CISSP Guía de Proceso V.19 Después de pasar el examen CISSP, y con el propósito de beneficiar a otros con el conocimiento y la experiencia que obtuve durante mi período de estudio, resumí los principales conceptos básicos en una descripción general. Espero que esta consolidación de los conceptos y procesos centrales beneficie a aquellos interesados en ser miembros del grupo de estudio CISSP y la comunidad. La intención de este documento es ser suplementario, no un reemplazo de las guías de estudio y libros publicados oficialmente. Pude haber agregado varias definiciones del mismo proceso o procedimiento debido a las diversas definiciones de diferentes recursos, como el CBK oficial, Sybex, publicaciones de NIST, documentos de SANS o los libros de AIO Shon Harris. Si encuentra algún conflicto, consulte el último Official CISSP CBK. Al ser un candidato de CISSP, debe comprender completamente los conceptos, las metodologías y las implementaciones de CISSP dentro de la organización. Por favor, no intente ningún atajo cuando se trata de leer libros y obtener conocimiento. Esta referencia rápida debe utilizarse como una recapitulación rápida de los conceptos de seguridad. Es importante que primero lea los libros oficiales de CISSP y luego use estas notas para obtener un resumen de lo que ha leído. Te deseo buena suerte para el examen CISSP. Corporate Governance: El gobierno corporativo es el conjunto de responsabilidades y prácticas ejercidas por la junta directiva y la gerencia ejecutiva con el objetivo de proporcionar una dirección estratégica, asegurar que se logren los objetivos, determinar que el riesgo se gestiona adecuadamente y verificar que los recursos de la empresa se utilizan de manera responsable. • Auditoría de cadenas de suministro • Estructura y proceso de la junta y la gerencia • Responsabilidad corporativa y cumplimiento • Transparencia financiera y divulgación de información • Estructura de propiedad y ejercicio de los derechos de control Governace, Risk and Compliance (GRC): El proceso de cómo una organización administra sus recursos de información. Este proceso generalmente incluye todos los aspectos de cómo se toman las decisiones para esa organización, como las políticas, los roles y los procedimientos que la organización usa para tomar esas decisiones. Está diseñado para garantizar que el negocio se centre en las actividades principales, aclare quién en la organización tiene la autoridad para tomar decisiones, determina la responsabilidad por las acciones y la responsabilidad por los resultados y aborda cómo se evaluará el rendimiento esperado. Areas of focus for IT Governance: • Alineación estratégica • Entrega de valor • Administracion de recursos • Gestión de riesgos • Gestión del rendimiento Governance vs. Management: Supervisión vs. Implementación • Asignar autoridad vs. autorizar acciones • Promulgando una política frente a la aplicación • Responsabilidad frente a responsabilidad • Planificación estratégica vs. planificación de proyectos • Asignación de recursos vs. utilización de recursos Nota: Gobernanza: (¿Qué necesitamos lograr?). La gobernanza generalmente se centra en la alineación de los requisitos internos, como las políticas corporativas, los objetivos comerciales y la estrategia. Gestión: (Cómo) The Importance of Following Infosec Standards: Crear y usar prácticas comprobadas comunes es una parte importante de un programa de seguridad de la información exitoso. Las normas no solo respaldan la gestión proactiva y la mitigación eficiente de riesgos, la adopción y el cumplimiento consecuente de una norma pueden aportar beneficios adicionales a cualquier organización. • CONFIANZA Y CONFIANZA. Cuando las organizaciones obtienen certificaciones que demuestran cumplimiento, crean una sensación de confianza entre los empleados y terceros con quienes interactúan. • MEJORES RESULTADOS. Cuando hablas la misma jerga, los resultados son más productivos, efectivos y cohesivos. Por ejemplo, las evaluaciones de los proveedores pueden ser más fluidas y rápidas con un programa de infosec formal. • VENTAJA COMPETITIVA. El desarrollo de un programa de información formal y la obtención de la certificación aumenta la confianza de los clientes y partes interesadas en la forma en que los riesgos de la información se gestionan y se alinean con su propio apetito de riesgo. • RESPONSABILIDAD CORPORATIVA. Tener una certificación de infosec puede ayudar a las organizaciones a demostrar la debida diligencia y la debida atención, que son requisitos obligatorios para los funcionarios de la compañía y esenciales para mitigar la negligencia corporativa. Nota: Los estándares de seguridad de la información ofrecen mejores prácticas y comparten información experta. Estos estándares permiten a las organizaciones adoptar, adaptar e implementar un valioso programa de infosec sin tener que contratar expertos a tiempo completo, reinventar la rueda y aprender por prueba y error, lo cual es costoso, lento y peligroso. Challenges of implementing and maintaining standards: • Tiempo: la implementación y el mantenimiento de los estándares de seguridad de la información no es un proyecto de una sola vez. Más bien, es un proceso que requiere personal dedicado y calificado, apoyo de los líderes principales y monitoreo y mejora continua. Un esfuerzo exitoso requerirá la aceptación de toda la organización. • Costo: los estándares pueden ser costosos de implementar y tan costosos de mantener. En el caso de ISO 27001, por ejemplo, además del tiempo y el esfuerzo necesarios para cumplir con los requisitos estándar, las organizaciones deben presupuestar los honorarios de auditoría anuales, que pueden ser sustanciales. • Buy-in: la aceptación del liderazgo superior y la propiedad del programa en el nivel C son elementos críticos para que una organización implemente un programa de seguridad de la información de manera efectiva. El equipo de seguridad de la información debe compartir las métricas, informar la efectividad del programa y demostrar su valor y alineamiento estratégico con los objetivos comerciales de la organización para mantener el apoyo de los altos directivos. • Gestión del cambio: en general, todos aprecian el valor de proteger la información hasta que requiere un cambio. Los equipos de seguridad que implementan estándares tienen el reto de lograr un delicado equilibrio entre seguridad y comodidad. • Mejora continua: los estándares tienen ciclos de vida. Cuando se actualiza un estándar, todas las organizaciones que lo cumplen tienen la responsabilidad de conocer las actualizaciones e implementarlas en las fechas especificadas, o tan pronto como sea posible si no se exige un límite de tiempo. En algunos casos, un estándar puede quedar obsoleto, y un nuevo estándar debe ser investigado y presentado a la alta dirección para su aprobación. Main security requirements and their subcomponents: • Seguridad de la red •• Confidencialidad •• Integridad •• Autenticidad •• Disponibilidad • Gestión de identidad •• Autenticación •• Autorización •• Responsabilidad •• Revocación • Privacidad •• Privacidad de datos •• Anonimato •• Pseudonimidad •• Desvinculación • Confianza •• Device Trust •• Entity Trust •• Data Trust • Resistencia •• Robustez contra los ataques •• Resistencia contra fallas CIA-AP • Confidencialidad: la capacidad de limitar el acceso a la información y la divulgación solo a clientes autorizados. • Integridad: la capacidad de preservar la estructura y el contenido de los recursos de información. • Disponibilidad: la capacidad de garantizar el acceso continuo a datos y recursos por parte de clientes autorizados. • Autenticidad: la capacidad de garantizar que los clientes u objetos sean genuinos. • Privacidad: la capacidad de proteger toda la información perteneciente a la esfera personal de los usuarios. Authorization approval procedure • Formalizado • Aprobación por el gerente directo, el propietario de los datos, el profesional de la seguridad • Los permisos de acceso siguen el principio de privilegio mínimo • Equilibrar la seguridad con la necesidad de acceso • Evite permitir demasiados privilegios - Conflictos de interés • Quitar el privilegio cuando ya no es necesario Business Impact Assessment (BIA) Un proceso sistemático para determinar y evaluar los efectos potenciales de una interrupción en operaciones comerciales críticas como resultado de explotación, desastre, accidente o emergencia. Key Metrics to establish BIA: • SLO • RPO • MTD • RTO • WRT • MTBF • MTTR • MOR Business Impact Assessment: • Identificar prioridades • Identificar el riesgo • Evaluación de verosimilitud • Evaluación de impacto • Priorización de recursos Nota: El riesgo nunca se puede mitigar a cero (no existe tal cosa como "sin riesgo" o "seguridad perfecta") Business Impact Analysis • Identificar funciones críticas • Identificar recursos críticos • Calcula MTD para recursos • Identificar amenazas • Calcular riesgos • Identificar soluciones de respaldo Business Impact Analysis • Seleccionar individuos para entrevistar para recopilar datos • Crear técnicas de recopilación de datos • Identificar funciones comerciales críticas • Identificar los recursos de los que dependen estas funciones • Calcule cuánto tiempo estas funciones pueden sobrevivir sin estos recursos • Identificar vulnerabilidades y amenazas • Calcular el riesgo para cada función comercial diferente • Documentar los hallazgos e informarlos a la gerencia Business Continuity Planning (BCP) • Iniciación del proyecto • Análisis de Impacto del Negocio • Estrategia de recuperación • Plan de diseño y desarrollo • Implementación • Prueba • Mantenimiento continuo BCP (NIST 800-34) • Desarrollar una política de planificación; • BIA • Identificar controles preventivos • Crear estrategias de contingencia • Desarrollar planes de contingencia • Prueba • Mantenimiento WHY – Business Continuity Planning (BCP) • Proporcionar una respuesta inmediata y apropiada a situaciones de emergencia • Proteger vidas y garantizar la seguridad • Reducir el impacto empresarial • Reanudar funciones comerciales críticas • Trabajar con proveedores externos y socios durante el período de recuperación • Reducir la confusión durante una crisis • Asegurar la supervivencia del negocio • Póngase "en funcionamiento" rápidamente después de un desastre DRP vs. BCP: • BCP - Control correctivo • DRP - Control de recuperación • Tanto BCP como DRP caen dentro de la categoría de Control de Compensación • BCP: no es un control preventivo, ya que NO puede prevenir un desastre • BCP: ayuda en la continuidad de la función de organización en caso de desastre • BCP: mantenimiento de funciones críticas durante una interrupción de las operaciones normales • DRP: recuperación a las operaciones normales después de una interrupción DR Team: • Equipo de rescate: responsable de ocuparse de la inmediatez del desastre: evacuación del empleado, bloqueo de la sala de servidores, etc. • Equipo de recuperación: responsable de poner en marcha la instalación alternativa y restaurar primero los servicios más críticos. • Equipo de rescate: responsable del retorno de las operaciones a la instalación original o permanente (reconstitución) - (nos devuelve a la etapa de normalidad) Business Continuity Planning (BCP) Documents: • Continuidad de los objetivos de planificación • Declaración de importancia y declaración de prioridades • Declaración de responsabilidades organizacionales • Declaración de urgencia y calendario • Evaluación de riesgos, aceptación de riesgos y documento de mitigación de riesgos • Programa de Registros Vitales • Pautas de respuesta a emergencias • Documentación para mantener y probar el plan DRP/BCP document plan should be: • Creado para una empresa con gerentes funcionales individuales responsables de los planes específicos de sus departamentos • Las copias del plan deben mantenerse en múltiples ubicaciones • Se deben mantener copias electrónicas y en papel • El plan debe ser distribuido a aquellos que necesitan saber • La mayoría de los empleadores solo verán una pequeña porción del plan Business Continuity Planning (BCP) • Alcance y planificación del proyecto •• Análisis de la organización empresarial •• Selección del equipo BCP •• Requerimientos de recursos •• Requisitos legales y regulatorios • Evaluación de impacto empresarial •• Identificar prioridades •• Identificación de riesgo •• Evaluación de la verosimilitud •• Evaluación de impacto •• Priorización de recursos • Planificación de continuidad •• Desarrollo de estrategias •• Disposiciones y procesos •• Aprobación del plan •• Implementación del plan •• Entrenamiento y educación • Aprobación e implementación •• Aprobación por la alta gerencia (APROBACIÓN) •• Crear una conciencia del plan en toda la empresa (CONCIENCIA) •• Mantenimiento del plan, incluida la actualización cuando sea necesario (MANTENIMIENTO) •• Implementación Development of Disaster Recovery Plan (DRP) Desarrollo del Plan de Recuperación ante Desastres (DRP): • Alcance y objetivos del plan • Organización de Recuperación Empresarial (BRO) y Responsabilidades (Equipo de Recuperación) • Componentes principales del plan: formato y estructura • Escenario para ejecutar el plan • Escalación, notificación y activación del plan • Registros vitales y programa de almacenamiento fuera del sitio • Programa de control de personal • Limitaciones de pérdida de datos • Administración del plan Disaster Recovery Plan (DRP) procedures: • Responder al desastre de acuerdo con un nivel de desastre predefinido • Evaluar el daño y estimar el tiempo requerido para reanudar las operaciones • Realizar recuperación y reparación Elements of Recovery Strategies: • Estrategia de recuperación empresarial •• Centrarse en la recuperación de las operaciones comerciales • Estrategia de recuperación de suministros y instalaciones •• Enfóquese en la restauración de instalaciones y habilite sitios de recuperación alternativos • Estrategia de recuperación del usuario •• Concéntrese en las personas y el alojamiento • Estrategia de recuperación técnica •• Centrarse en la recuperación de los servicios de TI • Estrategia de recuperación de datos •• Centrarse en la recuperación de activos de información The eight R´s of a successful Recovery Plan: • Motivo de la planificación • Reconocimiento • Reacción • Recuperación • Restauracion • Regresar a la normalidad • Descansa y relajate • Reevaluar y volver a documentar Disaster Recovery Program: • Evaluación crítica de la aplicación • Procedimientos de respaldo • Procedimientos de recuperación • Procedimientos de implementación • Procedimientos de prueba • Mantenimiento del plan Post-Incident Review: El objetivo es cómo mejorar; después de una prueba o desastre ha tenido lugar: • Foco en cómo mejorar • ¿Qué debería haber pasado? • ¿Qué debería pasar después? • No fue culpa de quien fue; esto no es productivo Continuity Planning Normalmente se aplica a la misión / negocio en sí; Se refiere a la capacidad de continuar funciones y procesos críticos durante y después de un evento de emergencia. Contingency Planning Se aplica a los sistemas de información y proporciona los pasos necesarios para recuperar la operación de todo o parte del sistema de información designado en una ubicación existente o nueva en una emergencia. Business Continuity Plan (BCP) BCP se enfoca en mantener el proceso de misión / negocio de una organización durante y después de una interrupción. Se puede usar para la recuperación a largo plazo junto con el plan COOP, lo que permite que las funciones adicionales entren en línea cuando los recursos o el tiempo lo permitan. Occupant Emergency Plan (OEP) Describe los procedimientos de primera respuesta para los ocupantes de una instalación en caso de una amenaza o incidente a la salud y seguridad del personal, el medio ambiente o la propiedad. Cyber Incident Response Planning (CIRP): Es un tipo de plan que normalmente se enfoca en la detección, respuesta y recuperación a un incidente o evento de seguridad informática. Establece procedimientos para abordar los ciberataques contra los sistemas de información de una organización. Information System Contingency Plan (ISCP): Proporciona procedimientos establecidos para la evaluación y recuperación de un sistema después de una interrupción del sistema. Proporciona la información clave necesaria para la recuperación del sistema, incluidos los roles y responsabilidades, la información del inventario, los procedimientos de evaluación, los procedimientos de recuperación detallados y las pruebas de un sistema. Continuity of Operations Plan (COOP): Se centra en restaurar la función esencial de la misión de una organización de un sitio alternativo y realizar esas funciones durante hasta 30 días antes de volver a las operaciones normales. Disaster Recovery Plan (DRP): Se aplica a las principales interrupciones físicas en el servicio que niegan el acceso a la infraestructura de la instalación primaria durante un período prolongado. Un plan centrado en el sistema de información diseñado para restaurar la operabilidad del sistema de destino, la aplicación o la infraestructura de la instalación informática en un sitio alternativo después de una emergencia. Solo aborda las interrupciones del sistema de información que requieren reubicación. The risks to the organization found in: • Financiero • Reputacional • Regulatorio Risk Analysis: • Analizando el ambiente para riesgos • Crear un informe de costo / beneficio para salvaguardas • Evaluar la amenaza Elements of risk: • Amenazas • Activos • Factores atenuantes (Mitigating factors) Risk Analysis methodology: • CRAMM (CCTA Risk Analysis and Management Method) • FMEA (modos de falla y metodología de análisis de efectos) • FRAP (Proceso de análisis de riesgo facilitado) • OCTAVE (evaluación de amenazas, activos y vulnerabilidad operacionalmente crítica) • EMPUJAR • Análisis de Spanning Tree • SOMAP (Proyecto de análisis y gestión de oficiales de seguridad) • VAR (valor en riesgo) RMF CSIAAM: (NIST 800-37) El marco de gestión de riesgos (RMF) abarca una amplia gama de actividades para identificar, controlar y mitigar los riesgos para un sistema de información durante el ciclo de vida del desarrollo del sistema. Una de las actividades es el desarrollo de un ISCP. La implementación del marco de gestión de riesgos puede prevenir o reducir la probabilidad de amenazas y limitar las consecuencias de los riesgos. RMF incluye: • Categorizar el sistema de información y los datos • Seleccione un conjunto inicial de controles de seguridad de línea base • Implementar los controles de seguridad y describir cómo se utilizan los controles • Evaluar los controles de seguridad • Autorizar sistemas para ser lanzados • Monitorear los controles de seguridad Risk Management Process: (FARM) • Framing risk • Assessing risk • Responding to risk • Monitoring risk • Riesgo de enmarcado • Evaluar el riesgo • Respondiendo al riesgo • Controlar el riesgo Risk management Policy Document: • Objetivos de la política y justificación para la gestión del riesgo • Alcance y carta de gestión del riesgo de la información • Vínculos entre la política de gestión de riesgos y los planes empresariales estratégicos y corporativos de la organización: extensión y rango de problemas a los que se aplica la política • Orientación sobre lo que se considera niveles de riesgo aceptables • Responsabilidades de gestión de riesgos • Experiencia de soporte disponible para ayudar a los responsables de la gestión del riesgo • Nivel de documentación requerida para diversas actividades relacionadas con la gestión de riesgos, por ejemplo, gestión de cambios • Un plan para revisar el cumplimiento de la política de gestión de riesgos • Niveles de severidad de incidentes y eventos • Procedimientos, formato y frecuencia de informes y escalonamiento de riesgos Risk management life cycle: • Monitoreo continuo • Evaluar • Evaluar e informar el riesgo. Risk management: • Evaluación de riesgos: identificar activos y amenazas de vulnerabilidades • Análisis de riesgo - Valor del riesgo potencial • Mitigación de riesgos: respuesta al riesgo • Monitoreo de riesgos: el riesgo es para siempre Risk management entails evaluating: • Amenazas • Vulnerabilidades • Contramedidas Methodologies of Risk Assessment: • Prepárese para la evaluación. • Llevar a cabo la evaluación: •• Identificar fuentes y eventos de amenazas. •• Identificar vulnerabilidades y condiciones predisponentes. •• Determinar la probabilidad de ocurrencia. •• Determinar la magnitud del impacto. •• Determinar el riesgo. • Comunicar los resultados. • Mantener la evaluación. Preparing Risk Assessment: • Propósito de la evaluación • El alcance de la evaluación • Suposiciones y limitaciones asociadas con la evaluación • Fuentes de información para ser utilizadas como entradas para la evaluación • Modelo de riesgo y enfoques analíticos Risk Assessment (NIST 800-30): • Sistema / Asst. Caracterización • Identificación de amenazas • Identificación de vulnerabilidad • Análisis de control • Determinación de verosimilitud • Análisis de impacto • Determinación del riesgo • Recomendaciones de control • Documentación de resultados Damage assessment: • La determinación de la causa del desastre es el primer paso de la evaluación de daños • Cuánto tiempo demorará volver a poner funciones críticas en línea • Identificar los recursos que deben ser reemplazados inmediatamente • Declara un desastre Damage assessment: • Determinar la causa del desastre. • Determine la posibilidad de daño adicional. • Identificar las áreas y funciones comerciales afectadas. • Identificar el nivel de funcionalidad de los recursos críticos. • Identificar los recursos que deben ser reemplazados inmediatamente. • Estime cuánto tiempo demorará el restablecimiento de las funciones críticas en línea. • Si tomará más tiempo que los valores MTD estimados previamente para restaurar las operaciones, entonces se debe declarar un desastre y se debe poner en práctica el BCP. Nota: • La primera actividad en cada plan de recuperación es la evaluación de daños, seguida inmediatamente por la mitigación de daños. • El paso final en una evaluación de daños es declarar un desastre. • La decisión de activar un plan de recuperación de desastres se realiza después de que se completa la evaluación y evaluación de daños. Configuration Management • Plan • Aprobar Baseline • Implementar • Control de Cambios • Monitor • Informe • Repetible Configuration management: • Identificación de configuración • Control de configuración • Contabilidad del estado de la configuración • Auditoría de configuración Change Management: • Solicitud de cambio para tener lugar • Aprobación del cambio • Documentación del cambio • Probado y presentado • Implementación • Informar cambio a la administración Change Management: • Solicitud • Revisión • Aprobar • Horario • Documento