certificacionesprofesionalesenseguridaddelainformacionl

7/30/2019 CertificacionesProfesionalesenSeguridaddelaInformacionl

1/55

Certificaciones Profesionales

en Seguridad de la InformacinIng. Reynaldo C. de la Fuente


2/55

Temario

Concepto de certificacin profesional

Contexto nacional e internacional.

Por que certificarme o certificar al personal?

Las principales instituciones.

Las principales certificaciones.

El Caso del CISSP

2


3/55

La Certificacin Profesional

La certificacin profesional es un proceso por medio delcual una persona prueba que cuenta con elconocimiento, la experiencia, y las cualidades necesarias

para realizar un trabajo especfico. La prueba es un certificado obtenido luego de aprobar un

examen y cumplir con otros requisitos que se acreditapor parte de una organizacin que monitorea y mantieneestndares especficos para la industria involucrada.

El certificado brinda aseguramiento a los empleadores ,clientes, estudiantes y el pblico en genera que el que lomantiene es competente y profesional.

3


4/55

Certificaciones en Seguridad

Una evaluacin reciente realizada por CompTIA,reporto que el 37 % de 1500 profesionales de TI,

tenan intenciones de obtener una certificacinen el rea de Seguridad en los prximos dosaos.

Otro 18 % relacionado con Hacking tico.Y un 13% deseaba obtener certificaciones

relacionadas con el Informtica Forense.

4


5/55

El contexto nacional e internacional

En los EEUU, dada la importante recesin unnmero muy importante de personas se esta

volcando a obtener certificaciones profesionales.

A nivel internacional, en la India, por ej., dondemuchas veces el nmero de candidatos exceden

ampliamente los puestos, se excluyen a loscandidatos que carecen de certificaciones.

5


6/55


La demanda a nivel internacional deprofesionales con experiencia en Seguridad de la

informacin no ha disminuido a pesar de lacrisis econmica.

El contar con certificaciones profesionales en el

rea de seguridad es un requisito para diferentescargos, llamados, licitaciones a nivel nacional einternacional.

6


7/55


Segn lo establecido por el IT skills andCertification pay index, la prima por

certificaciones en el rea de seguridad se haincrementado en un 2.4 %, mientas que la primapor otras certificaciones en el rea de TI adecrecido en un 6.5 %.

7


8/55


Algunas de las certificaciones mejores pagas enEUA, en el rea de TI, segn diferentes sitios,encuestas y evaluaciones son:

PMP VMWARE Certified Profesionals ITIL Foundations CISSP Microsoft (MCSA) CISCO (CCNA)

En promedio, entre U$S 90.000 y U$S 110.000anuales

8


9/55

Certificaciones en Seguridad

Las principales reas de inters Arquitectura

Informtica Forense Gestin y anlisis de incidentes. Anlisis de intrusiones. Auditora Hacking tico Seguridad en Redes Seguridad en el Ciclo de Desarrollo de Software Gestin de la Seguridad.

9


10/55

Por qu Certificarse? Algunos beneficios.

Diferenciador laboral. Confirma la experiencia y el conocimiento en Seguridad, Auditoria, etc.. Formar parte de un selecto grupo de profesionales altamentedemandado internacionalmente. Contar con acreditaciones reconocidas en todo el mundo.

Adherir a buenas practicas reconocidas internacionalmente. Contar con acceso y comunicacin con todos los profesionales

certificados. Integrarse al sano requerimiento de la capacitacin continua. Base para adquirir certificaciones ms especificas.

10


11/55

Por qu Certificar al Personal?

Es el recurso ms crtico de las organizaciones, y el ms propensoa fallas.

Algunos beneficios. Contar con profesionales para los cuales la seguridad informtica es unaprioridad. Contar con profesionales comprometidos con un comportamiento tico. La garanta de contar con personal actualizado en la materia. Es una de las formas ms adecuadas de invertir en seguridad

informtica. Garantiza el establecimiento de buenas practicas. Acceso a la red mundial de profesionales capacitados..

11

12


12/55

Instituciones Certificadoras

ISACA Fundada en el 1969, con mas 86.000 miembros a

nivel mundial y captulos en 75 pases.

(ISC)2 International Information Systems Security

Certification Consortium SANS Institute El SANS (SysAdmin, Audit, Network, Security)

Institute fue establecido en 1989 como unaorganizacin de educacin e investigacin.

12

13


13/55

Certificaciones de la ISACA

CISA Certified Information Systems Auditor El programa CISA est diseado para evaluar y certificar a los individuos en la profesin de

auditoria, control, aseguramiento o seguridad de SI

CISM Certified Information Security Manager El programa CISM esta diseado para evaluar y certificar a los individuos en la profesin de

gestin de seguridad de la informacin CGEIT

Certified in the Governance of Enterprise IT CRISC

Certified in Risk and Information Systems Control

Actualmente en proceso de Gandfathering.

Primer examen en junio de 2011 Examen

Proxima Fecha: 11 de diciembre de 2010 Costo:

Hasta el 18 de agosto - miembros US $415 - No miembros US $545 Hasta el 6 de octubre - miembros US $465 - No miembros US $595

13

14


14/55

Certificaciones de la (ISC)2

SSCP Systems Security Certified Practitione

CISSP Certified Information Systems Security Professional.

Analizado en detalle.

CSSLP Certified Secure Software Lifecycle Professional

Dominios considerados: Secure Software Concepts Secure Software Requirements Secure Software Design Secure Software Implementation/Coding Secure Software Testing testing for security Software Acceptance Software Deployment, Operations, Maintenance and Disposal

Concentraciones CISSP

14

15


15/55

Certificaciones del SANS

Certificaciones GIAC (Global Information Assurance Certification) GIAC Certified ISO-17799 Specialist (G7799) , GIAC Systems and Network Auditor (GSNA) ,

GIAC Legal Issues (GLEG) , GIAC Information Security Professional (GISP) , GIAC SecurityLeadership Certification (GSLC) , GIAC Certified Project Manager Certification (GCPM)

GIAC Information Security Fundamentals (GISF) , GIAC Security Essentials Certification

(GSEC) , GIAC Web Application Penetration Tester (GWAPT) , GIAC Certified ForensicAnalyst (GCFA) , GIAC Certified Enterprise Defender (GCED) , GIAC Certified FirewallAnalyst (GCFW) , GIAC Certified Intrusion Analyst (GCIA)

GIAC Certified Incident Handler (GCIH) , GIAC Certified Windows Security Administrator(GCWN) , GIAC Certified UNIX Security Administrator (GCUX) , GIAC Certified PenetrationTester (GPEN) , GIAC Reverse Engineering Malware (GREM) , GIAC Assessing WirelessNetworks (GAWN) , GIAC Secure Software Programmer - .NET (GSSP-NET), GIAC SecureSoftware Programmer - Java (GSSP-JAVA)

Costo : U$S 899 U$S 499 junto con Curso.

El examen es tomado en sitios Autorizados, Online. (No esta disponible en Uruguay)

Tiene un perfil ms tcnico que otras certificaciones, validando la experiencia prctica delos candidatos.

Requiere repetir el examen cada 4 aos.

15

16


16/55

Obtencin de la certificacin.

Para obtener la certificacin se debe: Pagar el costo del examen. Aprobar el examen correspondiente. Acreditar los aos de experiencia requeridos (4

5 aos). Pueden ser sustituidos segn el caso por Ttulo

Universitario y contar con otra certificacin en el

rea especifica (1-2 aos). Adherir al cdigo de tica de la institucin y

aprobar los requisitos formales. Superar auditoras en el caso que sea

seleccionado.

16

17


17/55

Mantenimiento de la Certificacin

Perodos de 3 o 4 aos. Costo de Mantenimiento anual (U$S 80 U$S 120).

Opciones: Tomar el examen nuevamente.

Acumularcrditos de educacin continua. Asistencia a cursos de entrenamiento o seminarios. Asistencia a conferencias de seguridad. Miembro de asociaciones y asistencia a eventos. Asistencia a presentaciones de Proveedores. Publicacin de artculos o libros. Brindar entrenamiento en seguridad. Auto-estudio. Trabajo voluntario.

17

18


18/55

Cual debo elegir?

Algunos de los aspectos a considerar a la hora deseleccionar la certificacin a obtener son:

El rumbo profesional que deseamos emprender. La experiencia que hemos adquirido. El reconocimiento local e internacional con el que

cuenta. La estructura de la organizacin en la cual me

desempeo o deseo desempearme.

18


19/55

El CASO DELA CERTIFICACIN CISSP

20


20/55

International Information Systems Security

Certification Consortium

Organizacin global sin fines de lucro fundada en 1989 por

miembros de las siguientes organizaciones: ISSA (Information Systems Security Association) CSI (Computer Security Institute) CIPS (Canadian Information Processing Society)

IFIP (International Federation for Information Processing) DPMA (Data Processing Management Association) ISU (Idaho State Univesity)

20

21
http://www.cccure.org/modules.php?name=News&new_topic=73http://www.isu.edu/home.shtmlhttp://www.cccure.org/modules.php?name=News&new_topic=73http://www.cccure.org/modules.php?name=News&new_topic=73


21/55


Certification Consortium Dedicada a:

Mantener una Base de Conocimiento para los Profesionalesdedicados a la seguridad de los sistemas de informacin.

Certificar profesionales sobre una consensuada base de

conocimientos profesionales. Administrar los exmenes de la certificacin. Asegurar el mantenimiento de las credenciales, por medio de la

educacin continua.

Fondos obtenidos. Costos del Examen. Costos de las Conferencias. Mantenimiento anual de la certificacin.

No esta asociada a proveedor alguno.

21

22


22/55


Certification Consortium Certificaciones Otorgadas.

Systems Security Certified Practitioner (SSCP).

Certified Information Systems Security Professional (CISSP)

ISSAP (Arquitectura) ISSEP (Ingrenieria) ISSMP (Gestin)

Certified Secure Software Lifecycle Professional (CSSLP )

22

23


23/55

CISSP

Certified Information Systems Security Professional.

23

24


24/55

Certified Information Systems Security

Professional

Descripcin: Certificacin creada a partir de la base de conocimiento en seguridad

de los sistemas de informacin mantenida por la (ISC)2. No asociada a ninguna tecnologa ni proveedor. Certificada ISO/IEC 17024.

Reconocimiento:

La ms antigua certificacin profesional enfocada exclusivamente a laseguridad informtica. Una de las certificacin ms deseada. La 2da certificacin mejor paga durante varios aos en los EUA. Indispensable para desempear distintos puestos en los EUA y el

Reino Unido.

24

25


25/55


Professional

Crecimiento: En 1997 700 CISSP. En 2002 15.000 CISSP. En 2006 29.000 CISSP. En 2009 64.000 CISSP

Distribucin: Existen CISSP en 134 Pases. Norteamrica

EUA 39.000. Canad 3.300

Latinoamrica Mxico 245 Brasil - 249 Argentina 86 Chile - 69 Uruguay 25

25

26


26/55


Professional

Requerimientos: Aprobar el examen con un puntaje de 700/1000 puntos o superior.

Contar con al menos cinco aos de experiencia en algunos de los 10dominios de la base comn de conocimiento CISSP, o cuatro aos deexperiencia y contar con un titulo universitario.

Enviar el formulario de consentimiento adecuadamente completado,firmado por un CISSP o supervisor.

Dar respuesta adecuada a la auditoria que se efecte, en el caso deser seleccionado para la misma.

Suscribir al cdigo de tica de la (ISC)2

26

27


27/55


Professional Cdigo de tica:

Proteger a la sociedad, al bien comn y a la infraestructura tecnolgica. Actuar en forma honorable, justa, responsable y legal.

Brindar servicios competentes y atentos. Fomentar y proteger la profesin.

Costos del Mantenimiento Anual U$S 85 (dlares americanos, ochenta y cinco).

27

28


28/55

Dominios del CISSP CBK

CISSP CBK

El Common Body of Knowledge del CISSP, es la base deconocimiento utilizada para la certificacin. La misma seencuentra separada en reas temticas, denominadas dominios.Los mismos son los siguiente:

1. Prcticas de administracin de la seguridad.2. Metodologas y sistemas de control de acceso.

3. Seguridad en redes y telecomunicaciones.4. Criptografa.5. Modelos y arquitecturas de seguridad.

28

29


29/55

Dominios del CISSP CBK

CISSP CBK

6. Seguridad de las operaciones.7. Seguridad en el desarrollo de aplicaciones y sistemas.

8. Planeamiento de la continuidad del negocio y recuperacin dedesastres.9. Legislacin, investigacin y tica.10.Seguridad Fsica.

Vinculacin con los dominios de la norma ISO/IEC 17799

Descargar la gua de estudio del CISSP CBKhttps://www.isc2.org/cgi-bi/request_studyguide.cgi

29

30
https://www.isc2.org/cgi-bi/request_studyguide.cgihttps://www.isc2.org/cgi-bi/request_studyguide.cgihttps://www.isc2.org/cgi-bi/request_studyguide.cgihttps://www.isc2.org/cgi-bi/request_studyguide.cgi


30/55

Prcticas de administracin de la seguridad.

Alcance Este dominio examina:

la identificacin y valoracin de los activos de la compaa,

el desarrollo, documentacin e implementacin de polticas,estndares, procedimientos y guas para asegurar la confidencialidad,integridad y disponibilidad.

Muy asociado a los aspectos requeridos por las normas ISO/IEC27001 e ISO/IEC 17799

30

31


31/55

Prcticas de administracin de la seguridad.

Algunos de los temas cubiertos son:

Principios y conceptos de Administracin de la Seguridad. Administracin y control de cambios. Clasificacin de datos.

Administracin y anlisis del riesgo.

Polticas y procedimientos. Estndares y guas. Roles y Responsabilidades.

Concientizacin, entrenamiento y seguridad del personal.

31

32


32/55

Metodologa y Sistemas de Control de Acceso

Alcance. Este dominio examina los mecanismos y mtodos utilizados para

brindarle a los administradores y gerentes el control sobre:

lo que corresponda que los usuarios puedan o no acceder, la posibilidad de extender sus capacidades luego de la adecuada

autenticacin y autorizacin, y la auditoria y monitoreo de estasactividades.

32

33


33/55

Metodologa y Sistemas de Control de Acceso


Responsabilidad. Obligacin de rendirCuentas Tcnicas de Control de Acceso. Administracin del Control de Acceso. Modelos de Control de Acceso. Tcnicas de Autenticacin e identificacin. Metodologas e implementaciones de control de acceso. Custodia y propiedad de los datos. Mtodos de Ataque. Monitoreo. Testeo de Penetracin.

33

34


34/55

Seguridad en redes y telecomunicaciones.

El dominio ms extenso.

Alcance

Este dominio examina: los sistemas de comunicaciones internos, externos, pblicos y privados,

y las medidas de seguridad utilizadas para brindarle integridad,confidencialidad y disponibilidad a las trasmisiones.

Analizando las estructura de redes, tipos de dispositivos, protocolos,mtodos de acceso y su administracin.

3

35


35/55

Seguridad en redes y telecomunicaciones.


Modelos ISO/OSI

Seguridad en redes y comunicaciones.

Internet/Intranet/Extranet. Protocolos de Seguridad.

Seguridad en el Comercio/E-mail/ etc. Comunicaciones de voz seguras.

Ataques y medidas correctivas.

36


36/55

Criptografa.

Uno de los dominios ms complejos.

Alcance

Este dominio examina los mtodos y tcnicas para cifrar y descifrarinformacin con el propsito de mantener su integridad, confidencialidady autenticidad. Esto involucra diferentes tcnicas criptogrficas,enfoques y tecnologas.

37


37/55

Criptografa.


Usos de la criptografa.

Conceptos, metodologas y practicas criptogrficas.

Algoritmos simtricos y asimtricos. Infraestructura de clave publica (PKI).

Arquitecturas para la implementacin de funciones criptogrficas. Mtodos de ataque.

38


38/55

Modelos y arquitecturas de seguridad.

Alcance

Este dominio examina los conceptos, principios, y estndares para eldiseo, implementacin, monitoreo y proteccin de aplicaciones ysistemas operativos.

Esto cubre estndares internacionales de evaluacin y su significadopara distintos tipos de plataformas.

39


39/55

Modelos y arquitecturas de seguridad.


Organizacin de redes y computadores, arquitecturas y diseos.

Modelos de seguridad, arquitecturas y criterios de evaluacin. TCSEC

Common Criteria

Fallas ms comunes y aspectos de seguridad en las arquitecturas de

sistemas y diseos.

40


40/55

Seguridad en las Operaciones.

Alcance

Este dominio examina los distintos controles sobre el hardware, lossistemas, los datos, y el personal con derecho de acceso sobre ellos.

Se analizan las tcnicas de auditora y monitoreo, cubriendo losposibles medios para perpetuar abuso y como reconocerlos yenfrentarlos.

41


41/55

Seguridad en las Operaciones.


Responsabilidades administrativas pertenecientes al personal y susfunciones de trabajo.

Tipos de controles Controles sobre las operaciones. Proteccin de recursos. Auditora. Monitoreo Deteccin de intrusos.

42


42/55

Seguridad en el desarrollo de aplicaciones y

sistemas. Alcance

Este dominio examina los controles incorporados en los sistemasoperativos y las aplicaciones, y los pasos involucrados en su desarrollo.

Se analiza al ciclo de vida del software, control de cambios, controles, yseguridad de las aplicaciones.

43


43/55

Seguridad en el desarrollo de aplicaciones y

sistemas. Algunos de los temas cubiertos son:

Conceptos de aplicaciones.

Conceptos de bases de datos. Componentes de almacenamiento y procesamiento. Sistemas basados en el conocimiento. Controles en el desarrollo de sistemas Amenazas en cdigo. Mtodos de ataque.

44


44/55

Planeamiento de la continuidad del negocio y

recuperacin de desastres. Alcance

Este dominio examina la preservacin de las actividades del negociocuando se enfrenta a una interrupcin o desastre.

Esto involucra la identificacin de riesgos reales, una adecuadaevaluacin de riesgos e implementacin de medidas correctivas.

45


45/55

Planeamiento de la continuidad del negocio y

recuperacin de desastres. Algunos de los temas cubiertos son:

Identificacin de los activos del negocio y la asignacin de valor.

Anlisis de impacto sobre el negocio y la prediccin de posiblesperdidas. Determinacin de reas prioritarias. Administracin de la crisis. Desarrollo, implementacin, testeo y mantenimiento del plan.

46


46/55

Legislacin, investigacin y tica.

Alcance

Este dominio examina los distintos tipos de delitos, legislaciones yreglamentaciones. A su vez, se analizan tcnicas en la investigacin dedelitos, la obtencin de evidencias, y el manejo de procedimientos.

Tambin cubre como desarrollar e implementar un programa de manejode incidentes.

47


47/55

Legislacin, investigacin y tica.


Legislaciones, reglamentaciones y delitos.

Licenciamiento y piratera de software. Temas y leyes de importacin y exportacin de software. Tipos de evidencias y la admisin de las mismas en caso de juicio. Manejo de incidentes. tica

48


48/55

Seguridad Fsica.

Alcance

Este dominio examina las amenazas, riesgos, y medidas correctivaspara proteger fsicamente los establecimientos, el hardware, los datos,y al personal.

Esto incluye la eleccin del establecimiento, los mtodos de autorizacinde acceso, y los procedimientos de seguridad fsica y ambiental.

49


49/55

Seguridad Fsica.


reas restringidas, mtodos y controles de autorizacin.

Controles tcnicos. Elementos de seguridad ambiental. Amenazas a la seguridad fsica. Elementos de seguridad fsica.

50


50/55

Examen CISSP

Descripcin: Cubre los diez dominios del CISSP CBK. 250 Preguntas Mltiple-Opcin, con cuatro opciones. Papel y lpiz. Desde 2005 - co n traducc in en esp ao l.

Duracin: 6 Horas. Normalmente, de 8:30 a 15:00.

51


51/55

Examen CISSP

Costo: U$S 549 (dlares americanos, quinientos cuarenta y nueve).

Mismos precio en todo el mundo.

Se abona directamente a la (ISC)2

Preguntas: Normalmente no muy extensas. Ejemplo:

Un propsito de los programas de concientizacin en seguridad es elmodificara. Comportamientos y actitudes del personal.b. Gestin de la Direccin.c. Actitudes de empleados con informacin sensible.d. Actitudes corporativas acerca del cuidado de la informacin.

52


52/55

Examen CISSP

Formato: 250 preguntas, en ingles, de mltiple opcin, con cuatro opciones. 25 preguntas no puntean.

No hay puntos negativos.

Solamente una opcin es correcta. Estilo examen First Certificate.

A B C D

53


53/55

Informacin Adicional

Sitios de Inters: http://www.isc2.org http://www.cccure.org http://www.sans.org

http://http://csrc.nist.gov/ Mailing lists:

CISSP-Discuss

CISSPStudy_1 CISSP_BOSON http://groups.yahoo.com

Software.

http://www.boson.com

http://www.bfq.com/ http://www.srvbooks.com/

http://www.lostclusterz.com/quiz/quiz.php

Libros The CISSP Prep Guide - Krutz

All In One CISSP Certification - Harris The CISSP Official Guide.

54
http://www.isc2.org/http://www.cccure.org/http://www.sans.org/http://www.nist.gov/http://groups.yahoo.com/http://groups.yahoo.com/http://www.boson.com/http://www.boson.com/http://www.bfq.com/http://www.bfq.com/http://www.srvbooks.com/http://www.srvbooks.com/http://www.lostclusterz.com/quiz/quiz.phphttp://www.lostclusterz.com/quiz/quiz.phphttp://www.lostclusterz.com/quiz/quiz.phphttp://www.lostclusterz.com/quiz/quiz.phphttp://www.lostclusterz.com/quiz/quiz.phphttp://www.lostclusterz.com/quiz/quiz.phphttp://www.srvbooks.com/http://www.srvbooks.com/http://www.bfq.com/http://www.bfq.com/http://www.boson.com/http://www.boson.com/http://groups.yahoo.com/http://groups.yahoo.com/http://www.nist.gov/http://www.sans.org/http://www.cccure.org/http://www.isc2.org/


54/55

Links de Inters

www.isaca.org

www.isc2.org

www.giac.org

55
http://www.isaca.org/http://www.isc2.org/http://www.giac.org/http://www.giac.org/http://www.isc2.org/http://www.isc2.org/http://www.isaca.org/


55/55

Consultas

reynaldo@datasec-sof t .com

Gracias..
mailto:[email protected]:[email protected]:[email protected]:[email protected]

certificacionesprofesionalesenseguridaddelainformacionl

Documents