Académique Documents
Professionnel Documents
Culture Documents
información
[4.1] ¿Cómo estudiar este tema?
[4.2] Introducción
4 TEMA
Esquema
TEMA 4 – Esquema
La seguridad de la información
es una
profesión
2
con sus propias definida en forma una
Ideas clave
Para estudiar este tema lee el caso de estudio, además de las Ideas clave que
encontrarás a continuación.
Este conocimiento es esencial para comprender los conceptos que son necesarios para
convertirse en un profesional en el área.
4.2. Introducción
Una profesión puede caracterizarse por el desarrollo de los siguientes cinco criterios:
4 Un código de ética.
Comentario
Los eventos relacionados con el hacking son diferentes de las conferencias académicas.
Ejemplos de estos eventos son:
Aclaración
La siguiente lista no pretende ser una enumeración exhaustiva de los diferentes proyectos en
los que se pueden ver involucrados estos profesionales, ni de los cometidos que llevan a cabo
pero es una buena aproximación para que conozcas lo que solicita actualmente el mercado.
Hay que tener en cuenta también que la taxonomía para los proyectos, servicios, tareas o
actividades en relación con la seguridad de la información no es única, pudiéndose ubicar
algunos de las actividades en diferentes categorías por lo que únicamente se debe tener en
cuenta como una clasificación más, pudiendo existir otras.
o Hacking ético: Analizar los activos tecnológicos de una organización con el fin de
encontrar vulnerabilidades en los mismos.
o Test de intrusión: Simular el comportamiento de un atacante para comprometer
un sistema expuesto a exterior.
o Análisis forense: Investigación acerca de las causas de un incidente de seguridad.
o Análisis de malware: Análisis del comportamiento de ficheros, sistemas, páginas
web y en general cualquier entidad que pudiera contener o propagar malware.
o Análisis de vulnerabilidades: Identificación de los puntos débiles de un sistema,
red o aplicación.
o Revisión de código: Análisis de la robustez de un código desde el punto de vista
de seguridad. Puede conllevar análisis de vulnerabilidades, análisis estático y
dinámico del código, etc.
LOPD,
LSSI
PCI DSS,
HIPAA
Basilea II,
Sarbanes-
Oxley
Cumplimiento legal
Oficinas técnicas: Conocidas con este nombre u otros similares, son muy
habituales en entidades con un nivel de seguridad aun poco maduro y que
externaliza el área de seguridad (total o parcialmente) en un tercero. Aunque es una
forma de outsoucing, la mayor implicación de una Oficina de seguridad en la
estrategia y planificación de la seguridad hace que pueda considerar una categoría
aparte.
Ejemplo
En el siguiente enlace, puedes acceder un documento de SANS que trata esta situación y
que describe los pasos a seguir para lograr el éxito:
https://www.sans.org/reading-room/whitepapers/infosec/information-security-starting-33239
Si bien es cierto que hay otras formas de adquirir este conocimiento (experiencia,
cursos de postgrado…), las certificaciones han llegado a tener un campo muy relevante
en el campo de IT y concretamente en el de la seguridad de la información.
Algunos de los motivos que han favorecido esta situación son los siguientes:
Lo mismo sucede con la pertenencia a las organizaciones que llevan a delante estos
programas (ISACA, ISC2, EC-Council, GIAC…) resultando a día de hoy actores muy
relevantes en el sector y fomentando el intercambio de ideas, la formación continua y la
creación de una comunidad de seguridad de la información.
Debido a la infinidad de certificaciones que hay se han tomado tres generalistas a modo
de ejemplo, dos pertenecientes a ISC2 y una a ISACA.
Certificaciones ISC2
El CISSP se estructura en ocho dominios desde el año 2015 (previamente eran 10) que
conforman el Common Body of Knowledge (CBK):
Para mantener la certificación CISSP se debe realizar una cierta cantidad de actividades,
cuya finalidad es asegurar que el profesional se ha mantenido activo en el área de
la seguridad en el tiempo. Cada una de estas actividades recibe cierta cantidad de créditos
(CPE) de los cuales el profesional debe reunir 120 cada 3 años.
Certificaciones ISACA
Lo + recomendado
Hacking ético
TEMA 4 – Lo + recomendado 16
Gestión de la seguridad
+ Información
A fondo
El profesor Keith M. Martin repasa a través del siguiente paper, las diferentes
posibilidades para adquirir y desarrollar conocimientos y habilidades relacionadas con
la ciberseguridad. Aunque el punto de vista del autor se centra sobre todo en el
mercado británico, la mayor parte de los criterios que se deben tener en cuenta a la
hora de elegir un programa de esta índole son generalizables.
Webgrafía
https://www.isc2.org/
TEMA 4 – + Información 17
Gestión de la seguridad
Bibliografía
VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach
Publications.
Dan Shoemaker, Wm. Arthur Conklin, (2011). Cybersecurity: The Essential Body Of
Knowledge. Cengage Learning.
TEMA 4 – + Información 18
Gestión de la seguridad
Actividades
En el escenario descrito, se pide al alumno que escoja uno de los proyectos propuestos
definiendo:
1. Un contexto para la empresa pudiendo tomar como partida las directrices dadas en
el capítulo 4 de la ISO/IEC 27001.
2. Identificar brevemente los principales riesgos asociados que podría tener una
empresa como la indicada.
3. Priorizar los proyectos justificando el que debe tener mayor prioridad justificando el
porqué de la elección y de qué modo mitigaría los riesgos identificados.
TEMA 4 – Actividades 19
Gestión de la seguridad
Se puede utilizar como guía las buenas prácticas de la ISO 27002 indicadas para
cada proyecto a modo de guion. Se valorará incluir referencias a otros
documentos relevantes que apoyen la información del proyecto, tanto de fuentes
abiertas disponibles online como de libros de texto y bibliografía disponible en la
Biblioteca Virtual de UNIR.
Los tres primeros puntos tendrán una extensión máxima de 2 páginas, no pudiendo
superar el trabajo en su totalidad las 10 páginas (Georgia 11, interlineado 1,5).
TEMA 4 – Actividades 20
Gestión de la seguridad
Test
1. Indica cuáles de las siguientes afirmaciones respecto a los hackers éticos son ciertas.
A. No forman parte activa de la comunidad de la seguridad de la información.
B. Pueden actuar al margen de la ley siempre que su fin no sea malicioso.
C. Todos los hackers utilizan técnicas similares pero los así denominados se
basan en un código ético.
D. Ninguna de las anteriores.
TEMA 4 – Test 21
Gestión de la seguridad
6. ¿Qué aspectos de los siguientes son una muestra del reconocimiento de la seguridad
de la información como profesión?
A. La existencia de multitud de conferencias de seguridad y foros de debate
relacionados con el sector.
B. El número cada vez más elevado de ataques contra empresas y entidades a lo
largo de todo el mundo.
C. La gran cantidad de títulos, certificaciones y programas específicos en
seguridad de la información disponibles en el mercado.
D. Ninguna de las anteriores.
TEMA 4 – Test 22
Gestión de la seguridad
10. Indica cuáles de las siguientes afirmaciones son ciertas sobre las certificaciones de
seguridad de la información.
A. La certificación CAP tiene un contenido técnico equivalente a la certificación
CISSP.
B. Las certificaciones son títulos como las titulaciones, que se obtienen y no
necesitan renovarse.
C. La certificación CISSP sólo puede obtenerse cuando se tiene experiencia
profesional en el área.
D. Ninguna de las anteriores.
TEMA 4 – Test 23