Gestion SeguridadTema 2

Gestión de la Seguridad
Dr. D. José Javier Martínez Herráiz
El profesional de la seguridad de la información - I

Índice del Tema 2
► Introducción
► La seguridad de la información como profesión
► Las certificaciones (ISC)2
► El estándar ISO 27001
► Buenas prácticas de seguridad en la gestión de servicios de TI
► Modelos de madurez para la seguridad de la información
► Otras certificaciones, estándares y recursos profesionales
Título de la asignatura - Profesor de la asignatura
Tema 2 - El profesional de la seguridad de la información

2
José Javier Martínez Herráiz
Tema 2: El profesional de la seguridad de la
información
► Objetivo fundamental: conocer los principales estándares, asociaciones y
certificaciones relacionadas con la profesión de la seguridad de la
información.
► Objetivos derivados:
 Entender y saber explicar el rol del profesional de la seguridad de la

información (en todos sus ámbitos).
 Comprender y saber explicar el rol del hacker ético dentro del contexto
de la seguridad de la información.
 Conocer las fundamentales certificaciones en el área de la seguridad de

la información y entender el proceso de certificación.
 Conocer el marco del estándar ISO 27001 (también de manera práctica).
 Conocer modelos de buenas prácticas de gestión y de madurez en el

área de la Seguridad de la Información y saber diferenciarlos entre sí.
3
La seguridad de la información como profesión
Quién soy y quién y qué quiero ser

4

5

6
Una profesión viene caracterizada por cinco criterios :
No hay una única asociación profesional de clara aceptación universal

El consorcio (ISC)2 proporciona:
• Un cuerpo de conocimiento (body of knowledge, BOK) definitorio
• Un código ético al que los certificados por la organización deben adherirse
• El reconocimiento deTítulo de la asignatura
la profesión por la- Profesor de la asignatura
comunidad, clientes y empresas
especializadas
• Conferencias y eventos profesionales tanto académicos como no
académicos

7
Enumeración no exhaustiva de certificaciones, estándares y buenas
prácticas de seguridad

8
Hacker
Profesional cuyas
actividades y acciones
son controladas y en
beneficio de una
Cracker organización

“Profesional” que actúa al
margen de la ley

9
ISACA(Information Systems Audit and Control Association)
• Fundada en 1969
• 140.000 miembros en 180 paises
• Certificaciones:

10
Certificación CISM
La certificación CISM está enfocada en la gestión.

Descripción Promueve prácticas internacionales de seguridad y reconoce a
la persona que administra, diseña y supervisa y evalúa la
seguridad de la información de una empresa.
Cinco (5) o más años de experiencia en gestión de seguridad de

Requisitos
la información.
para la Título dedisponibles
Se encuentran la asignatura -convalidaciones para un máximo de
Profesor de la asignatura
elegibilidad dos (2) años.

11
Certificación CISM
Dominio 1— Gobierno de la seguridad de la información (24%)
Dominio 2— Gestión de riesgos de la información y

cumplimiento (33%)
Dominios Dominio 3— Desarrollo y gestión del programa de seguridad de
la información (25%)
Dominio 4— Gestión de incidentes de seguridad de la

información
Título(18%).
de la asignatura - Profesor de la asignatura
Examen de 200 preguntas.

Duración 4 horas.
Puntuación de 450 puntos o superior.
12
Certificación CISM

13
Certificación CISA
La certificación CISA es una certificación amplia y

Descripción globalmente reconocida para profesionales en auditoría,
control, aseguramiento y seguridad de SI.
Cinco (5) o más años de experiencia en auditoría, control,

Requisitos
aseguramiento o seguridad de SI.
para la Título de la
Se encuentran asignatura - Profesor
disponibles convalidaciones
de la asignatura para un máximo
elegibilidad de tres (3) años.

14
Certificación CISA
Dominio 1— Proceso de auditoría de sistemas de información

(14%)
Dominio 2— Gobierno y gestión de TI (14%)
Dominio 3— Adquisición, desarrollo e implementación de
Dominios sistemas de información (19%)
Dominio 4— Operaciones, mantenimiento y soporte de
sistemas de información (23%)
Dominio 5— Protección de los activos de información (30%)
Examen de 200 preguntas.

Duración 4 horas.
15
Certificación CISA

16
Las certificaciones (ISC)2
International Information Systems Security Certification Consortium
Fundada en 1989 - 60.000 profesionales de 135 países
• Certified Information Systems Security Professional (CISSP), incluyendo:

 Information Systems Security Architecture Professional (CISSP-ISSAP)
 Information Systems Security Engineering Professional (CISSP-ISSEP)
 Information Systems Security Management Professional (CISSP-ISSMP)
• Certified Secure Software Lifecycle Professional (CSSLP)
• Certified Authorization Professional (CAP)
• Certified Cloud Security Professional (CCSP)
• Systems Security Certified Practitioner (SSCP)

• Certified Cyber Forensics Professional (CCFP)

17

18
Certificación CISSP
(Certified Information Systems Security Professional )
Certificación para probar las competencias, experiencia y

habilidades técnicas y de gestión para diseñar, definir,
Descripción implementar y gestionar el programa de seguridad de la
información en su totalidad para proteger debidamente las
organizaciones de ataques sofisticados

19
InformationSecurity Governance& RiskManagement

Security and Risk Management
Business Continuityand DisasterRecoveryPlanning
Legal, Regulations, Investigation and Compliance
Criptography
Security Engineering
Security Architecture and Design
Security Assesmentand Testing
PhysicalSecurity Asset Security
Telecommunicationsand Network Security Communications and Network Security
Access Control Identify and Access Management
Operations Security Security Operations

Software Development Security Software Development Security

20

Examen de 250 preguntas. 40 CPE
Duración 6 horas. 120 CPE

21
Certificación CAP (Certified Authorization Professional )
Medir el conocimiento, competencias y habilidades

Descripción requeridas para el personal relacionado con los procesos de
autorización y mantenimiento de los sistemas de información.

22
Risk Management Framework (RMF)

Categorization of Information Systems
Contenidos Selection of Security Controls
Security Control Implementation
Security Control Assessment
Information System Authorization
Monitoring of Security Controls.

23

Examen de 125 preguntas. 20 CPE
Duración 3 horas. 60 CPE

24
EC-Council
Fundada en 2001. A
raíz de los atentados
del 11-S.
+180.000 miembros
+ 92 países
En Latinoamérica:
ALAPTI

25
EC-Council

26
EC-Council
Certificación CEH – Ethical Hacker
Comprender la forma de ejecutar una investigación digital.

Aplicar la metodología con la cual se llevan acabo las
Descripción investigaciones forenses digitales apegadas a la legislación,
códigos y normas existentes, tanto nacionales como
internacionales. Realizar investigaciones para obtener
evidencias digitales que sustenten un caso.
Requisitos Dos o más años de experiencia en ethical hacking y puedes

para la presentarte directamente al examen
elegibilidad Realización de curso oficial del EC-Council y preparación del
examen.Título de la asignatura - Profesor de la asignatura

27
EC-Council
• Introduction to Ethical Hacking • Session Hijacking

• Footprinting and • Hacking Web Servers
Reconnaissance • Hacking Web Applications
• Scanning Networks • SQL Injection
Contenidos • Enumeration • Hacking Wireless Networks
• System Hacking • Hacking Mobile Platforms
• Malware Threats • Evading IDS, Firewalls,
• Sniffing and Honeypots
• Social Engineering • Cloud Computing
• Denial of Service • Cryptography

28
EC-Council
Examen de 125 preguntas. 20 CPE anuales

Duración 4 horas. 60 CPE trienales
Puntuación igual o superior a 70%.
Los contenidos van evolucionando y, por lo tanto, el

examen es de una versión específica CEH-8, CEH-9, etc.

29
Otras certificaciones….
• Director de Seguridad (MIR)
• Certificaciones SANS (Del SANS INSTITUTE)
• Certificaciones del BCI
• Certificaciones de asociaciones
• Certificaciones de organismos públicos
• ….

30
¿Como valorar una certificación?
• Expectativas profesionales
• Oferta y demanda
• Requisitos de mantenimiento
• Membresía

31
www.unir.net

Gestion SeguridadTema 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestion SeguridadTema 2

Cargado por

Copyright:

Formatos disponibles

Gestión de la Seguridad

Dr. D. José Javier Martínez Herráiz

El profesional de la seguridad de la información - I

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

 Entender y saber explicar el rol del profesional de la seguridad de la

 Conocer las fundamentales certificaciones en el área de la seguridad de

 Conocer modelos de buenas prácticas de gestión y de madurez en el

Título de la asignatura - Profesor de la asignatura

Quién soy y quién y qué quiero ser

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

No hay una única asociación profesional de clara aceptación universal

Tema 2 - El profesional de la seguridad de la información

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

• 140.000 miembros en 180 paises

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

La certificación CISM está enfocada en la gestión.

Cinco (5) o más años de experiencia en gestión de seguridad de

Tema 2 - El profesional de la seguridad de la información

Dominio 1— Gobierno de la seguridad de la información (24%)

Dominio 2— Gestión de riesgos de la información y

Dominio 4— Gestión de incidentes de seguridad de la

Examen de 200 preguntas.

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

La certificación CISA es una certificación amplia y

Cinco (5) o más años de experiencia en auditoría, control,

Tema 2 - El profesional de la seguridad de la información

Dominio 1— Proceso de auditoría de sistemas de información

Examen de 200 preguntas.

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

Fundada en 1989 - 60.000 profesionales de 135 países

• Certified Information Systems Security Professional (CISSP), incluyendo:

• Certified Secure Software Lifecycle Professional (CSSLP)

• Certified Authorization Professional (CAP)

• Certified Cloud Security Professional (CCSP)

• Systems Security Certified Practitioner (SSCP)

Tema 2 - El profesional de la seguridad de la información

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

Certificación para probar las competencias, experiencia y

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

InformationSecurity Governance& RiskManagement

Legal, Regulations, Investigation and Compliance

PhysicalSecurity Asset Security

Telecommunicationsand Network Security Communications and Network Security

Access Control Identify and Access Management

Operations Security Security Operations

Tema 2 - El profesional de la seguridad de la información

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información

Medir el conocimiento, competencias y habilidades

Título de la asignatura - Profesor de la asignatura

Tema 2 - El profesional de la seguridad de la información