Certificado de Seguridad Cisa y Cissp

SEGURIDAD CISA. 

Certified Information Systems Auditor (CISA). Programa organizado por la Information Systems Audit and Control Association (ISACA).


Área de contenido 1: Proceso de Auditoría de Sistemas de Información

Objetivo: Proveer servicios de auditoría de sistemas de información, con base en estándares, lineamientos y mejores prácticas, para apoyar a la organización a asegurarse que sus activos informáticos están protegidos y que son controlados de forma adecuada.

- Estándares, lineamientos, procedimientos y código de ética profesional 
- Prácticas y técnicas de auditoria de sistemas de información 
- Técnicas para recolectar información y preservar la evidencia 
- Ciclo de vida de la evidencia 
- Objetivos de control y controles relacionados con sistemas de información 
- Evaluación de riesgos en el contexto de auditoría 
- Técnicas de planeación y administración de una auditoría 
- Autoevaluación 
- Técnicas de auditoría continua 


Área de contenido 2: Gobierno de TI

Objetivo:  Asegurar que la organización tiene una estructura, políticas, mecanismos y prácticas de monitoreo para alcanzar sus objetivos de gobierno de TI. Propósito de las estrategias, políticas, estándares y procedimientos de TI, para una organización y los elementos esenciales de cada uno.

- Marco de control de gobierno de TI 
- Procesos para el desarrollo, implementación y mantenimiento de estrategias, políticas, estándares y procedimientos de TI 
- Estrategias y políticas de administración de calidad 
- Estructura organizacional, roles y responsabilidades de la administración de TI 
- Estándares y lineamientos internacionales de TI generalmente aceptados 
- Arquitectura de TI y sus implicaciones para establecer dirección estratégicas de largo plazo 
- Herramientas y metodologías de administración de riesgos 
- Marcos de control (CobiT, COSO, ISO 17799) 
- Uso de modelos de madurez y de mejoramiento de procesos (CMM y CobiT) 
- Estrategias, procesos y prácticas de administración de contratos 
- Prácticas para monitoreo y reporte de desempeño de TI 
- Aspectos legislativos y regulatorios 
- Administración de Recursos Humanos de TI 
- Retorno de la inversión en recursos de TI (ROI) 


Área de contenido 3: Ciclo de vida de los sistemas e infraestructura

Objetivo: Garantizar que las prácticas de administración para el desarrollo/adquisición, pruebas, implementación, mantenimiento y eliminación de activos informáticos cubre los objetivos de la organización. Prácticas de administración de beneficios (estudios de factibilidad y casos de negocio).

- Mecanismos de gobernabilidad de proyectos 
- Herramientas, estructuras de control y prácticas de administración de proyectos 
- Prácticas de administración de riesgos aplicadas a proyectos 
- Riesgos y criterios de éxito de proyectos 
- Administración de configuraciones, cambios y liberaciones relacionados con desarrollo y mantenimiento de sistemas e infraestructura 
- Objetivos de control y técnicas que aseguran la terminación, exactitud, validez y autorización de transacciones y datos dentro de aplicaciones de sistemas de TI 
- Arquitecturas empresariales relacionadas con datos, aplicaciones y tecnología 
- Análisis de requerimientos y prácticas administrativas 
- Procesos de adquisición y administración de contratos 
- Metodologías y herramientas de desarrollo de sistemas y un entendimiento de sus fortalezas y debilidades 
- Métodos de aseguramiento de calidad 
- Administración de procesos de pruebas 
- Herramientas, técnicas y procedimientos de conversión de datos 
- Procedimientos de eliminación de sistemas y/o infraestructura 
- Certificación de software y hardware y prácticas de acreditación 
- Objetivos y métodos de revisiones post-implementación 
- Prácticas de migración de sistemas e implementación de infraestructura de TI 


Área de contenido 4: Servicios de entrega y de soporte de TI

Objetivo: Garantizar que las prácticas de administración de servicios de TI aseguran la entrega de los niveles de servicio requeridos para cumplir los objetivos de la organización. Prácticas de administración de niveles de servicio.

- Mejores prácticas de administración de operaciones 
- Técnicas, herramientas y procesos de monitoreo de desempeño de sistemas 
- Funcionalidad de componentes de red (ruteadores, switches, firewalls y periféricos) 
- Prácticas de administración de bases de datos 
- Funcionalidad del software de sistema 
- Técnicas de planeación de la capacidad y de monitoreo 
- Procesos para la administración de cambios programados y de emergencia 
- Prácticas de administración de problemas/incidentes 
- Licenciamiento de software y prácticas de inventario- Técnicas y herramientas de tolerancia a fallos 


Área de contenido 5: Protección de los activos de información

Objetivo: Garantizar que la arquitectura de seguridad asegura la confidencialidad, integridad y disponibilidad de los activos de información. Técnicas para el diseño, implementación y monitoreo de la seguridad.

- Controles de acceso lógico 
- Arquitecturas de seguridad de acceso lógico 
- Técnicas y métodos de ataque 
- Procesos relacionados al monitoreo y respuesta a incidentes de seguridad 
- Técnicas, protocolos y dispositivos de seguridad de red y de Internet 
- Sistemas de detección de intrusos y configuración, implementación, operación y mantenimiento de firewalls 
- Algoritmos de encriptación 
- PKI y firmas digitales 
- Técnicas de control y herramientas de detección de virus 
- Evaluación de vulnerabilidades y pruebas de penetración 
- Dispositivos y prácticas de protección ambiental 
- Sistemas y prácticas de seguridad física 
- Esquemas de clasificación de datos 
- Seguridad en comunicaciones de voz 
- Procesos y procedimientos utilizados para almacenar, recuperar, transportar y eliminar de forma segura, los activos informáticos confidenciales 
- Controles y riesgos asociados con el uso de dispositivos portátiles e inalámbricos 


Área de contenido 6: Continuidad del negocio y recuperación de desastres

Objetivo: Garantizar que en caso de siniestro los procesos de continuidad del negocio y de recuperación de desastres, permitirán recuperar los servicios principales rápidamente para minimizar el impacto al negocio.

- Prácticas y procesos de respaldo, almacenamiento, mantenimiento, retención y recuperación de datos
- Aspectos legales, contractuales y de seguros relativos a la continuidad del negocio y a la recuperación de desastres
- Análisis de impacto al negocio (BIA)
- Desarrollo y mantenimiento de planes de recuperación en caso de desastre y de continuidad del negocio
- Enfoques y métodos de recuperación de desastres y de continuidad del negocio
- Prácticas de administración de recursos humanos relativas a la continuidad del negocio y a la recuperación de desastres
- Procesos utilizados para invocar planes de continuidad del negocio y de recuperación de desastres 
- Tipos de sitios de procesamiento alterno y métodos utilizados para monitorear acuerdos contractuales 

SEGURIDAD CISSP.

Certified Information Systems Security Professional (CISSP), primera certificación de seguridad de la información acreditada con el reconocimiento ANSI ISO

Los aspectos que debe dominar aquel que pretenda certificarse como CISSP cubre lo que se denomina como los 10 dominios de conocimiento que requiere el (ISC)² al candidato y son los que se tratan en el curso de preparación para el examen. 

Estos 10 dominios son los siguientes:

1. Prácticas de Gestión de la Seguridad: Identificación de los activos de una organización y desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías:

- Conceptos y objetivos 
- Gestión del riesgo 
- Procedimientos y políticas 
- Clasificación de la información 
- Responsabilidades y roles en la seguridad de la información 
- Concienciación en la seguridad de la información 

2. Arquitectura y Modelos de Seguridad: Conceptos, principios, estructuras y estándares empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad:

- Conceptos de control y seguridad 
- Modelos de seguridad 
- Criterios de evaluación 
- Seguridad en entornos cliente/servidor y host 
- Seguridad y arquitectura de redes 
- Arquitectura de la seguridad IP 

3. Sistemas y Metodología de Control de Acceso: Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información:

- Conceptos y tópicos 
- Identificación y autenticación 
- Equipo de e-security 
- Single sign-on 
- Acceso centralizado / descentralizado / distribuido 
- Metodologías de control 
- Monitorización y tecnologías de control de acceso 

4. Seguridad en el Desarrollo de Aplicaciones y Sistemas: Define el entorno donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información:

- Definiciones 
- Amenazas y metas de seguridad 
- Ciclo de vida 
- Arquitecturas seguras 
- Control de cambios 
- Medidas de seguridad y desarrollo de aplicaciones 
- Bases de datos y data warehousing 
- Knowledge-based systems 

5. Seguridad de las Operaciones: Usado para identificar los controles sobre el hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso:

- Recursos 
- Privilegios 
- Mecanismos de control 
- Abusos potenciales 
- Controles apropiados 
- Principios 

6. Criptografía: Los principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad:

- Historia y definiciones 
- Aplicaciones y usos de la criptografía 
- Protocolos y estándares 
- Tecnologías básicas 
- Sistemas de encriptación 
- Criptografía simétrica / asimétrica 
- Firma digital 
- Seguridad en el correo electrónico e Internet empleando encriptación 
- Gestión de claves 
- Public Key Infrastructure (PKI) 
- Ataques y criptoanálisis 
- Cuestiones legales en la exportación de criptografía 

7. Seguridad Física: Técnicas de protección de instalaciones, incluyendo los recursos de los sistemas de información:

- Gestión de las instalaciones 
- Seguridad del personal 
- Defensa en profundidad 
- Controles físicos 

8. Seguridad en Internet, Redes y Telecomunicaciones: Incluye los dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación:

- Gestión de la seguridad en la comunicaciones 
- Protocolos de red 
- Identificación y autenticación 
- Comunicación de datos 
- Seguridad de Internet y Web 
- Métodos de ataque 
- Seguridad en Multimedia 

9. Recuperación ante Desastres y Planificación de la Continuidad del Negocio: Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones:

- Conceptos de recuperación ante desastres y de negocio 
- Procesos de planificación de la recuperación 
- Gestión del software 
- Análisis de vulnerabilidades 
- Desarrollo, mantenimiento y testing de planes 
- Prevención de desastres 

10. Leyes, Investigaciones y Ética: Engloba las leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos:

- Leyes y regulaciones 
- Gestión de incidentes 
- Gestión de la respuesta ante incidentes 
- Conducción de investigaciones 
- Ética en la seguridad de la información 
- Código ético del (ISC)²