Gua de Preparacin

Fundamentos de
Seguridad de la
Informacin basado
en ISO / IEC 27002
Edicin Octubre 2011

Copyright 2011 EXIN

All rights reserved. No part of this publication may be published, reproduced, copied
or stored in a data processing system or circulated in any form by print, photo print,
microfilm or any other means without written permission by EXIN.

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

Contenido
1.
2.
3.
4.

Visin general
Requisitos del examen
Listado de conceptos bsicos
Bibliografa

4
7
12
15

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

Visin general
Fundamentos de Seguridad de la Informacin basado en ISO / IEC 27002
(ISFS.LA)
Resumen
Las Guias de Preparacin estn diseadas para asistir a las compaas que
ofrecen capacitacin en la elaboracin de los cursos y del material necesario para
cumplir los requisitos de EXIN.
El principal objetivo de la gua de preparacin es identificar los temas, requisitos y
especificaciones del examen, as como la audiencia a la que va dirigido, con el fin
de ayudar en la elaboracin de nuevos cursos de alta calidad.
La Seguridad de la Informacin es cada vez ms importante. La globalizacin de la
economa conduce a un creciente intercambio de informacin entre organizaciones
(sus empleados, clientes y suministradores) y a un uso de redes cada vez mayor,
como la red interna de la empresa, la conexin con redes de otras empresas e
Internet.
En el mdulo Information Security Foundation based on ISO/IEC 27002 (ISFS), se
evalan los conceptos bsicos de seguridad de la informacin y su coherencia. El
mdulo ISFS va dirigido a todo el mundo dentro de la organizacin. El
conocimiento bsico de este mdulo contribuye a la comprensin de que la
informacin es algo vulnerable y de que se requieren medidas para protegerla.
Los temas de este mdulo son:
Informacin y seguridad: conceptos, valor de la informacin e importancia de
la fiabilidad.
Amenazas y riesgos: relacin entre amenazas y fiabilidad.
Enfoque y organizacin: poltica de seguridad y disposiciones para la
seguridad de la informacin.
Medidas: fsicas, tcnicas y organizacionales
y
Legislacin y normas: importancia y operacin.

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

Contexto
Esquema de certificacin

El Certificado de Fundamentos de Seguridad de la Informacin basado en ISO /

IEC 27002 es parte del programa de cualificacin de Seguridad de la Informacin.
A este mdulo le siguen los Certificados de Information Security Management
Advanced based on ISO/IEC 27002 e Information Security Management Expert
based on ISO/IEC 27002.
Grupo al que va dirigido
El examen de Fundamentos de Seguridad de la Informacin basado en ISO/IEC
27002 est dirigido a cualquier persona en la organizacin que procese informacin.
El mdulo tambin es apropiado para pequeos negocios independientes, para los
que es necesario tener un conocimiento bsico sobre la Seguridad de la Informacin.
Este mdulo puede ser un buen comienzo para nuevos profesionales de la seguridad
de la informacin.
Prerrequisitos
Ninguno
Se recomienda el curso de Fundamentos en Seguridad de la Informacin basado en
ISO/IEC 27002, impartido por una empresa de capacitacin acreditada por EXIN.
Formato del examen
Basado en computadora con preguntas de opcin mltiple
Horas de estudio indicadas
60 horas

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

Trabajo prctico
No aplica
Tiempo permitido para el examen
60 minutos
Detalles del examen
Nmero de preguntas:
Se aprueba con :
Consulta de bibliografa o apuntes
permitida:
Equipos electrnicos permitidos:

40
65% (26 de 40)
no
no

Preguntas tipo
Para preparar el examen puede descargarse un examen tipo en
http://www.exin.com

Formacin
Tamao de la clase
El nmero de alumnos mximo por grupo es 25.

( No aplica para cursos a distancia / cursos asistidos por computadora )

Horas presenciales
El nmero mnimo de horas presenciales durante la formacin es de 7 horas. Esto
incluye trabajo de grupo, preparacin para el examen y breaks. No incluye el tiempo
para realizar tareas fuera del aula, de preparacin de logstica para el examen, ni los
descansos para comer.
Empresas de Capacitacin
En el website de EXIN http://www.exin.com se puede encontrar un listado de las
empresas de capacitacin acreditadas.

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

Requisitos del examen

Los requisitos del examen se detallan en la seccin de especificaciones del
examen. En la tabla siguiente se listan los temas de cada uno de los mdulos
(requisitos del examen). El peso de los distintos temas se expresa como un
porcentaje del total.
Requisitos del examen

Especificaciones del examen

Valor
(% )

1 Informacin y seguridad

10
1.1 El concepto de informacin
1.2 Valor de la informacin
1.3 Aspectos de la fiabilidad

2.5
2.5
5

2.1 Amenaza y riesgos

2.2 Relacin entre amenazas,
riesgos y la fiabilidad de la
informacin.

15
15

2 Amenazas y riesgos

30

3 Enfoque y Organizacin

10
3.1 Poltica de seguridad y
organizacin de la seguridad
3.2 Componentes
3.3 Gestin de incidentes

2.5

4.1 Importancia de las medidas

4.2 Medidas fsicas de seguridad
4.3 Medidas tcnicas
4.4 Medidas organizacionales

10
10
10
10

2.5
5

4 Medidas

40

5 Legislacin y normas

10
5.1 Legislacin y normas

Total

10
100

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

Especificaciones del examen

1.

Informacin y seguridad (10%)

1.1

El concepto de informacin (2,5%)

El candidato comprende el concepto de informacin.
El candidato puede:
1.1.1 Explicar la diferencia entre datos e informacin
1.1.2 Describir el medio de almacenamiento que forma parte de la
infraestructura bsica

1.2

Valor de la informacin (2,5%)

El candidato comprende el valor de la informacin para las organizaciones.
El candidato puede:
1.2.1 Describir el valor de los datos/informacin para las organizaciones
1.2.2 Describir cmo el valor de los datos/informacin puede influir en las
organizaciones
1.2.3 Explicar cmo los conceptos aplicados de la seguridad de la informacin
protegen el valor de los datos/informacin

1.3

Aspectos de la fiabilidad (5%)

El candidato conoce los aspectos cuestiones de la fiabilidad (confidencialidad,
integridad, disponibilidad) de la informacin.
El candidato puede:
1.3.1 Identificar los aspectos de la fiabilidad de la informacin
1.3.2 Describir los aspectos de la fiabilidad de la informacin

2.

Amenazas y riesgos (30%)

2.1

Amenaza y riesgo (15%)

El candidato comprende los conceptos de amenaza y riesgo.
El candidato puede:
2.1.1 Explicar los conceptos de amenaza, riesgo y anlisis de riesgo
2.1.2 Explicar la relacin entre una amenaza y un riesgo
2.1.3 Describir varios tipos de amenazas
2.1.4 Describir varios tipos de dao
2.1.5 Describir varias estrategias en materia de riesgos

2.2

Relaciones entre amenazas, riesgos y la fiabilidad de la informacin (15%)

El candidato comprende la relacin entre amenazas, riesgos y la fiabilidad de la
informacin.
El candidato puede:
2.2.1 Reconocer ejemplos de varios tipos de amenazas
2.2.2 Describir los efectos que tienen los distintos tipos de amenazas en la
informacin y en el procesamiento de la misma

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

3.

Enfoque y Organizacin (10%)

3.1

Poltica de seguridad y organizacin de la seguridad (2,5%)

El candidato conoce los conceptos de poltica de seguridad y organizacin de la
seguridad.
El candidato puede:
3.1.1 Explicar en trminos generales los objetivos y el contenido de la poltica
de seguridad
3.1.2 Explicar en trminos generales los objetivos y el contenido de la
organizacin de la seguridad

3.2

Componentes (2.5%)
El candidato conoce los distintos componentes de la organizacin de la
seguridad.
El candidato puede:
3.2.1 Explicar la importancia de un cdigo de conducta
3.2.2 Explicar la importancia de la propiedad
3.2.3 Nombrar los roles ms importantes en la organizacin de la seguridad de
la informacin

3.3

Gestin de incidentes (5%)

El candidato comprende la importancia de la gestin de incidentes y su
escalacin
El candidato puede:
3.3.1 Resumir cmo se reportan los incidentes de seguridad y qu informacin
se requiere
3.3.2 Dar ejemplos de incidentes de seguridad
3.3.3 Explicar las consecuencias de no reportar los incidentes de seguridad
3.3.4 Explicar qu implica la escalacin de los incidentes (funcional y
jerrquicamente)
3.3.5 Describir los efectos de la escalacin de los incidentes en la organizacin
3.3.6 Explicar el ciclo de los incidentes

4.

Medidas (40%)

4.1

Importancia de las medidas (10%)

El candidato comprende la importancia de las medidas de seguridad.
El candidato puede:
4.1.1 Describir varias formas en las que las medidas de seguridad pueden ser
estructuradas organizadas
4.1.2 Dar ejemplos de cada tipo de medida de seguridad
4.1.3 Explicar la relacin entre riesgos y medidas de seguridad
4.1.4 Explicar el objetivo de la clasificacin de la informacin
4.1.5 Describir el efecto de la clasificacin

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

4.2

Medidas fsicas de seguridad (10%)

El candidato tiene conocimiento sobre el establecimiento y la ejecucin de las
medidas fsicas de seguridad.
El candidato puede:
4.2.1 Dar ejemplos de medidas fsicas de seguridad
4.2.2 Describir los riesgos que implica tener insuficientes medidas fsicas de
seguridad

4.3

Medidas tcnicas (10%)

El candidato tiene conocimiento sobre el establecimiento y la ejecucin de las
medidas tcnicas de seguridad.
El candidato puede:
4.3.1 Dar ejemplos de medidas tcnicas de seguridad
4.3.2 Describir los riesgos que implica tener insuficientes medidas tcnicas de
seguridad
4.3.3 Comprender los conceptos de criptografa, firma y certificado digital
4.3.4 Nombrar los tres pasos para la banca en lnea (PC, sitio Web, pago)
4.3.5 Nombrar varios tipos de software malicioso
4.3.6 Describir las medidas que pueden utilizarse contra el software malicioso

4.4

Medidas organizativas (10%)

El candidato tiene conocimiento sobre el establecimiento y la ejecucin de las
medidas organizacionales de seguridad.
El candidato puede:
4.4.1 Dar ejemplos de medidas organizacionales de seguridad
4.4.2 Describir los peligros y riesgos que implica tener insuficientes medidas
organizacionales de seguridad
4.4.3 Describir las medidas de seguridad de acceso tales como la separacin
de funciones y el uso de passwords
4.4.4 Describir los principios de la gestin de accesos
4.4.5 Describir los conceptos de identificacin, autenticacin y autorizacin
4.4.6 Explicar la importancia para una organizacin de contar con una Gestin
de la Continuidad de Negocio bien establecida
4.4.7 Explicar la importancia de realizar ejercicios de prueba

5.

Legislacin y regulaciones (10%)

5.1

Legislacin y regulaciones (10%)

El candidato comprende la importancia y el efecto de la legislacin y las
regulaciones.
El candidato puede:
5.1.1 Explicar por qu la legislacin y las regulaciones son importantes para la
fiabilidad de la informacin
5.1.2 Dar ejemplos de la legislacin relacionada con la seguridad de la
informacin
5.1.3 Dar ejemplos de regulaciones relacionadas con la seguridad de la
informacin
5.1.4 Indicar posibles medidas que puedan tomarse con el fin de satisfacer los
requisitos de la legislacin y regulaciones

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

10
10

Comentario
De lo anterior se puede ver como se distribuyen los porcentajes en el examen, la
razn es que.
las medidas de seguridad son, para la mayora de los miembros del personal, el
primer aspecto de la seguridad de la informacin con el que se encuentran. Por lo
tanto, dichas medidas son esenciales en el mdulo y tienen el mayor peso,
seguidas por las amenazas y riesgos. Finalmente, el entendimiento de las
polticas, la organizacin, la legislacin y las regulaciones en el mbito de la
seguridad de la informacin, es necesario para poder comprender la importancia
de las medidas anteriormente mencionadas.

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

11
11

Listado de conceptos bsicos

Este captulo contiene los trminos con los cuales el candidato debe estar
familiarizado. Los trminos aparecen en orden alfabtico.

Acceso para mantenimiento

Activo
Amenaza
Anlisis de la informacin
Anlisis de riesgo
Anlisis de riesgo cualitativo
Anlisis de riesgo cuantitativo
Arquitectura de la informacin
Auditora
Autenticacin
Autenticidad
Autorizacin
Biomtrica
Botnet
Categora
Certificado
Ciclo del incidente
Clasificacin (gradacin)
Clave
Cdigo de prcticas para la seguridad de la
informacin (ISO/IEC
27002:2005)
Cdigo de conducta
Cdigos malicioso (malware)
Completitud
Confidencialidad
Conformidad
Continuidad
Control de acceso
Respaldo
Correctiva
Spam
Firewall personal
Criptografa
Dao
Dao directo
Dao indirecto
Datos

Maintenance door
Asset
Threat
Information analysis
Risk analysis
Qualitative risk analysis
Quantitative risk analysis
Information architecture
Audit
Authentication
Authenticity
Authorization
Biometrics
Botnet
Category
Certificate
Incident cycle
Classification (grading)
Key
Code of practice for information security
(ISO/IEC 27002:2005)
Code of conduct
Malware
Completeness
Confidentiality
Compliance
Continuity
Access control
Backup
Corrective
Spam
Personal firewall
Cryptography
Damage
Direct damage
Indirect damage
Data

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

12
12

Detective
Desastre
Disponibilidad
Encriptacin
Escalacin
Escalacin funcional

Escalacin jerrquica
Estrategia en materia de riesgos
Riesgo neutro
Evitar riesgos
Asumir riesgos
Anlisis de riesgos (
dependencia y
anlisis de vulnerabilidades)
Exactitud
Exclusividad
Factor de produccin
Fiabilidad de la informacin
Firma digital
Gestin de Cambios
Gestin de la continuidad del Negocio
Gestin de la informacin
Gestin de riesgos
Gestin del acceso lgico
Worm (Gusano informtic)o
Hacking
Identificacin
Impacto
Incidente de seguridad
Informacin
Infraestructura
Infraestructura de claves pblicas
Ingeniera social
Integridad
Interferencia
ISO/IEC 27001:2005
ISO/IEC 27002:2005
Legislacin sobre delincuencia informtica
Legislacin sobre la proteccin de datos
personales
Legislacin sobre los derechos de autor
Legislacin sobre registros pblicos
Medida de seguridad
Stand by arrangement
Medio de almacenamiento
Hoax (Mensaje con engao)

Detective
Disaster
Availability
Encryption
Escalation
Functional escalation

Hierarchical escalation
Risk strategy
Risk neutral
Risk avoiding
Risk bearing
Risk assessment (Dependency &
Vulnerability analysis)
Correctness
Exclusivity
Production factor
Reliability of information
Digital signature
Change Management
Business Continuity Management (BCM)
Information management
Risk management
Logical access management
Worm
Hacking
Identification
Impact
Security incident
Information
Infrastructure
Public Key Infrastructure (PKI)
Social engineering
Integrity
Interference
ISO/IEC 27001:2005
ISO/IEC 27002:2005
Computer criminality legislation
Personal data protection legislation

Copyright legislation
Public records legislation
Security measure
Stand-by arrangement
Storage medium
Hoax

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

13
13

No repudio
Regulaciones de seguridad para el gobierno
Regulaciones de seguridad sobre
informacin especial para el gobierno
Oportunidad
Organizacin de la seguridad
Parche
Plan de continuidad del Negocio
Plan de Recuperacin de Desastres
Poltica de escritorio limpio
Poltica de seguridad
Precisin
Preventiva
Prioridad
Privacidad
spyware (Programa espa)
Red Privada Virtual (VPN)
Reductivo
Represiva
Riesgo
Robustez
Rootkit (Kit de Hacking)
Segregacin de funciones
Sistema de Alimentacin Ininterrumpida
(UPS)
Sistema de informacin
Suplantacin de identidad (phishing)
Troyano
Urgencia
Validacin
Verificacin
Virus
Vulnerabilidad

Non-repudiation
Security regulations for the government
Security regulations for special information
for the government
Timeliness
Security Organization
Patch
Business Continuity Plan (BCP)
Disaster Recovery Plan (DRP)
Clear desk policy
Security Policy
Precision
Preventive
Priority
Privacy
Spyware
Virtual Private Network (VPN)
Reductive
Repressive
Risk
Robustness
Rootkit
Segregation of duties
Uninterruptible Power Supply (UPS)

Information system
Phishing
Trojan
Urgency
Validation
Verification
Virus
Vulnerability

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

14
14

Bibliografa
Bibliografa para el Examen
A

Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H.

Foundations of Information Security Based on ISO27001 and ISO27002
Van Haren Publishing, 2010
ISBN 978 90 8753 568 1

Revisin de la bibliografa
Especificaciones
del examen
1.1

Bibliografa
A:

Captulo 4

1.2

A:

Captulo 4

1.3

A:

Captulo 4

2.1

A:

Captulo 5

2.2

A:

Captulo 5

3.1

A:

Captulo 9

3.2

A:

6.2, 6.4, Captulo 9

3.3

A:

Captulo 6

4.1

A:

Captulo 5, Captulo 6

4.2

A:

Captulo 7

4.3

A:

Captulo 8, 10

4.4

A:

Captulo 9, 10

5.1

A:

Captulo 11

Gua de Preparacin Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

15
15

Contacto EXIN
www.exin.com