióón de la organizacin de la organizacióón.n.

–– A travA travéés de un acercamiento s de un acercamiento facilitadorfacilitador, el Gerente de seguridad de , el Gerente de seguridad de la informacila informacióón debe poder trabajar con diferentes departamentos n debe poder trabajar con diferentes departamentos para discutir los riesgos de seguridad que afrontan y sugerir para discutir los riesgos de seguridad que afrontan y sugerir soluciones.soluciones.

–– Estas soluciones deben cumplir con las polEstas soluciones deben cumplir con las polííticas de seguridad y ticas de seguridad y deben estar focalizadas en proteger los recursos de informacideben estar focalizadas en proteger los recursos de informacióón.n.

–– Trabajando en este rol el Gerente de SI puede facilitar Trabajando en este rol el Gerente de SI puede facilitar efectivamente el programa de seguridad de la informaciefectivamente el programa de seguridad de la informacióón de la n de la empresa.empresa.

Facilitar roles como agentes de cambio, educadores y consultores

Un aspecto importante para asegurar que el programa de seguridadUn aspecto importante para asegurar que el programa de seguridad de informacide informacióón se n se cumple es la educacicumple es la educacióón, la concienciacin, la concienciacióón y la formacin y la formacióón de la organizacin de la organizacióón. Ademn. Ademáás s de la necesidad de seguridad de la informacide la necesidad de seguridad de la informacióón, la organizacin, la organizacióón debe ser formada en n debe ser formada en actividades especificas relacionadas con la seguridad de informaactividades especificas relacionadas con la seguridad de informacicióón que cada n que cada empleado debe realizar.empleado debe realizar.

El Gerente de SI también debe tener conocimiento de como ser un consultor para el resto de departamentos dentro de la organización. A través de un acercamiento facilitador, el gerente de seguridad de la información debe poder trabajar con los diferentes departamentos para discutir los riesgos de seguridad de información que afrontan y proponer soluciones. Estas soluciones deben cumplir con las polEstas soluciones deben cumplir con las polííticas de ticas de seguridad y deben estar focalizadas en proteger los recursos de seguridad y deben estar focalizadas en proteger los recursos de informaciinformacióón. Tambin. Tambiéén n debe asegurarse que la organizacidebe asegurarse que la organizacióón considere la seguridad de informacin considere la seguridad de informacióón en los n en los procesos de gestiprocesos de gestióón de cambio. Trabajando en este rol el Gerente de SI puede faciln de cambio. Trabajando en este rol el Gerente de SI puede facilitar itar efectivamente el programa de seguridad de la informaciefectivamente el programa de seguridad de la informacióón de la empresa.n de la empresa.

67


Convocatoria 2005


Which of the following would be included in an information security strategic plan?

– A. Specifications for planned hardware purchases

– B. Analysis of future business objectives– C. Target dates for information security

projects– D. Annual budgetary targets for the

security department

Pregunta

Which of the following would be included in an information security strategic plan?

A. Specifications for planned hardware purchasesB. Analysis of future business objectivesC. Target dates for information security projectsD. Annual budgetary targets for the security department

The correct answer I b. Information security strategic plans must address the needs of the business and meet future business objectives. Hardware purchases may be outlined but not specified and neither budget targets nor security projects are relevant choices. The other choices are not strategic items.

68


Convocatoria 2005


–– El Gerente de SI debe saber que lo que es visto como El Gerente de SI debe saber que lo que es visto como razonable en una cultura puede no ser aceptable in razonable en una cultura puede no ser aceptable in otraotra

–– Las leyes en paLas leyes en paííses distintos restringen por ejemplo ses distintos restringen por ejemplo compartir informacicompartir informacióón de tipo personaln de tipo personal

–– El Gerente de SI necesita saber estas complicaciones y El Gerente de SI necesita saber estas complicaciones y trabajar para desarrollar un programa de seguridad de trabajar para desarrollar un programa de seguridad de informaciinformacióón que cumpla las necesidades individuales de n que cumpla las necesidades individuales de la organizacila organizacióónn

–– El Gerente de SI puede emplear ayuda de consultorEl Gerente de SI puede emplear ayuda de consultoríía a para desarrollar el plan de implementacipara desarrollar el plan de implementacióón o n o desarrollarlo internamente. En ambos casos, el plan de desarrollarlo internamente. En ambos casos, el plan de implementaciimplementacióón debe cubrir aspectos bn debe cubrir aspectos báásicos sicos incluyendo procesos, fincluyendo procesos, fíísicos, plataforma y redsicos, plataforma y red

Cultura que afecta al comportamiento del personal

Conocimiento de los modos en que la cultura y las diferencias culturales afectan al comportamiento del personal

El Gerente de SI debe saber que lo que es visto como razonable eEl Gerente de SI debe saber que lo que es visto como razonable en una n una cultura puede no ser aceptable in otra. Ademcultura puede no ser aceptable in otra. Ademáás las leyes en pas las leyes en paííses ses distintos restringen por ejemplo compartir informacidistintos restringen por ejemplo compartir informacióón de tipo personal. n de tipo personal. El Gerente de SI necesita saber estas complicaciones y trabajar El Gerente de SI necesita saber estas complicaciones y trabajar para para desarrollar un programa de seguridad de informacidesarrollar un programa de seguridad de informacióón que cumpla las n que cumpla las necesidades individuales de la organizacinecesidades individuales de la organizacióón.n.El Gerente de SI puede emplear ayuda de consultorEl Gerente de SI puede emplear ayuda de consultoríía para desarrollar el a para desarrollar el plan de implementaciplan de implementacióón o desarrollarlo internamente. En ambos casos, n o desarrollarlo internamente. En ambos casos, el plan de implementaciel plan de implementacióón debe cubrir aspectos bn debe cubrir aspectos báásicos incluyendo sicos incluyendo procesos, fprocesos, fíísicos, plataforma y redsicos, plataforma y red

El Gerente de seguridad de la información necesitan identificar la audiencia y quien será el afectado por estas actividades de seguridad de información, también debe trabajar con los departamentos legales y de recursos humanos para identificar conflictos y trabajar para solucionarlos.

El Gerente de SI puede emplear ayuda de consultorEl Gerente de SI puede emplear ayuda de consultoríía para desarrollar el a para desarrollar el plan de implementaciplan de implementacióón o desarrollarlo internamente. En ambos casos, n o desarrollarlo internamente. En ambos casos, el plan de implementaciel plan de implementacióón debe cubrir aspectos bn debe cubrir aspectos báásicos incluyendo sicos incluyendo procesos, fprocesos, fíísicos, plataforma y redsicos, plataforma y red

69


Convocatoria 2005


–– El Gerente de SI debe estar atento de algunos pEl Gerente de SI debe estar atento de algunos páárrafos de rrafos de la polla políítica de seguridad que pueden ser malinterpretados tica de seguridad que pueden ser malinterpretados por el personalpor el personal

–– Si las polSi las polííticas de Seguridad de la informaciticas de Seguridad de la informacióón no estn no estáán n definidas claramente, es posible que el personal va a definidas claramente, es posible que el personal va a evadir el cumplimientoevadir el cumplimiento

–– Es bueno demostrar a menudo los beneficios de una Es bueno demostrar a menudo los beneficios de una fuerte seguridad de informacifuerte seguridad de informacióón para ganar el apoyo del n para ganar el apoyo del personalpersonal

–– TambiTambiéén es efectiva una comunicacin es efectiva una comunicacióón regularn regular

Actividades que cambian cultura y comportamiento del personal

Conocimiento de Actividades que cambian cultura y comportamiento del personal

El Gerente de SI debe estar atento de algunos pEl Gerente de SI debe estar atento de algunos páárrafos de la polrrafos de la políítica de seguridad que tica de seguridad que pueden ser malinterpretados por el personal. Si las polpueden ser malinterpretados por el personal. Si las polííticas de Seguridad de la ticas de Seguridad de la informaciinformacióón no estn no estáán definidas claramente, es posible que el personal va a evadir en definidas claramente, es posible que el personal va a evadir el l cumplimientocumplimiento

Muchas veces, las polMuchas veces, las polííticas y procedimientos de seguridad de informaciticas y procedimientos de seguridad de informacióón se ven como n se ven como una burocracia excesiva y el personal puede intentar evadirlas euna burocracia excesiva y el personal puede intentar evadirlas en lugar de apoyarlas. El n lugar de apoyarlas. El Gerente de SI necesita estar atento de esta posibilidad y estar Gerente de SI necesita estar atento de esta posibilidad y estar seguro que tiene el seguro que tiene el apoyo de la gerencia apoyo de la gerencia seniorsenior y de que el programa de seguridad de informaciy de que el programa de seguridad de informacióón es n es fuerte.fuerte.

Solo demostrando los beneficios de una fuerte seguridad de inforSolo demostrando los beneficios de una fuerte seguridad de informacimacióón para ganar el n para ganar el apoyo del personal. Tambiapoyo del personal. Tambiéén es efectiva una comunicacin es efectiva una comunicacióón regular describiendo los n regular describiendo los casos de las organizaciones en las que los controles de seguridacasos de las organizaciones en las que los controles de seguridad han sido dd han sido déébiles y biles y las consecuencias que han tenido. Es mlas consecuencias que han tenido. Es máás fs fáácil que se cumplan cuando el personal cil que se cumplan cuando el personal entiende los beneficios de su aplicacientiende los beneficios de su aplicacióón.n.

70


Convocatoria 2005


Which choice would NOT be considered a benefit of employing incident-handling capability?

a. An individual acting alone would not be able to subvert a security process or control.

b. b. It enhances internal communications and the readiness of the organization to respond to incidents.

c. c. It assists an organization in preventing damage from future incidents.

d. d. Security training personnel would have a better understanding of users' knowledge of security issues.

Pregunta

Which choice would NOT be considered a benefit of employing incident-handling capability?

a. An individual acting alone would not be able to subvert a security process or control.

b. b. It enhances internal communications and the readiness of the organization to respond to incidents.

c. c. It assists an organization in preventing damage from future incidents.d. d. Security training personnel would have a better understanding of users' knowledge

of security issues.

The correct answer is a. The primary benefits of employing an incident-handling capability are containing and repairing damage from incidents and preventing future damage. Additional benefits related to establishing an incident-handling capability are the following:

Enhancement of the risk assessment process. An incident-handling capability will allow organizations to collect threat data that may be useful in their risk assessment and safeguard selection processes (for example, in designing new systems). Statistics on the numbers and types of incidents in the organization can be used in the risk assessment process as an indication of vulnerabilities and threats.

Enhancement of internal communications and the readiness of the organization to respond to any type of incident, not just computer security incidents. Internal communications will be improved, management will be better organized to receive communications, and contacts within public affairs, legal staff, law enforcement, and other groups will have been pre-established.

Securit

71


Convocatoria 2005


Métodos para la educación y formación en Concienciación de la Seguridad

El Gerente de seguridad de El Gerente de seguridad de InformaciInformacióón debe tener el n debe tener el conocimiento de diferentes tconocimiento de diferentes téécnicas cnicas para comunicar concienciacipara comunicar concienciacióón en n en seguridad a travseguridad a travéés de la formacis de la formacióón y n y la educacila educacióónn


El Gerente de seguridad de InformaciEl Gerente de seguridad de Informacióón debe tener el n debe tener el conocimiento de diferentes tconocimiento de diferentes téécnicas para comunicar cnicas para comunicar concienciaciconcienciacióón en seguridad a travn en seguridad a travéés de la formacis de la formacióón n y la educaciy la educacióón. Uno de los atributos claves que el n. Uno de los atributos claves que el gerente de seguridad de la informacigerente de seguridad de la informacióón debe emplear n debe emplear es el hecho que la informacies el hecho que la informacióón regular es necesaria n regular es necesaria para mantener la seguridad con el personal de la para mantener la seguridad con el personal de la organizaciorganizacióón.n.

El Gerente de Seguridad de la InformaciEl Gerente de Seguridad de la Informacióón debe n debe adoptar un enfoque metadoptar un enfoque metóódico para desarrollar e dico para desarrollar e implementar el programa de educaciimplementar el programa de educacióón y n y concienciaciconcienciacióón y necesita considerar varios aspectos n y necesita considerar varios aspectos incluyendo:incluyendo:

•¿Quien es la audiencia propuesta (gestión senior, gerentes negocio, Personal IT, usuarios)? •¿Cual es el mensaje pretendido (políticas, procedimientos, eventos recientes)?•¿Cuál es el resultado esperado (mejorar cumplimiento de las políticas, cambio de comportamiento, mejorar practicas)?•¿Qué método de comunicación se usará (reunión personal, intranet, noticias mail, etc.)?

72


Convocatoria 2005


El Gerente de Seguridad de la InformaciEl Gerente de Seguridad de la Informacióón n debe adoptar un enfoque metdebe adoptar un enfoque metóódico para dico para desarrollar e implementar el programa de desarrollar e implementar el programa de educacieducacióón y concienciacin y concienciacióón y necesita n y necesita considerar varios aspectos incluyendo:considerar varios aspectos incluyendo:

– ¿Quien es la audiencia propuesta (gestión senior, gerentes negocio, Personal IT, usuarios)?

– ¿Cual es el mensaje pretendido (políticas, procedimientos, eventos recientes)?

– ¿Cuál es el resultado esperado (mejorar cumplimiento de las políticas, cambio de comportamiento, mejorar practicas)?

– ¿Qué método de comunicación se usará (reunión personal, intranet, noticias mail, etc.)?


El Gerente de Seguridad de la InformaciEl Gerente de Seguridad de la Informacióón debe n debe adoptar un enfoque metadoptar un enfoque metóódico para desarrollar e dico para desarrollar e implementar el programa de educaciimplementar el programa de educacióón y n y concienciaciconcienciacióón y necesita considerar varios n y necesita considerar varios aspectos incluyendo:aspectos incluyendo:

•¿Quien es la audiencia propuesta (gestión senior, gerentes negocio, Personal IT, usuarios)? •¿Cual es el mensaje pretendido (políticas, procedimientos, eventos recientes)?•¿Cuál es el resultado esperado (mejorar cumplimiento de las políticas, cambio de comportamiento, mejorar practicas)?•¿Qué método de comunicación se usará (reunión personal, intranet, noticias mail, etc.)?

73


Convocatoria 2005


Which choice best describes the function of change control?

a. To ensure that system changes are implemented in an orderly manner

b. b. To guarantee that an operator is given only the privileges needed for the task

c. c. To guarantee that transaction records are retained in accordance with compliance requirements

d. d. To assign parts of security-sensitive tasks to more than one individual

Pregunta

Which choice best describes the function of change control?a. To ensure that system changes are implemented in an orderly mannerb. b. To guarantee that an operator is given only the privileges needed for the task

c. c. To guarantee that transaction records are retained in accordance with compliance requirements

d. d. To assign parts of security-sensitive tasks to more than one individual

The correct answer is a. Answer b describes "least privilege," answer c describes "record retention," and answer d describes "separation on duties."

74


Convocatoria 2005


–– Todos los empleados de la organizaciTodos los empleados de la organizacióón, y donde sea n, y donde sea relevante, los usuarios de terceras partes deben recibir relevante, los usuarios de terceras partes deben recibir una formaciuna formacióón apropiada y actualizaciones regulares de la n apropiada y actualizaciones regulares de la importancia de la seguridadimportancia de la seguridad

–– Esto incluye requerimientos de seguridad, Esto incluye requerimientos de seguridad, responsabilidades legales y controles de negocio, asresponsabilidades legales y controles de negocio, asíícomo formacicomo formacióón en el uso correcto de los sistemas de n en el uso correcto de los sistemas de informaciinformacióón como procedimientos de abrir sesin como procedimientos de abrir sesióón, uso de n, uso de paquetes software, etc.paquetes software, etc.


Todos los empleados de la organizaciTodos los empleados de la organizacióón, y donde sea relevante, los usuarios de n, y donde sea relevante, los usuarios de terceras partes deben recibir una formaciterceras partes deben recibir una formacióón apropiada y actualizaciones regulares de la n apropiada y actualizaciones regulares de la importancia de la seguridad. Esto incluye requerimientos de seguimportancia de la seguridad. Esto incluye requerimientos de seguridad, ridad, responsabilidades legales y controles de negocio, asresponsabilidades legales y controles de negocio, asíí como formacicomo formacióón en el uso n en el uso correcto de los sistemas de informacicorrecto de los sistemas de informacióón como procedimientos de abrir sesin como procedimientos de abrir sesióón, uso de n, uso de paquetes software, etc. Para nuevos empleados, esto debe realizapaquetes software, etc. Para nuevos empleados, esto debe realizarse antes de que los rse antes de que los servicios y permisos le sean establecidos. servicios y permisos le sean establecidos.

75


Convocatoria 2005


–– Mecanismos para mejorar la concienciaciMecanismos para mejorar la concienciacióón de la seguridad pueden n de la seguridad pueden incluir:incluir:

PolPolííticas y procedimientos de seguridad por escrito ( y ticas y procedimientos de seguridad por escrito ( y actualizaciones)actualizaciones)Formularios de confirmaciFormularios de confirmacióón de poln de polííticas firmados por los ticas firmados por los empleadosempleadosUso de diferentes medios para promulgar la seguridad Uso de diferentes medios para promulgar la seguridad (correos electr(correos electróónicos, Web, videos)nicos, Web, videos)EjecuciEjecucióón visible de las reglas de seguridadn visible de las reglas de seguridadIncidentes de seguridad simulados para mejorar los Incidentes de seguridad simulados para mejorar los procedimientos de seguridadprocedimientos de seguridadRecompensar a los empleados que informan de eventos Recompensar a los empleados que informan de eventos sospechosossospechososAuditorias periAuditorias perióódicasdicas


Mecanismos para mejorar la concienciaciMecanismos para mejorar la concienciacióón de la seguridad pueden incluir:n de la seguridad pueden incluir:

PolPolííticas y procedimientos de seguridad por escrito ( y ticas y procedimientos de seguridad por escrito ( y actualizaciones)actualizaciones)Formularios de confirmaciFormularios de confirmacióón de poln de polííticas firmados por los ticas firmados por los empleadosempleadosUso de diferentes medios para promulgar la seguridad (correos Uso de diferentes medios para promulgar la seguridad (correos electrelectróónicos, Web, videos)nicos, Web, videos)EjecuciEjecucióón visible de las reglas de seguridadn visible de las reglas de seguridadIncidentes de seguridad simulados para mejorar los Incidentes de seguridad simulados para mejorar los procedimientos de seguridadprocedimientos de seguridadRecompensar a los empleados que informan de eventos Recompensar a los empleados que informan de eventos sospechosossospechososAuditorias periAuditorias perióódicasdicas

76

Nota:Esta diapositiva presenta algunos de los términos usados y que pueden aparecer en el examen. Ya que el examen es en Ingles se deja su explicación en Ingles por si sirve de a ayuda a la persona que lo prepara. Existen más terminos en el manual que se deben de revisar si los alumnos no conocen su significado.

This slide introduces a few of the more commonly used terms likely to appear on the exam.Because understanding terminology is an important part of correclyanswering questions on the exam, it is recommended that the instructor gothrough these terms and others found on pages 123 – 126 in the CISM Review Manual 2004.

Application controls: Refer to the transactions and data relating to each computer-based application system and are therefore specific to each suchapplication. The objectives of application controls, which may be manual, or programmed, are to ensure the completeness and accuracy of the records and the validity of the entries made therein resulting from both manual and programmed processing. Examples of application controls include data input validation, agreement of batch totals and encryption of data transmitted. Copntrolesmanuales o automáticos que ayudan a confirmar la consecución y veracidad de los registros y la valided de las entradas realizadas en las aplicaciones.Monitoring policy: The rules outlining the way in which information is captured and interpreted. Las reglas que explican como la información es capturada e interpretada.Password cracker: Specialized security checker that tests user’s passwords, searching for passwords that are easy to guess by repeatedly trying words from specially crafted dictionaries. Failing that, many password crackers can brute force all possible combinations in a relatively short period of time with current desktop computer hardware. Sistema que puede probar claves de usuario hasta dar con la buena.P i i A li f h ff i f i d f h h


Convocatoria 2005


Glosario

•• Application controlsApplication controls•• ((ControlesControles de de AplicaciAplicacióónn))

•• Monitoring policyMonitoring policy•• PolPolííticatica de de monitorizacimonitorizacióónn•• Password crackerPassword cracker

•• ((RompedoraRompedora de claves)de claves)•• Penetration testingPenetration testing

•• ((PruebasPruebas de de intrusiintrusióónn))•• PrivacyPrivacy

77


Convocatoria 2005


The change management procedure MOST likely to The change management procedure MOST likely to cause concern to the information security manager cause concern to the information security manager is when:is when:A.A. fallback processes are tested the weekend fallback processes are tested the weekend immediately immediately

prior to when the changes are made.prior to when the changes are made.B. B. users are notified via electronic mail of major users are notified via electronic mail of major scheduled scheduled

system changes.system changes.C. C. a manual process is used by operations for comparing a manual process is used by operations for comparing program program

versions.versions.D. D. development managers have final authority for development managers have final authority for releasing new releasing new

programs into production.programs into production.

Pregunta

Las preguntas del examen CISM están creadas con las intención de medir y probar el conocimiento practico. Todas las preguntas con son de múltiple elección y están creadas para una respuesta correcta (o más correcta que el resto). Toda pregunta CISM tiene una pregunta y cuatro opciones. Al candidato se le indica que seleccione la mejor respuesta,. La pregunta puede estar en la forma de una sentencia incompleta o una pregunta. En algunos casos, se define el escenario de un problema para solucionarlo. En varios casos se le requiere al candidato que escoja la mejor o la menos mala de las respuestas. Es importante leer con detenimiento las preguntas y respuestas, eliminar las incorrectas y seleccionar la que se crea que es mejor.


The change management procedure MOST likely to cause concern to the information security manager is when:A. fallback processes are tested the weekend immediately prior to when the changes are made.B. users are notified via electronic mail of major scheduled system changes.C. a manual process is used by operations for comparing program versions.D. development managers have final authority for releasing new programs into production.

Suggested Answer: D

78


Convocatoria 2005


Pregunta

Which of the following would indicate thatWhich of the following would indicate thatan automated production scheduling systeman automated production scheduling systemhas inadequate security controls?has inadequate security controls?A.A. Control statements are frequently changed to point to test Control statements are frequently changed to point to test

librarieslibrariesB.B. Failure of a process will automatically initiate the resetting oFailure of a process will automatically initiate the resetting of f

parametersparametersC.C. Developers have read access to both production and test Developers have read access to both production and test

schedulesschedulesD.D. Scheduling personnel have the ability to initiate an emergency Scheduling personnel have the ability to initiate an emergency

overrideoverride


Which of the following would indicate that an automated productiWhich of the following would indicate that an automated production scheduling system on scheduling system has inadequate security controls?has inadequate security controls?

A. Control statements are frequently changed to point to test liA. Control statements are frequently changed to point to test librariesbrariesB. Failure of a process will automatically initiate the resettinB. Failure of a process will automatically initiate the resetting of parametersg of parametersC. Developers have read access to both production and test schedC. Developers have read access to both production and test schedulesulesD. Scheduling personnel have the ability to initiate an emergencD. Scheduling personnel have the ability to initiate an emergency overridey override

Suggested answer: ASuggested answer: A

79


Convocatoria 2005


When a trading partner who has access to the When a trading partner who has access to the corporate internal network refuses to follow corporate internal network refuses to follow corporate security policies, the information corporate security policies, the information security manager should initiate which of thesecurity manager should initiate which of thefollowing?following?

A.A. Revoke their accessRevoke their accessB.B. Provide minimal accessProvide minimal accessC.C. Send a breach of contract letterSend a breach of contract letterD.D. Contract the partnerContract the partner’’s external auditorss external auditors

Pregunta


When a trading partner who has access to the corporate internal When a trading partner who has access to the corporate internal network refuses to network refuses to follow corporate security policies, the information security manfollow corporate security policies, the information security manager should initiate which ager should initiate which of the following?of the following?

A. Revoke their accessA. Revoke their accessB. Provide minimal accessB. Provide minimal accessC. Send a breach of contract letterC. Send a breach of contract letterD. Contract the partner’s external auditorsD. Contract the partner’s external auditors

Suggested answer: BSuggested answer: B

80


Convocatoria 2005


Which of the following would be the BESTWhich of the following would be the BESTapproach when conducting a securityapproach when conducting a securityawareness campaign?awareness campaign?

A.A. Provide technical details on exploitsProvide technical details on exploitsB.B. Target system administrators and help deskTarget system administrators and help deskC.C. Provide customized messages for different groupsProvide customized messages for different groupsD.D. Target senior managers and business process ownersTarget senior managers and business process owners

Pregunta


Which of the following would be the BEST approach when conductinWhich of the following would be the BEST approach when conducting ag asecurity awareness campaign?security awareness campaign?

A. Provide technical details on exploitsA. Provide technical details on exploitsB. Target system administrators and help deskB. Target system administrators and help deskC. Provide customized messages for different groupsC. Provide customized messages for different groupsD. Target senior managers and business process ownersD. Target senior managers and business process owners

Suggested answer: C

81


Convocatoria 2005


Capitulo 4: Recapitulación

• DiscusiDiscusióón de grupon de grupo

•• PreguntasPreguntas

Este es el momento para resumir el material descrito en este capitulo y responder a las preguntas de los candidatos.

dominio4 comentarios

Education