martes, 3 de noviembre de 2015

Curso Free de Seguridad - Nota 1




Introducción a la Seguridad Informática


Un Profesional de la Seguridad Informática dería tener un conjunto común de conocimientos que le permita comprender a la seguridad como un todo y le permita entender y planear la misma de una óptica global.

Este conjunto de conocimientos se conoce como “The Common Body of Knowledge” o CBK, que significa “Conjunto Común de Conocimientos”, y es conocido dentro del mundo de la Seguridad como Los Diez Dominios de la Seguridad de la Información.

Si bien este conjunto común de conocimientos proporciona los conocimientos mínimos requeridos para los exámenes o certificaciones internacionales de seguridadl (como el CISSP), en realidad proven de un conjunto de herramientas sumamente importantes para la formación en seguridad informática.

Estos diez dominios representan áreas de conocimientos que le permiten al experto en seguridad pormenorizar todos los detalles a los que debe atender con el objeto de planificar su seguridad y contemplar los distintos tipos de eventualidades que debrá enfrentar para lograr mantener la integridad de la seguridad y en caso de que ésta falle, atenuar el impacto de un ataque o pérdida de la información.

¿Cuáles son los dominios?

  • Dominio de control de acceso: este conjunto abarca todos los mecanismos por los cuales el sistema de seguridad controla el acceso a los datos evitando que personal no autorizado operre sobre los sistemas protegidos y pueda leer o trabajar con la información protegida. Esta área es la que contempla los permisos de acceso a carpetas, los usuarios, contraseñas, planificación de recursos compartidos, controles de accesos, etc
  • Dominio de la Seguridad de la Red y de las Telecomunicaciones: contempla la seguridad de infraestructura física y lógica de la red, incluyendo el control de los dispositivos, bocas, cables, transmisiones, protocolos y seguridad en los dispositivos usados en la red. Abarca el control de los puestos de trabajo, las bocas ethernet, la seguridad wifi, las vlan, la seguridad de routers y puertos, la actualización mediante parches, planificación de la DMZ, NAT, replicación de bases de datos, etc.
  • Dominio de Control de la Seguridad y la Gestión de Riesgos: que comprende el desarrollo, documentación e implementación de las políticas, normas y procedimientos que garanticen la seguridad de la información. Es la planificación de las políticas, implementación y controles del plan de seguridad.
  • Dominio de la Seguridad en el Desarrollo de Software: que se refiere a los controles que el experto en seguridad debe contemplar para la implementación del software empresario. El control de fallas que permitan la inyección SQL, la seguridad del front end, bugs, eliminación de puertas traseras, control de bases de datos, parches de aplicativos, sistemas operativos, software de servidores, etc
  • Dominio de la Criptografía: que avanza sobre los principios, medios y métodos de aplicación de algoritmos matemáticos que garantizen la integridad, confidencialidad y autenticidad de la información no sólo dentro de la LAN, sino mientras viaja por redes públicas. Abarca la seguridad del correo electrónico y medios de comunicación, certificados de seguridad para los servidores, la seguridad de las bases de datos, etc.
  • Dominio de la Seguridad en la Arquitectura de los Sistemas: trata sobre los principios, estructuras y normas que se usan para diseñar, implementar, monitorear y asegurar el funcionamiento de los sistemas, equipos, redes y aplicaciones. Contempla los Sistemas de Backup, energía alternativa en caso de fallas de suministro eléctrico, contingencias climáticas y desastres, terminales alternativas, copias de la información, preservación de los medios físicos, sistemas anti-incendio, etc.
  • Dominio de las Operaciones de Seguridad: que verifica los procedimientos por los cuales el personal autorizado puede acceder al hardware, los medios de comunicación, así commo la planificación de los niveles de acceso y privilegios de los usuarios.
  • Dominio de la Planificacion de la Continuidad del Negocio y la Recuperación ante Desastres: que permite planificar el modo en que la empresa seguirá con las operaciones aún en casos extremos. Trabaja estrechamente con el Dominio de Arquitectura. Permite planificar cómo se reinicirán las operaciones, en dónde se establecerá un centro de información alternativo, quién manejará las operaciones en caso de acefalía gerencial, cómo se recuperarán los datos, de qué modo se reiniciarán las operaciones, etc.
  • Dominio Jurídico y Etico de la organización: tiene en cuenta el marco regulatorio legal de las operaciones de la empresa, así como reglamentos, controles y comportamiento ético de la organización
  • Dominio Físico o Ambiental: que tiene en cuenta  las amenazas, vulnerabilidades, habilidades y contramedidas que pueden ser utilizados para proteger físicamente los recursos de una empresa y la información sensible de la misma
 
http://profesorponce.blogspot.com.ar/p/libros-publicados.html
 

No hay comentarios:

Publicar un comentario