Professional Documents
Culture Documents
233002
MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA
(Director Nacional)
ZONA CENTRO-SUR
(CEAD PALMIRA, CEAD POPAYN)
Febrero de 2012
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
INDICE DE CONTENIDO
Introduccin
Leccin 14: CC
2
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Captulo 5: Certificaciones
3
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
4
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
5
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
6
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
INTRODUCCIN
7
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
UNIDAD 1
Nombre de la Unidad Introduccin a los Modelos y Estndares
de Seguridad Informtica
Introduccin
Justificacin
Intencionalidades Formativas
Captulo 1 Conceptos Bsicos de Seguridad
Informtica
Leccin 1 Sistema de Gestin de la Seguridad de la
Informacin
Leccin 2 Qu es un Estndar?
Leccin 3 Diferencias entre un Modelo y Estndar
Leccin 4 Ventajas y Desventajas
Leccin 5 Ejemplos de Modelos y Estndares
Captulo 2 Modelos (normas) de seguridad
informtica
Leccin 6 ISO 17799
Leccin 7 ISO 27000
Leccin 8 ISO 27001
Leccin 9 ISO 27002
Leccin 10 ISO 27003 a ISO 27005
Captulo 3 Estndares de seguridad informtica
Leccin 11 ITIL
Leccin 12 COBIT
Leccin 13 OSSTMM
Leccin 14 CC
Leccin 15 Polticas, organizacin, alcance del sistema
de gestin.
8
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Introduccin
9
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Justificacin
Intencionalidades Formativas
Identificar los diferentes modelos y estndares que pueden ser aplicados en las
organizaciones para el montaje de un SGSI.
10
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
El propsito de un SGSI es, por tanto, garantizar que los riesgos de la seguridad
de la informacin sean conocidos, asumidos, gestionados y minimizados por la
organizacin de una forma documentada, sistemtica, estructurada, repetible,
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y
las tecnologas.
11
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
1. PLANEAR
2. IMPLEMENTAR
12
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
3. EVALUAR
4. MANTENER
Para Profundizar:
13
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Leccin 2: Qu es un Estndar?
2
Ministerio de comunicaciones. Repblica de Colombia. Modelo de seguridad de la informacin. Sitio web:
http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
14
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
3
Instituto Nacional de Tecnologas de la Comunicacin INTECO. Espaa. www.inteco.es
15
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
16
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Con el fin de clarificar algunos conceptos que son importantes para la continuidad
temtica del curso, a continuacin se definen conceptualmente los aspectos
siguientes:
NORMA:
17
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Fabricantes
Administraciones
Usuarios y consumidores
Tipos de normas:
Una norma de facto puede definirse como una especificacin tcnica que ha sido
desarrollada por una o varias compaas y que ha adquirido importancia debido a
las condiciones del mercado. Suele utilizarse para referirse a normas de uso
cotidiano.
18
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Una norma de jure puede definirse, en general, como una especificacin tcnica
aprobada por un rgano de normalizacin reconocido para la aplicacin de la
misma de forma repetida o continuada, sin que dicha norma sea de obligado
cumplimiento.
ESTNDAR:
19
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
MODELO:
Para Profundizar:
http://equipoteccelaya.blogspot.es/1234029360/
http://es.wikitel.info/wiki/Normas_y_Est%C3%A1ndares
http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjo
nsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520us
ing%2520predefined%2520process%2520models.pdf
20
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Ventajas:
Desventajas:
21
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
22
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para el caso que nos interesa, las normas ISO/IEC 27000 han sido creadas para
facilitar la implantacin de Sistemas de Gestin de Seguridad de la Informacin,
entre las ms importantes estn:
NORMA ISO/IEC 27002: Es una gua de buenas prcticas que recoge las
recomendaciones sobre las medidas a tomar para asegurar los sistemas de
informacin de una organizacin. Para ello describe 11 reas de actuacin, 39
objetivos de control o aspectos a asegurar dentro de cada rea y 133 controles o
mecanismos para asegurar los distintos objetivos de control.
23
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
24
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Esta misma norma recoge la relacin de controles que se deben aplicar para
establecer un Sistema de Gestin de la Seguridad de la Informacin (SGSI). El
conjunto completo de estos controles conforman las buenas prcticas de
seguridad de la informacin. Algunas caractersticas de la norma ISO 17799 son
las siguientes:
La norma ISO 17799 establece 11 dominios de control que cubren por completo la
gestin de la seguridad de la informacin:
25
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
De estos once dominios se derivan los Objetivos de Control, con los resultados
que se esperan alcanzar mediante la implementacin de controles; y los
Controles, que son las prcticas, procedimientos y mecanismos que reducen el
nivel de riesgo.
26
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
27
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
28
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
ISO 27000.
http://www.iso27000.es/download/doc_iso27000_all.pdf
29
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
La norma ISO 27001, recoge los componentes del sistema, los documentos
mnimos que deben formar parte de l y los registros que permiten evidenciar el
buen funcionamiento del sistema. Asimismo, especifica los requisitos para
implantar controles y medidas de seguridad adaptados a las necesidades de cada
organizacin. Esta adems, es la norma con la que se certifican los Sistemas de
Gestin de Seguridad de la Informacin de las organizaciones que lo deseen.
30
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
31
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
La NORMA ISO/IEC 27002 es una gua de buenas prcticas que recoge las
recomendaciones sobre las medidas a tomar para asegurar los sistemas de
informacin en una organizacin. Para ello describe 11 reas de actuacin, 39
objetivos de control o aspectos a asegurar dentro de cada rea y 133 controles o
mecanismos para asegurar los distintos objetivos de control.
o Poltica de seguridad
o Control de accesos
o Conformidad
32
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Objetivos de control
Controles
Para Profundizar:
33
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
ISO 27004: Especifica las mtricas y las tcnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas
se usan fundamentalmente para la medicin de los componentes de la fase Do
(Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Establece las directrices para la gestin del riesgo en la seguridad de
la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC
27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de
la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los
conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e
ISO/IEC 27002 es importante para un completo entendimiento de la norma
ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo,
empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la
organizacin de la seguridad de la informacin. Su publicacin revisa y retira las
normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000.
34
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
35
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
ISO 27000.
http://www.iso27000.es/download/doc_iso27000_all.pdf
36
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
37
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
3. Gestin de la infraestructura de TI
4. Gestin de la seguridad
5. Perspectiva de negocio
6. Gestin de aplicaciones
Adicional a los ocho libros originales, ms recientemente se aadi una gua con
recomendaciones para departamentos de TIC ms pequeos:
Para Profundizar:
Qu es ITIL?
http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf
38
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
5
Asociacin de sistemas de informacin de auditora y control. ISACA es una asociacin profesional
internacional que se ocupa de Gobierno de TI
39
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
40
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
41
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Leccin 14: CC
Qu hace el producto?
6
http://www.commoncriteriaportal.org/ccra/
42
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Por tal web Common Criteria. The Common Criteria Recognition Arrangement.
http://www.commoncriteriaportal.org/ccra/
43
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
1. Definir el alcance del sistema: Este debe determinar las partes o procesos de
la organizacin que van a ser incluidos dentro del mismo. En este momento, la
empresa debe determinar cules son los procesos crticos para su
organizacin decidiendo qu es lo que quiere proteger y por dnde debe
empezar. Dentro del alcance deben quedar definidas las actividades de la
organizacin, las ubicaciones fsicas que van a verse involucradas, la
tecnologa de la organizacin y las reas que quedarn excluidas en la
implantacin del sistema. Es importante que durante esta fase se estimen los
recursos econmicos y de personal que se van a dedicar a implantar y
mantener el sistema. De nada sirve que la organizacin realice un esfuerzo
importante durante la implantacin si despus no es capaz de mantenerlo.
44
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
45
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
46
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
http://www.youtube.com/watch?v=qawa_QcuFfc&feature=relmfu
http://www.acis.org.co/fileadmin/Revista_119/Investigacion.pdf
http://www.acis.org.co/fileadmin/Revista_105/investigacion.pdf
http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/GEL_IP_CIRTISIColombia.pdf
47
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
UNIDAD 2
Nombre de la Unidad Profundizacin en Seguridad Informtica
Introduccin
Justificacin
Intencionalidades Formativas
Captulo 4 Gobierno de Tecnologa
Leccin 16 Qu es Gobierno de Tecnologa?
Leccin 17 Fundamentos de Gobierno de Tecnologa
Leccin 18 Implementacin de Gobierno de TI
Leccin 19 Marco de Implementacin
Leccin 20 xito de Gobierno de Tecnologa
Captulo 5 Certificaciones
Leccin 21 CISA
Leccin 22 CISM
Leccin 23 CGIT
Leccin 24 CISSP
Leccin 25 COMPTIA SECURITY
Captulo 6 Hacker tico
Leccin 26 Qu es Hacker tico?
Leccin 27 Tareas del Hacker tico
Leccin 28 Certificacin Hacker tico?
Leccin 29 Ingeniera Social
Leccin 30 Reflexin Hacker Personal
48
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Introduccin
Justificacin
Intencionalidades Formativas
Conocer el concepto de hacker tico con el fin de reflexionar sobre cmo utilizar
las habilidades y destrezas de seguridad informtica con fines defensivos.
49
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Aumentar la eficiencia.
Generar negocio.
50
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Revisar http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisar http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-
Brochure.pdf
Revisar http://www.itil.org/en/vomkennen/cobit/index.php
51
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
La Alineacin Estratgica.
Estructuras Organizativas
Aporte de Valor
Procesos de Gobierno de TI
Gestin de Recursos
52
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Revisar http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisar http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-
Brochure.pdf
Revisar http://www.itil.org/en/vomkennen/cobit/index.php
53
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
54
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Una vez se ha dado respuesta al gran nmero de preguntas que se debe realizar,
es importante hacer una revisin y reflexin sobre las respuestas dadas a cada
una de las preguntas, luego se deben definir las estructuras organizacionales a la
que la organizacin donde se realizara la implantacin, los procesos para la
alineacin y los enfoques para la comunicacin.
Las estructuras son Monarquas solo los altos ejecutivos toman decisiones,
federales los comits con representantes de toda las reas, las monarquas de TI
solo los comit de tecnologas, los duopolios comits con participaciones de dos
comits.
Para Profundizar:
Revisar http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisar http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-
Brochure.pdf
Revisar http://www.itil.org/en/vomkennen/cobit/index.php
55
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
56
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
ITIL aboga por que los servicios de TI deben estar alineados con las necesidades
del negocio y sustentar los procesos de negocio. Se ofrece orientacin a las
organizaciones sobre la manera de utilizar las TI como una herramienta para
facilitar el cambio de negocios, la transformacin y el crecimiento.
Las mejores prcticas ITIL estn detalladas dentro de las cinco principales
publicaciones que proporcionan un enfoque sistemtico y profesional para la
gestin de servicios de TI, permitiendo a las organizaciones para ofrecer servicios
adecuados y asegurarse de que continuamente estn cumpliendo los objetivos de
negocio y entregando beneficios.
Las cinco guas bsicas mapa de todo el ciclo de vida de ITIL Service,
comenzando con la identificacin de las necesidades del cliente y los
controladores de los requisitos de TI, a travs del diseo e implementacin de los
servicios en funcionamiento y, por ltimo, a la fase de seguimiento y mejora del
servicio.
La adopcin de ITIL puede ofrecer a los usuarios una amplia gama de beneficios
que incluyen:
Reduccin de costos
Mejora de la productividad
IT Governance Institute
57
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
58
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx
Revisar Cobit
59
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
60
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx
Revisar Cobit
61
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
CAPITULO 5: CERTIFICACIONES
Para obtenerla certificacin CISA se debe cumplir con los cinco siguientes
requisitos:
62
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
63
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
64
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
http://www.isaca.org/Certification/CISM-Certified-Information-Security-
Manager/Pages/default.aspx?gclid=CJD3uvPJ-K0CFQGd7QodWyrEsw
65
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
66
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-
Enterprise-IT/Pages/default.aspx?gclid=CNigrbrP-q0CFRBT7AodXEiB9g
http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-
Enterprise-IT/Pages/FAQs.aspx
http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-
Enterprise-IT/Pages/How-to-Become-Certified.aspx
67
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
68
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
3. Criptografa
4. Seguridad Fsica
9. Seguridad de Aplicaciones
Para Profundizar:
https://www.isc2.org/default.aspx
Certification CISSP
https://www.isc2.org/cissp/Default.aspx
https://www.youtube.com/watch?v=WbeepQAI_Fg&feature=player_embedded
69
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
The CISSP Prep Guide: Gold Edition By Ronald L. Krutz, Russell Dean Vines
(Wiley) ISBN: 047126802X
Advanced CISSP Prep Guide: Exam Q&A By Ronald L. Krutz, Russell Dean
Vines (Wiley) ISBN: 0471236632
http://www.boson.com/
http://www.testking.com/
70
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
71
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Revisar
http://certification.comptia.org/home.aspx
http://www.comptia.org/global/es/certifications.aspx
http://certification.comptia.org/getCertified/certifications/security.aspx
http://www.francisco-valencia.es/Documentos/CompTIASec.pdf
72
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
73
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
En este caso el concepto Hacker se definir como una persona que tiene altos
conocimientos en tecnologa relacionados con programacin, redes, sistemas
operativos, telecomunicaciones, entre otros, con un alto gusto por los temas
tecnolgicos, apasionado por el trabajo con la tecnologa y con el deseo de
descubrir nuevos espacios tecnolgicos, se diferencia del Craker el cual utiliza
todas las cualidades del hacker pero lo realizar para violentar la seguridad de
sistemas tecnolgicos, retomando la historia los hackers originales eran
programadores aficionados o personas destacadas con conocimientos
tecnolgicos que trabajan para conocer y mejorar las tecnologas pero dentro de la
legalidad, algunos de estos hacker y otros que aparecieron con conocimientos
tecnolgicos empezaron a utilizar estos conocimientos para realizar actividades
ilegales como robo de informacin y daos a sistemas, por esto en el ao de 1985
se empezaron a denominar Crakers a las personas que realizaban estas prcticas,
diferencindose de los Hackers los cuales utilizaban sus conocimientos dentro de
la legalidad.
Algunas de las caractersticas que tienen los Hacker tico son: La Libertad,
Curiosidad, Creatividad, Actividad, Perseverancia, Pasin, Integridad,
Responsabilidad, Proactivo, entre otros.
74
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Leer el ensayo Hackers: Heroes of the Computer Revolution publicado en 1984 del
periodista Steven Levy.
75
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
76
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Entonces el Hacker tico debe responderse algunas preguntas, como por ejemplo:
77
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Black Hats: Los Black Hat Hackers o Hacker de sombrero negro son los
que utilizan sus habilidades tecnolgicas para romper la seguridad de
computadores, servidores, redes, crean virus con fines destructivos, en la
mayora de casos por dinero o por reconocimiento.
White Hats: Los Whte Hackers o Hackers de sombrero blanco son los que
utilizan sus habilidades tecnolgicas para encontrar vulnerabilidades
sistemas tecnolgicos con fines defensivos y de seguridad.
Gary Hats: Los Gray Hackers o Hacker de sombrero gris son los que
utilizando sus habilidades tanto de forma defensiva como de ataque, es
decir tienen una tica hacker doble.
78
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Leer el libro de Hacking tico de Carlos Tori, disponible en lnea, los captulos 1,2
y 3. Para profundizar el tema.
79
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
CEH (Certified Ethical Hacker) es la certificacin oficial de hacking tico desde una
perspectiva independiente de fabricantes. El Hacker tico es la persona que lleva
a cabo intentos de intrusin en redes y/o sistemas utilizando los mismos mtodos
que un Hacker. La diferencia ms importante es que el Hacker tico tiene
autorizacin para realizar las pruebas sobre los sistemas que ataca. El objetivo de
esta certificacin es adquirir conocimientos prcticos sobre los sistemas actuales
de seguridad para convertirse en un profesional del hacking tico.
80
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
https://www.eccouncil.org/
https://cert.eccouncil.org/
81
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
"Un ingeniero social es un hacker que utiliza el cerebro en lugar de la fuerza. Los
Hackers llaman a los centros de datos y fingen ser clientes que han perdido su
contrasea o aparecer en un sitio y simplemente esperar a que alguien mantenga
una puerta abierta para ellos. Otras formas de sociales de ingeniera no son tan
obvias. Los hackers han sabido crear sitios web falsos, sorteos o encuestas que
preguntan a los usuarios introducir una contrasea. " Karen J Bannan, Internet
World, Jan 1, 2001
82
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
una accin (por ejemplo, crear una cuenta o inversin gastos de telfono) que
normalmente no se producen. Esta accin podra ser el fin del ataque o el
comienzo de la siguiente etapa.
Las motivaciones que puede tener una persona que desea realizar ingeniera
social son diversas, en este caso se nombraran las cuatro motivaciones ms
comunes segn el paper de Sans:
Venganza: por razones que slo conoce realmente una persona, que podra
ser objetivo de un amigo, colega, la organizacin o incluso un completo
desconocido para satisfacer el deseo emocional de venganza.
83
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Leer el Libro Digital Hacking tico de Carlos Tori Capitulo 3 Ingeniera Social.
Ver la pelcula
Duro de Matar con Bruce Wills
Rastro Oculto con Diana Lane.
84
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Una vez revisado los contenidos de las lecciones y haber profundizado en el tema
de los hackers los tipos de hacker y lo que se puede hacer con las habilidades y
conocimientos sobre los sistemas tecnolgicos, adems de revisar la informacin
sobre la ingeniera social, es importante realizar una reflexin personal a travs de
preguntas personales.
Una vez responda estas preguntas personales, defina que tipo de Hacker desea
ser o convertirse, usted esta interesado en utilizar sus conocimientos y habilidades
para encontrar riesgos y vulnerabilidades a los que usted pueda darles solucin y
proteger los sistemas tecnolgicos de posibles ataques.
Hay que recordar que la tica estudia las acciones humanas y los
comportamientos de la profesin en este caso, el rea de trabajo del hacker tico,
se enfocan en el uso de todos sus conocimientos, habilidades, destrezas y dems
aspectos positivos de la personalidad con fines defensivos para hacer las cosas
de acuerdo a lo mejor para las personas y las organizaciones en cuanto a la
seguridad tecnolgica e informtica.
85
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido Modelos y Estndares de Seguridad Informtica
Para Profundizar:
Referencias
86