EXIN Information Security Foundation

Transcripción

1 Guía de Preparación EXIN Information Security Foundation basado en ISO/IEC Edición de mayo de 2015

2 Copyright 2015 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN. 2

3 Contenido 1. Visión general 4 2. Requisitos del examen 7 3. Listado de conceptos básicos Bibliografía

4 1. Visión general EXIN Information Security Foundation based on ISO/IEC (ISFS.SP) Resumen La seguridad de la información constituye la protección de la información de una amplia gama de amenazas para, de este modo, asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el rendimiento del capital invertido, así como de las oportunidades de negocio (definición de ISO/IEC 27002). La Seguridad de la Información es cada vez más importante. La globalización de la economía conduce a un creciente intercambio de información entre organizaciones (sus empleados, clientes y suministradores) y a un uso de redes cada vez mayor, como la red interna de la empresa, la conexión con redes de otras empresas e Internet. La normativa internacional, el Código de buenas prácticas para la gestión de la seguridad de la información ISO/IEC 27002:2013, es ampliamente respetada y citada. Además, proporciona un marco para la organización y gestión de un programa de seguridad de la información. Implantar un programa basado en esta norma servirá debidamente a una organización en su objetivo de satisfacer un gran número de los requisitos a los que se enfrenta en el complejo entorno operativo actual. Una buena comprensión de esta norma es importante para el desarrollo personal de todo profesional de la seguridad de la información. En los módulos de Seguridad de la Información de EXIN se utiliza la siguiente definición: La Seguridad de la Información se ocupa de la definición, implantación, mantenimiento, conformidad y evaluación de un conjunto de controles (medidas) coherentes que protegen la disponibilidad, integridad y confidencialidad del suministro de información (manual o automático). En el módulo Information Security Foundation based on ISO/IEC 27002, se evalúan los conceptos básicos de seguridad de la información y su coherencia. El conocimiento básico de este módulo contribuye a la comprensión de que la información es algo vulnerable y de que se requieren medidas para protegerla. Los temas de este módulos son: Información y seguridad: conceptos, valor de la información e importancia de la fiabilidad. Amenazas y riesgos: relación entre amenazas y fiabilidad. Enfoque y organización: política de seguridad y disposiciones para la seguridad de la información. Medidas: físicas, técnicas y organizativas. Y Legislación y normas: importancia y operación. 4 4

5 Contexto Esquema de certificación El Certificado de EXIN Fundamentos de Seguridad de la Información basado en ISO / IEC es parte del programa de cualificación de Seguridad de la Información. A este módulo le siguen los Certificados de Information Security Management Advanced based on ISO/IEC e Information Security Management Expert based on ISO/IEC Grupo al que va dirigido El examen de Fundamentos de Seguridad de la Información basado en ISO/IEC está indicado para cualquier persona en la organización que procese información. El módulo también es apropiado para pequeños negocios independientes, para los que es necesario tener un conocimiento básico sobre la Seguridad de la Información. Este módulo puede ser un buen comienzo para nuevos profesionales de la seguridad de la información. 5 5

6 Prerrequisitos Ninguno Se recomienda un curso sobre Fundamentos en Seguridad de la Información basado en ISO/IEC 27002, impartido por un proveedor de formación acreditado por EXIN. Formato del examen Opción múltiple por ordenador Indicación de carga lectiva 60 horas Trabajo práctico No procede Tiempo permitido para el examen 60 minutos Detalles del examen Número de preguntas: 40 Aprobado: 65% (26 de 40) Consulta de bibliografía o apuntes permitida: no Equipos electrónicos permitidos: no Examen de muestra Para preparar el examen puede descargarse un examen de ejemplo en Formación Tamaño de la clase El número de alumnos máximo por grupo es 25. (No aplicable a enseñanza a distancia / asistida por ordenador) Horas presenciales El número mínimo de horas presenciales durante la formación es de 7 horas. Esto incluye trabajo de grupo, preparación para el examen y breves pausas. No incluye el tiempo para realizar tareas fuera del aula, de preparación logística para el examen ni los descansos para comer. Proveedores de formación En el website de EXIN se puede encontrar un listado de los proveedores de formación acreditados. 6 6

7 2. Requisitos del examen Los requisitos del examen se especifican en las especificaciones del examen. En la tabla siguiente se enumeran los temas del módulo (requisitos del examen). El peso de los distintos temas en el examen se expresa como porcentaje del total. Requisitos del examen Especificaciones del examen Valor (% ) 1 Información y seguridad El concepto de información Valor de la información Aspectos de fiabilidad 5 2 Amenazas y riesgos Amenaza y riesgos Relaciones entre amenazas, riesgos y la fiabilidad de la información. 3 Enfoque y Organización Política de seguridad y 2.5 organización de la protección 3.2 Componentes Gestión de incidentes 5 4 Medidas Importancia de las medidas Medidas físicas de seguridad Medidas técnicas Medidas organizativas 10 5 Legislación y normas Legislación y normas 10 Total

8 Especificaciones del examen 1. Información y seguridad (10%) 1.1 El concepto de información (2,5%) El candidato comprende el concepto de información Explicar la diferencia entre datos e información Describir el medio de almacenamiento que forma parte de la infraestructura básica 1.2 Valor de la información (2,5%) El candidato comprende el valor de la información para las organizaciones Describir el valor de los datos/información para las organizaciones Describir cómo el valor de los datos/información puede influir en las organizaciones Explicar cómo los conceptos aplicados de la seguridad de la información protegen el valor de los datos/información 1.3 Cuestiones de fiabilidad (5%) El candidato conoce las cuestiones de fiabilidad (confidencialidad, integridad, disponibilidad) de la información Identificar las cuestiones de fiabilidad de la información Describir las cuestiones de fiabilidad de la información 2. Amenazas y riesgos (30%) 2.1 Amenaza y riesgo (15%) El candidato comprende los conceptos de amenaza y riesgo Explicar los conceptos de amenaza, riesgo y análisis de riesgo Explicar la relación entre una amenaza y un riesgo Describir varios tipos de amenazas Describir varios tipos de daño Describir varias estrategias en materia de riesgos 2.2 Relaciones entre amenazas, riesgos y la fiabilidad de la información (15%) El candidato comprende la relación entre amenazas, riesgos y la fiabilidad de la información Reconocer ejemplos de varios tipos de amenazas Describir los efectos que tienen los distintos tipos de amenazas en la información y en el tratamiento de la información 8 8

9 3. Enfoque y Organización (10%) 3.1 Política de seguridad y organización de la protección (2,5%) El candidato conoce los conceptos de política de seguridad y organización de la seguridad Resumir los objetivos y el contenido de la política de seguridad Resumir los objetivos y el contenido de la organización de la seguridad 3.2 Componentes (2.5%) El candidato conoce los distintos componentes de la organización de la seguridad Explicar la importancia de un código de conducta Explicar la importancia de la propiedad Identificar los roles más importantes en la organización de la seguridad de la información 3.3 Gestión de incidentes (5%) El candidato comprende la importancia de la gestión y escalado de incidentes Resumir cómo se notifican los incidentes de seguridad y qué información se requiere Dar ejemplos de incidentes de seguridad Explicar las consecuencias de no notificar los incidentes de seguridad Explicar qué implica el escalado de incidentes (funcional y jerárquicamente) Describir los efectos del escalado de incidentes en la organización Explicar el ciclo de los incidentes 4. Medidas (40%) 4.1 Importancia de las medidas (10%) El candidato comprende la importancia de las medidas de seguridad Describir varias formas en las que las medidas de seguridad pueden estructurarse u organizarse Dar ejemplos de cada tipo de medida de seguridad Explicar la relación entre riesgos y medidas de seguridad Explicar el objetivo de la clasificación de la información Describir el efecto de la clasificación 9 9

10 4.2 Medidas físicas de seguridad (10%) El candidato conoce el establecimiento y la ejecución de las medidas físicas de seguridad Dar ejemplos de medidas físicas de seguridad Describir los riesgos que conllevan unas medidas físicas de seguridad insuficientes 4.3 Medidas técnicas (10%) El candidato conoce el establecimiento y la ejecución de las medidas técnicas de seguridad Dar ejemplos de medidas técnicas de seguridad Describir los riesgos que conllevan unas medidas técnicas de seguridad insuficientes Comprender los conceptos de criptografía, firma y certificado digital Identificar los tres pasos de la banca en línea (PC, sitio Web, pago) Identificar varios tipos de software malicioso Describir las medidas que pueden utilizarse contra el software malicioso 4.4 Medidas organizativas (10%) El candidato conoce el establecimiento y la ejecución de las medidas organizativas de seguridad Dar ejemplos de medidas organizativas de seguridad Describir los peligros y riesgos que conllevan unas medidas organizativas de seguridad insuficientes Describir medidas de seguridad de acceso como la separación de cometidos y el uso de contraseñas Describir los principios de gestión de acceso Describir los conceptos de identificación, autenticación y autorización Explicar la importancia para una organización de una Gestión de la Continuidad de Negocio bien establecida Explicar la importancia de realizar ejercicios de prueba 5. Legislación y normas (10%) 5.1 Legislación y normas (10%) El candidato comprende la importancia y el efecto de la legislación y las normas Explicar por qué la legislación y las normas son importantes para la fiabilidad de la información Dar ejemplos de legislación relacionada con la seguridad de la información Dar ejemplos de normas relacionadas con la seguridad de la información Indicar posibles medidas que puedan tomarse a fin de satisfacer los requisitos de legislación y normas 10 10

11 Justificación Requisitos del examen: justificación de la distribución de los porcentajes. Las medidas de seguridad son, para la mayoría de los miembros del personal, el primer aspecto de la seguridad de la información con el que se encuentran. Por tanto, dichas medidas son esenciales en el módulo y tienen la mayor importancia, seguidas por las amenazas y riesgos. Finalmente, el entendimiento de las políticas, la organización, la legislación y las normas en el ámbito de la seguridad de la información, es necesario para comprender la importancia de las medidas de seguridad de la información

12 3. Conceptos del examen Este capítulo contiene los términos que deberían ser familiares para el candidato. Los términos aparecen en orden alfabético. Los conceptos para los que se incluye la abreviatura y el nombre completo pueden examinarse separadamente. English Access control Asset Audit Authentication Authenticity Authorization Availability Backup Biometrics Botnet Business Assets Business Continuity Management (BCM) Business Continuity Plan (BCP) Category Certificate Change Management Classification (grading) Clear desk policy Code of conduct Code of practice for information security (ISO/IEC 27002:2013) Completeness Compliance Computer criminality legislation Confidentiality Continuity Spanish Control de acceso Activo Auditoría Autenticación Autenticidad Autorización Disponibilidad Copia de seguridad Biométrica Botnet Activos del negocio Gestión de la continuidad del Negocio Plan de continuidad del Negocio Categoría Certificado Gestión de Cambios Clasificación (gradación) Política de puesto despejado Código de conducta Código de buenas prácticas para la seguridad de la información (ISO/IEC 27002:2013) Completitud Conformidad Legislación sobre delincuencia informática Confidencialidad Continuidad 12 12

13 Controls Controles Copyright legislation Legislación sobre los derechos de autor Corrective Correctivas Correctness Fidelidad Cryptography Criptografía Cyber crime Cyber crime Damage Daño Data Datos Detective De detección Digital signature Firma digital Direct damage Daño directo Disaster Desastre Disaster Recovery Plan (DRP) Plan de Recuperación de Desastres Encryption Encriptación Escalation Escalado/Escalación Exclusivity Exclusividad Functional escalation Escalado/Escalación funcional Hacking Hacking Hierarchical escalation Escalado/Escalación jerárquica Hoax Hoax Identification Identificación Impact Impacto Incident cycle Ciclo del incidente Indirect damage Daño indirecto Information Información Information analysis Análisis de la información Information architecture Arquitectura de la información Information management Gestión de la información Information security review Sistema de información Information system Revisión de la seguridad de la información Infrastructure Infraestructura Integrity Integridad Interference Interferencia ISO/IEC 27001:2013 ISO/IEC 27001:2013 ISO/IEC 27002:2013 ISO/IEC 27002:

14 Key Logical access management Maintenance door Malware Managing business assets Non-disclosure agreement Non-repudiation Risk avoiding Risk bearing Risk neutral Patch Personal data protection legislation Personal firewall Phishing Precision Preventive Priority Privacy Production factor Public Key Infrastructure (PKI) Public records legislation Qualitative risk analysis Quantitative risk analysis Reductive Redundancy Reliability of information Repressive Risk Risk analysis Risk assessment (Dependency & Vulnerability analysis) Risk management Risk strategy Robustness Clave Gestión del acceso lógico Acceso para mantenimiento Códigos fraudulentos (malware) Gestión de activos del negocio Acuerdo de confidencialidad No repudio Evitar riesgos Asumir riesgos Riesgo neutro Parche Legislación sobre la protección de datos personales Cortafuegos personal Phishing Precisión Preventivas Prioridad Privacidad Factor de producción Infraestructura de claves públicas Legislación sobre registros públicos Análisis de riesgo cualitativo Análisis de riesgo cuantitativo Reduccionistas Redundancia Fiabilidad de la información Represivas Riesgo Análisis de riesgo Evaluación de riesgos (Análisis de dependencia y vulnerabilidad) Gestión de riesgos Estrategia en materia de riesgos Robustez 14 14

15 Rootkit Secret authentication information Security event Security in development Security incident Security measure Security Organization Security Policy Security regulations for the government Segregation of duties Social engineering Spam Spyware Stand-by arrangement Storage medium System acceptance testing Threat Timeliness Trojan Uninterruptible Power Supply (UPS) Urgency User access provisioning Validation Verification Virtual Private Network (VPN) Virus Vulnerability Worm Rootkit (Kit de Hacking) Información de autenticación autentificación secreta Evento de seguridad Seguridad en desarrollo Incidente de seguridad Medida de seguridad Organización de la seguridad Política de seguridad Normas de seguridad para el gobierno Segregación de funciones Ingeniería social Correo basura (spam) Programa espía (spyware) Medidas en espera (stand by) Medio de almacenamiento Prueba de aceptación del sistema Amenaza Oportunidad Troyano Sistema de Alimentación Ininterrumpida Urgencia Provisión de acceso a usuarios Validación Verificación Red Privada Virtual Virus Vulnerabilidad Gusano informático 15 15

16 4. Bibliografía Literatura para el Examen A Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H. Foundations of Information Security Based on ISO27001 and ISO27002 Van Haren Publishing, 3 rd edition 2015 ISBN ebook Visión general de la bibliografía Especificaciones Literatura del examen 1.1 A: Capítulo A: Capítulo 3 y A: Capítulo 3 y A: Capítulo A: Capítulo 3 y A: Capítulo 3, 5 y A: Capítulo 6, 7, 8 y A: Capítulo 3, 15 y A: Capítulo 3, 8 y A: Capítulo 3 y A: Capítulo 6, 11 y A: Capítulo 3, 6, 9, 17 y A: Capítulo

17 17 17

18 Contacto EXIN