test



test calendario compartido



CA Technologies, Corporate Presentation Español 2015



Modelo Madurez Transformacion Digital by CA Technologies



(ISC)² CISSP 2015 Security Tags (V01 – Enero 2016)

El presente trabajo tiene como objetivo identificar y establecer una lista de etiquetas (lista lo mas corta posible) que abarcando comprensivamente todos los conceptos alcanzados por el cuerpo de conocimientos (CBK) de la certificacion CISSP de ISC2,  permita luego, la clasificacion de material de soporte (Presentaciones, Videos, etc.) utilizados en las disertaciones y/o congresos de seguridad de la informacion.

Esta lista, de ahora en adelante llamada ISC2_CISSP_SecurityTags, formara parte del proyecto de analisis de las presentaciones utilizadas por Usuaria-Segurinfo de Argentina y otros paises de Iberoamerica, en los congresos de seguridad realizados desde el año 2005 hasta 2015.

Objetivos del proyecto:

1- Clasificar todo archivo (indexacion utilizando el ISC2_CISSP_SecurityTag) utilizado como soporte de una disertacion relacionada con seguridad de la informacion en congreso de seguridad o encuentro equivalente, que este al alcance del capitulo Argentina de ISC2 o de otro capitulo de ISC2 que colabore con el Argentino en algun momento futuro. (partiendo del supuesto que se cuenta con el permiso para reproducir dicha presentacion e incluirla dentro de la base de documentos indexados)

2- La base de documentos indexados, Eventualmente, podra ser utilizada para determinar los temas a ser incorporados e futuros Congresos en funcion del grado de completitud que se espere abarcar en los mismos.

3- La lista de disertantes identificados, asi como sus datos de contacto profesional (si fueran publicos) permitira identificar grupos de afinidad o especializacion y eventualmente convocarlos a formar parte de un ThinkTank enfocado en asuntos de interes para la propia comunidad de interesados en Seguridad de la Informacion.

4- Identificar la influencia de los sponsors – Fabricantes de Soluciones tecnologicas de Seguridad o Proveedores de Servicios profesionales relacionados con Seguridad, en la eleccion de los temas tratados en los congresos de Seguridad.

5- Identificar la influencia de Leyes, Regulaciones, estandares y otros tipos de agentes en la eleccion de los temas tratados en los congresos de seguridad.

El comite academico de Usuaria-Segurinfo ha facilitado en el año 2015 los archivos (recuperados en forma parcial) de los congresos de seguridad por ellos realizados en los ultimos 10 años, con esta base, realizaremos la primer etapa de esta tarea y las conclusiones que surjan de dicho analisis seran puestas a disposicion de la comunidad de profesionales de Seguridad de Latinoamerica en los proximos congresos de seguridad en los que ISC2 Capitulo Argentina, participe como ponente.

El plazo previsto para dicha tarea es de 6 Meses, esperando un primer grado de avance para el 15 de Marzo y la entrega final para el 30 de Junio.

 

Documento basado en el ISC2 cissp-exam-outline-april-2015 (adjunto al pie del post)

  • St – Corresponde a Fundamento/Estrategia
  • Op – Corresponde a Operacion/ Proceso
  • T – Corresponde a Tecnologia/Herramientas.
1) Security and Risk Management
The first domain of the CISSP examination, Security and Risk Management, addresses a broad spectrum of general information security and risk management topics beginning with coverage of the fundamental security principles of confidentiality, availability and integrity upon which all information security functions are based. The Security and Risk management Domain then builds upon these concepts in the areas of security governance and compliance and candidates will be tested on both.
As is the case with all (ISC)2 examinations, CISSP candidates will be tested on ethical considerations in general, and the (ISC)2 code of ethics in particular. The unique position of trust from which information security professionals apply their craft must be rooted in an ethically sound and consistently applied code of ethics.
The information security function will not be very successful without carefully constructed and uniformly applied security policies and procedures and candidates will be tested on their ability to develop and implement policies and procedures within an information security context. The security and risk management domain also include coverage of all aspects of business continuity planning including information and requirements gathering, business impact analysis and recovery point objectives.
Risk management constitutes an integral part of the security and risk management domain and CISSP candidates should have a thorough understanding of risk management concepts. Covered individual risk management topics include risk analysis, countermeasure selection and implementation, risk monitoring, reporting, and risk frameworks. This domain further builds upon risk management concepts with the introduction of threat modeling and the integration of risk management into the acquisition and management of hardware, software and service contracts.
CISSP candidates will also be tested in the area of personnel security policies and are expected to be capable of establishing and maintaining security education, training and awareness programs.
A. Understand and apply concepts of confidentiality, integrity and availability CISSPD1_Confidenciality ST
CISSPD1_Integrity ST
CISSPD1_Availabilty ST
B. Apply security governance principles through: CISSPD1_SecurityGovernance ST
B.1 Alignment of security function to strategy, goals, mission, and objectives (e.g., business case, budget and resources) CISSPD1_SecurityOrganization Op
B.2 Organizational processes (e.g., acquisitions, divestitures, governance committees) CISSPD1_SecurityRolesAndResponsabilities ST
B.3  Security roles and responsibilities
B.4  Control frameworks
B.5  Due care
B.6  Due diligence
C. Compliance CISSPD1_RegulatoryCompliance Op
C.1  Legislative and regulatory compliance
C.2  Privacy requirements compliance
D. Understand legal and regulatory issues that pertain to information security in a global context CISSPD1_ComputerCrime St
D.1 Computer crimes CISSPD1_DataBreaches St
D.2 Licensing and intellectual property (e.g., copyright, trademark, digital-rights management) CISSPD1_SecurityPrivacy St
D.3  Import/export controls CISSPD1_IntellectualProperty St
D.4  Trans-border data flow
D.5  Privacy
D.6  Data breaches
E. Understand professional ethics CISSPD1_ProfessionalEthics St
E.1  Exercise (ISC)2 Code of Professional Ethics
E.2  Support organization’s code of ethics
F. Security policies, standards, procedures and guidelines CISSPD1_SecurityPolices Op
F.1  Develop and implement documented security policy CISSPD1_SecurityStandards Op
F.2  Develop and implement documented security standards CISSPD1_SecurityProcedures Op
F.3  Develop and implement documented security procedures CISSPD1_SecurityGuidelines Op
F.4  Develop and implement documented security guidelines
G. Understand business continuity requirements CISSPD1_BCP Op
G.1  Develop and document project scope and plan CISSPD1_BIA Op
G.2  Conduct business impact analysis
H. Contribute to personnel security policies CISSPD1_EmployeeSecurityStrategy St
H.1  Employment candidate screening (e.g., reference checks, education verification) CISSPD1_SecureEmployee Op
H.2  Employment agreements and policies
H.3  Employment termination processes
H.4  Vendor, consultant, and contractor controls
H.5  Compliance
H.6  Privacy
I. Understand and apply risk management concepts CISSPD1_Threats St
I.1  Identify threats and vulnerabilities CISSPD1_Vulnerabilities St
I.2  Risk assessment/analysis (qualitative, quantitative, hybrid) CISSPD1_RIskAssessment Op
I.3  Risk assignment/acceptance (e.g., system authorization) CISSPD1_RiskAnalysis Op
I.4  Countermeasure selection CISSPD1_SecurityControlsStrategy St
I.5  Implementation CISSPD1_SecurityControlAssessment Op
I.6  Types of controls (preventive, detective, corrective, etc.) CISSPD1_SecurityMetrics St
I.7  Control assessment CISSPD1_SecurityBudget St
I.8  Monitoring and measurement CISSPD1_RiskFramework St
I.9  Asset valuation CISSPD1_SecToolsRiskManagement T
I.10  Reporting
I.11  Continuous improvement
I.12 Risk frameworks
J. Identifying threats (e.g., adversaries, contractors, employees, trusted partners) CISSPD1_SecurityControlsElections Op
J.1 Technologies and processes to remediate threats (e.g., software architecture and operations) CISSPD1_AttackImpactModeling Op
J.2 Determining and diagramming potential attacks (e.g., social engineering, spoofing) CISSPD1_MitigationRoadmaping Op
J.3 Performing reduction analysis
K. Integrate security risk considerations into acquisition strategy and practice CISSPD1_SecureAdquisitionStrategy St
K.1 Hardware, software, and services CISSPD1_SecureHwSw Op
K.2 Third-party assessment and monitoring (e.g., on-site assessment, document exchange and review, process/policy review) CISSPD1_SecureServices Op
K.3  Minimum security requirements CISSPD1_3rPartyAssessments Op
K.4  Service-level requirements
L. Establish and manage information security education, training, and awareness CISSPD1_SecurityAwareness St
L.1 Appropriate levels of awareness, training, and education required within organization CISSPD1_EmployeeSecTraining Op
L.2 Periodic reviews for content relevancy
2) Asset Security
Asset Security, within the context of the second domain of the (ISC)2 CISSP examination, addresses the collection, handling and protection of information throughout its lifecycle. The classification of information and supporting assets forms the basis for all covered topics within this domain and candidates are expected to be well versed in this area. Ownership, as it relates to information, systems, and business processes, goes hand in hand with classification and is the second covered topic in the asset security domain.
The rapid expansion in the collection and storage of digitized personal information has resulted in a corresponding increase in the importance of privacy considerations, and privacy protection constitutes an important part of the asset security domain. Individual privacy protection topics covered on the CISSP examination include the concepts of data owners, data processors, data remanence, and limitations on collection and storage. Any discussion regarding the collection and storage of information must include data retention. Retention must be considered in light of organizational, legal and regulatory requirements and candidates will be tested on each.
Having considered all factors discussed above, the responsibility for the selection of appropriate data security controls then falls upon the information security professional, and CISSP candidates will be tested on this area in some detail. Covered topics in this area include baselines, scoping and tailoring, standards selection and cryptography.
The final topic in the asset security domain addresses data handling requirements and includes data storage, labeling and destruction. CISSP candidates are expected to be capable of evaluating data handling requirements and of developing appropriate policies and procedures based on that evaluation.
A. Classify information and supporting assets (e.g., sensitivity, criticality) CISSPD2_AssesstClasification Op
B. Determine and maintain ownership (e.g., data owners, system owners, business/mission owners) CISSPD2_DataOnership St
C. Protect privacy CISSPD2_DataPrivacy St
C.1 Data owner
C.2 Data processess
C.3 Data Remanence
C.4 Collection limitation
D. Ensure appropriate retention (e.g.,media,hardware,personnel) CISSPD2_DataRetention Op
E. Determine data security controls (e.g., data at rest, data in transit) CISSPD2_DataSecurityControls St
E.1  Baselines CISSPD2_DataCryptoManagement Op
E.2  Scoping and tailoring
E.3  Standards selection
E.4  Cryptography
F. Establish handling requirements (markings, labels, storage, destruction of sensitive information) CISSPD2_SecureDataHandling Op
3) Security Engineering
Security engineering makes up the third domain of the CISSP examination and it is also the second largest in terms of the number of covered topics. Security engineering may be defined as the practice of building information systems and related architecture that continue to deliver the required functionality in the face of threats that may be caused by malicious acts, human error, hardware failure and natural disasters. It is the natural expression of the underlying security principles of confidentiality, integrity and availability in systems engineering and involves the incorporation and integration of security controls, behaviors and capabilities into information systems and enterprise architecture.
CISSP candidates will be tested on their ability to implement and manage security engineering processes using secure design principles. They must understand the fundamental concepts of security models and be capable of developing design requirements based on organization requirements and security policies and of selecting controls and countermeasures that satisfy those design requirements. All of this is made possible by the security professional’s in depth knowledge and understanding of the security limitations and capabilities of information systems and candidates will be tested in this area.
Information security professionals must continuously assess and mitigate vulnerabilities in security architectures, designs and solution elements and CISSP candidates will be tested on this area in some detail. Individual topics covered under this task include client and server-side vulnerabilities, database security, distributed systems and cloud security, cryptographic systems and industrial controls. Web application vulnerabilities, mobiles devices and embedded systems are also covered.
Cryptography involves the protection of information, both while in motion and at rest, by altering that information to ensure its integrity, confidentiality and authenticity and is covered in some detail in the security engineering domain. CISSP candidates will be tested on general cryptographic concepts, the cryptographic lifecycle, cryptographic systems, public key infrastructure, key management practices, digital signatures, and digital rights management. Candidates must also have a thorough understanding of cryptanalytic attack vectors including social engineering, brute force, cipher-text only, known plaintext, frequency analysis, chosen cipher-text and implementation attacks.
Security engineering is not limited to information systems development and additional topics in the security engineering domain include the application of secure design principles to site and facility design and physical security.
A. Implement and manage engineering processes using secure design principles CISSPD3_SecureITProcessDev Op
B. Understand the fundamental concepts of security models (e.g.,Confidentiality, Integrity, and Multi-level Models) CISSPD3_SecurityFundamentalConceps
C. Select controls and countermeasures based upon systems security evaluation models CISSPD3_SecurityMaturityModels St
D. Understand security capabilities of information systems (e.g., memory protection, virtualization, trusted platform module, interfaces, fault tolerance) CISSPD3_ITSecurityCapabilityAnalysis Op
E. Assess and mitigate the vulnerabilities of security architectures, designs, and solution elements CISSPD3_SecurityITArchitectureDesign Op
E.1  Client-based (e.g., applets, local caches) CISSPD3_DataBaseSecurity Op
E.2  Server-based (e.g., data flow control) CISSPD3_CloudComputingSecurity Op
E.3 Database security (e.g., inference, aggregation, data mining, data analytics, warehousing) CISSPD3_GridComputingSecurity Op
E.4  Large-scale parallel data systems CISSPD3_SCADASecurity Op
E.5  Distributed systems (e.g., cloud computing, grid computing, peer to peer) CISSPD3_DistribuiteSystemSecurity Op
E.6  Cryptographic systems CISSPD3_MainframeSecurity Op
E.7  Industrial control systems (e.g., SCADA)
F. Assess and mitigate vulnerabilities in web-based systems (e.g., XML, OWASP) CISSPD3_WebBaseSystemSecurity Op
G. Assess and mitigate vulnerabilities in mobile systems CISSPD3_MobileBaseSecurity Op
H. Assess and mitigate vulnerabilities in embedded devices and cyber-physical systems (e.g., network-enabled devices, Internet of things (loT)) CISSPD3_IOTBaseSecurity Op
I. Apply cryptography CISSPD3_CryptoLifeCycle St
I.1 Cryptographic life cycle (e.g., cryptographic limitations, algorithm/protocol governance) CISSPD3_DigitalSignature St
I.2  Cryptographic types (e.g., symmetric, asymmetric, elliptic curves) CISSPD3_PKI Op
I.3  Public Key Infrastructure (PKI) CISSPD3_SecToolsCrypto T
I.4  Key management practices CISSPD3_CryptoIntegrity Op
I.5  Digital signatures CISSPD3_CryptoConfidentiality Op
I.6 Digital rights management CISSPD3_CrytoThreats St
I.8 Integrity (hashing and salting)
J. Apply secure principles to site and facility design CISSPD3_DatacenterSecurityDesign St
K. Design and implement physical security CISSPD3_PhisicalSiteSecurity Op
K.1  Wiring closets CISSPD3_HVAC Op
K.2  Server rooms CISSPD3_FireManagement Op
K.3  Media storage facilities
K.4  Evidence storage
K.5  Restricted and work area security (e.g., operations centers)
K.6  Data center security
K.7  Utilities and HVAC considerations
K.8  Water issues (e.g., leakage, flooding)
K.9  Fire prevention, detection and suppression
4) Communication and Network Security
The communication and network security domain encompasses the network architecture, transmission methods, transport protocols, control devices, and the security measures used to maintain the confidentiality, integrity and availability of information transmitted over both private and public communication networks.
The CISSP candidate is expected to demonstrate a thorough understanding of network fundamentals including network topologies, IP addressing, network segmentation, switching and routing, wireless networking, the OSI and TCP models and the TCP/IP protocol suite. Candidates will also be tested on cryptography as it relates to secure network communication. The communication and network security domain also includes a broad range of topics under the heading of securing network devices. CISSP candidates will be tested on their knowledge of, and ability to, securely operate and maintain network control devices including switches, routers and wireless access points. Candidates must be familiar with the security considerations inherent in the various forms of transmission media. Network access control, endpoint security, and content distribution networks are also covered.
CISSP candidates are expected to be capable of designing and implementing secure communication channels using a wide range of technologies to facilitate a number of applications including data, voice, remote access, multimedia collaboration and virtualized networks. Candidates will also be tested on their knowledge of network attack vectors and on their ability to prevent or mitigate those attacks.
A. Apply secure design principles to network architecture (e.g., IP & non-IP protocols, segmentation) CISSPD4_SecureNetworkArchitectureDesign Op
A.1  OSI and TCP/IP models CISSPD4_NetworkSecurityStrategy St
A.2  IP networking CISSPD4_ConvergedProtocolsSecurity Op
A.3  Implications of multilayer protocols (e.g., DNP3) CISSPD4_WirelessSecurity Op
A.4  Converged protocols (e.g., FCoE, MPLS, VoIP, iSCSI) CISSPD4_CryptoCommunications Op
A.5  Software-defined networks
A.6  Wireless networks
A.7  Cryptography used to maintain communication security
B. Secure network components
B.1 Operation of hardware (e.g., modems, switches, routers, wireless access points, mobile devices) CISSPD4_SecureNetworkDeviceOperation Op
B.2  Transmission media (e.g., wired, wireless, fiber) CISSPD4_NetworkAccessControl Op
B.3  Network access control devices (e.g., firewalls, proxies) CISSPD4_EndpointSecurity Op
B.4  Endpoint security CISSPD4_SecToolsEndpointManagement T
B.5  Content-distribution networks CISSPD4_SecurePhysicalNetworkDevice Op
B.6  Physical devices CISSPD4_SecToolsRemoteAccess T
C. Design and establish secure communication channels CISSPD4_SecureMultimediaCollaborationChannels Op
C.1 Voice CISSPD4_SecureDataComminicationChannels Op
C.2 Multimedia collaboration (e.g., remote meeting technology, instant messaging) CISSPD4_VirtualNetworksSecurity Op
C.3 Remote access (e.g., VPN, screen scraper, virtual application/desktop, telecommuting)
C.4 Data communications (e.g., VLAN, TLS/SSL)
C.5 Virtualized networks (e.g., SDN, virtual SAN, guest operating systems, port isolation)
D. Prevent or mitigate network attacks CISSPD4_ManageNetworkAttacks St
5) Identity and Access Management
Identity and access management is an essential component of information security in general and the CISSP examination in particular. It involves provisioning and managing the identities and access used in the interaction of humans and information systems, of disparate information systems, and even between individual components of information systems. Compromising an identity or an access control system to gain unauthorized access to systems and information also happens to be the net goal of almost all attacks involving the confidentiality of data so it is an area where information security professionals should invest a considerable amount of time.
The identity and access management domain addresses the identification and authorization of users, systems and services. CISSP candidates will be tested on identity management systems, single and multi-factor authentication, accountability, session management, registration and proofing, federated identity management, and credential management systems.
Candidates will also be tested on the integration of third party cloud based and on premise identity services. CISSP candidates are expected to be capable of implementing and managing authorization mechanisms including those based on role-based, rule-based, mandatory and discretionary access control. Topics in the identity and access management domain also include the prevention and mitigation of attacks targeting access control systems and on the identity management lifecycle.
A. Control physical and logical access to assets CISSPD5_InformationAccessControlStrategy St
A.1  Information CISSPD5_SystemsAccessControl Op
A.2  Systems CISSPD5_DevicesAccessControl Op
A.3  Devices CISSPD5_PhisicalAccessControl Op
A.4  Facilities
B. Manage identification and authentication of people and devices CISSPD5_SecToolIDM T
B.1  Identity management implementation (e.g., SSO, LDAP) CISSPD5_IdentityManagement Op
B.2  Single/multi-factor authentication (e.g., factors, strength, errors, biometrics) CISSPD5_IdentityAuthentication Op
B.3  Accountability CISSPD5_Accountability Op
B.4  Session management (e.g., timeouts, screensavers) CISSPD5_FederatedIdentityManagement Op
B.5  Registration and proofing of identity CISSPD5_SecToolsPriviledgeIdentityManagement T
B.6  Federated identity management (e.g., SAML) CISSPD5_SecTools2FAA T
B.7  Credential management systems
C. Integrate identity as a service (e.g., cloud identity) CISSPD5_CloudIdentityManagement Op
D. Integrate third-party identity services (e.g., on-premise) CISSPD5_IntegratedIdentityManagement Op
E. Implement and manage authorization mechanisms CISSPD5_IdentiyGovernance St
E.1  Role-Based Access Control (RBAC) methods CISSPD5_RoBAC St
E.2  Rule-based access control methods CISSPD5_RuBAC St
E.3  Mandatory Access Control (MAC)
E.4  Discretionary Access Control (DAC)
F. Prevent or mitigate access control attacks CISSPD5_ManageAccessControlAttacks Op
G. Manage the identity and access provisioning lifecycle (e.g., provisioning, review)
6) Security Assessment and Testing
Security assessment and testing involves the evaluation of information assets and associated infrastructure using various tools and techniques for the purposes of identifying and mitigating risk due to architectural issues, design flaws, configuration errors, hardware and software vulnerabilities, coding errors, and any other weaknesses that may affect an information system’s ability to deliver its intended functionality in a secure manner. For the purposes of the CISSP examination, it also includes the continuous validation of the application of organizational information security plans, policies, processes and procedures.
CISSP candidates should be capable of validating assessment and test strategies and of carrying out those strategies using various techniques. Candidates will be tested on vulnerability assessments, penetration testing, synthetic transactions, code review and testing, misuse case, and interface testing.
Information security professionals must ensure that security policies and procedures are continuously and uniformly applied. They must also ensure that disaster recovery and business continuity plans are maintained, updated, and will function as intended in the event of a disaster. To this end, the security assessment and testing domain includes topics in the collection of security process data. Candidates will be tested on account management, management review, key performance and risk indicators, verification of backups, training and awareness, and disaster recovery and business continuity.
Security assessment and testing has little value in the absence of the careful analysis and reporting of assessment results such that appropriate mitigation strategies can be developed and implemented. CISSP candidates will be tested on their ability to analyze and report on test outputs. Candidates will also be tested on their ability to conduct or facilitate internal and third party audits.
1. Design and validate assessment and test strategies CISSPD6_SecurityFramework St
CISSPD6_SecurityMaturityModels Op
2. Conduct security control testing CISSPD6_VulnerabiltyAssessment ST
B.1  Vulnerability assessment CISSPD6_PenTesting Op
B.2  Penetration testing CISSPD6_SIEM Op
B.3  Log reviews CISSPD6_SourceCodeVulnAnalysis Op
B.4  Synthetic transactions CISSPD6_FunctionalAbuseAnalysis Op
B.5  Code review and testing (e.g., manual, dynamic, static, fuzz) CISSPD6_APIVulnAnalysis Op
B.6  Misuse case testing CISSPD6_LogReview Op
B.7  Test coverage analysis
B.8  Interface testing (e.g., API, UI, physical)
3. Collect security process data (e.g., management and operational controls) CISSPD6_AccountAccessManagement Op
C.1  Account management (e.g., escalation, revocation) CISSPD6_KPI St
C.2  Management review CISSPD6_RIskIndicators St
C.3  Key performance and risk indicators CISSPD6_DRP Op
C.4  Backup verification data
C.5  Training and awareness
C.6  Disaster recovery and business continuity
4. Analyze and report test outputs (e.g., automated, manual) CISSPD6_SecurityReports Op
5. Conduct or facilitate internal and third party audits CISSPD6_SecurityInternalsAudits Op
CISSPD6_SecurityExternalsAudits Op
7) Security Operations
The security operations domain represents a broad range of topics involving the application of information security concepts and best practices to the operation of enterprise computing systems. It is practical in nature and intended to cover the tasks and situations that information security professionals are expected to perform or are presented with on a daily basis. It is also representative of the areas where security professionals spend most of their time so it is no surprise that the security operations domain is the largest in terms of individual topics on the CISSP examination.
The security operations domain includes topics intended to assess the CISSP candidate’s knowledge of and ability to orchestrate and otherwise support forensic investigations. Candidates will be tested on various investigative concepts including evidence collection and handling, documentation and reporting, investigative techniques and digital forensics. CISSP candidates must also understand investigation requirements from an operational, criminal, civil, and regulatory perspective.
Effective logging and monitoring mechanisms are an essential security function. In addition to supporting forensic investigations, logging and monitoring provide visibility into the day to day operation of the information technology infrastructure. Individual topics in this area include intrusion detection and prevention, security information and event monitoring systems, and data leakage protection.
The security operations domain also addresses the provisioning of resources and the management and protection of those resources throughout their lifecycle and it is the protection of those resources upon which security operations is predicated. CISSP candidates will be tested on their ability to operate and maintain protective controls including firewalls, intrusion prevention systems, application whitelisting, anti-malware, honeypots and honeynets and sandboxing as well manage third party security contracts and services. Candidates will also be tested on patch, vulnerability and change management.
Additional topics covered under the security operations domain include incident response and recovery, disaster recovery, and business continuity. Candidates will be tested on their ability to conduct all aspects of incident management and on their ability to implement and test disaster recovery processes and participate in business continuity planning. The security operations domain concludes with topics in physical security and personal safety.
A. Understand and support investigations CISSPD7_SecurityInvestigations Op
A.1  Evidence collection and handling (e.g., chain of custody, interviewing) CISSPD7_CrisisManagement St
A.2  Reporting and documenting CISSPD7_SecToolsForensics T
A.3  Investigative techniques (e.g., root-cause analysis, incident handling) CISSPD7_DigitalForensics Op
A.4  Digital forensics (e.g., media, network, software, and embedded devices)
B. Understand requirements for investigation types
B.1  Operational
B.2  Criminal
B.3  Civil
B.4  Regulatory
B.5  Electronic discovery (eDiscovery)
C. Conduct logging and monitoring activities CISSPD7_IDS Op
C.1  Intrusion detection and prevention CISSPD7_SIEM Op
C.2  Security information and event management CISSPD7_SecurityMonitoring Op
C.3  Continuous monitoring CISSPD7_DataEgressMonitoring Op
C.4  Egress monitoring (e.g., data loss prevention, steganography, watermarking) CISSPD7_WAF Op
CISSPD7_IPS Op
D. Secure the provisioning of resources CISSPD7_SecToolsAssesstDiscovery T
D.1  Asset inventory (e.g., hardware, software) CISSPD7_InfraestructureAssesstManagement Op
D.2  Configuration management CISSPD7_ConfigurationManagement Op
D.3  Physical assets CISSPD7_SecToolsMonitoring T
D.4 Virtual assets (e.g., software-defined network, virtual SAN, guest operating systems) CISSPD7_VirtualAssesstManagement Op
D.5 Cloud assets (e.g., services, VMs, storage, networks) CISSPD7_CloudAssesstManagement Op
D.6 Applications (e.g., workloads or private clouds, web services, software as a service) CISSPD7_ApplicationManagement Op
E. Understand and apply foundational security operations concepts CISSPD7_SecureITFuntionalOperation Op
E.1  Need-to-know/least privilege (e.g., entitlement, aggregation, transitive trust)
E.2  Separation of duties and responsibilities
E.3  Monitor special privileges (e.g., operators, administrators)
E.4  Job rotation
E.5  Information lifecycle
E.6  Service-level agreements
F. Employ resource protection techniques
F.1  Media management
F.2  Hardware and software asset management
G. Conduct incident management CISSPD7_SecurityIncidentHandling Op
G.1  Detection
G.2  Response
G.3  Mitigation
G.4  Reporting
G.5  Recovery
G.6  Remediation
G.7  Lessons learned
H. Operate and maintain preventative measures CISSPD7_SecurityOperationStrategy ST
H.1  Firewalls CISSPD7_SecToolsPenTest T
H.2  Intrusion detection and prevention systems CISSPD7_SecToolsWebAccessControl T
H.3  Whitelisting/Blacklisting CISSPD7_SecToolsDAM T
H.4  Third-party security services CISSPD7_SecToolsWAF T
H.5  Sandboxing CISSPD7_SecToolsNAC T
H.6  Honeypots/Honeynets CISSPD7_SecToolsSIEM T
H.7  Anti-malware CISSPD7_SecToolsFirewalls T
CISSPD7_SecToolsNetworkIPS T
CISSPD7_SecToolsWhiteBlackList T
CISSPD7_SecToolsSandBoxing T
CISSPD7_SecToolsHonepots T
CISSPD7_SecToolsAntimalware T
CISSPD7_SecToolsHostIPS T
CISSPD7_SecToolDLP T
I. Implement and support patch and vulnerability management CISSPD7_SecToolsVulnerabilityManagement T
CISSPD7_SecToolsPachManagement T
J. Participate in and understand change management processes (e.g., versioning, baselining, security impact analysis) CISSPD7_ChangeManagement Op
CISSPD7_SecToolsChangeMonitoring T
K. Implement recovery strategies CISSPD7_BackUpStrategies St
K.1 Backup storage strategies (e.g., offsite storage, electronic vaulting, tape rotation) CISSPD7_SecurityResilence St
K.2  Recovery site strategies CISSPD7_SecToolsBackUp T
K.3  Multiple processing sites (e.g., operationally redundant systems) CISSPD7_SecToolsHA T
K.4  System resilience, high availability, quality of service, and fault tolerance
L. Implement disaster recovery processes CISSPD7_RecoverySiteStrategy St
L.1  Response
L.2  Personnel
L.3  Communications
L.4  Assessment
L.5  Restoration
L.6  Training and awareness
M. Test disaster recovery plans
M.1  Read-through
M.2  Walkthrough
M.3  Simulation
M.4  Parallel
M.5  Full interruption
N. Participate in business continuity planning and exercises
O. Implement and manage physical security CISSPD7_SecurePhysicalFacilites Op
O.1  Perimeter (e.g., access control and monitoring) CISSPD7_SecurePhysicalAccess Op
O.2  Internal security (e.g., escort requirements/visitor control, keys and locks)
P. Participate in addressing personnel safety concerns (e.g.,duress,travel, monitoring)
8) Software Development Security
The last domain of the CISSP examination, software development security, involves the application of security concepts and best practices to production and development software environments. CISSP’s are not, generally speaking, software developers or software security engineers; however, it is incumbent upon them to assess and enforce security controls on software being operated within their environments.
To achieve this end, information security professionals must understand and apply security in the context of the software development lifecycle. CISSP candidates will be tested on software development methodologies, maturity models, operations and maintenance and change management as well as understand the need for an integrated product development team.
Information security professionals must also be capable of enforcing security controls in software development environments. Candidates will be tested on several topics in this area including the security of software development tools, source code weaknesses and vulnerabilities, configuration management as it relates to source code development, the security of code repositories and the security of application programming interfaces.
CISSP candidates will also be tested in the area of software security control assessment. Topics in this area include auditing and logging as it relates to change management, risk analysis and mitigation as it relates to software security and the security impact of acquired software.
A. Understand and apply security in the software development lifecycle CISSPD8_SecureSoftwareDevLifecycle op
A.1 development methodologies (Agile, waterfall, etc)
A.2 Maturity Models
A.3 Operation and Maintenance
A.4 Chage Management CISSPD8_SecureIntegrateDevOps op
A.5 Integrated product teal (DevOps) CISSPD8_SecuritySofwareDevStrategy st
B. Enforce security controls in development environments CISSPD8_SecureSoftwareEnviromets op
B.1 Security of the software environments CISSPD8_SecureSourceCode op
B.2 Security weaknesses and vulnerabilities at the source-code level (Overflo, Escalation of Priviledge, Input output validation) CISSPD8_SecureAPI op
B.3 Configuration management as an aspect of secure coding
B.4 security of the code repositories
B.5 Security of application programming interfaces
C. Assess the effectiveness of software security CISSPD8_SecurityAppVulnerabityAssessment st
C.1 Auditing and logging of changes
C.2 Risk analysis and mitigation
C.3 Acceptance testing
D. Assess security impact of acquired software CISSPD8_Security3rPartySoftwareAdquisition st

 

Other Security Tags

Stadard_ISO27xxx
Reg_US_SOX
Reg_US_PCI
Reg_Mx
Reg_US_HIPAA
Reg_Cl
Reg_EU_BASEL2
Reg_Ar_BCRA
Leg_US
Leg_EU
Leg_Ar
Leg_Cl
Leg_Co
Framework_ITILv3
Framework_ISM3
Framework_COBIT
Reg_US_GLBA
Reg_US_FISMA

 

 

 

 

 

 

Documento Base: > cissp-exam-outline-april-2015

Planilla de trabajo > https://drive.google.com/open?id=0B6UvOJIeLhdnZzZ4WExKVDJXZHM

 

 

 



(ISC)² América Latina – Noticias y eventos en la región – Septiembre 2015

Latam newsletter_#2_Spanish_September 2015

Placeholder
AMÉRICA LATINA
# 2 – SEPTIEMBRE 2015 

EDUCACIÓN


(ISC)² Official Study Guides
Los candidatos a las certificaciones SSCP® o CISSP® ahora pueden contar con un recurso más de preparación para los exámenes. (ISC)² acaba de lanzar las guías de estudio oficiales para estas dos certificaciones. Estas dos publicaciones complementan las ya existentes Guías Oficiales para los CBK del CISSP y SSCP. Ambas cubren 100 % de los objetivos de los exámenes e incluyen contenido especializado y casos de la vida real.
Los que adquieran cualesquiera de estas guías también tendrán acceso al Sybex, un ambiente interactivo de aprendizaje en línea que incluye:
  • Simulador de examen con 125 preguntas para SSCP y 250 preguntas para CISSP
  • Flashcards electrónicos
  • Glosario en PDF, con búsqueda en línea
  • Gráficos, tablas, aplicaciones comunes y programas
¡Haz clic en la imagen de cada una de las guías y adquiere ya tu copia!
SSCPStudyguide2015-230.jpg
CISSPstudygudie2015-200.jpg

Calendario de Entrenamientos Oficiales (ISC)²

Entérate de los próximos cursos oficiales ofrecidos por nuestros OTP y sus respectivas fechas y ciudades:
Fecha
Certificación
OTP
Ciudad/País
Sabe más
05/10 al 09/10 CISSP Código Verde Ciudad de México http://ow.ly/SdsVW
12/10 al 16/10 CISSP Código Verde Monterrey, MEX http://ow.ly/SdsVW
12/10 al 16/10 CISSP Sistemas Aplicativos Guatemala capacitaciones@sisap.com
19/10 a 23/10 CISSP Neosecure Santiago, Chile educacion@neosecure.com
Haz clic aquí y consulta la lista oficial de OTPs (ISC)².
Próximos Webinars (ISC)²
Participa en los webinars promovidos por (ISC)² y garantiza los CPEs para mantener tu certificación. También disponibles para no miembros.
Fecha
Tema
Enlace para inscripción
17 de septiembre
Briefings Part 1: Securing the App Economy – Riding the Wave Without Wiping Out- 
con Michelle Waugh,
VP de Soluciones de Seguridad de
CA Technologies, y Brandon Dunlap,
da Brightfly.
(1 cpe)

EVENTOS


logo_2015_seccongresslatam_pt(1).jpg
logo_2015_seccongresslatam_pt(1).jpg
Seguridad en la Nube será uno de los temas discutidos 

La computación en la nube ha traído a los profesionales de seguridad de la información un nuevo reto a las perspectivas de seguridad tradicionales y los ha tirado de su zona de confort. Este es uno de los temas que vamos a discutir en el (ISC)² Security Congress Latin America 2015. En la ocasión, lanzaremos oficialmente la nueva certificación CCSP (Certified Cloud Security Professional) para toda América Latina, desarrollada en colaboración con CSA – Cloud Security Alliance.
Qué va a ocurrir en el (ISC)² Security Congress Latin America
Ya tenemos varias sesiones de presentaciones confirmadas. Haz clic AQUÍ y conoce algunos de los asuntos que vamos a discutir durante el congreso. 
No pierdas tiempo y haz ya tu inscripción.  
Categorías Del 6 de agosto al 30 de septiembre Del 1er de octubre al 16 de noviembre En el evento
Miembros (ISC)² USD 265,00 USD 340,00 USD 425,00
No miembros USD 365,00 USD 440,00 USD 525,00
Miembros de asociaciones aliadas de (ISC)² USD 315,00 USD 390,00 USD 475,00
Estudiantes de graduación USD 215,00 USD 290,00 USD 375,00
Para la inscripción de grupos de empresas, se ruega entrar en contacto a través del email
angela.deluca@mci-group.com
Más Ponentes Principales Confirmados
HSchmidt.jpg
Leonardo Goldim, CCSP, CCSK, es empresario, coach y consultor en Seguridad de la Información y Compliance. Posee más de diez años de experiencia en Gestión de TI y Seguridad de la Información, con especialidad en Continuidad de Negocios y Cloud Computing. Es socio de IT2S Group, fundador y actual director del Capítulo Brasileño de CSA y miembro del Certification Board de la asociación. Miembro del Comité CB21/CE27 (Seguridad de la Información), CB21/CE38 (Computación en la nube) y CEE139 (Control y Combate a Fraude) de la ABNT y miembro de la Comisión de Derecho Electrónico  y Crímenes de Alta Tecnología de la OAB/SP.
elise-yacobelis-2014_news.jpg
Wesley Simpson, Director Ejecutivo de Operaciones de (ISC)², es responsable del desarrollo y la implementación de un modelo de negocios para las oficinas regionales de la asociación. Lideró el desarrollo de organizaciones de TI y de servicios globales, además de trabajar en el área de desarrollo de software y gestión de activos digitales para varias empresas que forman parte de la lista de Fortune 500. 

Eventos apoyados por (ISC)²
8dot8_200x142.jpg
8.8 Computer Security Conference 2015
Los días 22 y 23 de octubre se llevara a cabo en Santiago, Chile, uno de los eventos más relevantes en seguridad de la información en Chile, el 8.8 Computer Security Conference 2015
Miembros de (ISC)² de toda América Latina recibirán 20 % de descuento en la inscripción. Para obtener tu código de descuento e instrucciones sobre cómo pagar, envía un email a gb@8dot8.org. Más información en http://www.8dot8.org/
VOICE OF THE MEMBER


¿Qué cambia en tu vida con la certificación CISSP?

Diversas personas me preguntan: ¿Qué cambia en su vida después de haber conquistado la certificación CISSP?

La respuesta es muy simple y directa. Credibilidad y reputación.

Actualmente el CISSP es una de las más respetadas y deseadas certificaciones del mundo por los profesionales de seguridad de la información que desean credibilidad, conocimiento y reputación que esta credencial brinda. Cuando uno escucha a alguien comentar que “aquella persona es CISSP”, se nota que el grado de respeto cambia por parte del oyente, pues es un enorme diferenciador en el currículo, el profesional que conquista esta certificación.

Placeholder
Ricardo Giorgi, CISSP-ISSAP, SSCP
Miembro (ISC)² desde 2006
Instructor autorizado (ISC)² 
La primera vez que escuché hablar del CISSP fue en el 2001 a través de un amigo de los EUA. Al  profundizarme en el asunto, observé que allí había mucho conocimiento y diversas oportunidades a ser exploradas. En Brasil, esta certificación todavía no se sobresalía con la fuerza que tiene hoy. Desde entonces, ella entró en mi roadmap con fuerza total y pasé a “devorar” todos los materiales que existían en la época. Me convertí en un CISSP en abril del 2006 y, desde entonces, muchas puertas se abrieron en mi carrera profesional.
De modo general, el proceso de estudio necesario para subir este Everest es bastante particular y debe observarse bajo cuatro perspectivas: alcance, disciplina, enfoque y humildad. El alcance de los actuales ocho dominios sorprende en cuanto a la riqueza de conocimientos, técnicas, conceptos y, sobre todo, a los cambios de paradigma. La seguridad pasa a ser vista por el candidato no más como apenas defensas de perímetro, riesgos y amenazas, sino como un proceso holístico que abarca todas las fases del negocio en sí y, consecuentemente, la gestión de gente.
La disciplina y el enfoque son factores preponderantes para tornarse un CISSP. La cantidad de asuntos que tenemos que tratar diariamente es astronómica. Si el candidato no tiene el enfoque y la determinación necesarios, permanecerá eternamente autojustificándose sobre la razón de no haber conseguido el tiempo necesario para el estudio.
Por último, la humildad… Esta la destaco como una característica importantísima para aquel que se proponga a entrar en este proceso. Por mejor que uno se considere profesionalmente, no se debe perder la humildad en el estudio. Cada página del material de referencia contiene un contenido relevante que es fundamental para su formación de seguridad de la información. Por lo tanto, no debe saltar páginas por considerar que ya conoce aquel asunto… El “ya lo sé” en este caso es su enemigo y puede ser un obstáculo considerable en su objetivo de tornarse un CISSP. Hay que salir de la zona de confort y leer todo el material. Nada de pereza. No salte dominios por creer que ya “vive y respira” aquel dominio en su día a día.
Y a todos nosotros, que osamos un día seguir por este camino, no nos cabe el desánimo en caso de falla al primer intento. Se debe encarar este reto como un proceso de lapidación de nosotros mismos hasta lograr nuestro objetivo. El camino es arduo, pero sumamente rico y compensador. Todos los que logren llegar al podio tendrán el privilegio de colocar, después de su apellido, el tan soñado acrónimo de cinco letras.
A todos les deseo una excelente jornada rumbo al éxito.
CAPÍTULOS (ISC)² AMÉRICA LATINA


Argentinachapterlogo-01.jpg
Capítulo (ISC)² Argentina apoya a los que se preparan para el examen de certificación
Entre los objetivos de un capítulo, uno es promover oportunidades de educación y de actualización a sus miembros. Y por esta razón el capítulo (ISC)² Argentina está organizando un grupo de estudio para sus miembros que desean prepararse para el examen de certificación CISSP. Es un grupo de profesionales CISSP, también miembros del capítulo, que va a apoyar a los candidatos con su experiencia profesional y conocimientos.
Entra en contato con el capítulo (ISC)² Argentina a través del email isc2-ar@isc2.org y solicita más informaciones sobre como participar.
(ISC)² FOUNDATION


Foundation_200x52.jpg
Educar a futuros profesionales en ciberseguridad. Esta es una de las varias iniciativas desarrolladas por la (ISC)² Foundation. Por constatar la falta de especialistas calificados en el área de ciberseguridad en el mercado global, la fundación objetiva cubrir esta laguna al conceder becas de estudios a futuros profesionales del área, para que desarrollen una carrera prometedora en seguridad de la información en esta industria en constante expansión.
Entre las categorías de becas de estudio se pueden mencionar:
  • Women’s Scholarship, para mujeres que quieren desarrollar una carrera en seguridad de la información
  • Undergraduate Scholarship, para cursos de grado
  • Graduate Scholarship, para los que desean profundizar sus conocimientos en cursos de posgrado
  • Faculty Vouchers, para profesores universitarios que desean realizar exámenes de certificación (ISC)²
Las inscripciones para el Women’s Scholarship estarán abiertas el 1er de enero de 2016. Las reglas e instrucciones para las candidatas se divulgarán en breve. Por eso, presta atención en las próximas ediciones de esta newsletter.
Sé un voluntario y colabora con la newsletter (ISC)² América Latina.
Contáctanos por el email connectlatam@isc2.org
02_verde.jpg
03_is_verde.jpg
04_yt_verde.jpg
05_fb_verde.jpg
06_in_verde.jpg
07_tw_verde.jpg
Unsubscribe from these messages.

 



Endpoints – Su primer linea de Defensa – Adaptacion libre

El término “EndPoint” se asocia habitualmente con el punto extremo, ultimo, el final de un proceso, el final de una jornada.
Sin embargo cuando se trata de Tecnologia de la Informacion, ya sean PCs, dispositivos móviles, Servidores, puntos de venta (PoS) o cualquiera de los nuevos dispositivos que hacen a laInternet de las Cosas (IoT), nada podría estar más lejos de la verdad. Los EndPoints son lugares donde se crean datos, donde son tratados y/o almacenados. Son los objetivos preferidos por atacantes que buscan ganar acceso para robar datos.
La última línea de defensa?
Al considerar la seguridad de IT, muchas personas ven al EndPoint como la última línea de defensa.
Sin embargo, dado que el objetivo de cualquier cyberattack es para acceder a un EndPoint vulnerable, y que todas las brechas de seguridad en última instancia habra involucrado al menos un EndPoint, proteger y fortalecer los EndPoint debe estar al inicio del programa de seguridad de una organización.
Nota: Optimice su programa de seguridad > http://www-03.ibm.com/security/ar/es/products/pillars.html
Cada EndPoint conectado a su red o sistema es un punto de falla (vulnerabilidad).
Se necesita sólo un EndPoint comprometido para permitir que los atacantes se infiltran en toda la infraestructura. Como los anzuelos, una vez que están dentro, es difícil sacarlos. En última instancia, puede ser doloroso, especialmente si roban datos valiosos y debe ser reportada públicamente, la pérdida.
Al tener una adecuada (Robusta, consistente y completa) seguridad en el EndPont como primera línea de defensa, se evita la búsqueda de “la aguja en el pajar” previniendo que el adversario tenga la oportunidad y espacio para colocar esa “aguja” en primer lugar.
Para proteger la red, cada EndPoint (insisto, incluyendo mobile, PoS o servidores) debe ser gestionado de forma segura.
Esto se logra a través del descubrimiento continuo de los EndPoints  conectados, el seguimiento de su estado y la remediación automática (reconfiguracion a plantillas predefinidas, estándares verificados y seguros, aplicación de parches, desactivacion de servicios, etc) funciones automáticas que permiten eliminar las principales vulnerabilidades en tiempo real.

Ganando la carrera

Mantener los sistemas “emparchados”, reduce drásticamente la superficie de ataque. 
Como se observa en el reporte “Raising the Bar for Cybersecurity,” (US-2013) del “Center for Strategic and International Studies”. Las investigaciones han demostrado que 3/4 de los ataques efectivos han utilizado vulnerabilidades conocidas (y por ende, corregibles, “parchables”) en software comercial (Sistemas operativos, aplicaciones base, etc) >> “75 percent of attacks use publicly known vulnerabilities in commercial software that could be prevented by regular patching.”
En la contienda entre la explotación y la protección de EndPoints, el tiempo es un factor crítico.
Los atacantes se aprovechan de la ventana de oportunidad que existe entre el momento en un parche se libera y el momento en el que dicho parche es aplicado con éxito en la totalidad de los EndPoints de una organización. Cuando se libera un parche, los ciberdelincuentes obtienen información completa sobre como aprovechar las vulnerabilidades que dichos parches corrigen y suelen crear artefactos que los explotan (exploits) pocas horas mas tarde.
– Esto es así porque hay una posición de mercado de “Full-Disclosure”, en la que toda la información relevante a una vulnerabilidad, se hace publica en beneficio de la misma comunidad. desde el momento que se identifica un exploit activo y/o el fabricante del sistema vulnerable haya hecho publico un parche. situación que obliga a los administradores a prestar atención adicional y accionar en forma inmediata, ya que desde ese momento se considera que los atacantes saben exactamente cómo aprovechar la vulnerabilidad y están en condiciones de crear armas con código de explotación dentro de las horas siguientes a la publicación de los detalles técnicos de una falla.
Es posible que un fabricante aun no disponga de un parche, pero insisto, si ya se ha identificado una forma de explotar una vulnerabilidad, probablemente, dicha vulnerabilidad se conozca con anticipación y el mismo fabricante este en proceso de liberar dicho parche.
La vigilancia debe mantenerse después de que se da a conocer una vulnerabilidad.
El grupo de investigación de Seguridad e inteligencia de IBM “X-Force”, continúa viendo ataques orientados a vulnerabilidades corregidas por un parche, meses después que el frenesí inicial de explotación se ha desplomado. La instalación de forma rápida y precisa los parches en todos los sistemas reduce enormemente la posibilidad de que los atacantes puedan entrar a su red a través de los EndPoint vulnerables.
Oportunidades para plantar una aguja no son sólo posibles gracias a una vulnerabilidad de aplicacion; también se llevan a cabo si el EndPoint no está cumpliendo con su política de seguridad. Con el tiempo, los EndPoints (en especial los servidores) se alejan de un estado seguro a un estado con “imprecisiones” (Configuraciones de emergencias no documentadas ni revisadas por Seguridad Informatica, Cambios informales, etc).
Esta deriva (imprecisiones) es generalmente el resultado de un error humano.
Los usuarios introducen errores de configuración, desactivan o eliminan los controles de seguridad, instalan software no autorizado o inadvertidamente permiten la instalación de malware al hacer clic en un enlace comprometido. De hecho, el “Índice de Inteligencia de Seguridad Cibernética 2015”, afirma que casi un cuarto de los ataques fueron posibles gracias a los actores involuntarios.
El mantenimiento de un entorno seguro y protegido requiere que los valores de configuración de los EndPoint sean monitoreados continuamente, de manera que las desviaciones se identifiquen y corrijan tan pronto como sea posible – incluso si los usuarios y/o administradores no son conscientes de lo que está pasando.

 Ponga la seguridad del EndPoint en PRIMER LUGAR. 

La protección de los Endpoint es una importante piedra angular de su postura de seguridad.
Es la primera línea de defensa en una estrategia de seguridad de varias capas (seguridad en profundidad).
Una solución de seguridad viable debería >
  • Mantener a los EndPoint bajo control.
  • Descubrir los EndPoints conectados a la red corporativa, incluyendo los que ignoraba que existían (tal vez porque no deberían estar allí, tal vez porque forman parte de una iniciativa de #BYOD de la que nadie le notificoI).
  • Analizar con precisión el estado de todos los EndPoint para proporcionar visibilidad inmediata de los problemas.
  • Proporcionar un mecanismo de corrección de configuracion o aplicación de parches, descargando estos sin impactar en la performance de la red y garantizando la implantación exitosa de los mismos con o sin la colaboración del usuario.
  • Y si la reparación automatizada no fuera posible, la solución deberia poner en cuarentena ese EndPoint para limitar su capacidad de causar daños.

Concluision: 
En última instancia, la confianza necesaria para hacer de los EndPoints su primera línea de defensa requiere visibilidad en tiempo real, la aplicación continua de la política de seguridad, escalabilidad y reparación automatizada.
Nota: La “Postura de seguridad esta relacionada con el Apetito o aversion al riesgo, es decir, podría haber empresas que decidieran no mitigar ciertos riesgos porque el costo de hacerlo impacta en la ganancia esperada, sin embargo, conociendo los riesgos y su probabilidad de ocurrencia (tal vez la parte mas difícil de resolver) a quien le corresponda, puede tomar una decision, esa decision es la que se conoce como postura de seguridad… vamos o no vamos a mitigar un riesgo, lo vamos a asumir, vamos a monitorear, tendremos o no tendremos un equipo de respuesta inmediata, etc, etc)
Una vez establecida la postura de seguridad e insisto, que debe estar basada en la comprensión de los riesgos que van a ser asumidos, una organización puede definir una estrategia (Sofware comercia, open source, recursos propios, ayuda de terceros, educación intensiva, etc, etc) y un programa de seguridad (Inventario de activos de información y sistemas, análisis de vulnerabilidad, hipótesis de conflicto, categorizaron de amenazas, etc. Esto es la respuesta a la estrategia en forma de plan, con tiempos de adopción e impacto cultural) al final, es un proceso continuo y obviamente no se puede tener una postura de seguridad si haber alguna vez realizado un inventario de activos de información, aunque sea a mano alzada.
Los estandares o marcos de trabajo ( Serie ISO 27x, Cobit, o mismo el IBM Security Framework ) son guisas y orientaciones para que las organizaciones tomen decisiones en base a conocimiento probado y util
Captura de pantalla 2015-09-21 18.03.58
Nota: IBM EndPoint Security Solutions BigFix http://www-03.ibm.com/security/bigfix/
Nota: IBM Mobile Security MaaS360 > http://www.maas360.com
Nota: IBM Security Advance Malware Protection APEX > http://www-03.ibm.com/software/products/es/trusteer-apex-adv-malware

Scavanna en Twitter: https://twitter.com/SCavanna
Scavanna en Slideshare: http://www.slideshare.net/cavsa01/

IBM Security en Twitter: https://twitter.com/IBMSecurity
IBM Security en SlideShare: http://www.slideshare.net/ibmsecurity/
Adaptacion libre de  “Endpoints: The Beginning of Your Defense” By Charles Kolodgy  (July 24, 2015 – https://securityintelligence.com/endpoints-the-beginning-of-your-defense/ ) -by Santiago Cavanna. IBM Security Argentina. ( @scavanna )


August 06, 2015 at 11:19PM

Grupo de Estudio CISSP > Reuniones quincenales > Lunes 10 Agosto > 10hs > HackerSpace Eko

Buenos dias.
Confirmo que tenemos un espacio reservado en el HackerSpace de la EkoParty (Bolivar 238) para poder hacer las reuninones de estudio CISSP

Dada mi disponibilidad de tiempo, estoy proponiendo Lunes de 10 a 12 del mediodia para la primer reunion.
Lunes 24 de Agosto de 10 a 12, para la segunda reunion y alli definiremos los proximos horarios.

La dinamica es simple.
Para cada reunion eligiremos un dominio sobre el cual trabajar.

Esta primera reunion del 10 de Agosto es para organizarnos pero de ahi en mas, buscaremos orden…
Para la reunion del 24 de Agosto, haremos foco en el Dominio 1 : (Ver debajo)

Yo cuento con una copia del “Official (ISC)2 Guide to the CISSP CBK, Fourth Edition que utilizaremos como primer referencia y disipador de dudas” .
Adicionalmente la idea es encontrar material de apoyo (incluyendo preguntas de ejemplo) que podamos utilizar para medir la comprension y discutir conceptos.

Esto es un trabajo de equipo, de grupo, al final del dia mi funcion es coordinar la logistica del encuentro y ayudarlos a resolver algundas dudas propias de la certificacion.
El camino es largo, personalmente recomiendo que armen un plan de 400 horas de estudio, distribuida en bloques semanales.

La experiencia ayuda, pero la certificacion tiene su propia logica y el ISC2 su propio criterio, que hay que incorporar a base de insitir y persistir.

Esta es una actividad gratuita, no es necesario ser miembro del capitulo de ISC2Argentina, ni miembro de HackarSpace de la Eko.
Agradecere que avisen si tienen intenciones de venir, para organizar espacio y material.

Saludos cordiales
Santiago Cavanna.

1) Security and Risk Management

The first domain of the CISSP examination, Security and Risk Management, addresses a broad spectrum of general information security and risk management topics beginning with coverage of the fundamental security principles of confidentiality, availability and integrity upon which all information security functions are based. The Security and Risk management Domain then builds upon these concepts in the areas of security governance and compliance and candidates will be tested on both.
As is the case with all (ISC)2 examinations, CISSP candidates will be tested on ethical considerations in general, and the (ISC)2 code of ethics in particular. The unique position of trust from which information security professionals apply their craft must be rooted in an ethically sound and consistently applied code of ethics.
The information security function will not be very successful without carefully constructed and uniformly applied security policies and procedures and candidates will be tested on their ability to develop and implement policies and procedures within an information security context. The security and risk management domain also include coverage of all aspects of business continuity planning including information and requirements gathering, business impact analysis and recovery point objectives.
Risk management constitutes an integral part of the security and risk management domain and CISSP candidates should have a thorough understanding of risk management concepts. Covered individual risk management topics include risk analysis, countermeasure selection and implementation, risk monitoring, reporting, and risk frameworks. This domain further builds upon risk management concepts with the introduction of threat modeling and the integration of risk management into the acquisition and management of hardware, software and service contracts.
CISSP candidates will also be tested in the area of personnel security policies and are expected to be capable of establishing and maintaining security education, training and awareness programs.

Confidentiality, integrity, and availability concepts
A. Understand and apply concepts of confidentiality, integrity and availability

Security governance principles
B. Apply security governance principles through:
Alignment of security function to strategy, goals, mission, and objectives (e.g., business case, budget and resources)
Organizational processes (e.g., acquisitions, divestitures, governance committees)
B.3 Security roles and responsibilities
B.4 Control frameworks
B.5 Due care
B.6 Due diligence

Compliance
C. Compliance
C.1 Legislative and regulatory compliance
C.2 Privacy requirements compliance

Legal and regulatory issues
D. Understand legal and regulatory issues that pertain to information security in a global context
D.1 Computer crimes
Licensing and intellectual property (e.g., copyright, trademark, digital-rights management)
D.3 Import/export controls
D.4 Trans-border data flow
D.5 Privacy
D.6 Data breaches

Professional ethic
Understand professional ethics
E.1 Exercise (ISC)2 Code of Professional Ethics
E.2 Support organization’s code of ethics

Security policies, standards, procedures and guidelines
Develop and implement documented security policy, standards, procedures, and guidelines

G. Understand business continuity requirements
G.1 Develop and document project scope and plan
G.2 Conduct business impact analysis

H. Contribute to personnel security policies
Employment candidate screening (e.g., reference checks, education verification)
H.2 Employment agreements and policies
H.3 Employment termination processes
H.4 Vendor, consultant, and contractor controls
H.5 Compliance
H.6 Privacy

Understand and apply risk management concepts
I.1 Identify threats and vulnerabilities
I.2 Risk assessment/analysis (qualitative, quantitative, hybrid)
I.3 Risk assignment/acceptance (e.g., system authorization)
I.4 Countermeasure selection
I.5 Implementation
I.6 Types of controls (preventive, detective, corrective, etc.)
I.7 Control assessment
I.8 Monitoring and measurement
I.9 Asset valuation
I.10 Reporting
I.11 Continuous improvement
I.12 Risk frameworks

Understand and apply threat modeling
Identifying threats (e.g., adversaries, contractors, employees, trusted partners)
Technologies and processes to remediate threats (e.g., software architecture and operations)
Determining and diagramming potential attacks (e.g., social engineering, spoofing)
J.3 Performing reduction analysis

K. Integrate security risk considerations into acquisition strategy and practice
K.1 Hardware, software, and services
Third-party assessment and monitoring (e.g., on-site assessment, document exchange and review, process/policy review)
K.3 Minimum security requirements
K.4 Service-level requirements

Establish and manage information security education, training, and awareness
Appropriate levels of awareness, training, and education required within organization
L.2 Periodic reviews for content relevancy


Santiago Cavanna
http://ift.tt/1EctNYf
NUEVO (2012) Cel 15-3681-2932
via http://ift.tt/1EctQ6d



Reflex 20150729 – CISO – La responsabilidad de estar al día y la relación con los Proveedores

Breve x 5+5

1) Creo que los CISOs son responsables de saber que soluciones tecnológicas existen y están disponibles en el Mercado donde operan (Region-Pais) (que habitualmente automatizan controles de seguridad, controles que a su vez, deberían estar en el RoadMap de controles a incorporar o Automatizar, según los estándares y mejores practicas)
2) Creo que los CISOs son responsables de tener un canal de comunicación abierto con los proveedores habituales (fabricantes-revendedores) de las soluciones que tienen adquiridas.
3) Creo que los CISOs deben tener contacto (o al menos conocimiento) con los principales fabricantes de soluciones de seguridad (saber si tienen o no filiales en el país donde se opera, datos de alguna contacto en dichas empresas o contacto con sus revendedores o consultoras afines)
4) Creo que los CISOs deben estar al día con las nuevas amenazas de Seguridad y discutir periódicamente con los responsables de Tecnologia y Desarrollo que están planificando incursionar en nuevas plataformas o lenguajes … (Esto incluye Cloud, Mobile o Social
5) Creo que los CISOs tienen que formar comunidad y participar de dichas comunidades (Ya sea propia de CISOs o comunidad de profesionales de Seguridad de la información). La mejor estrategia que pueda establecer una empresa, es la que ademas fue puesta a prueba (teóricamente) por especialistas (pares), criticada y aumentada, con la experiencia de otras industrias.

Esto lo digo como representante de un Fabricante y si, creo que es una posicion de conveniencia, pero también es cierto que hace 18 años que trabajo en fabricantes de software (Microsoft,CA, Symantec y actualmente IBM).

A esto debo, nobleza obliga, complementar con otros 5 puntos

1) Creo que los fabricantes deberian poner a Especialistas en la materia tanto en la relación técnica con un cliente, como en la relación comercial.
2) Creo que los fabricantes deberían facilitar la creación de comunidades de usuarios de las soluciones que comercializan
3) Creo que los fabricantes deberían desarrollar un ecosistema que incluya a las empresas especializadas en brindar consultoría cross-fabricante o Agnósticas, de forma de que no se convierta en un campo de batalla “servicios con soluciones open source vs soluciones comerciales” cuando de lo que se trata, es de que cada empresa logre resolver sus desafíos de la forma mas conveniente e inteligente.
4) Creo que los fabricantes deberían sincerar sus intenciones cuando presentan sus propuestas tecnológicas en congresos de seguridad, distinguiendo cuando están hablando del problema como tal, de cuando están limitando la explicación de dicho escenario para que sea relevante y compatible a su propuesta tecnológica.
5) Creo que los fabricantes deberían comunicar mas efectivamente su vision holistica del problema y la frontera de las soluciones que proveen, así como la ruta de diseño para las soluciones que esperan ofrecer en el futuro.

El riesgo, es creer que porque solo tenemos a mano un martillo, todo debería responder como un clavo. (y aplica para ambos lados del mostrador…)

via IFTTT



Reflex 20150627 – Dígalo como quiera, pero DÍGALO

Decir algo, usualmente implica pensarlo, visualizarlo de alguna forma,

Nombrar algo, tambien le da Entidad.

Hacer concreto, visualizarlo, darle entidad a eso de lo que queremos hablar, nos permite discrepar desde la perspectiva, comparar estas perspectivas, proyectar desde uno, pero tambien desde eso de lo que estamos hablando.

  • Security Breach?
  • Brecha de Seguridad informática?
  • Incidente de Seguridad informática?
  • Violacion de la seguridad informática?
  • Hack?
  • Intrusion?
  • Penetration?
  • Data leak?
  • Data Loss?
  • Robo de Informacion?
  • CiberAtaque?
  • CyberOfense?
  • CiberSecuetro?
  • Hijacked?
  • Compromiso / Comprometido?
  • Denegacion de Servicio?
  • Espionaje?
  • Intercepcion? / Man in the Middle?
  • Robo de Identidad? / Suplantacion?
  • Troyano / BackDoor?
  • Inyeccion de Codigo?
  • y todos “ados/aros/aron” que se puedan derivar de los anteriores

Me falto algo? (Muy probablemente, porque de hecho, todos los dias se estan creando nuevos terminos que explican algo que hasta ayer no existia)