You are on page 1of 8

Part II.

Chapter 1-4 Summary: (30 points) Capítulo 1 Fundamentos de Seguridad A medida que el paisaje mundial de seguridad de la información evoluciona rápidamente, las empresas y las agencias gubernamentales implementan nuevas tecnologías que muy pocos usuarios comprenden verdaderamente. No se trata de un problema pequeño. Aunque la influencia de los medios sociales aumentó el uso de la tecnología móvil y la transición a nuevos modelos comerciales tales como la computación en la nube puede ser beneficiosa, el nivel de exposición que trae a su empresa implica un riesgo considerable. Un creciente número de clientes, contratistas, socios y empleados acceden a su información y de esta nueva forma cambian la forma en que usted protege los activos de su organización. En pocas palabras, comprender la nueva dinámica reduce el riesgo potencial. Es básicamente una cuestión de comprender, anticipar y prevenir las futuras amenazas de seguridad. Afortunadamente, existe una solución. En el principio había una variedad de asociaciones separadas que se unieron en 1989, el Consorcio Internacional de Certificación de Seguridad de Sistemas (ISC) 2es un organismo mundial sin fines de lucro conocido por su educación de primer nivel y las certificaciones Estándar Industrial. Nuestro enfoque principal es desarrollar un estándar aceptado de la industria para la práctica de la seguridad de la información en todas sus formas. Los miembros de (ISC)2 protegen los activos de información de una organización, la arquitectura de seguridad de la información, la tecnología y los procesos comerciales para ayudar a que el negocio fluya sin fallas. En la actualidad, (ISC)2 continúa proporcionando productos neutrales de proveedores, servicios y credenciales Estándar Industrial en más de 135 países. Nos enorgullecemos personalmente por nuestra intachable reputación basada en la confianza, la integridad y el profesionalismo desarrollado a lo largo de los años. De hecho, la credibilidad de (ISC)2 es superior a cualquier otra en la industria. Nuestro sólido núcleo de apasionados expertos de la industria, combinado con más de 80.000 miembros certificados, crea un frente sólido para la innovación y una visión en el campo de la seguridad de la información. Existen cuatro principios obligatorios que se incluyen en el Código de Ética, y se ofrecen lineamientos adicionales para cada uno. Si bien estos lineamientos pueden ser considerados por el directorio al juzgar un comportamiento, son recomendados y no obligatorios. Están destinados a ayudar a los profesionales a identificar y resolver los inevitables dilemas éticos que enfrentarán durante el curso de sus carreras en seguridad de la información. Los miembros que violan las disposiciones del Código de Ética estarán sujetos a una acción por parte de un panel de revisión de pares, que puede resultar en la revocación de la certificación. El Código de Ética ofrece una garantía acerca de la naturaleza, capacidad, fortaleza o verdad de un miembro de (ISC)2, y ofrece un alto nivel de confianza al tratar con un par. Todos los profesionales en seguridad de la información certificados por (ISC)2® reconocen que tal certificación es un privilegio que debe ser ganado y mantenido. En sustento de este principio, todos los miembros deben comprometerse a apoyar totalmente el Código de Ética de (ISC)2.

y que se nos observe respetar. El objetivo es ponderar las preguntas más difíciles con más puntos. pero nunca se sabrá el valor real de cualquier pregunta. el deber con nuestros superiores (contratadores. a la mancomunidad de naciones y la infraestructura. no se espera que el profesional esté de acuerdo con ellos. • Avanzar y proteger la profesión. SSCP para CISSP de (ISC) 2 Certified Information Systems Security Professional (CISSP) la certificación es una de las certificaciones de seguridad más importantes. la enseñanza. • Actuar de forma honorable. y algunos más. la mentoría y el patrocinio de candidatos para la profesión y la valoración de la certificación. la identificación. Para determinar las opciones que se le presentan. consentir a malas prácticas. justa. responsable y legal. Los cánones no son iguales y la intención de los conflictos que existen entre sí no es crear lazos éticos. . Estos objetivos se incluyen sólo para fines informativos. Objetivos de los lineamientos El comité tiene presente su responsabilidad de: • Proporcionar lineamientos para resolver dilemas donde se enfrenta el bien con el bien y el mal con el mal. las preguntas no se ponderan los mismos. amateurs o delincuentes. no todo el mundo tiene cinco años de experiencia. si usted tiene la (ISC) 2 certificaciones SSCP. Los conflictos entre los cánones deben resolverse según el orden de los cánones. En consecuencia. • Alentar el comportamiento correcto. y para los demás requiere que respetemos. Sin embargo. Cánones del código de ética • Proteger a la sociedad. personas para quienes trabajamos). • Proporcionar un servicio diligente y competente a los directivos. el profesional debe recordar que los lineamientos se incluyen sólo con fines de orientación. El cumplimiento de los lineamientos no es necesario ni suficiente para un comportamiento ético. Obtendrá los resultados del examen a través de correo dentro de cuatro a seis semanas después de tomar el examen. otros menos. otorgar un confort no garantizado ni garantías. • Desalentar comportamientos tales como la generación de dudas innecesarias.Preámbulo del Código de Ética Seguridad de la mancomunidad de naciones. Sin embargo.000 puntos es necesaria para aprobar el examen. El cumplimiento del preámbulo y los cánones es obligatorio. tal como la investigación. los más altos estándares éticos de comportamiento. contratistas. algunas preguntas pueden ser un valor de 10 puntos. Se requieren cinco años de experiencia en dos o más de los diez (ISC) 2 CISSP dominios. honesta. la estricta adherencia a este Código es una condición para la certificación. La buena noticia es que usted puede solicitar una exención de un año de experiencia. conectar sistemas débiles a la red pública y asociación profesional con no profesionales. De las 100 preguntas válidas. Es muy respetado y abre muchas puertas de oportunidad para aquellos que ganan. Una puntuación de 700 sobre un máximo posible de 1.

TIP seguridad EXAMEN Los tres objetivos principales de un programa de seguridad de la información son prevenir la pérdida de la disponibilidad. no hay manera que usted puede controlar el acceso a los diferentes recursos. integridad o confidencialidad de los datos o sistemas informáticos. la organización tiene la obligación de ejercer la debida diligencia para determinar la medida de lo que pueda sobre la compañía y determinar si la compra es una buena decisión. En el mundo de TI. una organización tiene la responsabilidad de ejercer la diligencia debida para descubrir riesgos. pero algunas personas todavía lo utilizan y creen que protege sus datos. Es importante saber que los algoritmos son seguros y que los algoritmos han sido comprometidos y no debe utilizarse más. La confidencialidad sólo funciona cuando los algoritmos de cifrado seguras se aplican y prácticas de seguridad se siguen. Tenga en cuenta que no hay un marco de tiempo aquí. Por ejemplo. una organización tiene la obligación de ejercer la debida diligencia para descubrir los riesgos asociados a una compra grande. Otras organizaciones están en funcionamiento 24/7. inundaciones y huracanes. Puede cifrar datos en reposo (mientras está almacenada en cualquier tipo de soporte. la pérdida de la integridad. Si todo el mundo es anónimo. El objetivo es identificar los riesgos que pueden resultar en la pérdida de disponibilidad. Capitulo 2 Controles de acceso Una parte clave de cualquier sistema de control de acceso es la identificación de los individuos. por lo que este es el único momento en que los sistemas son necesarios. la pérdida de la integridad. muchos lugares están expuestos a terremotos. Si no se puede identificar a las personas. La mayoría de las prácticas de seguridad y los controles se remonta a la prevención de pérdidas en una o más de estas áreas. Por ejemplo. Una organización puede planificar estas catástrofes con un lugar separado. si una organización está pensando en comprar una empresa de desarrollo de software. La empresa puede reclamar lo que gana alrededor de $ 100 millones en ingresos al año. Por ejemplo. Si no se puede identificar a las personas. Sitios redundantes son conocidos como sitios calientes (preparados en cualquier momento).Seguridad cambia constantemente y necesita estar constantemente aprendiendo a mantenerse al tanto de las tendencias actuales de seguridad. Desde el punto de vista de la seguridad de TI. y cuando se transmite. de lunes a viernes. En el Proceso general el usuario solicita una . todo el mundo es anónimo. y los sitios calientes (un cruce entre un sitio caliente y un sitio frío). como un disco duro o bus serie universal [USB] flash drive). sitios fríos (un edificio vacío con electricidad y agua corriente). Disponibilidad La prevención de la pérdida de disponibilidad se asegura de que la tecnología de la información (TI) y los datos están disponibles cuando se necesiten. o la pérdida de confidencialidad para todos los sistemas de TI y datos. La comprensión de los principales objetivos de Información de seguridad de tres objetivos principales de la seguridad de la información está impidiendo la pérdida de la disponibilidad. tornados. por lo que los sistemas y los datos deben estar disponibles 24/7. Algunas organizaciones operan sólo durante el día. Los sitios redundantes muchas organizaciones deben permanecer en funcionamiento incluso si un evento catastrófico destruya su edificio o lo hace inhabitable. el Wired Equivalent Privacy (WEP) de protocolo creado para transmisiones inalámbricas hace tiempo se sabe que es inseguro. todo el mundo es anónimo. y la pérdida de la confidencialidad de los sistemas y datos.

El objetivo de ambos OPIE y S / KEY es generar una contraseña . como una contraseña. Hay tres factores de autenticación. nombres de inicio de sesión. Siete personajes con una mezcla de tres tipos de caracteres tardarán unos cinco días. la policía ha utilizado las tecnologías de huellas digitales durante más de 100 años para la identificación exacta de los delincuentes porque las huellas dactilares son únicas para cada persona. e insignias de identificación. No tiene que tiene sobrecarga de la red tanto como Kerberos. como contraseñas. nombres de mascotas. Por ejemplo. la contraseña de seguridad se puede aumentar siguiendo algunas pautas básicas: Una combinación de diferentes tipos de caracteres tales como letras en mayúsculas y minúsculas. sin embargo. También existe un Top Secret es una instalación militar que decide utilizar la biometría para la autenticación antes de conceder el acceso a las diferentes áreas de la institución. Algo que tienes Esto incluye artículos tales como tarjetas de proximidad. SESAME se utiliza en los países europeos y es una alternativa a Kerberos. el nombre de soltera de su madre. Seis personajes con una mezcla de cuatro tipos de caracteres tomarán alrededor de cuatro horas. Siete personajes con una mezcla de cuatro tipos de caracteres duran unos 15 días. Las contraseñas deben cambiarse al menos cada 90 días. si un atacante robó un nombre de usuario y contraseña. Mientras más caracteres tenga la contraseña más segura y difícil de descifrar. por ejemplo). Las contraseñas son el método menos seguro de autenticación. A continuación. Seis personajes con una mezcla de tres tipos de caracteres tomarán alrededor de una hora. o incluso información personal como el nombre de su primera mascota. tarjetas inteligentes. Cuando se considera un sistema de autenticación biométrica. Sin embargo.identidad. un sistema de contraseñas de una sola vez se usa en algunos sistemas UNIX. • KryptoKnight IBM creado KryptoKnight como una alternativa a Kerberos. Ocho personajes con una mezcla de cuatro tipos de caracteres tomarán alrededor de tres años. Algo que usted está biometría se utiliza para proporcionar autenticación como algo que está por identificar las características únicas de una persona y su utilización para la autenticación e identificación. Las contraseñas seguras no incluyen los nombres de usuario. los controles de acceso (Identificación. tokens de hardware. La longitud de la contraseña está establecida en ocho caracteres. 45 o 60 días. los nombres de los niños. OPIE se basa en S / KEY. Combinación de teclas dinámicas. . es importante entender el error diferentes tipos y la precisión del sistema. Cinco personajes toman un minuto de roer. Las huellas dactilares escáner de retina y el iris. ¿Qué tan fuerte es tu contraseña? Contraseñas tomar mucho más tiempo para romper a medida que agrega más personajes y al añadir complejidad. aunque muchas organizaciones requieren que los usuarios cambien sus contraseñas cada 30. El nombre de usuario facilita la identificación y la contraseña proporciona la autenticación. números y símbolos. Otras tecnologías SSO Otros dos tecnologías SSO son las siguientes: • Secure Sistema Europeo para aplicaciones en un entorno de múltiples proveedores (SESAME) Como su nombre lo indica. One Time Password en todo (OPIE) es otro tipo de contraseña de un solo utilizado en redes. autenticación y autorización). Algo que saber Esto incluye el conocimiento. Identificación del examen TIP y la autenticación son los dos controles primarios utilizados por la mayoría de los sistemas de control de acceso. números de identificación personal (PIN). Análisis de escritura a mano Uno de los retos con la biometría es la posibilidad de errores. y se autentica (mediante la validación de una contraseña. tal como con un nombre de usuario. él o ella probablemente no tendrá acceso a los datos personales como el nombre del primer color favorito del animal doméstico o del usuario. Ocho personajes con una mezcla de tres tipos de caracteres tomar alrededor de un año. Reconocimiento facial Reconocimiento de voz. También deben demostrar su identidad mediante el suministro de datos de autenticación.

estrella y anillo de token configuraciones de red • Protocolos comunes en el TCP / IP • Puertos utilizados con protocolos comunes • Diferentes arquitecturas de red. Una red en estrella es una red en la cual las estaciones están conectadas directamente a un punto central y todas las comunicaciones se han de hacer necesariamente a través de este. extranet y zonas desmilitarizadas (DMZ) • La Interconexión de Sistemas Abiertos (OSI) fue desarrollado por la Organización Internacional de Normalización (ISO) y comprende siete capas. también llamado OSI (en inglés open system interconnection) es el modelo de red descriptivo. y una vez que se determina que la cuenta ya no es necesaria. Los enrutadores y conmutadores de nivel 3 son los dispositivos de hardware principales usados en esta capa. De esta forma todos los dispositivos comparten el mismo canal para comunicarse entre sí. Se define cómo los datos se transmiten a la red. Esto incluye a los empleados que son despedidos y los empleados que renuncien. además de que no se permite tanto tráfico de información.conocida tanto por un cliente y un servidor y se utiliza en una única sesión. Implementación de Gestión de Identidad gestión de la identidad se refiere a la gestión de cuentas y el acceso a los recursos por parte de estas cuentas. Cable Coaxial Esta es una tecnología más antigua que rara vez se utiliza hoy en día a pesar de que admite un mayor ancho de banda y cables de mayor longitud que los de par trenzado. Las cuentas deben ser gestionadas a través de su vida. Las diferentes arquitecturas de redes y sus especificaciones. Cada capa se centra en un conjunto de tareas o funciones específicas. Los dispositivos no están directamente conectados entre sí. En este capítulo también se discute sobre las diferentes redes. debe ser suprimida. Los routers utilizan listas de control de acceso (ACL) para el paquete básico de filtrado para controlar el tráfico que se dirige en la red. protocolos de comunicación y probablemente infraestructura pública de comunicación para compartir de forma segura parte de la información u operación . Se utiliza para describir un marco para la conexión de varios equipos entre sí. tal como a través de técnicas con cable o inalámbricos. Una red en bus es aquella topología que se caracteriza por tener un único canal de comunicaciones (denominado bus. La capa física proporciona una conexión directa a la red. Es un marco de referencia para la definición de arquitecturas en la interconexión de los sistemas de comunicaciones. El flujo de datos a través de la red se controla en esta capa. La mayoría de las organizaciones requieren que las cuentas se desactivarán tan pronto como sea posible cuando un empleado deja la empresa. troncal o backbone) al cual se conectan los diferentes dispositivos. Una extranet es una red privada que utiliza protocolos de Internet. La capa de red (Capa 3) La capa de red proporciona enrutamiento de datos a través de una red mediante el análisis de la dirección IP y determinar la mejor ruta para el equipo de destino. Si un usuario deja la empresa. que fue creado por la Organización Internacional para la Estandarización (ISO) en el año 1984. tanto en lo que se refiere al medio físico como a la forma en la que se transmite la información. como Internet. En este tipo de red la comunicación se da por el paso de un token o testigo. Una red en anillo es una topología de red en la que cada estación tiene una única conexión de entrada y otra de salida. El modelo de interconexión de sistemas abiertos (ISO/IEC 7498-1). incluyendo el método de transmisión. Capítulo 3 Conexión en red básica y de comunicaciones La interconexión de sistemas abiertos (OSI) y el Transmission Control Protocol / Internet Protocol (TCP / IP) Modelos • Bus. de esta manera se evitan eventuales pérdidas de información debidas a colisiones. que se puede conceptualizar como un cartero que pasa recogiendo y entregando paquetes de información. intranet. la cuenta debe ser inhabilitada. Es la que se encarga de las conexiones globales de la computadora hacia la red. puertos lógicos. Una ACL puede bloquear o permitir el tráfico basado en direcciones IP.

Puede incluir conexiones con teléfonos. Protocolo de transporte seguro en tiempo real (SRTP)con la intención de proporcionar cifrado. cables de fibra óptica. Los dos principales protocolos de enrutamiento usados en redes internas están Routing Information Protocol versión 2. una red entre organizaciones. haciendo referencia por contra a una red comprendida en el ámbito de una organización. Fue desarrollado por un pequeño grupo del protocolo IP y expertos criptográficos de Cisco y Ericsson incluyendo a David Oran. el encaminamiento se produce en la capa de red. como el riesgo de captura. Como se mencionó anteriormente. Por ejemplo. Las zonas desmilitarizadas En terminología militar. compradores. Los datos transmitidos a través de cualquiera de estas conexiones se enfrentan a ciertos riesgos. El objetivo del protocolo de VoIP es dividir en paquetes los flujos de audio para transportarlos sobre redes basadas en IP. socios. El término intranet se utiliza en oposición a Internet.Los protocolos de las redes IP originalmente no fueron diseñados para el fluido el tiempo real de audio o cualquier otro tipo de medio de comunicación. sin embargo tiene sus limitaciones tecnológicas. satélites y mucho más. El NFS es un estándar abierto creado por Sun Microsystems y se utiliza comúnmente para permitir a los usuarios que ejecutan UNIX (y derivados de UNIX. Capítulo 4 Advanced Networking y Comunicaciones Acceso a la red de control de Telecomunicaciones Entendimiento Telecomunicaciones es la transmisión de cualquier tipo de señales con el propósito de comunicar. es un área. cuyo mecanismo de conexión abarca una serie de transacciones de señalización entre terminales que cargan dos flujos de audio para cada dirección de la conversación. Sin embargo. Una cantidad significativa de tráfico de telecomunicaciones va a través de Internet. Una intranet es una red de ordenadores privados que utiliza tecnología Internet para compartir dentro de una organización parte de sus sistemas de información y sistemas operacionales. por lo general por medio de un tratado de paz. y protección contra reenvíos a los datos RTP en aplicaciones unicast y multicast. de alcance mundial. streaming de audio y video. los teléfonos no han sido reemplazados y todavía tienen algunos riesgos vale la pena explorar. donde la actividad militar no está permitida. autenticación del mensaje e integridad. El servidor FTP proporciona una ubicación de almacenamiento simple para las personas localizadas endiferentes áreas del mundo. Telecomunicaciones es la transmisión de cualquier tipo de señales con el propósito de comunicar. Es por lo anterior que se crean los protocolos para voip. como Linux) para acceder a los archivos en los sistemas de Microsoft. un atacante puede utilizar un sniffer para capturar el tráfico que va a través de Internet y ver y analizar todos los datos. . Los datos enviados a través de la red mediante FTP y TFTP se envían en texto no cifrado. Tanto FTP y TFTP tiene problemas significativos de seguridad.propia de una organización con proveedores. y algunos tipos de comunicaciones de voz. La PSTN está diseñada para la transmisión de voz. clientes o cualquier otro negocio u organización. por lo general la frontera o límite entre dos o más potencias militares (o alianzas). También se discute sobre uno de los sistemas más importantes del mundo el Internet es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP. Routers identificar el mejor camino para un paquete a tomar sobre la base de la información que conoce sobre la red. Esto incluye el tráfico de Internet típico como las páginas web y el correo electrónico. garantizando que las redes físicas heterogéneas que la componen funcionen como una red lógica única. un armisticio u otros acuerdos bilaterales o multilaterales.

Dado que RTP está muy relacionado con RTCP (RTP control protocol). el sistema operativo examina el número del puerto de destino y. los usuarios pueden utilizar una conexión inalámbrica (a veces llamado una tarjeta de aire) para conectarse a Internet. y firewalls de aplicación Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado. Cuando la señal es de datos habilitada. Mats Naslund. Un puerto es simplemente un valor entero en el paquete de red que identifica el programa en el extremo emisor o receptor de la conexión. RPV. cifrar. Para escuchar en un puerto. el programa se registra a sí mismo y registra también los números de puerto que debe escuchar en el sistema operativo. SRTP también tiene un protocolo hermano llamado Secure RTCP (or SRTCP). una sesión TCP se inicia con el protocolo de enlace de tres vías. Los Métodos de conexión a Internet. Como ejemplo. Los diferentes protocolos de túneles utilizados con acceso remoto. que cubren una cantidad sustancial de la tierra. al igual que hace SRTP con RTP. Unos de los temas que se discute en este capítulo cuatro es el filtrado de paquetes. Fue publicado por primera vez por el IETF en marzo de 2004 como el RFC 3711. es una tecnología de red que permite una extensión segura de la red local sobre una red pública o no controlada como Internet. El tráfico de red consiste en un paquete o secuencia de paquetes que se envían desde un puerto de origen de un equipo hacia un puerto de destino de otro equipo. Conexión inalámbrica de la cobertura de las compañías de telefonía celular ha crecido constantemente en los últimos años. PSTN La red telefónica pública conmutada (PSTN) incluye la infraestructura cableada e inalámbrica que se utiliza para apoyar el sistema mundial de teléfono. Una red privada virtual. Un firewall de inspección de estado identifica las conexiones activas a medida que se crean y se controla el estado de las conexiones en una tabla de estado dentro del firewall. SRTCP proporciona las mismas características relacionadas con la seguridad a RTCP. o VPN de Virtual Private Network. Elisabetta Carrara. que puede ser usado para controlar una sesión RTP. seguridad y políticas de gestión de una red privada. con estado. sigue de cerca la sesión completa. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet. Generalmente.David McGrew. Firewall de Windows con seguridad avanzada incluye un firewall basado en host que actúa como límite de protección para el equipo local y que supervisa y restringe la información que se transmite entre el equipo y las redes conectadas o Internet. Karl Norman. Firewall Un firewall de inspección de estado permite que un servidor de seguridad para filtrar el tráfico que utiliza mucho más que paquetes individuales. descifrar. Cuando llega un paquete al equipo local. limitar. a continuación. o una combinación de ambos. el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. y Rolf Blom.1 Esto se realiza estableciendo un conexión virtual punto a punto mediante el uso de conexiones dedicadas. En cambio. de banda ancha o simplemente ya menudo ofrece velocidades de la señal de hasta 4 Mbps. encriptación o la combinación de ambos métodos. solo un programa escucha en un puerto por vez. Los cortafuegos pueden ser implementados en hardware o software. permitiendo al mismo tiempo comunicaciones autorizadas. 100 por ciento de los Estados Unidos. Mark Baugher. Este componente proporciona una línea de defensa importante contra quienes intenten tener acceso a un equipo ajeno sin permiso. El acceso por cable se conoce comúnmente como acceso de banda ancha a Internet. especialmente intranets. y aunque no cubren todavía. proporciona el contenido del paquete al programa registrado para que use ese puerto. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir. El firewall stateful utiliza este protocolo de enlace de tres vías para identificar una sesión que ha comenzado entre .

El servidor de seguridad puede entonces monitorear el tráfico entre los sistemas. . Utiliza para almacenar en caché y filtrado Cuando un usuario primero recupera una página web.dos sistemas. el servidor proxy recupera desde Internet y luego lo almacena en la memoria caché. Muestra cómo el almacenamiento en caché y filtrado de obras. además de enviar la página web para el usuario. Estos son los temas discutidos en los capítulos del uno al cuatro un poco complejos y de mucho análisis pero de mucho provecho para nuestra carrera.