Asignatura:

Introducción a la seguridad Informática

Tema:
Estándares de seguridad de la información

Participante:
Nasser Emil Issa Tavares

Matrícula:
2019-8015

Facilitador:
Joel Andrés Cuello Montero

Fecha:
02/02/2020
 Introducción
Existen varios estándares de seguridad informática, iniciando por el grupo de estándares ISO/IEC 27000

que integran un sistema de administración de seguridad de la información (information security

management system ISMS) el cual está enfocado en la seguridad de la información bajo un explícito

control administrativo de la misma. A continuación, les voy a indicar algunos estándares de seguridad

de la información así como sus objetivos y principales características, luego mas adelante algunas

certificaciones de la industria.
 ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única norma

certificable de las que se incluyen en la lista y consta de una parte principal basada en

el ciclo de mejora continua y un Anexo A, en el que se detallan las líneas generales de

los controles propuestos por el estándar.

 ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de la

Información que describe los controles y objetivos de control. Actualmente cuentan con

14 dominios, 35 objetivos de control y 114 controles.

 ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de riesgos

de seguridad de la información que puedan comprometer a las organizaciones. No

especifica ninguna metodología de análisis y gestión de riesgos concreta, pero incluye

ejemplos de posibles amenazas, vulnerabilidades e impactos.

 ISO 22301 identifica los fundamentos de un Sistema de Gestión de la Continuidad de

negocio, estableciendo el proceso, los principios y la terminología de gestión de

continuidad de negocio.

Proporciona una base de entendimiento, desarrollo e implantación de continuidad de

negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave

que su empresa está totalmente preparada y que puede cumplir con los requisitos

internos, regulatorios y del cliente.

La norma proporciona a las organizaciones un marco que asegura que ellos pueden

continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre

protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad

de continuar trabajando y comercializando

Certificaciones

 CISM (Certified Information Security Manager) es una certificación para el

Gerenciamiento de seguridad de la información respaldada por la ISACA

(Information Systems Audit and Control Association). Está enfocada en la gerencia.

Objetivo: definir los principales estándares de competencias y desarrollo profesionales que

un director de seguridad de la información debe poseer, competencias necesarias para dirigir,

diseñar, revisar y asesorar un programa de seguridad de la información.

Requisitos para obtenerla:

Para conseguir la certificación, es necesario acreditar cinco años de ejercicio profesional y

aprobar un examen, el mismo en todo el mundo, que se realiza anualmente en el mes de junio

y diciembre. Para superar el examen se tiene que obtener una puntuación mínima del 75%. La

inscripción al examen y la adquisición de los manuales se hace directamente en la web de

ISACA internacional.

Además, el director acreditado por el CISM está obligado a realizar cada año un mínimo de

horas de formación para mantenerse al día en un entorno tan cambiante. Si no se reporta esta

información, se revoca la certificación de forma inmediata.

 CISA: Certified Information Systems Auditor es una certificación para auditores

respaldada por la Asociación de Control y Auditoría de Sistemas de Información

(ISACA) (Information Systems Audit and Control Association).

Objetivos: Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las

competencias de los individuos al realizar auditorías de sistemas.

Proveer una herramienta motivacional para los auditores de sistemas de información para

mantener sus habilidades, y monitorizar la efectividad de los programas de mantenimiento.

Proveer criterios de ayudar y gestión en la selección de personal y desarrolladores.

Requisitos para la certificación:

Los candidatos a la certificación CISA deben pasar un examen de acuerdo con el Código

Profesional de Ética de ISACA, además de comprobar cinco años de experiencia en auditoría

de sistemas, control interno y seguridad informática y tener un programa de educación

continua.

En caso de no cumplir con estos requisitos, existen algunas equivalencias definidas en la

página de ISACA:2

Un mínimo de un año de experiencia en sistemas de información o un año de experiencia en

auditorías operacionales, pueden ser sustituidos por un año de experiencia auditoría de

sistemas, control interno y seguridad informática.

60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos años de

experiencia respectivamente de auditoría de sistemas, control interno y seguridad informática.

2 años de instructor de tiempo completo en Universidad en campos relacionados (ejemplo:

ciencias computacionales, contabilidad, auditoría de sistemas de información, pueden ser

sustituidos por un año de experiencia de auditoría de sistemas de información, control interno

y seguridad de informática.
  CRISC: está conformado, previsiblemente, por los siguientes dominios

Identificación, análisis y evaluación del riesgo; Respuesta al riesgo; Supervisión del

riesgo; Diseño y puesta en marcha de marcos de control de los sistemas de

información; y, Supervisión y mantenimiento de marcos de control de los sistemas de

información.

Beneficios de convertirse en CRISC

 Denota prestigio a nivel profesional demostrando su conocimiento de riesgos a nivel

empresarial

 Incrementa el valor para la organización mediante su conocimiento en la optimización

del riesgo

 Brinda una ventaja competitiva para la búsqueda de crecimiento profesional

 Permite el acceso a la comunidad de conocimiento y networking de profesionales

actualizados en la gestión de riesgos

Como convertirse en CRISC

 Aprobar el examen de certificación CRISC. Dicho examen puede realizarse por

cualquier persona interesada en las áreas de auditoría en sistemas de información,

control y seguridad

 Demostrar su experiencia en el área de riesgos de Tecnología de información. Los

candidatos que aprueban el examen de certificación CRISC deben demostrar los

requisitos de experiencia laboral.

 Un mínimo de 3 años de experiencia profesional en la administración de riesgos

mediante labores en al menos 2 de los 4 dominios de estudio de CRISC, y donde uno

de los dominios de CRISC donde se demuestra experiencia sea el dominio 1 o 2.

 La experiencia presentada debe haberse obtenido en un periodo no mayor a 10 años

 antes de aprobar el examen de certificación o en un periodo menor a 5 años después

de la fecha de aprobación del examen.

 Adherirse al código de ética profesional Las personas que aplican a la certificación

CRISC deben adherirse al código de ética profesional y de conducta

 Adherirse al programa de educación continua profesional (CPE) Para seguir siendo un

CRISC un individuo debe estar de acuerdo en cumplir con el programa de educación

continua profesional en las áreas de riesgo y control.

 Mantener un mínimo de 20 horas CPE anuales y un mínimo de 120 horas CPE durante

un periodo de 3 años.
 Security +: De CompTIA es la primera certificación de seguridad que los

profesionales de TI deben obtener. Establece el conocimiento básico requerido para

cualquier rol en el ámbito de la ciberseguridad y sirve de trampolín para trabajos de

nivel intermedio en la ciberseguridad. Security+ incorpora las mejores prácticas en la

resolución de problemas prácticos a fin de garantizar.

que los profesionales de la seguridad posean habilidades prácticas de resolución de problemas de

seguridad. Los profesionales de la ciberseguridad que aprueban Security+ saben cómo enfrentar

los incidentes de seguridad, no solo identificarlos.

Security+ cumple con los estándares ISO 17024 y está aprobado por el Departamento de

Defensa de los EE. UU. por cumplir con los requisitos de la directiva 8140/8570.01-M.

Habilidades que aprenderá

HARDWARE, AMENAZAS, ATAQUES Y VULNERABILIDADES

Detecte varios tipos de compromisos y comprenda los conceptos de prueba de penetración y de

escaneo de vulnerabilidades

WINDOWS OPERATING SYSTEMS, TECNOLOGÍAS Y

HERRAMIENTAS

Instale, configure e implemente componentes de redes mientras evalúa y soluciona problemas a

fin de respaldar la seguridad de la organización

SOFTWARE TROUBLESHOOTING, ARQUITECTURA Y DISEÑO

Implemente conceptos de arquitectura segura de redes y diseño seguro de sistemas

NETWORKING, GESTIÓN DE IDENTIDAD Y ACCESO

Instale y configure servicios de identidad y acceso, así como controles de gestión

HARDWARE & NETWORK TROUBLESHOOTING, GESTIÓN DE

RIESGOS

Implemente y resuma las mejores prácticas de gestión de riesgos y el impacto empresarial

 SECURITY, CRIPTOGRAFÍA Y PKI

Instale y configure ajustes de seguridad inalámbrica e implemente una infraestructura de clave

pública

 CEH: El Certificado Hacker Ético es una certificación profesional proporcionada por el

Consejo Internacional de Consulta de Comercio Electrónico (EC-Council). Un hacker

ético certificado tiene una acreditación o certificación en cómo buscar debilidades y/o

vulnerabilidades en sistemas usando los mismos conocimientos y herramientas que un

cracker, pero con fines benévolos.

El código para el examen de certificación es 312-50. La versión actual del certificado es la V10.

Pre-requisito:

Firmar convenio de confidencialidad que establece que las herramientas y habilidades

adquiridas después del curso no serán usadas con fines maliciosos o de ataques que

comprometan ningún sistema ni computadora, y de no ser así, el alumno se compromete a

indemnizar al EC-Council o a quien o quienes resulten afectados por el mal uso de este curso

y/o certificación.

Objetivo: El objetivo de la certificación ceh es ayudar a la organización a tomar medidas contra

ataques maliciosos atacando al sistema mismo; todo dentro de límites legales.

¿Qué es compTIA?

es una organización sin ánimo de lucro fundada en 1982 dedicada a la certificación de aptitudes

profesionales para la industria de tecnologías de información.

La organización también emite anualmente unos 50 análisis con el objetivo de relevar tendencias

y cambios en la industria de IT.

¿Qué es ISACA?

ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de

Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y

patrocina el desarrollo de metodologías y certificaciones para la realización de actividades

de auditoría y control en sistemas de información.

¿Qué es ISO?

La Organización Internacional de Normalización, también llamada Organización Internacional

de Estandarización es una organización para la creación de estándares internacionales

compuesta por diversas organizaciones nacionales de normalización.

¿Qué es PECB?

PECB es un organismo de certificación para personas, sistemas de gestión y productos en una

amplia gama de estándares internacionales fue fundada el 2005 y como proveedor global de

servicios de capacitación, examen, auditoría y certificación.

¿Qué es EC-Council?

El Consejo Internacional de Consultores de Comercio Electrónico ( EC-Council ) es una

organización profesional que certifica a las personas en diversas habilidades de comercio

electrónico y seguridad de la información. El Consejo de la CE tiene su sede

en Albuquerque , Nuevo México .