Preparando CISM Notas: Dominio 3

Bueno….tercera entrega de las cuatro que hay sobre las Notas para el examen del CISM

Dominio 3. Desarrollo y gestión del programa de seguridad

El esquema de clasificación de la información debe tener en cuenta el posible impacto de un fallo de seguridad. La clasificación de datos se determina por el riesgo del negocio, es decir, el impacto potencial en el negocio de una pérdida, la corrupción o la divulgación de información. Debe ser aplicado a la información en todas sus formas, tanto electrónicas como físicas (papel), y debe ser aplicada por el propietario de los datos (data owner), no por el administrador de seguridad.

El principal riesgo asociado con el middleware en un entorno cliente-servidor es que la integridad del sistema puede verse afectado negativamente debido a la propia finalidad de middleware, que está destinada a soportar múltiples entornos operativos que interactúan simultáneamente.

Un sistema de detección de intrusos basados en anomalía estadística (SIDS) recoge datos de tráfico normal y establece una línea base. Muestrea periódicamente la actividad de la red basada en métodos estadísticos y compara muestras de la línea base. Cuando la actividad se encuentra fuera del parámetro de la línea base (del nivel de corte), el SIDS notifica al administrador. Las variables de referencia pueden incluir la memoria de un host o el uso de la unidad central de procesamiento (CPU), los tipos de paquetes de red y las propias cantidades de paquetes. Si las acciones de los usuarios o los sistemas de la red varían ampliamente con períodos de baja actividad y períodos de intercambio de mucha actividad, una SIDS puede no ser adecuado, los cambios muy dramáticos de un nivel de actividad a otro generaran muchas falsas alarmas.

Secure Sockets Layer (SSL) es un protocolo criptográfico de comunicaciones seguras que proporcionan autenticación de punto final y privacidad de las comunicaciones a través de Internet. En un uso típico, todos los datos transmitidos entre el cliente y la empresa son codificadas por el servidor web de la empresa y así mantienen la confidencialidad.

Seguridad IP (IPSec) es un marco normalizado para asegurar las comunicaciones de protocolo de Internet (IP) mediante el cifrado y / o autenticación de cada paquete IP en un flujo de datos. Hay dos modos de funcionamiento: el modo IPSec transporte y el modo de túnel.

Secure/Multipurpose Internet Mail Extensions (S/MIME) es un estándar para el cifrado de clave pública y la firma del correo electrónico encapsulado en MIME; no es una transacción web.

Al configurar un sistema de control de acceso biométrico que protege a un centro de datos de alta seguridad, el nivel de sensibilidad del sistema debe establecerse en mayor tasa de Falso Rechazo (FRR higher false reject rate). Los sistemas de control de acceso biométricos no son infalibles. Al configurar la solución, hay que ajustar el nivel de sensibilidad para dar preferencia ya sea a la tasa de falso rechazo (tasa de error de tipo 1) en el que el sistema será más propenso a fallar, negando el acceso a un usuario válido o permitiendo el acceso un usuario no válido. Cuando se ajusta la sensibilidad del sistema biométrico, estos valores cambian inversamente. En un momento dado, los dos valores se cruzan y son iguales. Esta condición genera la tasa de errores de cruce, que es una medida de la precisión del sistema. En sistemas en los que la posibilidad de falsos rechazos es un problema, puede ser necesario configúralo “para reducir la sensibilidad y por lo tanto aumentar el número de falsos positivos.” Esto se refiere a veces como tasa de error de igualdad (EER equal error rate). En un sistema muy sensible, puede ser deseable minimizar el número de falsas aceptación de personas no autorizadas que les permita el acceso. Para hacer esto, el sistema estará sintonizado para ser más sensible, que hace que se produzcan más falsos positivos rechazando a personas autorizadas y prohibiéndoles el acceso.

Un sistema de prevención de intrusiones (IPS) detectará por lo menos tipos básicos de Ataques de inyección SQL y además será capaz de detenerlos. Recordar que los ataques de inyección SQL se producen en la capa de aplicación no en la de transporte.

El retorno sobre la inversión en seguridad puede ser evaluado mejor a través del respaldo a soporte de objetivos de negocio por que permite ilustrar como se respaldan los objetivos de la empresa.

Una Cultura es un ambiente dentro de una empresa donde las actitudes para la seguridad de la información son compartidas entre departamentos y se reflejan en las actividades del día a día, siendo su característica principal la alineación de valores para proteger los activos corporativos.

La eficacia de un programa de concienciación de la seguridad se podrá medir a y través de una evaluación cuantitativa para asegurar la comprensión del usuario. Por otro lado, el entrenamiento sobre ética principalmente se realiza aquellas personas involucradas en monitorizar las actividades del usuario ya que puede generar acceso a información sensible tanto personal como corporativa. Por eso la organización de implementar entrenamiento que proporcione una referencia para un comportamiento legal adecuado con el fin de reducir la responsabilidad corporativa y aumentar la concienciación de los responsables de la monitorización para llegar a un entendimiento de la privacidad de los datos y conseguir un comportamiento ético.

El enfoque principal del control de cambios es garantizar que los cambios sean autorizados. Todos los pasos de procedimientos de administración de cambios deben ser efectuados de igual manera, tanto los cambios normales, como los cambios de emergencia, donde la documentación es completada con la aprobación al cambio inmediatamente después de que se produzca el cambio en los sistemas.

Los Estándares establecen los limites y fronteras aceptables para las personas, procesos y la tecnología como una expresión de la intención reflejada en una política y Proporcionan instrucciones para el cumplimiento de las políticas. Los estándares mínimos de seguridad para una infraestructura técnica se definen en la arquitectura de seguridad de la información. En este documento se define como se aseguran los componentes de la infraestructura y que servicios deben existir.

La arquitectura de seguridad explica el uso y las relaciones de los mecanismos de seguridad ayudando a administrar eficazmente la complejidad de los objetivos del negocio.

Probabilidad e impacto son las consideraciones más importantes al priorizar el desarrollo de los controles y las contra medidas determinados por el riesgo existente.

Las amenazas, la vulnerabilidad y la Exposición son las consideraciones más importantes a la hora de garantizar un enfoque de monitorización continuo del riesgo ya  las tres constituyen los elementos esenciales para determinar el riesgo corporativo.

El Hacking ético es normal que se utilice dentro de una empresa para realizar una evaluación de control de las aplicaciones existentes y así controlar la seguridad y poder descubrir las debilidades de la aplicación sin tener que revisar el código fuente.

Link para el el Dominio 1 – Gobierno de Seguridad de la Información CISM

Link para el el Dominio 2 – Gestión de Riesgos de la Información y Cumplimiento CISM

Alfonso López

Alfonso López

Instagram

MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

También te podría gustar...

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies