Enviar búsqueda
Cargar
Gestión de la Seguridad de Información
•
0 recomendaciones
•
123 vistas
Título mejorado por IA
1
1 2d
Seguir
Educación
Denunciar
Compartir
Denunciar
Compartir
1 de 81
Descargar ahora
Descargar para leer sin conexión
Recomendados
Convocatoria: Asistente TIC UNLIREC
Convocatoria: Asistente TIC UNLIREC
Victoria Agapito
Trabajos de Los Alumnos de 3º 12 13
Trabajos de Los Alumnos de 3º 12 13
clarisa
Œuvres diffractées contemporaines et méandres de l'interprétation : du récit ...
Œuvres diffractées contemporaines et méandres de l'interprétation : du récit ...
René Audet
Frasa (2)
Frasa (2)
Pensil Dan Pemadam
Monjasb 1
Monjasb 1
fjgn1972
Business Bhaskar 14.09.2010
Business Bhaskar 14.09.2010
Hemant Beniwal, CFP Professional
Riot newspaper evaluation
Riot newspaper evaluation
Miz_A
Evolutionary Heuristic
Evolutionary Heuristic
Danila Medvedev
Recomendados
Convocatoria: Asistente TIC UNLIREC
Convocatoria: Asistente TIC UNLIREC
Victoria Agapito
Trabajos de Los Alumnos de 3º 12 13
Trabajos de Los Alumnos de 3º 12 13
clarisa
Œuvres diffractées contemporaines et méandres de l'interprétation : du récit ...
Œuvres diffractées contemporaines et méandres de l'interprétation : du récit ...
René Audet
Frasa (2)
Frasa (2)
Pensil Dan Pemadam
Monjasb 1
Monjasb 1
fjgn1972
Business Bhaskar 14.09.2010
Business Bhaskar 14.09.2010
Hemant Beniwal, CFP Professional
Riot newspaper evaluation
Riot newspaper evaluation
Miz_A
Evolutionary Heuristic
Evolutionary Heuristic
Danila Medvedev
Fraud Examination
Fraud Examination
leehai
Buscando Ayuda
Buscando Ayuda
Miguel Remigio
Syllabus informatica II B
Syllabus informatica II B
Cristina Pardo
IYF 2011 preliminary programme
IYF 2011 preliminary programme
European Youth Parliament - Georgia
[AyoCariRumah.Com] Tabloid ProBiz Edisi 14, Peluang Investasi Property di Lua...
[AyoCariRumah.Com] Tabloid ProBiz Edisi 14, Peluang Investasi Property di Lua...
Bursa Jual Beli Rumah
Rio de Janeiro visto do céu!
Rio de Janeiro visto do céu!
Move to Junk
Business case for equality & diversity within the prison service may 2012
Business case for equality & diversity within the prison service may 2012
Celia Sweeney
XPS Brochure (Inside)
XPS Brochure (Inside)
JesterVII
Rio De Janeiro E Suas Pedras
Rio De Janeiro E Suas Pedras
José Roberto Cordeiro
Syllabus Intermediate
Syllabus Intermediate
cyutafl
Symantec Upgrade
Symantec Upgrade
ArmRebel
Rio Tinto Climate Change Policy 2008
Rio Tinto Climate Change Policy 2008
Carbon Exchange (Hong Kong) Limited
Dominio3
Dominio3
1 2d
iso-iec 27001 implementer certified
iso-iec 27001 implementer certified
CristinaMenesesMonte
IMPLEMENTADOR LIDER ISO 27001
IMPLEMENTADOR LIDER ISO 27001
CONSULTORES & AUDITORES EN GESTION S.A.S
Dominio5
Dominio5
1 2d
Seguridaddela informacion
Seguridaddela informacion
hvillas
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
carlosandres865046
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
Cuidando mi Automovil
Seguridad informática
Seguridad informática
Jon Echanove
Seguridad informática
Seguridad informática
Nacor Bea Galán
Curso de Seguridad de la Informacion
Curso de Seguridad de la Informacion
cautio
Más contenido relacionado
Destacado
Fraud Examination
Fraud Examination
leehai
Buscando Ayuda
Buscando Ayuda
Miguel Remigio
Syllabus informatica II B
Syllabus informatica II B
Cristina Pardo
IYF 2011 preliminary programme
IYF 2011 preliminary programme
European Youth Parliament - Georgia
[AyoCariRumah.Com] Tabloid ProBiz Edisi 14, Peluang Investasi Property di Lua...
[AyoCariRumah.Com] Tabloid ProBiz Edisi 14, Peluang Investasi Property di Lua...
Bursa Jual Beli Rumah
Rio de Janeiro visto do céu!
Rio de Janeiro visto do céu!
Move to Junk
Business case for equality & diversity within the prison service may 2012
Business case for equality & diversity within the prison service may 2012
Celia Sweeney
XPS Brochure (Inside)
XPS Brochure (Inside)
JesterVII
Rio De Janeiro E Suas Pedras
Rio De Janeiro E Suas Pedras
José Roberto Cordeiro
Syllabus Intermediate
Syllabus Intermediate
cyutafl
Symantec Upgrade
Symantec Upgrade
ArmRebel
Rio Tinto Climate Change Policy 2008
Rio Tinto Climate Change Policy 2008
Carbon Exchange (Hong Kong) Limited
Destacado
(12)
Fraud Examination
Fraud Examination
Buscando Ayuda
Buscando Ayuda
Syllabus informatica II B
Syllabus informatica II B
IYF 2011 preliminary programme
IYF 2011 preliminary programme
[AyoCariRumah.Com] Tabloid ProBiz Edisi 14, Peluang Investasi Property di Lua...
[AyoCariRumah.Com] Tabloid ProBiz Edisi 14, Peluang Investasi Property di Lua...
Rio de Janeiro visto do céu!
Rio de Janeiro visto do céu!
Business case for equality & diversity within the prison service may 2012
Business case for equality & diversity within the prison service may 2012
XPS Brochure (Inside)
XPS Brochure (Inside)
Rio De Janeiro E Suas Pedras
Rio De Janeiro E Suas Pedras
Syllabus Intermediate
Syllabus Intermediate
Symantec Upgrade
Symantec Upgrade
Rio Tinto Climate Change Policy 2008
Rio Tinto Climate Change Policy 2008
Similar a Gestión de la Seguridad de Información
Dominio3
Dominio3
1 2d
iso-iec 27001 implementer certified
iso-iec 27001 implementer certified
CristinaMenesesMonte
IMPLEMENTADOR LIDER ISO 27001
IMPLEMENTADOR LIDER ISO 27001
CONSULTORES & AUDITORES EN GESTION S.A.S
Dominio5
Dominio5
1 2d
Seguridaddela informacion
Seguridaddela informacion
hvillas
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
carlosandres865046
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
Cuidando mi Automovil
Seguridad informática
Seguridad informática
Jon Echanove
Seguridad informática
Seguridad informática
Nacor Bea Galán
Curso de Seguridad de la Informacion
Curso de Seguridad de la Informacion
cautio
Presentacion 2
Presentacion 2
Angela Gutierrez Vilca
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
Equipo3 presentacion2 cobit
Equipo3 presentacion2 cobit
Francisco Franck
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
EXIN
Qué seguridad ofrece la nube para preservar
Qué seguridad ofrece la nube para preservar
Andres Saavedra
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
Modernizacion y Gobierno Digital - Gobierno de Chile
2016 programacion hlc
2016 programacion hlc
Manuel José Castelo Ponce
Control interno informático
Control interno informático
Juan Moreno
Taller - Mejorando la competencia digital del centro educativo con Joomla [JD...
Taller - Mejorando la competencia digital del centro educativo con Joomla [JD...
VELMATRIS - SECONTIC
Catálogo Cursos 2014
Catálogo Cursos 2014
Áudea Seguridad de la Información
Similar a Gestión de la Seguridad de Información
(20)
Dominio3
Dominio3
iso-iec 27001 implementer certified
iso-iec 27001 implementer certified
IMPLEMENTADOR LIDER ISO 27001
IMPLEMENTADOR LIDER ISO 27001
Dominio5
Dominio5
Seguridaddela informacion
Seguridaddela informacion
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
Seguridad informática
Seguridad informática
Seguridad informática
Seguridad informática
Curso de Seguridad de la Informacion
Curso de Seguridad de la Informacion
Presentacion 2
Presentacion 2
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Equipo3 presentacion2 cobit
Equipo3 presentacion2 cobit
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
Qué seguridad ofrece la nube para preservar
Qué seguridad ofrece la nube para preservar
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
2016 programacion hlc
2016 programacion hlc
Control interno informático
Control interno informático
Taller - Mejorando la competencia digital del centro educativo con Joomla [JD...
Taller - Mejorando la competencia digital del centro educativo con Joomla [JD...
Catálogo Cursos 2014
Catálogo Cursos 2014
Más de 1 2d
Notas clase
Notas clase
1 2d
Notas clase java ii
Notas clase java ii
1 2d
J2me
J2me
1 2d
6. control de acceso
6. control de acceso
1 2d
5. administracioìn de claves y certificados
5. administracioìn de claves y certificados
1 2d
4. certificados digitales
4. certificados digitales
1 2d
3. boletines de mensajes y firmas digitales
3. boletines de mensajes y firmas digitales
1 2d
2. criptografiìa con java
2. criptografiìa con java
1 2d
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad
1 2d
1046 pdfsam opos informatica
1046 pdfsam opos informatica
1 2d
1203 pdfsam opos informatica
1203 pdfsam opos informatica
1 2d
878 pdfsam opos informatica
878 pdfsam opos informatica
1 2d
516 pdfsam opos informatica
516 pdfsam opos informatica
1 2d
1704 pdfsam opos informatica
1704 pdfsam opos informatica
1 2d
1893 pdfsam opos informatica
1893 pdfsam opos informatica
1 2d
516 pdfsam opos informatica
516 pdfsam opos informatica
1 2d
706 pdfsam opos informatica
706 pdfsam opos informatica
1 2d
330 pdfsam opos informatica
330 pdfsam opos informatica
1 2d
1 pdfsam opos informatica
1 pdfsam opos informatica
1 2d
1379 pdfsam opos informatica
1379 pdfsam opos informatica
1 2d
Más de 1 2d
(20)
Notas clase
Notas clase
Notas clase java ii
Notas clase java ii
J2me
J2me
6. control de acceso
6. control de acceso
5. administracioìn de claves y certificados
5. administracioìn de claves y certificados
4. certificados digitales
4. certificados digitales
3. boletines de mensajes y firmas digitales
3. boletines de mensajes y firmas digitales
2. criptografiìa con java
2. criptografiìa con java
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad
1046 pdfsam opos informatica
1046 pdfsam opos informatica
1203 pdfsam opos informatica
1203 pdfsam opos informatica
878 pdfsam opos informatica
878 pdfsam opos informatica
516 pdfsam opos informatica
516 pdfsam opos informatica
1704 pdfsam opos informatica
1704 pdfsam opos informatica
1893 pdfsam opos informatica
1893 pdfsam opos informatica
516 pdfsam opos informatica
516 pdfsam opos informatica
706 pdfsam opos informatica
706 pdfsam opos informatica
330 pdfsam opos informatica
330 pdfsam opos informatica
1 pdfsam opos informatica
1 pdfsam opos informatica
1379 pdfsam opos informatica
1379 pdfsam opos informatica
Último
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
danalikcruz2000
Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
Maestría en Comunicación Digital Interactiva - UNR
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
Martín Ramírez
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Manuel Molina
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdf
romanmillans
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
fcastellanos3
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
YeseniaRivera50
Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024
IES Vicent Andres Estelles
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parte
Juan Hernandez
VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _
Colégio Santa Teresinha
PPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptx
https://gramadal.wordpress.com/
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
gustavorojas179704
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
CESARMALAGA4
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
lclcarmen
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
José Luis Palma
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
veganet
PPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdf
EDILIAGAMBOA
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdf
samyarrocha1
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
EDUCCUniversidadCatl
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
JUANSIMONPACHIN
Último
(20)
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
c3.hu3.p1.p3.El ser humano como ser histórico.pptx
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdf
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parte
VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _
PPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptx
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
PPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdf
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdf
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
Gestión de la Seguridad de Información
1.
Convocatoria 2005
Preparación examen CISM Dominio 4 Gestión de la Seguridad de Información © Fundación DINTEL DOMINIO 4 © Oscar Díez, 2005
2.
Convocatoria 2005
Dominio 4 - Objetivo Dar al candidato a CISM un conocimiento de como: “Supervisar y dirigir las actividades de seguridad de Información para ejecutar el programa de seguridad de Información” © Fundación DINTEL DOMINIO 4 – Pág. 2 © Oscar Díez, 2005 Dominio 4 - Objetivo El objetivo de esta área es focalizarse en las tareas y el conocimiento necesario para que el Gerente de Seguridad de la Información pueda gestionar de manera eficiente la seguridad de la información dentro de la información. Una descripción de varias técnicas que el gerente de seguridad puede usar y las áreas en que debe enfocarse se discutirán en este dominio.
3.
Convocatoria 2005
Dominio 4 - Tareas • Asegurar que las reglas de uso de los sistemas de información cumplen con las políticas de seguridad de informació polí información de la Empresa. informació • Asegurar que los procedimientos administrativos para los sistemas de Información cumplen con las políticas de Informació polí seguridad de la empresa. • Asegurar que los servicios facilitados por otras compañías compañías incluyendo los proveedores externos son consistentes con las políticas de seguridad establecidas. polí • Utilizar métricas para medir, monitorizar y reportar de la mé eficacia y eficiencia de los controles de seguridad de Información y el cumplimiento con las políticas de seguridad Informació polí de la Información. Informació © Fundación DINTEL DOMINIO 4 – Pág. 3 © Oscar Díez, 2005 Para poder supervisar y dirigir las actividades de Seguridad de Información para ejecutar el programa de seguridad de Información, el gerente de seguridad de Información debe realizar las siguientes tareas. •Asegurar que las reglas de uso de los sistemas de información cumplen con las cumplen políticas de seguridad de información de la Empresa. •Asegurar que los procedimientos administrativos para los sistemas de sistemas Información cumplen con las políticas de seguridad de la empresa. empresa. •Asegurar que los servicios facilitados por otras compañías incluyendo los incluyendo proveedores externos son consistentes con las políticas de seguridad seguridad establecidas. •Utilizar métricas para medir, monitorizar y reportar de la eficacia y eficiencia de eficacia los controles de seguridad de Información y el cumplimiento con las políticas de seguridad de la Información.
4.
Convocatoria 2005
Dominio 4 - Tareas • Asegurar que la Seguridad de Información no está comprometida a lo largo del proceso de gestión de cambio. • Asegurar que evaluaciones de vulnerabilidades son realizadas para evaluar la efectividad de los controles existentes. • Asegurar que los incumplimientos y otras variantes son resultas en una forma oportuna. • Asegura que el desarrollo y entrega de las actividades que pueden influenciar la cultura y comportamiento de la plantilla incluyendo educación y concienciación de la seguridad de Información © Fundación DINTEL DOMINIO 4 – Pág. 4 © Oscar Díez, 2005 Continuación de las tareas. •Asegurar que la Seguridad de Información no está comprometida a lo largo del proceso de gestión de cambio. •Asegurar que evaluaciones de vulnerabilidades son realizadas para evaluar la para efectividad de los controles existentes. •Asegurar que los incumplimientos y otras variantes son resultas en una forma oportuna. •Asegura que el desarrollo y entrega de las actividades que pueden influenciar la cultura pueden y comportamiento de la plantilla incluyendo educación y concienciación de la seguridad concienciación de Información
5.
Convocatoria 2005
Dominio 4 - Resumen Este Dominio representa aproximadamente el 24% del examen CISM, lo que supone aproximadamente 48 preguntas del examen. © Fundación DINTEL DOMINIO 4 – Pág. 5 © Oscar Díez, 2005 Este Dominio representa aproximadamente el 24% del examen CISM, lo que supone aproximadamente 48 preguntas del examen. examen.
6.
Convocatoria 2005
Dominio 4 - Recursos • Manuales – CISM Review Manual (ISACA) – The CISM Prep Guide (John Wiley & Sons) • Recursos Web – http://www.leuthard.ch/cism/ , www.isaca.org • Preguntas – InfoSecAfrica / CISM / Trandumper © Fundación DINTEL DOMINIO 4 – Pág. 6 © Oscar Díez, 2005 Recursos Existen varios recursos disponibles. Como siempre el mejor es el manual CISM de la isaca, que es el que contiene todo el isaca, temario que va a entrar y está preparado por ISACA, que son los que hacen el examen. Otro manual es el CISM Prep Guide, más detallado que el anterior y con más preguntas. Guide, Respecto a los recursos en la web está la web de la propia ISACA, pero también la web http://www.leuthard.ch/cism en donde podemos encontrar muchos enlaces a otros recursos http://www.leuthard.ch/ Para las preguntas, podemos encontrar en los recursos antes citados muchas preguntas con citados respuestas y explicaciones. Por ejemplo, existe en la web http://www.leuthard.ch/cism un http://www.leuthard.ch/ conjunto de 200 preguntas de forma gratuita. Además se puede adquirir en la web de ISACA el cd adquirir con preguntas de ejemplo del examen CISM.
7.
Programa Formativo para
el EXAMEN CISM Convocatoria 2005 Consejos Examen • Conocer bien los dominios. • Recuerda los dominios. • Conoce como realizar el test. • Tomate tu tiempo, pero no lo malgastes. • Lee, lee y después lee un poco más las preguntas. • Realiza exámenes de prueba • Cuidado al responder , que la respuesta coincida • Marca las preguntas que te saltas • Tomate un respiro • Escucha a tus padres (descansa antes y estudia) • ¿Ingles o Castellano? © Fundación DINTEL DOMINIO 4 – Pág. 7 © Oscar Díez, 2005 Los principales consejos a la hora de preparar cualquier examen de TEST como CISA o CISM son: -Conocer bien los dominios. El examen cubre una gran cantidad de información sobre el mundo de Informática, como aprenderse todo esto es prácticamente imposible, lo mejor es centrarse en lo que tenemos en los distintos dominios. -Recuerda los dominios. Es importante al hacer el examen recordar que incluye cada dominio y ver en que dominio encaja la pregunta a la que nos enfrentamos, de esta forma, sabiendo el dominio, podremos descartar una o dos de las respuestas que no tienen que ver con ese dominio. -Conoce como realizar el test. Todas las preguntas son de una sola respuesta correcta, con cuatro opciones, y las incorrectas no restan. Por eso debes contestar todas y no dejar ninguna en blanco, esto te supone ya el 25%. Lee la pregunta y piensa una respuesta correcta antes de leer las respuestas, y busca esa respuesta entre las que dan a elegir. Se trata de escoger la más correcta de entre las que nos dan, que puede ser la más directa, la más específica. Si no puedes escoger la correcta, vete descartando las que creas que son erroneas hasta quedarte con las que creas que más se aproxima a lo que debería ser. -Tomate tu tiempo, pero no lo malgastes. Con 200 preguntas en 4 horas, por lo que tienes poco más de un minuto por pregunta, en algunas gastarás menos, pero en otras más, si ves que una no lo tienes claro, continua adelante y déjala para el final por si sobra tiempo, pero no te olvides de marcar las que ya has descartado de esa pregunta para no volver a gastar tiempo en algo que ya hiciste. -Lee, lee y después lee un poco más las preguntas. La mayoría de las veces que fallamos una pregunta es por no leer bien el enunciado. En estos exámenes juegan mucho con preguntas que parecen una cosa, pero leyéndolas detenidamente tienen un significado opuesto. Es muy importante leer varias veces la pregunta hasta tener claro lo que nos preguntan. -Realiza exámenes de prueba. La mejor forma de prepararte el examen es realizando examenes de prueba, practicas, etc.. -Cuidado al responder , que la respuesta coincida. No cometas el fallo de responder en la hoja de respuestas en la casilla equivocada, comprueba siempre que respondas que la casilla de la pregunta se corresponde con la respuesta. -Marca las preguntas que te saltas. Márcalas y déjalas para más adelante. También marca si ya has descartado alguna de las preguntas para no tenerlas en cuanta cuando las vuelvas a repasar. -Tomate un respiro. 4 horas concentrado se hace muy largo y a veces es mejor hacer una pequeña pausa y relajarse un poco antes de continuar con el resto. Puedes llevar comida y tendrás bebida en la sala. -Escucha a tus padres (descansa antes y estudia). Lo que se debe hacer es estudiar, no vamos a aprobar el examen sin habernos estudiado el manual y haber realizado examenes previamente. Otro consejo básico es descansar el día antes del examen, es preferible estudiar 5 horas menos e ir relajado al examen que pasarse la noche anterior estudiando e intentar hacer el examen fatigado, ya que para la mayoría de las preguntas debemos estar al 100%. -¿Ingles o Castellano?. Es importante que decidamos lo antes posible el lenguaje en que queremos realizar el examen. Personalmente recomiendo si no se tiene un alto nivel de ingles realizarlo en Castellano, ya que hay muchas preguntas que utilizan doble negación o dobles sentidos para intentar engañarnos y si no se domina el idioma esto es muy dificil. Tip #1: Know the Domains CertCities.com The CISA exam covers a wide range of information from the common body of knowledge (CBK). The CBK is the vast expanse of knowledge and information available out there in the world about IT Audit and related issues. To narrow the field a bit, the CISA exam focuses on the domains from the CBK. You'll need to know several dozen specific items, topics, keywords and concepts from each domain. There's a lot of overap between the domains, but keep in mind the general "flavor" or "feeling" of each domain so you'll understand the aspect, perspective or application of duplicated topics. Tip #2: Remember the Domains When you are taking the exam, think about which of the domains each question falls into. Often, if you can determine the domain the question is focusing on, you can quickly eliminate one or two answers as being incorrect. Or it may highlight the correct answer between two or more possible answers. A topic in one domain will have a different twist than the same topic in another domain, so being familiar with the domains and being able to recognize the domain focus of question will benefit you on the exam. Tip #3: Know How To Take a Test All of the questions on this exam are single-answer, multiple-choice questions with four answer selections. Because wrong answers don't substract from your score, it's in your best interest to answer every question -- even if you guess blindy, you'll have a 25 percent chance of selecting the correct answer. However, you can usually improve those odds with a bit of clear thinking. First, read the question once and think of a valid answer in
8.
Convocatoria 2005
Dominio 4 – Visión General Un proceso de gestión de Seguridad de Información requiere compromiso y soporte de la gestión senior. La gestión debe demostrar un compromiso con la seguridad. Los gerentes muestran este compromiso mediante su aprobación y apoyo a políticas de seguridad formales, apoyando la concienciación de seguridad y la formación de forma financiera. Esto puede requerir formación especializada de nivel gerencial, ya que la seguridad no es necesariamente una parte de experiencia de gestión. © Fundación DINTEL DOMINIO 4 – Pág. 8 © Oscar Díez, 2005 Un proceso efectivo de Gestión de seguridad de información requiere compromiso y soporte de la gestión senior. La gestión debe demostrar su compromiso aprobando y respaldándole de forma clara las políticas de seguridad, respaldando la concienciación de la seguridad y la formación por medio de apoyo financiero. Esto puede requerir formación especial a nivel de gerencia, ya que la seguridad no tiene por que necesariamente parte del dominio de la gestión. Las políticas de seguridad y los procedimientos deben ser revisados regularmente, reflejar los objetivos del negocio, las regulaciones legales y una estrategia basada en riesgos para identificar que recursos de información críticos y sensibles deben usarse. Por ello, debe haber un conocimiento claro de riesgos y amenazas, y las medidas apropiadas a tomar para mitigar esos riesgos y los riesgos residuales que queden deben estar a un nivel aceptable. Todas las excepciones a los procedimientos y políticas debido a limitaciones del sistema o de las aplicaciones deben estar claramente documentados y aprobados. Los procemientos administrativos para acceso a sistemas deben alinearse a las políticas de seguridad de información de la compañía. El acceso al sistema es la habilidad de hacer uso de un recurso informático. Normalmente esto se refiere a una habilidad tecnica, por ejemplo, la habilidad de leer, crear, modificar o borrar un fichero, programa o utilizar una conexión externa. Todos los empleados de una organización y , donde sea relevante, usuarios de terceras partes deben recibir formación apropiada y actualizaciones regulares en la importancia de la seguridad en las políticas y procedimiento de la organización. Esto incluye requerimientos de seguridad, responsabilidades legales y controles de negocio, así como formación en el correcto uso de las facilidades de procesamiento de información (procedmientos de inicio de sesión, uso de paquetes software). Para nuevos empleados, esto debe ocurrir antes de tener acceso a la información o a los servicios.
9.
Convocatoria 2005
Reglas del uso de sistemas de Información Tarea 1: Asegurar que las reglas del uso de sistemas de Información cumple con las políticas de seguridad de Información de la compañía. Un estándar mínimo de reglas de uso son necesarias para proteger la información crítica. El uso de red segura puede incluir varias reglas del uso como son: • Compartir ficheros en la red • Uso correcto de Sistemas Operativos (Linux, etc.) • Software Peer to peer (Kazaa, Morpheus, etc.) • Infracción de reglas de copyright • Clave de cuenta segura © Fundación DINTEL DOMINIO 4 – Pág. 9 © Oscar Díez, 2005 Tarea 1: Asegurar que las reglas del uso de sistemas de Información cumple con Informació las políticas de seguridad de Información de la compañía. polí Informació compañía. Varias reglas de uso y recomendaciones generales de seguridad deben existir en cualquier organización bien gestionada. Estas reglas de uso son el estandar mínimo que la organización ha definido como necesarias para proteger su información crítica. El uso seguro de la red puede incluir varias reglas de uso incluyendo: •Compartición de Ficheros en la red •Uso correcto del sistema operativo (UNIX, Linux, Windows, etc.) •Software Peer-to-peer (emule, kazaa, etc…) •Infracción del copyright •Seguridad de claves de cuentas. El gerente de seguridad de información debe asegurarse que los procedimientos operativos cumplan con las políticas de seguridad de la compañía. El gerente de seguridad de la información puede conseguir este objetivo de forma objetiva a través del proceso de la gestión de cambio de la organización. Considerando las implicaciones de seguridad durante el proceso de gestión de cambio ayudarán a asegurar que las modificaciones al sistema de información cumplen con las políticas de seguridad de información y que no se introducen por error vulnerabilidades en el sistema.
10.
Convocatoria 2005
Reglas del uso de sistemas de Información El gerente de seguridad de sistemas de información debe hacer cumplir estos procedimientos utilizando varios medios incluyendo el proceso de gestión de cambios. © Fundación DINTEL DOMINIO 4 – Pág. 10 © Oscar Díez, 2005 El gerente de seguridad de sistemas de información debe hacer cumplir estos procedimientos utilizando varios medios incluyendo el proceso de gestión de cambios.
11.
Convocatoria 2005
Reglas de uso de Sistemas de Información Otras reglas comunes de uso incluyen: • Reglas de uso de Internet • Reglas de uso del Correo Electrónico • Reglas de uso de Aplicaciones • Reglas de uso de la red El gerente de seguridad de la información debe estar implicado en el desarrollo de estas reglas de uso para asegurar que cumplen con las políticas de seguridad de infiormación de la organización. © Fundación DINTEL DOMINIO 4 – Pág. 11 © Oscar Díez, 2005 Otras reglas comunes de uso incluyen: Reglas de uso de Internet Reglas de uso del Correo Electrónico Reglas de uso de Aplicaciones Reglas de uso de la red El gerente de seguridad de la información debe estar implicado en el desarrollo de informació estas reglas de uso para asegurar que cumplen con las políticas de seguridad de polí infiormación de la organización. infiormació organizació
12.
Convocatoria 2005
Pregunta A contract between a customer and provider that specifies a minimum level of service that will be supplied by the provider is called a: a. Quality of service agreement b. Service level agreement c. Measured service agreement d. Service legal agreement © Fundación DINTEL DOMINIO 4 – Pág. 12 © Oscar Díez, 2005 A contract between a customer and provider that specifies a minimum level of service that will be supplied by the provider is called a: a. Quality of service agreement b. Service level agreement c. Measured service agreement d. Service legal agreement The correct answer is b. The other answers are distracters.
13.
Convocatoria 2005
Reglas de uso de Sistemas de Información Para asegurar que las reglas de uso de los sistemas de información cumplen con las políticas de seguridad de la organización el Gerente de Seguridad de Información debe tener conocimiento de: • Interpretar las políticas de Seguridad de la Información de una forma funcional. © Fundación DINTEL DOMINIO 4 – Pág. 13 © Oscar Díez, 2005 Para asegurar que las reglas de uso de los sistemas de información información cumplen con las políticas de seguridad de la organización el Gerente de Gerente Seguridad de Información debe tener conocimiento de:de: Interpretar las políticas de Seguridad de la Información de una forma funcional. polí Informació
14.
Convocatoria 2005
Interpretando las políticas de Seguridad – Las políticas de seguridad y los procedimientos son inútiles si no se ponen en funcionamiento – El Gerente de Seguridad de Información debe: Tener una buena perspectiva del negocio Entender los riesgos de los recursos de información de la organización Interpretar las políticas de seguridad de Información Implementar los controles de seguridad que consideren todos estos aspectos © Fundación DINTEL DOMINIO 4 – Pág. 14 © Oscar Díez, 2005 El conocimiento para interpretar las políticas de Seguridad de Información para uso funcional: El Gerente de seguridad debe tener un buen conocimiento de los objetivos de negocio de la organización de forma que las políticas de seguridad puedan ser llevadas a uso operacional. Las políticas de seguridad y los procedimientos son inútiles si no son documentados y no son puestos en funcionamiento. Sin embargo, las políticas que son muy restrictivas y no permiten a la organización cumplir sus objetivos de negocio y restringen acceso a los recursos de información de forma estricta se deben poner a un lado rápidamente. El Gerente de seguridad de Información, por tanto, debe tener una buena perspectiva del negocio, conocer los riesgos de los recursos de información de la organización, interpretar las políticas de Seguridad de información, e implementar controles de seguridad que consideren todos estos aspectos. Muchos Gerentes de Seguridad de Información usan la aproximación de coste- beneficio y gestionan cuidadosamente la implementación de las políticas de seguridad en uso operacional. Aquí es donde el conocimiento del negocio del Gerente de seguridad de Información es necesario de forma que el beneficio y operación del negocio sea defendido, incluso cuando los mejores controles de seguridad no sean empleados.
15.
Convocatoria 2005
Procedimientos administrativos para SI Tarea 2: Asegurar que los procedimientos administrativos para los sistemas de información cumplan con las políticas de seguridad de la empresa – El gerente de seguridad de la información debe trabajar con los informació Gerentes de sistemas de la información y de aplicaciones para informació asegurar que los procedimientos administrativos para los sistemas de información cumplen con las políticas de seguridad informació polí de la empresa. Los procedimientos administrativos también tambié incluyen procesos como solicitudes, autorización y creación de autorizació creació usuarios, revisiones regulares, y cambios o terminaciones de empleados. – Estos procedimientos de administración pueden ser cambiados administració manualmente o mediante técnicas automatizadas. té © Fundación DINTEL DOMINIO 4 – Pág. 15 © Oscar Díez, 2005 Tarea 2: Asegurar que los procedimientos administrativos para los los sistemas de información cumplan con las políticas de seguridad de la informació polí empresa El gerente de seguridad de la información debe trabajar con los Gerentes de sistemas informació de la información y de aplicaciones para asegurar que los procedimientos informació administrativos para los sistemas de información cumplen con las políticas de seguridad informació polí de la empresa. Por ejemplo, si un usuario de una aplicación solicita una clave distinta, aplicació los parámetros de esa clave debe cumplir con las políticas de seguridad. Parámetros pará polí Pará como el tamaño, que sea única Los procedimientos administrativos también incluyen tamañ tambié procesos como solicitudes, autorización y creación de usuarios, revisiones regulares, y autorizació creació penalizar el cambio de contraseñas son ejemplos de cómo el procedimiento de contraseñ có administración de claves necesita cumplir con las políticas de seguridad de información administració polí informació Los procedimientos de administración también incluyen procesos como solicitudes, administració tambié autorización y creación de un user ID, revisión general, terminación y transferencia de autorizació creació revisió terminació personal. Estos procedimientos de administración pueden ser cambiados manualmente administració o mediante técnicas automatizadas, pero estos procesos deben cumplir con las té políticas de Seguridad de Información de la compañía. polí Informació compañía.
16.
Convocatoria 2005
Pregunta Which choice is an accurate statement about the difference between monitoring and auditing? – a. Monitoring is a one-time event to evaluate security. – b. A system audit is a ongoing "real-time" activity that examines the system. – c. A system audit cannot be automated. – d. Monitoring is an ongoing activity that examines either the system or the users. © Fundación DINTEL DOMINIO 4 – Pág. 16 © Oscar Díez, 2005 Which choice is an accurate statement about the difference between monitoring and auditing? a. Monitoring is a one-time event to evaluate security. b. A system audit is a ongoing "real-time" activity that examines the system. c. A system audit cannot be automated. d. Monitoring is an ongoing activity that examines either the system or the users. The correct answer is d. System audits and monitoring are the two methods organizations use to maintain operational assurance. Although the terms are used loosely within the computer security community, a system audit is a one-time or periodic event to evaluate security, whereas monitoring refers to an ongoing activity that examines either the system or the users. In general, the more "real-time" an activity is, the more it falls into the category of monitoring.
17.
Convocatoria 2005
Procedimientos administrativos para SI Para asegurar que los procedimientos administrativos de sistemas de información cumplen con las políticas de seguridad, el Gerentes de seguridad de la Información debe tener conocimiento de:: • Los procedimientos administrativos y procesos de seguridad de información © Fundación DINTEL DOMINIO 4 – Pág. 17 © Oscar Díez, 2005 Para asegurar que los procedimientos administrativos de sistemas de información cumplen con las políticas de seguridad, el Gerentes de seguridad de la Información debe tener conocimiento de:: •Los procedimientos administrativos y procesos de seguridad de información información
18.
Convocatoria 2005
Procedimientos administrativos para SI – Los procesos de administración de seguridad están administració está continuamente siendo automatizados y muchas de las actividades que tienen que ver con conceder permisos de autoridad a los empleados son realizados por aplicaciones – Normalmente los responsables de los recursos de información informació usan aplicaciones para solicitar que den permisos a los empleados – Las solicitudes son aprobadas y las tareas que implican conceder los permisos de seguridad son realizas automáticamente, y la actividad es guardada en un log. automá log. – Mientras la respuesta es mejorada, el riesgo se incrementa. – El gerente de seguridad de Información debe diseñar y utilizar Informació diseñ medidas para los procesos de administración de seguridad y administració procedimientos para monitorizar la actividad. © Fundación DINTEL DOMINIO 4 – Pág. 18 © Oscar Díez, 2005 Conocimientos de los procesos y procedimientos de seguridad de las información El Gerente de seguridad de la información debe entender los diversos procesos y procedimientos de seguridad de la información que una organización puede emplear. La administración de la seguridad es una parte importante para mantener el programa de seguridad global y de por eso el Gerente de seguridad de la información debe entender sus varios componentes. Los procesos de administración de seguridad están continuamente siendo automatizados y muchas de las actividades implicadas en dar permisos a los empleados son realizados mediante aplicaciones de seguridad. Normalmente los responsables de los recursos de información utilizan aplicaciones para solicitar los permisos para los empleados. La solicitud es entonces aprobada y las tareas implicadas en conceder permisos son realizadas automáticamente. Todas estas actividades son guardadas en un log. Mientras esto incrementa responsabilidad, los riesgos implicados en la autentificación de la parte responsable y el buen uso de los accesos de seguridad debe ser considerado y conseguidos por el Gerente de seguridad de Información. El Gerente de seguridad de Información también debe diseñar y emplear medidas para los procesos y procedimientos de seguridad con objeto de monitorizar la actividad.
19.
Convocatoria 2005
Proveedores Outsourcing Tarea 3: Asegurar que los servicios que proveen otras empresas incluyendo los proveedores externos son consistentes con las políticas de seguridad de Información – El Gerente de seguridad de Información debe asegurar el cumpliendo de Informació las políticas de seguridad de la empresa para todas las áreas que polí proveen servicios para la organización. organizació – Los proveedores externos son una estrategia viable que puede ser usada para diseñar y operar el programa de seguridad de Información diseñ Informació – Los proveedores externos deben cumplir con las políticas de seguridad polí de Información establecidas. Informació © Fundación DINTEL DOMINIO 4 – Pág. 19 © Oscar Díez, 2005 Tarea 3: Asegurar que los servicios que proveen otras empresas incluyendo los proveedores externos son consistentes con las políticas de seguridad de Información Las empresas a veces tienen servicios provistos por otros departamentos, divisiones, departamentos, subsidiarias y proveedores externos. Estos servicios no están exentos de la está responsabilidad de la seguridad. El Gerente de seguridad de Información debe Informació asegurar el cumpliendo de las políticas de seguridad de la empresa para todas las polí áreas que proveen servicios para la organización. organizació Los proveedores externos son una estrategia viable que puede ser usada para diseñar diseñ y operar el programa de seguridad de Información. Sin embargo, el gerente de Informació seguridad de la información necesita asegurar que los proveedores externos cumplen informació con las políticas de seguridad de información establecidas. El outsourcing no es un polí informació motivo para no seguir lo establecido en las políticas de seguridad de información. De polí informació hecho, si se varía de las políticas establecidas puede suponer una vulnerabilidad para varí polí la organización. organizació Los proveedores externos deben cumplir con las políticas de seguridad de Información polí Informació establecidas.
20.
Convocatoria 2005
Proveedores externos. Outsourcing – El Gerente de seguridad de la información debe manager debe cumplir conformidad con las políticas y procedimientos como un factor de decisión cuando se evalúan proveedores de servicios. – Esta misma y propuesta y proceso de evaluación puede ser usada cuando se evaluar a una división autónoma de la organización o a una subsidiaria para seleccionar servicios – El Gerente de Seguridad de Información también debe asegurar que los factores de confianza están claramente definidos en el SLA con el proveedor de seguridad (ya sea externo o interno) – También deben implementarse Métricas de cumplimiento que deben ser periódicamente medidas y evaluadas. © Fundación DINTEL DOMINIO 4 – Pág. 20 © Oscar Díez, 2005 Durante el proceso de propuesta y evaluación que el Gerente de Seguridad de Información realizará durante la evaluación y contratación de proveedores de seguridad, el Gerente debe abordar los requerimientos y parámetros de las políticas de seguridad de información con los proveedores. El cumplimiento de estas políticas de seguridad por parte de los proveedores debe ser un factor importante cuando se selecciona a un proveedor. El gerente de seguridad de la información debe entender todas las variaciones que pueden existir y si el proveedor de servicios puede cumplir las políticas de seguridad. A veces este mismo proceso de propuesta y evaluación es usado para evaluar a divisiones u oficinas subsidiarias de la organización. El Gerente de seguridad de la Información también debe asegurar que los factores de cumplimiento están claramente definidos en el SLA con el proveedor (ya sea interno o externo). Esto ayudará al Gerente de Seguridad de Información a gestionar el funcionamiento del proveedor de seguridad y asegurar que cumplen el acuerdo para cumplir con las políticas de seguridad de la organización. Nota Importante: Este concepto explicado aquí debe ser enfatizado. Muchas organizaciones en el pasado no hicieron un buen trabajo en la evaluación de los procedimientos de seguridad de sus proveedores y otros servicios externos. Esto dejo muchas veces vulnerabilidades en los programas de seguridad de las organizaciones. Una buena idea es preguntar al grupo si piensan que se hizo un buen trabajo evaluando y exigiendo seguridad en los contratos de sus proveedores. También se debe preguntar si el departamento de seguridad es consultado en cualquier contrato con un proveedor.
21.
Convocatoria 2005
Pregunta A contract between a customer and provider that specifies a minimum level of service that will be supplied by the provider is called a: a. Quality of service agreement b. Service level agreement c. Measured service agreement d. Service legal agreement © Fundación DINTEL DOMINIO 4 – Pág. 21 © Oscar Díez, 2005 A contract between a customer and provider that specifies a minimum level of service that will be supplied by the provider is called a: a. Quality of service agreement b. Service level agreement c. Measured service agreement d. Service legal agreement The correct answer is b. The other answers are distracters.
22.
Convocatoria 2005
Proveedores Externos Asegurar que los servicios provistos por otras compañías incluido proveedores externos es consistente con las políticas de seguridad establecidas. , para ello el Gerente de la seguridad de Información debe tener conocimiento de: • Métodos para gestionar la implementación de los programas de seguridad de la información mediante terceras partes incluyendo partners y proveedores de Servicios de seguridad. © Fundación DINTEL DOMINIO 4 – Pág. 22 © Oscar Díez, 2005 Asegurar que los servicios provistos por otras compañías incluido proveedores externos incluido es consistente con las políticas de seguridad establecidas. , para ello el Gerente de la para seguridad de Información debe tener conocimiento de: Métodos para gestionar la implementación de los programas de seguridad de la seguridad información mediante terceras partes incluyendo partners y proveedores de Servicios de seguridad.
23.
Convocatoria 2005
Métodos para gestionar proveedores externos El gerente de seguridad de Información debe tener conocimiento de las habilidades que los partners y los proeveedores de servicios de seguridad poseen, y con ello los riesgos que conllevan. © Fundación DINTEL DOMINIO 4 – Pág. 23 © Oscar Díez, 2005 El conocimiento de los metodos para gestionar la implementación de los programas de seguridad de la empresa a través de las terceras partes incluyendo los partners y los proveedores de servicios de seguridad. El gerente de seguridad de Información debe tener conocimiento de las Informació habilidades que los partners y los proveedores de servicios de seguridad poseen, y con ello los riesgos que conllevan.
24.
Convocatoria 2005
Métodos para gestionar proveedores externos Existen dos aspectos incluidos aquí: • Los partners que no tienen un programa de seguridad robusto pueden presentar un problema de seguridad para los recursos de información. • Según el Gerente de Seguridad de Información va adquiriendo los servicios de proveedores de seguridad, cómo el programa de seguridad de información será mantenido es una cuestión clave. Además, el Gerente de seguridad de Información debe tener mecanismos preparados para la gestión de crisis. © Fundación DINTEL DOMINIO 4 – Pág. 24 © Oscar Díez, 2005 Existen dos aspectos incluidos aquí: •Los proveedores que no tienen un programa de seguridad robusto pueden presentar debilidades de seguridad para los recursos de información del Gerente de seguridad de la información ya que la mayoría de los sistemas están interconectados. Un ejemplo muy comun es la posibilidad para los vendedores de revisar el inventario de stock en los minoristas. En el diseño y desarrollo de este tipo de acceso a aplicación, la seguridad debe ser conseguida y puestos controles para limitar el riesgo que puede suponer. •Según adquiere el Gerente de Seguridad los servicios de proveedores de seguridad de información, la pregunta de cómo el programa de seguridad de información será mantenido es un concepto clave. El SLA es una herramienta clave para el gerente de seguridad de información que puede usar para asegurar que los servicios de seguridad de los proveedores cumplen con los parámetros de seguridad explicados por el gerente de seguridad. Riesgos, incluyendo el traspaso de datos con otros clientes, son un problema que cualquier proveedor debe afrontar. Adicionalmente, el gerente de seguridad de la información debe tener mecanismos para la gestión de crisis y como reaccionar y responder ante incidentes que pueden ocurrir durante el uso de partners o proveedores de servicios. Estos mecanismos suelen incluir procesos para reaccionar a las advertencias que los proveedores de servicios de seguridad pueden comunicar a la organización.
25.
Convocatoria 2005
Monitorización y Metricas de Seguridad Tarea 4: Uso de métricas para medir, monitorizar e informar de una forma eficiente y eficaz de los controles de seguridad de la información y su cumplimiento con las politicas de Seguridad de Información. – El gerente de seguridad de la información necesita informació monitorizar continuamente el programa de seguridad para asegurarse que las políticas de seguridad de la polí organización se están manteniendo. organizació está – La monitorización permite al manager hacer monitorizació modificaciones según se necesite, ya que los sistemas de segú información y los entornos de recursos de información informació informació están cambiando constantemente. está © Fundación DINTEL DOMINIO 4 – Pág. 25 © Oscar Díez, 2005 Tarea 4: Uso de métricas para medir, monitorizar e informar de una forma mé eficiente y eficaz de los controles de seguridad de la información y su informació cumplimiento con las politicas de Seguridad de Información. Informació El gerente de seguridad de la información necesita monitorizar continuamente informació el programa de seguridad para asegurarse que las políticas de seguridad de la polí organización se están manteniendo. organizació está La monitorización permite al manager hacer modificaciones según se necesite, monitorizació segú ya que los sistemas de información y los entornos de recursos de información informació informació están cambiando constantemente. está
26.
Convocatoria 2005
Pregunta Which one of the following is NOT a recommended practice regarding electronic monitoring of employees' email? – a. Apply monitoring in a consistent fashion – b. Provide individuals being monitored with a guarantee of email privacy – c. Inform all that email is being monitored by means of a prominent login banner – d. Explain who is authorized to read monitored email © Fundación DINTEL DOMINIO 4 – Pág. 26 © Oscar Díez, 2005 Which one of the following is NOT a recommended practice regarding electronic monitoring of employees' email? a. Apply monitoring in a consistent fashion b. Provide individuals being monitored with a guarantee of email privacy c. Inform all that email is being monitored by means of a prominent login banner d. Explain who is authorized to read monitored email The correct answer is b. No guarantee of email privacy should be provided or implied by the employer.
27.
Convocatoria 2005
Monitorización y Métricas de Seguridad Las métricas son una potente herramienta que sirve al Gerente de seguridad de Información para: • Estar al tanto de los incidentes generales de seguridad • Estar alerta de los incidentes directos en la organización • Estar alerta de las vulnerabilidades existentes en la organización • Monitorizar el progreso y efectividad de los programas de seguridad © Fundación DINTEL DOMINIO 4 – Pág. 27 © Oscar Díez, 2005 Una de las mejores herramientas que puede utilizar el Gerente de Seguridad de la Información para gestionar de forma efectiva el programa de seguridad son las métricas. Por ejemplo, el gerente debería estar atento de los incidentes generales de seguridad. Existen un número importante de sitios en Internet que guardan e informan de incidentes globales o que ocurren a lo largo del mundo. El gerente de seguridad también debe realizar regulares comprobaciones de seguridad y test de intrusión para confirmar el programa de seguridad. Las métricas resultantes de estos esfuerzos pueden ser comparados a los test previos sobre como está progresando el programa de seguridad y cuando hay que tomar medidas para contrarestar esas vulnerabilidades. Otras métricas son posibles y pueden incluir tanto medidas tecnicas como de comportamiento, por ejemplo, estado de parches, infecciones de virus, reseteo de claves, llamadas al helpdesk, etc… Al diseñar métricas, se debe establecer un inicio para cada medida. Las buenas métricas deberían tener atributos SMART (específicos, medibles, consegibles, repetible y dependientes del tiempo). Las métricas pueden ser usadas en diagramas de progreso. El gerente de sistemas de información también puede emplear un proceso de notificación donde los ataques o penetraciones detectadas y los responsables de seguridad sean alertados automáticamente a través de mensajes online o enviando mensajes SMS. Las medidas son importantes para cualquier organización, pero es importante que las medidas conduzcan a acciones. Como añadido a tener métricas disponibles, el gerente de seguridad debe tener un proceso donde las métricas son revisadas de forma regular y cualquier actividad inusual es reportada. Un plan de acción para reaccionar ante la actividad inusual debería ser desarrollado así como un plan proactivo para conseguir tendencias en actividades que puedan conducir a una fallo en la seguridad
28.
Convocatoria 2005
Monitorización y Métricas de Seguridad – Al diseñar métricas se debe establecer un inicio. – Buenas métricas deben tener atributos SMART (especificos, medibles, conseguibles, repetibles, y dependientes del tiempo) – El gerente de seguridad de la Información también puede emplear un proceso de notificación – Un proceso para revisar y actuar sobre la información obtenida de las métricas debe estár utilizándose. © Fundación DINTEL DOMINIO 4 – Pág. 28 © Oscar Díez, 2005 Al diseñar métricas, se debe establecer un inicio para cada medida. Las buenas métricas deberían tener atributos SMART (específicos, medibles, consegibles, repetible y dependientes del tiempo). Las métricas pueden ser usadas en diagramas de progreso. El gerente de sistemas de información también puede emplear un proceso de notificación donde los ataques o penetraciones detectadas y los responsables de seguridad sean alertados automáticamente a través de mensajes online o enviando mensajes SMS. Las medidas son importantes para cualquier organización, pero es importante que las medidas conduzcan a acciones. Como añadido a tener métricas disponibles, el gerente de seguridad debe tener un proceso donde las métricas son revisadas de forma regular y cualquier actividad inusual es reportada. Un plan de acción para reaccionar ante la actividad inusual debería ser desarrollado así como un plan proactivo para conseguir tendencias en actividades que puedan conducir a una fallo en la seguridad
29.
Convocatoria 2005
Pregunta •A set of policies, procedures, and tools to manage and resolve problems is defined as: a. Project management b. Problem management c. Problem resolution d. Problem prevention © Fundación DINTEL DOMINIO 4 – Pág. 29 © Oscar Díez, 2005 A set of policies, procedures, and tools to manage and resolve problems is defined as: a. Project management b. b. Problem management c. c. Problem resolution d. d. Problem prevention The correct answer is b. The correct answer is b. The other answers are distracters.
30.
Convocatoria 2005
Monitorización y Métricas de Seguridad Para usar métricas para medir, monitorizar e informar de una manera efectiva y eficiente de los controles de seuridad de información y el cumplimento de las políticas de seguridad, el Gerente de Seguridad de Información debe tener conocimiento de: • Monitorización continua de las actividades de seguridad en la Monitorizació infraestructura y aplicaciones de negocio de la empresa • Métodos usados para gestionar el éxito / fracaso de las inversiones en la seguridad de información a través de la recogida de datos y informació travé revisiones periódicas de los indicadores claves. perió © Fundación DINTEL DOMINIO 4 – Pág. 30 © Oscar Díez, 2005 Para usar métricas para medir, monitorizar e informar de una manera efectiva y eficiente de los controles de seuridad de información y el cumplimento de las políticas de seguridad, el Gerente de Seguridad de Información debe tener conocimiento de: •Monitorización continua de las actividades de seguridad en la infraestructura y infraestructura aplicaciones de negocio de la empresa •Métodos usados para gestionar el éxito / fracaso de las inversiones en la seguridad de inversiones información a través de la recogida de datos y revisiones periódicas de los indicadores periódicas claves.
31.
Convocatoria 2005 Monitorización continua
de actividades de Seguridad La monitorización continua provee al Gerente de seguridad de Información información sobre: • Distintos intentos de intrusión • Cuando un control de seguridad falla © Fundación DINTEL DOMINIO 4 – Pág. 31 © Oscar Díez, 2005 Conocimiento de monitorización continua de actividades de seguridad en la infraestructura y aplicaciones de negocio de la Organización YA que los peligros y vulnerabilidades están activos las 24 horas del día, los 7 días de la semana, la monitorización continua de las actividades de seguridad es un proceso de negocio que el gerente de seguridad debe implementar. No solo la monitorización de las actividades de seguridad de la información provee información al Gerente de los diferentes intentos de intrusión, también denota cuando falla un control de seguridad. Por ejemplo, cuando un cortafuegos falla debido a un problema mecánico, la monitorización continua notará el fallo y el gerente de seguridad de información puede tomar acciones correctivas en un tiempo razonable.
32.
Convocatoria 2005 Monitorización continua
de actividades de Seguridad Los sistemas de detección de intrusiones pueden: • Detectar intentos inautorizados directos • Utilizar un análisis inteligente para determinar si una tendencia de intentos inautorizados está ocurriendo Varias técnicas de monitorización incluyen: té monitorizació • Log de eventos • Revisión de logs • Evaluaciones de conformidad • Sistemas de intrusión basados en red y en host • Tests de intrusión © Fundación DINTEL DOMINIO 4 – Pág. 32 © Oscar Díez, 2005 Los sistemas de detección de intrusiones son cada vez más inteligentes, ya que no solo detectan intentos de acceso no autorizados directos, si no además usan análisis inteligente para determinar si se sigue una tendencia en el intento de ataque. Esto da al Gerente de Seguridad de la Información la información requerida para llevar un enfoque proactivo para proteger los recursos de información de la organización. Distintas técnicas de monitorización incluyendo el log de eventos, la revisión de logs, las evaluaciones de conformidad, los sistemas de intrusión basados en red y en host, y los test de intrusión. Los gerentes de seguridad de información están constantemente buscando consolidar varias de estas técnicas en una consola única que el equipo de seguridad pueda monitorizar. Además de monitorizar las actividades de seguridad automatizadas, las actividades de gestión de cambio de la organización también deben alimentar el programa de monitorización del gerente de seguridad. Nota: Preguntar al grupo si alguna de sus organizaciones ha implementado sistemas de monitorización continua automatizada. Preguntarles si están contentos con sus resultados. Preguntarles si tienen un proceso formal de gestión y escalado de incidentes en practica para comprobar intrusiones y solventarlas. Preguntarles si su sistema de monitorización también monitorizan a nivel de aplicación, o si solo comprueban a nivel de trafico de red. Finalmente, llegar a una conclusión sobre si estas tareas actualmente requieren procesos manuales. Concluir que sin monitorización continua, los recursos de información son más vulnerables.
33.
Convocatoria 2005
Métodos usados para gestionar Exitos/fallos Durante el diseño y la implementación del programa de seguridad de información el gerente debe: • Asegurar que se definen indicadores de rendimiento claves. • Asegurar que se implementa un mecanismo para medir el progreso contra esos indicadores. • Considerar todos los costos incluyendo los administrativos, de mantenimiento, etc De esta forma el Gerente de seguridad de información puede asegurar el éxito o fracaso de los componentes de seguridad y cuando son justificables en coste. © Fundación DINTEL DOMINIO 4 – Pág. 33 © Oscar Díez, 2005 El conocimiento de métodos usados para gestionar el éxito / fallo en las inversiones en seguridad de la información mediante recolección de datos y revisiones periódicas de los principales indicadores de desempeño El gerente de seguridad de información debe entender el éxito / fracaso de las inversiones en seguridad y cuando la organización recibe los beneficios propuestos. La mayoría de las organizaciones tienen presupuestos limitados, y los gerentes senior examinan con detalle el uso de esos fondos para inversiones en la compañía. Durante el diseño e implementación de un programa de seguridad el gerente de seguridad de información debe asegurarse que los indicadores claves de rendimiento están definidos y que exista implementado un mecanismo que mida el éxito respecto a esos indicadores. De esta forma, el gerente de seguridad de información puede evaluar el éxito o fracaso de los diferentes componentes y donde el coste ha sido justificable. El gerente de seguridad de información debe también considerar otros costos relativos a varias herramientas de seguridad y procedimientos. Algunos de estos costes incluyen el personal necesario para administrar el control, el mantenimiento, el coste de consultores o helpdesk y los gastos asociados con otros sistemas interrelacionados que pueden ser modificados para incluir controles de seguridad.
34.
Convocatoria 2005
Pregunta Which of the following would indicate that an automated production scheduling system has inadequate security controls? A. Control statements are frequently changed to point to test libraries B. Failure of a process will automatically initiate the resetting of parameters C. Developers have read access to both production and test schedules D. Scheduling personnel have the ability to initiate an emergency override © Fundación DINTEL DOMINIO 4 – Pág. 34 © Oscar Díez, 2005 Which of the following would indicate that an automated production scheduling production system has inadequate security controls? A. Control statements are frequently changed to point to test libraries libraries B. B. Failure of a process will automatically initiate the resetting of parameters resetting C. C. Developers have read access to both production and test schedules schedules D. D. Scheduling personnel have the ability to initiate an emergency override emergency The correct answer is a. Frequently having production control statements point to test libraries is a problem since test libraries are not subject to the same level of security controls. Resetting parameters back to their original settings when a process fails is desirable to back out any changes. Developers will often require read access to production and test schedules, and emergency overrides are usually performed by scheduling personnel.
35.
Convocatoria 2005
El proceso de Gestión de Cambio Tarea 5: Asegurar que la seguridad de la información no es comprometida a lo largo del proceso de gestión de cambio – El gerente de seguridad de información necesita implementar procesos en los que las implicaciones de seguridad son consideradas en cada proceso de gestión de cambio que la organización realiza. – La seguridad de la información necesita ser monitorizada y mantenida continuamente ya que nuevas vulnerabilidades son descubiertas regularmente y los procedimientos no son siempre seguidos. © Fundación DINTEL DOMINIO 4 – Pág. 35 © Oscar Díez, 2005 Tarea 5: Asegurar que la seguridad de la información no es comprometida a lo largo del informació proceso de gestión de cambio gestió El gerente de seguridad de información necesita implementar procesos en los que las informació implicaciones de seguridad son consideradas en cada proceso de gestión de cambio gestió que la organización realiza. La seguridad de la información necesita ser monitorizada y organizació informació mantenida continuamente ya que nuevas vulnerabilidades son descubiertas descubiertas regularmente y los procedimientos no son siempre seguidos. La seguridad seguridad normalmente depende de la obediencia del usuario. Esto incluye por ejemplo que no por compartan claves. Si lo hacen, el control de seguridad estará degradado. Además, estará Ademá siempre hay personal que está continuamente buscando formas de saltarse los está procedimientos de seguridad, haciendo visibles las vulnerabilidades. vulnerabilidades.
36.
Convocatoria 2005
El proceso de Gestión de Cambio Los controles de seguridad tienden a degradarse con el tiempo por varios motivos como son: • Confianza de los usuarios para cumplir los procedimientos. • Cambios organizacionales que requieren un programa de seguridad más evolucionado • Vulnerabilidades que continuamente son descubiertas y explotadas. • Aplicaciones que requieren acceso a redes externas • Sitios remotos realizando cambios que no cumplen los procedimientos de control de cambio. © Fundación DINTEL DOMINIO 4 – Pág. 36 © Oscar Díez, 2005 Otra razón por la cual los controles de seguridad tienden a degradarse con el tiempo es porque la organización está cambiando continuamente. Los controles de seguridad deben ser actualizados regularmente para adaptarse a los cambios organizacionales, así como protegerse de las vulnerabilidades introducidas durante el proceso de cambio. Un riesgo común es el desarrollo o implementación de nuevas aplicaciones que acceden a redes externas. Si esa nueva aplicación no sigue los procedimientos y políticas de seguridad de la organización, puede conducir a un riesgo indebido para los recursos de información de la organización. Si la seguridad fue considerada durante el desarrollo de la aplicación, es probable que al acceder a redes externas se realizará de forma controlada que cumpla con los procedimientos y políticas de la organización. El gerente de seguridad de la información es emplazado a asegurar que la seguridad está adecuadamente considerada en situaciones donde las oficinas remotas o divisiones están haciendo cambios sin seguir los procesos de gestión de cambio aceptados en la organización. Organizaciones que son descentralizadas tienen más riesgo que un cambio comprometa la seguridad de la información y el gerente de seguridad de la información debe entender la estructura organizacional durante el desarrollo e implementación del programa de seguridad. Nota: preguntar a los asistentes cuantas de sus organizaciones tienen procedimientos formales de gestión de cambio. Preguntar cuantos tienen incluidas consideraciones de seguridad en estos procedimientos. Preguntar si piensan que el programa de seguridad global es más fuerte por ello y que si son más un grupo proactivo que uno reactivo apagando fuegos.
37.
Convocatoria 2005
El proceso de Gestión de Cambio Para asegurar que la seguridad de la información no está comprometida durante el proceso de gestión de cambio, el gerente de seguridad de la información debe tener conocimiento de: • Actividades de gestión de cambio y configuración © Fundación DINTEL DOMINIO 4 – Pág. 37 © Oscar Díez, 2005 Para asegurar que la seguridad de la información no está comprometida durante el proceso de gestión de cambio, el gerente de seguridad de la información debe tener cambio, conocimiento de: Actividades de gestión de cambio y configuración
38.
Convocatoria 2005
Actividades de gestión de cambio y configuración – El gerente de seguridad debe entender las actividades de gestión de cambio y configuración usadas por la organización gestió configuració organizació para asegurar que las implicaciones de seguridad pueden ser consideradas y solucionadas. – Cada organización puede tener diferentes procesos para el organizació cambio y gestión de configuración así como responsables de gestió configuració así varias tareas. – El gerente de seguridad de la informacióndebe entender estos informació procesos de forma que las implicaciones de seguridad puedan ser gestionadas lo antes posible, antes de propagar los cambios posible, a producción. producció © Fundación DINTEL DOMINIO 4 – Pág. 38 © Oscar Díez, 2005 Actividades de gestión de cambio y configuración El gerente de seguridad debe entender las actividades de gestión de cambio y gestió configuración usadas por la organización para asegurar que las implicaciones configuració organizació de seguridad pueden ser consideradas y solucionadas. Cada organización puede tener diferentes procesos para el cambio y gestión organizació gestió de configuración así como responsables de varias tareas. configuració así El gerente de seguridad de la informacióndebe entender estos procesos de informació forma que las implicaciones de seguridad puedan ser gestionadas lo antes posible, antes de propagar los cambios a producción. posible, producció .
39.
Convocatoria 2005
Evaluaciones de Seguridad Tarea 6: Asegurar que las evaluaciones de vulnerabilidades son realizadas para evaluar de manera efectiva los controles existentes. Las evaluaciones de seguridad están disponibles para monitorizar y forzar los controles de seguridad de la información y pueden ser usados para identificar vulnerabilidades. © Fundación DINTEL DOMINIO 4 – Pág. 39 © Oscar Díez, 2005 Tarea 6: Asegurar que las evaluaciones de vulnerabilidades son realizadas para evaluar de manera efectiva los controles existentes. existentes. Las evaluaciones de seguridad están disponibles para monitorizar y forzar los está controles de seguridad de la información y pueden ser usados para identificar informació vulnerabilidades. vulnerabilidades.
40.
Convocatoria 2005
Evaluaciones de Seguridad Una evaluación de seguridad incluye típicamente: • Escanear diversos controles de seguridad • Probar los controles situados • Pruebas de intrusión • Desarrollar recomendaciones para mejorar la seguridad. • Comprobar y corregir el progreso. Un proceso para conseguir allazgos debe desarrollarse siuguiendo los estandares de un acercamiento proactivo a la seguridad. © Fundación DINTEL DOMINIO 4 – Pág. 40 © Oscar Díez, 2005 Las evaluaciones de seguridad son una herramienta importante para que el para gerente de seguridad de la información pueda usarlo para comprobar el informació programa de seguridad. Una evaluación de seguridad incluye típicamente: evaluació tí Escanear diversos controles de seguridad Probar los controles situados Pruebas de intrusión Desarrollar recomendaciones para mejorar la seguridad. Comprobar y corregir el progreso.
41.
Convocatoria 2005
Pregunta •Which one of the following best describes an express contract? a.Exists in writing b.Inferred from the conduct of the involved parties c.An oral agreement d.A voided contract © Fundación DINTEL DOMINIO 4 – Pág. 41 © Oscar Díez, 2005 Which one of the following best describes an express contract? a. Exists in writing b. Inferred from the conduct of the involved parties c. An oral agreement d. A voided contract The correct answer is a. Answer b defines an implied contract. Answers c and d are distracters.
42.
Convocatoria 2005
Evaluaciones de Seguridad – Las herramientas más comunes incluyen detección de MODEM, má detecció password cracking y host y network based. based. – Un análisis de vulnerabilidades típicamente incluye la evaluación aná tí evaluació de: Utilidades de Sistema Debilidades de los Sistemas Operativos Deficiencias de la red Aplicaciones (Incluyendo BBDD, apps web, e- mail) – El gerente de seguridad puede utilizar un consultor para tener una vista más independiente. – Recomendaciones sobre como mejorar la seguridad deben ser parte de cualquier evaluación de vulnerabilidades. © Fundación DINTEL DOMINIO 4 – Pág. 42 © Oscar Díez, 2005 Las herramientas más comunes incluyen host-based, network-based detección de modem y cracking de claves. Las herramientas de evaluación de vulnerabilidad basadas en red utilizan la red como un medio para escanear diferentes equipos y encontrar vulnerabilidades que se puedan explotar. El objetivo primario de la evaluación de vulnerabilidades es detectar deficiencias conocidas en un entorno particular que potencialmente puede llevar a comprometer el sistema. Una evaluación de vulnerabilidades típicamente incluye la evaluación de: Utilidades de Sistema Debilidades de los Sistemas Operativos Deficiencias de la red Aplicaciones (Incluyendo BBDD, apps web, e- mail) El gerente de seguridad de información también puede emplear recursos externos, normalmente un consultor de seguridad para llevar a cabo estas evaluaciones de vulnerabilidades. Esto le da al gerente una vista más independiente de los controles que se llevan a cabo. El gerente de seguridad de información también puede aportar una experiencia de seguridad. Los proveedores también empiezan a ofrecer servicios de gestión de evaluación de vulnerabilidades donde se realizan evaluaciones de forma periódica. Dado que las vulnerabilidades son identificadas constantemente, es importante que las evaluaciones de seguridad se realicen de forma periódica. Las evaluaciones deben incluir recomendaciones sobre como erradicar o cerrar las vulnerabilidades.
43.
Convocatoria 2005
Evaluaciones de Seguridad Las evaluaciones de seguridad se centran normalmente en: • Controles utilizados por la organización • Una evaluación de los riesgos conocidos que esos controles tienen • Si es apropiado o no implementar el control para los objetivos del negocio © Fundación DINTEL DOMINIO 4 – Pág. 43 © Oscar Díez, 2005 Las evaluaciones de seguridad se centran normalmente en controles utilizados por la organización y una evaluación de los riesgos conocidos que esos controles tienen. LA evaluación también revisa si es apropiado o no implementar el control para los objetivos del negocio. Por ejemplo, tener un cortafuegos es un buen control, pero un cortafuegos puede implementarse con una configuración pobre, que puede permitir un acceso indeseable a la red.
44.
Convocatoria 2005
Evaluaciones de Seguridad Para asegurar que las evaluaciones de seguridad son realizadas para evaluar la efectividad de los controles existentes, el gerente de seguridad de información debe informació tener conocimiento de: • Gestión de la seguridad de información en actividades y revisiones Gestió informació de la infraestructura. • Actividades con proveedores internos / externos de confianza realizando revisiones de seguridad periódicos. perió • Actividades, revisiones y estándares relacionados para gestionar y está controlar el acceso a los recursos de información informació • Reportes de vulnerabilidades externas que den información de informació que cambios hay que realizar a la seguridad de la información en informació aplicaciones e infraestructura. © Fundación DINTEL DOMINIO 4 – Pág. 44 © Oscar Díez, 2005 Para asegurar que las evaluaciones de seguridad son realizadas para evaluar la para efectividad de los controles existentes, el gerente de seguridad de información debe tener conocimiento de: •Gestión de la seguridad de información en actividades y revisiones de la infraestructura. revisiones •Actividades con proveedores internos / externos de confianza realizando revisiones de realizando seguridad periódicos. •Actividades, revisiones y estándares relacionados para gestionar y controlar el acceso a los recursos de información •Reportes de vulnerabilidades externas que den información de que cambios hay que realizar a la seguridad de la información en aplicaciones e infraestructura. infraestructura.
45.
Convocatoria 2005
Pregunta As stated in the National Security Agency/Central Security Service (NSA/CSS) Circular No. 500R, the objective of acquisition management is to manage a project by applying a number of techniques. Which one of the following is NOT one of these techniques? a. Functional analysis b. Design synthesis c. Freezing requirements early in the design cycle d. Verification © Fundación DINTEL DOMINIO 4 – Pág. 45 © Oscar Díez, 2005 As stated in the National Security Agency/Central Security Service (NSA/CSS) Agency/Central Circular No. 500R, the objective of acquisition management is to manage a project by applying a number of techniques. Which one of the following is NOT techniques. one of these techniques? techniques? a. Functional analysis b. Design synthesis c. Freezing requirements early in the design cycle d. Verification The correct answer is c. The circular states that the requirements shall be reviewed at key decision points and, if necessary, refined to meet cost, schedule, and performance objectives.
46.
Convocatoria 2005 Revisiones
y Actividades de Infraestructura El gerente de seguridad de información necesita tener conocimiento de las actividades de gestión de la seguridad para asegurar que los componentes básicos de un programa de seguridad están su sitio. Algunos de estos componentes incluyen: • Soporte de los gestores senior • Concienciación y educación en la seguridad • Evaluación de riesgos • Backups y restablecimiento • Implementación de controles de seguridad • Monitorización de los programas de seguridad © Fundación DINTEL DOMINIO 4 – Pág. 46 © Oscar Díez, 2005 Conocimiento del gerente de seguridad de información en Revisiones y Actividades de Infraestructura Revisiones y Actividades de Infraestructura El gerente de seguridad de información necesita tener conocimiento de las actividades informació de gestión de la seguridad para asegurar que los componentes básicos de un programa gestió bá de seguridad están su sitio. Algunos de estos componentes incluyen: está •Soporte de los gestores senior •Concienciación y educación en la seguridad •Evaluación de riesgos •Backups y restablecimiento •Implementación de controles de seguridad •Monitorización de los programas de seguridad
47.
Convocatoria 2005
Revisiones y Actividades de Infraestructura • El Gerente de SI también debe entender que las terceras tambié partes en las cuales la organización confía y usa pueden organizació confí presentar riesgos para los recursos de información. informació – Se deben mirar con cuidado los contratos y acuerdos que se realizan – El gerente de SI debe saber que se deben realizar revisiones periódicas a la infraestructura, a ser posible por perió una parte externa e independiente. – La infraestructura es una pieza clave en la que la organización confía para cumplir sus objetivos de negocio organizació confí y por ello se debe proteger y de debe ser fiable © Fundación DINTEL DOMINIO 4 – Pág. 47 © Oscar Díez, 2005 El Gerente de SI también debe entender que las terceras partes en las cuales tambié la organización confía y usa pueden presentar riesgos para los recursos de organizació confí información, y por tanto debe mirar con cuidado los contratos y acuerdos que informació que se realizan con ellos. El gerente de SI también debe saber que se deben tambié realizar revisiones periódicas a la infraestructura, a ser posible por una parte perió externa e independiente. La infraestructura es una pieza clave en la que la organización confía para organizació confí cumplir sus objetivos de negocio y por ello se debe proteger y de debe ser de fiable
48.
Convocatoria 2005
Relaciones con proveedores de servicios El Gerente de SI: • Tiene la responsabilidad principal del programa de seguridad de información para la organización • Debe dirigir actividades o entidades que puedan afectar al programa de seguridad de la información • Debe actuar como mediador entre las partes internas y externas para asegurar que las actividades de seguridad se completan de una manera efectiva El proceso de seguridad es un proceso clave en el programa de seguridad y el programa puede beneficiarse de revisiones periódicas perió y recomendaciones realizadas por proveedores de seguridad © Fundación DINTEL DOMINIO 4 – Pág. 48 © Oscar Díez, 2005 Conocimiento de actividades de relaciones con proveedores internos/externos de seguridad para realizar revisiones de seguridad de información El gerente de SI tiene como responsabilidad principal el programa de seguridad de la organización. Por lo tanto, actividades o entidades que puedan afectar al programa de seguridad de la información necesitan ser gestionadas por el Gerente de SI. El Gerente de SI debe actuar como mediador entre las partes internas y externas para asegurar que las actividades de seguridad se completan de una manera efectiva El proceso de seguridad es un proceso clave en el programa de seguridad y el seguridad programa puede beneficiarse de revisiones periódicas y recomendaciones realizadas perió por proveedores de seguridad. Sus proyectos pueden ser completados de una forma completados efectiva con cooperación del personal de seguridad. cooperació Nota: Comenzar una conversación acerca de los méritos del proceso de conversació mé seguridad. Asegurarse de que se habla de cómo el proceso de seguridad ayuda a có mejorar el programa de seguridad global y como el gerente de SI debe ayudar y facilitar el proceso. Concluir con que el proceso de aseguramiento debe ser visto aseguramiento como una herramienta importante en el programa de seguridad.
49.
Convocatoria 2005
Revisiones, actividades, y estandares – El Gerente de SI debe estar al tanto de los distintos estándares para gestionar y controlar los recursos de información – Dependiendo del tipo de empresa, existen diferentes estándares regulatorios para cada área – Existen un numero grande de estándares como: ISO/IEC17799 AICPA SAS No.70 National Fire Protection Association (NFPA), Occupational Safety & Health Administration (OSHA) HIPAA BS7799 AICPA SysTrust © Fundación DINTEL DOMINIO 4 – Pág. 49 © Oscar Díez, 2005 Conocimiento de actividades, revisiones y estándares para gestionar y controlar el acceso a los recursos de información El Gerente de SI debe estar al tanto de los distintos estándares para gestionar y está controlar los recursos de información informació Dependiendo del tipo de empresa, existen diferentes estándares regulatorios para cada está área Existen un numero grande de estándares como: está ISO/IEC17799 AICPA SAS No.70 National Fire Protection Association (NFPA), Occupational Safety & Health Administration (OSHA) HIPAA BS7799 AICPA SysTrust (Otros continuan en la siguiente transparencia)
50.
Convocatoria 2005
Pregunta Which choice is NOT a generally accepted benefit of security awareness, training, and education? a. A security awareness program can help operators understand the value of the information. b. A security education program can help system administrators recognize unauthorized intrusion attempts. c. A security awareness and training program will help prevent natural disasters from occurring. d. A security awareness and training program can help an organization reduce the number and severity of errors and omissions. © Fundación DINTEL DOMINIO 4 – Pág. 50 © Oscar Díez, 2005 Which choice is NOT a generally accepted benefit of security awareness, training, and education? a. A security awareness program can help operators understand the value of the information. b. A security education program can help system administrators recognize unauthorized intrusion attempts. c. A security awareness and training program will help prevent natural disasters from occurring. d. A security awareness and training program can help an organization reduce the number and severity of errors and omissions. The correct answer is c. An effective computer security awareness and training program requires proper planning, implementation, maintenance, and periodic evaluation. In general, a computer security awareness and training program should encompass the following seven steps: Identify program scope, goals, and objectives. Identify training staff. Identify target audiences. Motivate management and employees. Administer the program. Maintain the program. Evaluate the program.
51.
Convocatoria 2005
Revisiones, actividades, y estandares Existen un gran número de estándares (continua) nú está • Office of the Comptroller (OCC), Circular 235 and Thrift Bulletin 30 • Estatutos de seguridad, areas sobre fraude informatico, informatico, abuso y apropiación de activos informaticos, (Federal apropiació informaticos, Computer Security Act) Act) • Federal Financial Institutions Examination Council (FFIEC). The FFIEC guidelines replace previously issued Banking Circulars BC-177, BC-226, etc. BC- BC- • COSO • Organization for Economic Cooperation and Development (OECD) Security Guidelines • Foreign Corrupt Practices Act (FCPA)Vital Records Management Statutes, especificaciones para la retención Statutes, retenció y eleminación de registros electrónicos y fisicos (IRS eleminació electró Records Retention requirements) requirements) © Fundación DINTEL DOMINIO 4 – Pág. 51 © Oscar Díez, 2005 Existen un gran número de estándares (continua): nú está • ISO/IEC 17799 • BS 7799 • National Fire Protection Association (NFPA), Occupational Safety & Health Administration (OSHA) • AICPA SAS No.70 • AICPA SysTrust • HIPAA • Office of the Comptroller (OCC), Circular 235 and Thrift Bulletin 30 • Office of the Comptroller (OCC), Circular 235 and Thrift Bulletin 30 Estatutos de seguridad, areas sobre fraude informatico, abuso y informatico, apropiación de activos informaticos, (Federal Computer Security Act) apropiació informaticos, Act) Federal Financial Institutions Examination Council (FFIEC). The FFIEC guidelines replace previously issued Banking Circulars BC-177, BC-226, BC- BC- etc. COSO Organization for Economic Cooperation and Development (OECD) Security Guidelines Foreign Corrupt Practices Act (FCPA)Vital Records Management Statutes, especificaciones para la retención y eleminación de registros Statutes, retenció eleminació electrónicos y fisicos (IRS Records Retention requirements) electró requirements)
52.
Convocatoria 2005
Fuentes de información de vulnerabilidades externas El Gerente de SI debe estar al tanto de: • Que los proveedores de seguridad externos e internos realizan rutinariamente revisiones y evaluaciones del programa de seguridad. • Las evaluaciones de vulnerabilidades y test de intrusión que la organización puede realizar © Fundación DINTEL DOMINIO 4 – Pág. 52 © Oscar Díez, 2005 El Gerente de SI debe estar al tanto de los proveedores de seguridad externos e internos realizan rutinariamente revisiones y evaluaciones del programa de seguridad. Por tanto, tiene que tener conocimiento de las evaluaciones de vulnerabilidades y test de intrusión que la organización puede realizar
53.
Convocatoria 2005
Fuentes de información de vulnerabilidades externas – El Gerente de SI debe saber que los peligros para la organización pueden venir de cualquier parte del mundo. – Por lo tanto, el Gerente de SI debe conocer las fuentes de información de vulnerabilidades de forma que el programa de seguridad pueda ser modificado para resolver cualquier vulnerabilidad que se pueda presentar. – Además de los ataques que vienen a lo largo del mundo, las vulnerabilidades que antes eran desconocidas son normalmente identificadas en software y hardware – Tener este conocimiento permite al Gerente de SI modificar el programa de seguridad según se necesiten resolver los presentes problemas © Fundación DINTEL DOMINIO 4 – Pág. 53 © Oscar Díez, 2005 Conocer las fuentes de información de vulnerabilidades externas puede proveer información que requiera cambios a la seguridad de información en aplicaciones e infraestructura. El Gerente de SI debe saber que los peligros para la organización pueden venir de organizació cualquier parte del mundo. Por lo tanto, el Gerente de SI debe conocer las fuentes de conocer información de vulnerabilidades de forma que el programa de seguridad pueda ser informació pueda modificado para resolver cualquier vulnerabilidad que se pueda presentar. Estas presentar. vulnerabilidades se presentan casi a diario. Además de los ataques que vienen a lo largo del mundo, las vulnerabilidades que antes Ademá vulnerabilidades eran desconocidas son normalmente identificadas en software y hardware. Tener este hardware. conocimiento permite al Gerente de SI modificar el programa de seguridad según se seguridad segú necesiten resolver los presentes problemas.
54.
Convocatoria 2005
Problemas de incumplimiento Tarea 7: Asegurar que los problemas de incumplimiento y otros distintos son resueltos en un tiempo razonable – El Gerente de SI debe utilizar un proceso en donde los problemas de incumplimiento y otros parecidos son resueltos de una forma efectiva a tiempo – Normalmente un horario se desarrolla para documentar cada punto y se asigna una responsabilidad, se guarda y se gestiona © Fundación DINTEL DOMINIO 4 – Pág. 54 © Oscar Díez, 2005 Tarea 7: Asegurar que los problemas de incumplimiento y otros distintos son resueltos distintos en un tiempo razonable El Gerente de SI debe utilizar un proceso en donde los problemas de incumplimiento y otros parecidos son resueltos de una forma efectiva a tiempo. Los problemas de Los incumplimiento y otros parecidos pueden identificarse a través de un número diferente travé nú de mecanismos incluyendo: •Monitorización normal •Reportes de auditoria •Revisiones de seguridad •Escaneo de vulnerabilidades •Trabajo realizado diligentemente Las practicas de negocio prudentes requieren que los hallazgos sean gestionados en un tiempo razonable. Normalmente un horario se desarrolla para documentar cada punto y se asigna una responsabilidad, se guarda y se gestiona
Descargar ahora