Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por posinski

CISSP Guía de Proceso

Anuncio 
CISSP Guía de Proceso
V.19
Después de pasar el examen CISSP, y con el propósito de beneficiar a otros con el conocimiento y la
experiencia que obtuve durante mi período de estudio, resumí los principales conceptos básicos en una
descripción general. Espero que esta consolidación de los conceptos y procesos centrales beneficie a
aquellos interesados en ser miembros del grupo de estudio CISSP y la comunidad. La intención de este
documento es ser suplementario, no un reemplazo de las guías de estudio y libros publicados oficialmente.
Pude haber agregado varias definiciones del mismo proceso o procedimiento debido a las diversas
definiciones de diferentes recursos, como el CBK oficial, Sybex, publicaciones de NIST, documentos de
SANS o los libros de AIO Shon Harris. Si encuentra algún conflicto, consulte el último Official CISSP CBK.
Al ser un candidato de CISSP, debe comprender completamente los conceptos, las metodologías y las
implementaciones de CISSP dentro de la organización. Por favor, no intente ningún atajo cuando se trata
de leer libros y obtener conocimiento. Esta referencia rápida debe utilizarse como una recapitulación rápida
de los conceptos de seguridad. Es importante que primero lea los libros oficiales de CISSP y luego use estas
notas para obtener un resumen de lo que ha leído. Te deseo buena suerte para el examen CISSP.
Corporate Governance:
El gobierno corporativo es el conjunto de responsabilidades y prácticas ejercidas por la junta directiva y la
gerencia ejecutiva con el objetivo de proporcionar una dirección estratégica, asegurar que se logren los
objetivos, determinar que el riesgo se gestiona adecuadamente y verificar que los recursos de la empresa se
utilizan de manera responsable. • Auditoría de cadenas de suministro • Estructura y proceso de la junta y
la gerencia • Responsabilidad corporativa y cumplimiento • Transparencia financiera y divulgación de
información • Estructura de propiedad y ejercicio de los derechos de control
Governace, Risk and Compliance (GRC):
El proceso de cómo una organización administra sus recursos de información. Este proceso generalmente
incluye todos los aspectos de cómo se toman las decisiones para esa organización, como las políticas, los
roles y los procedimientos que la organización usa para tomar esas decisiones. Está diseñado para
garantizar que el negocio se centre en las actividades principales, aclare quién en la organización tiene la
autoridad para tomar decisiones, determina la responsabilidad por las acciones y la responsabilidad por los
resultados y aborda cómo se evaluará el rendimiento esperado.
Areas of focus for IT Governance:
• Alineación estratégica • Entrega de valor • Administracion de recursos • Gestión de riesgos • Gestión del
rendimiento
Governance vs. Management:
Supervisión vs. Implementación • Asignar autoridad vs. autorizar acciones • Promulgando una política
frente a la aplicación • Responsabilidad frente a responsabilidad • Planificación estratégica vs. planificación
de proyectos • Asignación de recursos vs. utilización de recursos Nota: Gobernanza: (¿Qué necesitamos
lograr?). La gobernanza generalmente se centra en la alineación de los requisitos internos, como las
políticas corporativas, los objetivos comerciales y la estrategia. Gestión: (Cómo)
The Importance of Following Infosec Standards:
Crear y usar prácticas comprobadas comunes es una parte importante de un programa de seguridad de la
información exitoso. Las normas no solo respaldan la gestión proactiva y la mitigación eficiente de riesgos,
la adopción y el cumplimiento consecuente de una norma pueden aportar beneficios adicionales a cualquier
organización.
• CONFIANZA Y CONFIANZA. Cuando las organizaciones obtienen certificaciones que demuestran
cumplimiento, crean una sensación de confianza entre los empleados y terceros con quienes interactúan.
• MEJORES RESULTADOS. Cuando hablas la misma jerga, los resultados son más productivos, efectivos y
cohesivos. Por ejemplo, las evaluaciones de los proveedores pueden ser más fluidas y rápidas con un
programa de infosec formal.
• VENTAJA COMPETITIVA. El desarrollo de un programa de información formal y la obtención de la
certificación aumenta la confianza de los clientes y partes interesadas en la forma en que los riesgos de la
información se gestionan y se alinean con su propio apetito de riesgo.
• RESPONSABILIDAD CORPORATIVA. Tener una certificación de infosec puede ayudar a las
organizaciones a demostrar la debida diligencia y la debida atención, que son requisitos obligatorios para
los funcionarios de la compañía y esenciales para mitigar la negligencia corporativa.
Nota: Los estándares de seguridad de la información ofrecen mejores prácticas y comparten información
experta. Estos estándares permiten a las organizaciones adoptar, adaptar e implementar un valioso
programa de infosec sin tener que contratar expertos a tiempo completo, reinventar la rueda y aprender
por prueba y error, lo cual es costoso, lento y peligroso.
Challenges of implementing and maintaining standards:
• Tiempo: la implementación y el mantenimiento de los estándares de seguridad de la información no es
un proyecto de una sola vez. Más bien, es un proceso que requiere personal dedicado y calificado, apoyo
de los líderes principales y monitoreo y mejora continua. Un esfuerzo exitoso requerirá la aceptación de
toda la organización.
• Costo: los estándares pueden ser costosos de implementar y tan costosos de mantener. En el caso de ISO
27001, por ejemplo, además del tiempo y el esfuerzo necesarios para cumplir con los requisitos estándar,
las organizaciones deben presupuestar los honorarios de auditoría anuales, que pueden ser sustanciales.
• Buy-in: la aceptación del liderazgo superior y la propiedad del programa en el nivel C son elementos
críticos para que una organización implemente un programa de seguridad de la información de manera
efectiva. El equipo de seguridad de la información debe compartir las métricas, informar la efectividad del
programa y demostrar su valor y alineamiento estratégico con los objetivos comerciales de la organización
para mantener el apoyo de los altos directivos.
• Gestión del cambio: en general, todos aprecian el valor de proteger la información hasta que requiere un
cambio. Los equipos de seguridad que implementan estándares tienen el reto de lograr un delicado
equilibrio entre seguridad y comodidad.
• Mejora continua: los estándares tienen ciclos de vida. Cuando se actualiza un estándar, todas las
organizaciones que lo cumplen tienen la responsabilidad de conocer las actualizaciones e implementarlas
en las fechas especificadas, o tan pronto como sea posible si no se exige un límite de tiempo. En algunos
casos, un estándar puede quedar obsoleto, y un nuevo estándar debe ser investigado y presentado a la alta
dirección para su aprobación.
Main security requirements and their subcomponents:
• Seguridad de la red
•• Confidencialidad
•• Integridad
•• Autenticidad
•• Disponibilidad
• Gestión de identidad
•• Autenticación
•• Autorización
•• Responsabilidad
•• Revocación
• Privacidad
•• Privacidad de datos
•• Anonimato
•• Pseudonimidad
•• Desvinculación
• Confianza
•• Device Trust
•• Entity Trust
•• Data Trust
• Resistencia
•• Robustez contra los ataques
•• Resistencia contra fallas
CIA-AP
• Confidencialidad: la capacidad de limitar el acceso a la información y la divulgación solo a clientes
autorizados.
• Integridad: la capacidad de preservar la estructura y el contenido de los recursos de información.
• Disponibilidad: la capacidad de garantizar el acceso continuo a datos y recursos por parte de clientes
autorizados.
• Autenticidad: la capacidad de garantizar que los clientes u objetos sean genuinos.
• Privacidad: la capacidad de proteger toda la información perteneciente a la esfera personal de los usuarios.
Authorization approval procedure
• Formalizado • Aprobación por el gerente directo, el propietario de los datos, el profesional de la seguridad
• Los permisos de acceso siguen el principio de privilegio mínimo • Equilibrar la seguridad con la necesidad
de acceso • Evite permitir demasiados privilegios - Conflictos de interés • Quitar el privilegio cuando ya no
es necesario
Business Impact Assessment (BIA)
Un proceso sistemático para determinar y evaluar los efectos potenciales de una interrupción en
operaciones comerciales críticas como resultado de explotación, desastre, accidente o emergencia.
Key Metrics to establish BIA:
• SLO • RPO • MTD • RTO • WRT • MTBF • MTTR • MOR
Business Impact Assessment:
• Identificar prioridades
• Identificar el riesgo
• Evaluación de verosimilitud
• Evaluación de impacto
• Priorización de recursos
Nota: El riesgo nunca se puede mitigar a cero (no existe tal cosa como "sin riesgo" o "seguridad perfecta")
Business Impact Analysis
• Identificar funciones críticas • Identificar recursos críticos • Calcula MTD para recursos • Identificar
amenazas • Calcular riesgos • Identificar soluciones de respaldo
Business Impact Analysis
• Seleccionar individuos para entrevistar para recopilar datos
• Crear técnicas de recopilación de datos
• Identificar funciones comerciales críticas
• Identificar los recursos de los que dependen estas funciones
• Calcule cuánto tiempo estas funciones pueden sobrevivir sin estos recursos
• Identificar vulnerabilidades y amenazas
• Calcular el riesgo para cada función comercial diferente
• Documentar los hallazgos e informarlos a la gerencia
Business Continuity Planning (BCP)
• Iniciación del proyecto • Análisis de Impacto del Negocio • Estrategia de recuperación • Plan de diseño y
desarrollo • Implementación • Prueba • Mantenimiento continuo
BCP (NIST 800-34)
• Desarrollar una política de planificación; • BIA • Identificar controles preventivos • Crear estrategias de
contingencia • Desarrollar planes de contingencia • Prueba • Mantenimiento
WHY – Business Continuity Planning (BCP)
• Proporcionar una respuesta inmediata y apropiada a situaciones de emergencia
• Proteger vidas y garantizar la seguridad
• Reducir el impacto empresarial
• Reanudar funciones comerciales críticas
• Trabajar con proveedores externos y socios durante el período de recuperación
• Reducir la confusión durante una crisis
• Asegurar la supervivencia del negocio
• Póngase "en funcionamiento" rápidamente después de un desastre
DRP vs. BCP:
• BCP - Control correctivo
• DRP - Control de recuperación
• Tanto BCP como DRP caen dentro de la categoría de Control de Compensación
• BCP: no es un control preventivo, ya que NO puede prevenir un desastre
• BCP: ayuda en la continuidad de la función de organización en caso de desastre
• BCP: mantenimiento de funciones críticas durante una interrupción de las operaciones normales
• DRP: recuperación a las operaciones normales después de una interrupción
DR Team:
• Equipo de rescate: responsable de ocuparse de la inmediatez del desastre: evacuación del empleado,
bloqueo de la sala de servidores, etc.
• Equipo de recuperación: responsable de poner en marcha la instalación alternativa y restaurar primero
los servicios más críticos.
• Equipo de rescate: responsable del retorno de las operaciones a la instalación original o permanente
(reconstitución) - (nos devuelve a la etapa de normalidad)
Business Continuity Planning (BCP)
Documents:
• Continuidad de los objetivos de planificación • Declaración de importancia y declaración de prioridades •
Declaración de responsabilidades organizacionales • Declaración de urgencia y calendario • Evaluación de
riesgos, aceptación de riesgos y documento de mitigación de riesgos • Programa de Registros Vitales •
Pautas de respuesta a emergencias • Documentación para mantener y probar el plan
DRP/BCP document plan should be:
• Creado para una empresa con gerentes funcionales individuales responsables de los planes específicos de
sus departamentos • Las copias del plan deben mantenerse en múltiples ubicaciones • Se deben mantener
copias electrónicas y en papel • El plan debe ser distribuido a aquellos que necesitan saber • La mayoría de
los empleadores solo verán una pequeña porción del plan
Business Continuity Planning (BCP)
• Alcance y planificación del proyecto
•• Análisis de la organización empresarial
•• Selección del equipo BCP
•• Requerimientos de recursos
•• Requisitos legales y regulatorios
• Evaluación de impacto empresarial
•• Identificar prioridades
•• Identificación de riesgo
•• Evaluación de la verosimilitud
•• Evaluación de impacto
•• Priorización de recursos
• Planificación de continuidad
•• Desarrollo de estrategias
•• Disposiciones y procesos
•• Aprobación del plan
•• Implementación del plan
•• Entrenamiento y educación
• Aprobación e implementación
•• Aprobación por la alta gerencia (APROBACIÓN)
•• Crear una conciencia del plan en toda la empresa (CONCIENCIA)
•• Mantenimiento del plan, incluida la actualización cuando sea necesario (MANTENIMIENTO)
•• Implementación
Development of Disaster Recovery Plan (DRP)
Desarrollo del Plan de Recuperación ante Desastres (DRP):
• Alcance y objetivos del plan
• Organización de Recuperación Empresarial (BRO) y Responsabilidades (Equipo de Recuperación)
• Componentes principales del plan: formato y estructura
• Escenario para ejecutar el plan
• Escalación, notificación y activación del plan
• Registros vitales y programa de almacenamiento fuera del sitio
• Programa de control de personal
• Limitaciones de pérdida de datos
• Administración del plan
Disaster Recovery Plan (DRP) procedures:
• Responder al desastre de acuerdo con un nivel de desastre predefinido
• Evaluar el daño y estimar el tiempo requerido para reanudar las operaciones
• Realizar recuperación y reparación
Elements of Recovery Strategies:
• Estrategia de recuperación empresarial
•• Centrarse en la recuperación de las operaciones comerciales
• Estrategia de recuperación de suministros y instalaciones
•• Enfóquese en la restauración de instalaciones y habilite sitios de recuperación alternativos
• Estrategia de recuperación del usuario
•• Concéntrese en las personas y el alojamiento
• Estrategia de recuperación técnica
•• Centrarse en la recuperación de los servicios de TI
• Estrategia de recuperación de datos
•• Centrarse en la recuperación de activos de información
The eight R´s of a successful Recovery Plan:
• Motivo de la planificación
• Reconocimiento
• Reacción
• Recuperación
• Restauracion
• Regresar a la normalidad
• Descansa y relajate
• Reevaluar y volver a documentar
Disaster Recovery Program:
• Evaluación crítica de la aplicación • Procedimientos de respaldo • Procedimientos de recuperación •
Procedimientos de implementación • Procedimientos de prueba • Mantenimiento del plan
Post-Incident Review:
El objetivo es cómo mejorar; después de una prueba o desastre ha tenido lugar:
• Foco en cómo mejorar
• ¿Qué debería haber pasado?
• ¿Qué debería pasar después?
• No fue culpa de quien fue; esto no es productivo
Continuity Planning
Normalmente se aplica a la misión / negocio en sí; Se refiere a la capacidad de continuar funciones y
procesos críticos durante y después de un evento de emergencia.
Contingency Planning
Se aplica a los sistemas de información y proporciona los pasos necesarios para recuperar la operación de
todo o parte del sistema de información designado en una ubicación existente o nueva en una emergencia.
Business Continuity Plan (BCP)
BCP se enfoca en mantener el proceso de misión / negocio de una organización durante y después de una
interrupción. Se puede usar para la recuperación a largo plazo junto con el plan COOP, lo que permite que
las funciones adicionales entren en línea cuando los recursos o el tiempo lo permitan.
Occupant Emergency Plan (OEP)
Describe los procedimientos de primera respuesta para los ocupantes de una instalación en caso de una
amenaza o incidente a la salud y seguridad del personal, el medio ambiente o la propiedad.
Cyber Incident Response Planning (CIRP):
Es un tipo de plan que normalmente se enfoca en la detección, respuesta y recuperación a un incidente o
evento de seguridad informática. Establece procedimientos para abordar los ciberataques contra los
sistemas de información de una organización.
Information System Contingency Plan (ISCP):
Proporciona procedimientos establecidos para la evaluación y recuperación de un sistema después de una
interrupción del sistema. Proporciona la información clave necesaria para la recuperación del sistema,
incluidos los roles y responsabilidades, la información del inventario, los procedimientos de evaluación, los
procedimientos de recuperación detallados y las pruebas de un sistema.
Continuity of Operations Plan (COOP):
Se centra en restaurar la función esencial de la misión de una organización de un sitio alternativo y realizar
esas funciones durante hasta 30 días antes de volver a las operaciones normales.
Disaster Recovery Plan (DRP):
Se aplica a las principales interrupciones físicas en el servicio que niegan el acceso a la infraestructura de la
instalación primaria durante un período prolongado. Un plan centrado en el sistema de información
diseñado para restaurar la operabilidad del sistema de destino, la aplicación o la infraestructura de la
instalación informática en un sitio alternativo después de una emergencia. Solo aborda las interrupciones
del sistema de información que requieren reubicación.
The risks to the organization found in:
• Financiero
• Reputacional
• Regulatorio
Risk Analysis:
• Analizando el ambiente para riesgos
• Crear un informe de costo / beneficio para salvaguardas
• Evaluar la amenaza
Elements of risk:
• Amenazas
• Activos
• Factores atenuantes (Mitigating factors)
Risk Analysis methodology:
• CRAMM (CCTA Risk Analysis and Management Method)
• FMEA (modos de falla y metodología de análisis de efectos)
• FRAP (Proceso de análisis de riesgo facilitado)
• OCTAVE (evaluación de amenazas, activos y vulnerabilidad operacionalmente crítica)
• EMPUJAR
• Análisis de Spanning Tree
• SOMAP (Proyecto de análisis y gestión de oficiales de seguridad)
• VAR (valor en riesgo)
RMF CSIAAM: (NIST 800-37)
El marco de gestión de riesgos (RMF) abarca una amplia gama de actividades para identificar, controlar y
mitigar los riesgos para un sistema de información durante el ciclo de vida del desarrollo del sistema. Una
de las actividades es el desarrollo de un ISCP. La implementación del marco de gestión de riesgos puede
prevenir o reducir la probabilidad de amenazas y limitar las consecuencias de los riesgos. RMF incluye:
• Categorizar el sistema de información y los datos
• Seleccione un conjunto inicial de controles de seguridad de línea base
• Implementar los controles de seguridad y describir cómo se utilizan los controles
• Evaluar los controles de seguridad
• Autorizar sistemas para ser lanzados
• Monitorear los controles de seguridad
Risk Management Process: (FARM)
• Framing risk • Assessing risk • Responding to risk • Monitoring risk
• Riesgo de enmarcado • Evaluar el riesgo • Respondiendo al riesgo • Controlar el riesgo
Risk management Policy Document:
• Objetivos de la política y justificación para la gestión del riesgo
• Alcance y carta de gestión del riesgo de la información
• Vínculos entre la política de gestión de riesgos y los planes empresariales estratégicos y corporativos de la
organización: extensión y rango de problemas a los que se aplica la política
• Orientación sobre lo que se considera niveles de riesgo aceptables
• Responsabilidades de gestión de riesgos
• Experiencia de soporte disponible para ayudar a los responsables de la gestión del riesgo
• Nivel de documentación requerida para diversas actividades relacionadas con la gestión de riesgos, por
ejemplo, gestión de cambios
• Un plan para revisar el cumplimiento de la política de gestión de riesgos
• Niveles de severidad de incidentes y eventos
• Procedimientos, formato y frecuencia de informes y escalonamiento de riesgos
Risk management life cycle:
• Monitoreo continuo
• Evaluar
• Evaluar e informar el riesgo.
Risk management:
• Evaluación de riesgos: identificar activos y amenazas de vulnerabilidades
• Análisis de riesgo - Valor del riesgo potencial
• Mitigación de riesgos: respuesta al riesgo
• Monitoreo de riesgos: el riesgo es para siempre
Risk management entails evaluating:
• Amenazas
• Vulnerabilidades
• Contramedidas
Methodologies of Risk Assessment:
• Prepárese para la evaluación.
• Llevar a cabo la evaluación:
•• Identificar fuentes y eventos de amenazas.
•• Identificar vulnerabilidades y condiciones predisponentes.
•• Determinar la probabilidad de ocurrencia.
•• Determinar la magnitud del impacto.
•• Determinar el riesgo.
• Comunicar los resultados.
• Mantener la evaluación.
Preparing Risk Assessment:
• Propósito de la evaluación
• El alcance de la evaluación
• Suposiciones y limitaciones asociadas con la evaluación
• Fuentes de información para ser utilizadas como entradas para la evaluación
• Modelo de riesgo y enfoques analíticos
Risk Assessment (NIST 800-30):
• Sistema / Asst. Caracterización
• Identificación de amenazas
• Identificación de vulnerabilidad
• Análisis de control
• Determinación de verosimilitud
• Análisis de impacto
• Determinación del riesgo
• Recomendaciones de control
• Documentación de resultados
Damage assessment:
• La determinación de la causa del desastre es el primer paso de la evaluación de daños
• Cuánto tiempo demorará volver a poner funciones críticas en línea
• Identificar los recursos que deben ser reemplazados inmediatamente
• Declara un desastre
Damage assessment:
• Determinar la causa del desastre.
• Determine la posibilidad de daño adicional.
• Identificar las áreas y funciones comerciales afectadas.
• Identificar el nivel de funcionalidad de los recursos críticos.
• Identificar los recursos que deben ser reemplazados inmediatamente.
• Estime cuánto tiempo demorará el restablecimiento de las funciones críticas en línea.
• Si tomará más tiempo que los valores MTD estimados previamente para restaurar las operaciones,
entonces se debe declarar un desastre y se debe poner en práctica el BCP.
Nota:
• La primera actividad en cada plan de recuperación es la evaluación de daños, seguida inmediatamente por
la mitigación de daños.
• El paso final en una evaluación de daños es declarar un desastre.
• La decisión de activar un plan de recuperación de desastres se realiza después de que se completa la
evaluación y evaluación de daños.
Configuration Management
• Plan
• Aprobar Baseline
• Implementar
• Control de Cambios
• Monitor
• Informe
• Repetible
Configuration management:
• Identificación de configuración
• Control de configuración
• Contabilidad del estado de la configuración
• Auditoría de configuración
Change Management:
• Solicitud de cambio para tener lugar
• Aprobación del cambio
• Documentación del cambio
• Probado y presentado
• Implementación
• Informar cambio a la administración
Change Management:
• Solicitud
• Revisión
• Aprobar
• Horario
• Documento
Documentos relacionados
No más VAN: El Value at Risk (VaR) del VAN
No más VAN: El Value at Risk (VaR) del VAN
Reducción de los Desastres Naturales Los peligros o amenazas
Reducción de los Desastres Naturales Los peligros o amenazas
Articulo Jorge Mario..
Articulo Jorge Mario..
1/1 DIMENSIONES Organizar, comprender e interpretar información
1/1 DIMENSIONES Organizar, comprender e interpretar información
Cuenta Premio Cuenta Activa Primera Cuenta Cuenta Sueldo
Cuenta Premio Cuenta Activa Primera Cuenta Cuenta Sueldo
Publicado el 29 de marzo de 2008 en el Diario Última Hora
Publicado el 29 de marzo de 2008 en el Diario Última Hora
Estrategia Corporativa
Estrategia Corporativa
La importancia de implementar un Plan de Continuidad de
La importancia de implementar un Plan de Continuidad de
asistentenegociosbancamgconsult
asistentenegociosbancamgconsult
Competencias_trabajo_final
Competencias_trabajo_final
Descargar
Anuncio
Anuncio