Guía de Preparación
Fundamentos de
Seguridad de la
Información basado
en ISO / IEC 27002
Edición Octubre 2011Copyright © 2011 EXIN
All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.
Contenido
1. Visión general 4
2. Requisitos del examen 7 3. Listado de conceptos básicos 12
Visión general
Fundamentos de Seguridad de la Información basado en ISO / IEC 27002 (ISFS.LA)
Resumen
Las Guias de Preparación están diseñadas para asistir a las compañías que ofrecen capacitación en la elaboración de los cursos y del material necesario para cumplir los requisitos de EXIN.
El principal objetivo de la guía de preparación es identificar los temas, requisitos y especificaciones del examen, así como la audiencia a la que va dirigido, con el fin de ayudar en la elaboración de nuevos cursos de alta calidad.
La Seguridad de la Información es cada vez más importante. La globalización de la economía conduce a un creciente intercambio de información entre organizaciones (sus empleados, clientes y suministradores) y a un uso de redes cada vez mayor, como la red interna de la empresa, la conexión con redes de otras empresas e Internet.
En el módulo Information Security Foundation based on ISO/IEC 27002 (ISFS), se evalúan los conceptos básicos de seguridad de la información y su coherencia. El módulo ISFS va dirigido a todo el mundo dentro de la organización. El
conocimiento básico de este módulo contribuye a la comprensión de que la información es algo vulnerable y de que se requieren medidas para protegerla. Los temas de este módulo son:
Información y seguridad: conceptos, valor de la información e importancia de la fiabilidad.
Amenazas y riesgos: relación entre amenazas y fiabilidad.
Enfoque y organización: política de seguridad y disposiciones para la seguridad de la información.
Medidas: físicas, técnicas y organizacionales y
Contexto
Esquema de certificación
El Certificado de Fundamentos de Seguridad de la Información basado en ISO / IEC 27002 es parte del programa de cualificación de Seguridad de la Información. A este módulo le siguen los Certificados de Information Security Management Advanced based on ISO/IEC 27002 e Information Security Management Expert based on ISO/IEC 27002.
Grupo al que va dirigido
El examen de Fundamentos de Seguridad de la Información basado en ISO/IEC 27002 está dirigido a cualquier persona en la organización que procese información. El módulo también es apropiado para pequeños negocios independientes, para los que es necesario tener un conocimiento básico sobre la Seguridad de la Información. Este módulo puede ser un buen comienzo para nuevos profesionales de la seguridad de la información.
Prerrequisitos Ninguno
Se recomienda el curso de Fundamentos en Seguridad de la Información basado en ISO/IEC 27002, impartido por una empresa de capacitación acreditada por EXIN. Formato del examen
Basado en computadora con preguntas de opción múltiple Horas de estudio indicadas
Trabajo práctico No aplica
Tiempo permitido para el examen 60 minutos
Detalles del examen
Número de preguntas: 40
Se aprueba con : 65% (26 de 40)
Consulta de bibliografía o apuntes
permitida: no
Equipos electrónicos permitidos: no Preguntas tipo
Para preparar el examen puede descargarse un examen tipo en http://www.exin.com
Formación
Tamaño de la clase
El número de alumnos máximo por grupo es 25.
( No aplica para cursos a distancia / cursos asistidos por computadora ) Horas presenciales
El número mínimo de horas presenciales durante la formación es de 7 horas. Esto incluye trabajo de grupo, preparación para el examen y breaks. No incluye el tiempo para realizar tareas fuera del aula, de preparación de logística para el examen, ni los descansos para comer.
Empresas de Capacitación
En el website de EXIN http://www.exin.com se puede encontrar un listado de las empresas de capacitación acreditadas.
Requisitos del examen
Los requisitos del examen se detallan en la sección de especificaciones del examen. En la tabla siguiente se listan los temas de cada uno de los módulos (requisitos del examen). El peso de los distintos temas se expresa como un porcentaje del total.
Requisitos del examen Especificaciones del examen Valor
(% ) 1 Información y seguridad 10 1.1 El concepto de información 2.5 1.2 Valor de la información 2.5 1.3 Aspectos de la fiabilidad 5 2 Amenazas y riesgos 30 2.1 Amenaza y riesgos 15
2.2 Relación entre amenazas, riesgos y la fiabilidad de la información. 15 3 Enfoque y Organización 10 3.1 Política de seguridad y organización de la seguridad 2.5 3.2 Componentes 2.5 3.3 Gestión de incidentes 5 4 Medidas 40
4.1 Importancia de las medidas 10 4.2 Medidas físicas de seguridad 10
4.3 Medidas técnicas 10
4.4 Medidas organizacionales 10
5 Legislación y normas 10
5.1 Legislación y normas 10
Especificaciones del examen
1. Información y seguridad (10%)
1.1 El concepto de información (2,5%)
El candidato comprende el concepto de información. El candidato puede:
1.1.1 Explicar la diferencia entre datos e información
1.1.2 Describir el medio de almacenamiento que forma parte de la infraestructura básica
1.2 Valor de la información (2,5%)
El candidato comprende el valor de la información para las organizaciones. El candidato puede:
1.2.1 Describir el valor de los datos/información para las organizaciones 1.2.2 Describir cómo el valor de los datos/información puede influir en las
organizaciones
1.2.3 Explicar cómo los conceptos aplicados de la seguridad de la información protegen el valor de los datos/información
1.3 Aspectos de la fiabilidad (5%)
El candidato conoce los aspectos cuestiones de la fiabilidad (confidencialidad, integridad, disponibilidad) de la información.
El candidato puede:
1.3.1 Identificar los aspectos de la fiabilidad de la información 1.3.2 Describir los aspectos de la fiabilidad de la información
2. Amenazas y riesgos (30%)
2.1 Amenaza y riesgo (15%)
El candidato comprende los conceptos de amenaza y riesgo. El candidato puede:
2.1.1 Explicar los conceptos de amenaza, riesgo y análisis de riesgo 2.1.2 Explicar la relación entre una amenaza y un riesgo
2.1.3 Describir varios tipos de amenazas 2.1.4 Describir varios tipos de daño
2.1.5 Describir varias estrategias en materia de riesgos
2.2 Relaciones entre amenazas, riesgos y la fiabilidad de la información (15%)
El candidato comprende la relación entre amenazas, riesgos y la fiabilidad de la información.
El candidato puede:
2.2.1 Reconocer ejemplos de varios tipos de amenazas
2.2.2 Describir los efectos que tienen los distintos tipos de amenazas en la información y en el procesamiento de la misma
3. Enfoque y Organización (10%)
3.1 Política de seguridad y organización de la seguridad (2,5%)
El candidato conoce los conceptos de política de seguridad y organización de la seguridad.
El candidato puede:
3.1.1 Explicar en términos generales los objetivos y el contenido de la política de seguridad
3.1.2 Explicar en términos generales los objetivos y el contenido de la organización de la seguridad
3.2 Componentes (2.5%)
El candidato conoce los distintos componentes de la organización de la seguridad.
El candidato puede:
3.2.1 Explicar la importancia de un código de conducta 3.2.2 Explicar la importancia de la propiedad
3.2.3 Nombrar los roles más importantes en la organización de la seguridad de la información
3.3 Gestión de incidentes (5%)
El candidato comprende la importancia de la gestión de incidentes y su escalación
El candidato puede:
3.3.1 Resumir cómo se reportan los incidentes de seguridad y qué información se requiere
3.3.2 Dar ejemplos de incidentes de seguridad
3.3.3 Explicar las consecuencias de no reportar los incidentes de seguridad 3.3.4 Explicar qué implica la escalación de los incidentes (funcional y
jerárquicamente)
3.3.5 Describir los efectos de la escalación de los incidentes en la organización 3.3.6 Explicar el ciclo de los incidentes
4. Medidas (40%)
4.1 Importancia de las medidas (10%)
El candidato comprende la importancia de las medidas de seguridad. El candidato puede:
4.1.1 Describir varias formas en las que las medidas de seguridad pueden ser estructuradas organizadas
4.1.2 Dar ejemplos de cada tipo de medida de seguridad 4.1.3 Explicar la relación entre riesgos y medidas de seguridad 4.1.4 Explicar el objetivo de la clasificación de la información 4.1.5 Describir el efecto de la clasificación
4.2 Medidas físicas de seguridad (10%)
El candidato tiene conocimiento sobre el establecimiento y la ejecución de las medidas físicas de seguridad.
El candidato puede:
4.2.1 Dar ejemplos de medidas físicas de seguridad
4.2.2 Describir los riesgos que implica tener insuficientes medidas físicas de seguridad
4.3 Medidas técnicas (10%)
El candidato tiene conocimiento sobre el establecimiento y la ejecución de las medidas técnicas de seguridad.
El candidato puede:
4.3.1 Dar ejemplos de medidas técnicas de seguridad
4.3.2 Describir los riesgos que implica tener insuficientes medidas técnicas de seguridad
4.3.3 Comprender los conceptos de criptografía, firma y certificado digital 4.3.4 Nombrar los tres pasos para la banca en línea (PC, sitio Web, pago) 4.3.5 Nombrar varios tipos de software malicioso
4.3.6 Describir las medidas que pueden utilizarse contra el software malicioso
4.4 Medidas organizativas (10%)
El candidato tiene conocimiento sobre el establecimiento y la ejecución de las medidas organizacionales de seguridad.
El candidato puede:
4.4.1 Dar ejemplos de medidas organizacionales de seguridad
4.4.2 Describir los peligros y riesgos que implica tener insuficientes medidas organizacionales de seguridad
4.4.3 Describir las medidas de seguridad de acceso tales como la separación de funciones y el uso de passwords
4.4.4 Describir los principios de la gestión de accesos
4.4.5 Describir los conceptos de identificación, autenticación y autorización 4.4.6 Explicar la importancia para una organización de contar con una Gestión
de la Continuidad de Negocio bien establecida 4.4.7 Explicar la importancia de realizar ejercicios de prueba
5. Legislación y regulaciones (10%)
5.1 Legislación y regulaciones (10%)
El candidato comprende la importancia y el efecto de la legislación y las regulaciones.
El candidato puede:
5.1.1 Explicar por qué la legislación y las regulaciones son importantes para la fiabilidad de la información
5.1.2 Dar ejemplos de la legislación relacionada con la seguridad de la información
5.1.3 Dar ejemplos de regulaciones relacionadas con la seguridad de la información
Comentario
De lo anterior se puede ver como se distribuyen los porcentajes en el examen, la razón es que.
las medidas de seguridad son, para la mayoría de los miembros del personal, el primer aspecto de la seguridad de la información con el que se encuentran. Por lo tanto, dichas medidas son esenciales en el módulo y tienen el mayor peso, seguidas por las amenazas y riesgos. Finalmente, el entendimiento de las políticas, la organización, la legislación y las regulaciones en el ámbito de la seguridad de la información, es necesario para poder comprender la importancia de las medidas anteriormente mencionadas.
Listado de conceptos básicos
Este capítulo contiene los términos con los cuales el candidato debe estar familiarizado. Los términos aparecen en orden alfabético.
Acceso para mantenimiento Maintenance door
Activo Asset
Amenaza Threat
Análisis de la información Information analysis
Análisis de riesgo Risk analysis
Análisis de riesgo cualitativo Qualitative risk analysis Análisis de riesgo cuantitativo Quantitative risk analysis Arquitectura de la información Information architecture
Auditoría Audit Autenticación Authentication Autenticidad Authenticity Autorización Authorization Biométrica Biometrics Botnet Botnet Categoría Category Certificado Certificate
Ciclo del incidente Incident cycle
Clasificación (gradación) Classification (grading)
Clave Key
Código de prácticas para la seguridad de la información (ISO/IEC 27002:2005)
Code of practice for information security (ISO/IEC 27002:2005)
Código de conducta Code of conduct
Códigos malicioso (malware) Malware
Completitud Completeness
Confidencialidad Confidentiality
Conformidad Compliance
Continuidad Continuity
Control de acceso Access control
Respaldo Backup
Correctiva Corrective
Spam Spam
Firewall personal Personal firewall
Criptografía Cryptography
Daño Damage
Daño directo Direct damage
Detective Detective
Desastre Disaster
Disponibilidad Availability
Encriptación Encryption
Escalación Escalation
Escalación funcional Functional escalation
Escalación jerárquica Hierarchical escalation Estrategia en materia de riesgos Risk strategy
Riesgo neutro Risk neutral
Evitar riesgos Risk avoiding
Asumir riesgos Risk bearing
Análisis de riesgos ( dependencia y análisis de vulnerabilidades)
Risk assessment (Dependency & Vulnerability analysis)
Exactitud Exclusividad
Correctness Exclusivity
Factor de producción Production factor
Fiabilidad de la información Reliability of information
Firma digital Digital signature
Gestión de Cambios Change Management
Gestión de la continuidad del Negocio Business Continuity Management (BCM) Gestión de la información Information management
Gestión de riesgos Risk management
Gestión del acceso lógico Logical access management
Worm (Gusano informátic)o Worm
Hacking Hacking
Identificación Identification
Impacto Impact
Incidente de seguridad Security incident
Información Information
Infraestructura Infrastructure
Infraestructura de claves públicas Public Key Infrastructure (PKI)
Ingeniería social Social engineering
Integridad Integrity
Interferencia Interference
ISO/IEC 27001:2005 ISO/IEC 27001:2005
ISO/IEC 27002:2005 ISO/IEC 27002:2005
Legislación sobre delincuencia informática Computer criminality legislation Legislación sobre la protección de datos
personales
Personal data protection legislation Legislación sobre los derechos de autor Copyright legislation
Legislación sobre registros públicos Public records legislation
Medida de seguridad Security measure
Stand by arrangement Stand-by arrangement
No repudio Non-repudiation
Regulaciones de seguridad para el gobierno Security regulations for the government Regulaciones de seguridad sobre
información especial para el gobierno
Security regulations for special information for the government
Oportunidad Timeliness
Organización de la seguridad Security Organization
Parche Patch
Plan de continuidad del Negocio Business Continuity Plan (BCP) Plan de Recuperación de Desastres Disaster Recovery Plan (DRP) Política de escritorio limpio Clear desk policy
Política de seguridad Security Policy
Precisión Precision
Preventiva Preventive
Prioridad Priority
Privacidad Privacy
spyware (Programa espía) Spyware
Red Privada Virtual (VPN) Virtual Private Network (VPN)
Reductivo Reductive
Represiva Repressive
Riesgo Risk
Robustez Robustness
Rootkit (Kit de Hacking) Rootkit
Segregación de funciones Segregation of duties Sistema de Alimentación Ininterrumpida
(UPS)
Uninterruptible Power Supply (UPS)
Sistema de información Information system
Suplantación de identidad (phishing) Phishing
Troyano Trojan Urgencia Urgency Validación Validation Verificación Verification Virus Virus Vulnerabilidad Vulnerability
Bibliografía
Bibliografía para el Examen
A Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H.
Foundations of Information Security – Based on ISO27001 and ISO27002 Van Haren Publishing, 2010
ISBN 978 90 8753 568 1 Revisión de la bibliografía
Especificaciones
del examen Bibliografía
1.1 A: Capítulo 4 1.2 A: Capítulo 4 1.3 A: Capítulo 4 2.1 A: Capítulo 5 2.2 A: Capítulo 5 3.1 A: Capítulo 9 3.2 A: §6.2, §6.4, Capítulo 9 3.3 A: Capítulo 6 4.1 A: Capítulo 5, Capítulo 6 4.2 A: Capítulo 7 4.3 A: Capítulo 8, 10 4.4 A: Capítulo 9, 10 5.1 A: Capítulo 11
