Seguridad de La Informacion

Seguridad de la Información
Agenda
Contexto
Aspectos Generales
Normas Internacionales
Alcance de la ISO 17799/27001
Riesgo
Ing. Luis A. Del Fiore, MBA

Consejo Profesional COPITEC Mat. 3011
 INFORMACIÓN = ACTIVO
La información en cualquiera de sus formas (escrita,
oral, electrónica) es un importante activo de negocios,
y como tal debe ser protegida.
 La seguridad de la información es un área donde la

gestión aún es primitiva en relación a otras áreas
(finanzas, producción, etc.).
Aspectos que intervienen en la Seguridad

Informática
 Nuevas tecnologías
– Firewalls, IDS, IPS, Honeypots
– Wi-Fi, Bluetooth, VPN IPSec vs VPN SSL
– Dispositivos de almacenamiento
 Normativas y/o regulaciones
– Locales, internacionales, internas de la organización
 Cultura de la organización y del personal
Aspectos que afectan la Seguridad Informática
 Creciente número de aplicaciones y plataformas
– Usuario corporativo promedio tiene más de 5 passwords

– Solución para autenticación, autorización, administración requerida.
 Múltiples políticas para cuentas / autenticación

– Email, logon a red, SAP, Citrix, Web, acceso físico y más.
– Débil seguridad de TI, notas Post-it y listas de password
¿Porqué se generan más incidentes que antes?
 Crecimiento de la dependencia tecnológica (multitud de componentes)

 Amplia disponibilidad de herramientas (complejidad en la administración)
 No hay leyes globales
 Internet es un laboratorio
 Falsa sensación de que todo se puede hacer (gestión ineficiente).
 Gran aumento de vulnerabilidades de seguridad (casi 6000 nuevas en
2005 según CERT)
¿Qué se requiere o se tiene?
 Necesidad de proteger activos intangibles.

 Mayor dependencia tecnológica y de interconexión.
 Nuevas amenazas más frecuentes y más
complejas.
 Creciente demanda de información.
Debe asegurarse:
Confidencialidad
– Asegurar que la información es accesible por las personas debidamente
autorizadas.
 Integridad
– Proteger la exactitud y la totalidad de la información y de los métodos de
procesamiento.
 Disponibilidad
– Asegurar que los usuarios autorizados tengan acceso a la información y
activos asociados cada vez que sean necesarios.
Cada organización puede asignar valores distintos a estos ítems.

Normas Aplicables
– Information Systems and Audit Control Association - ISACA:
COBIT (Auditoría de Centro de Cómputos)
– British Standards Institute: BS
– International Standards Organization: Normas ISO
– Departamento de Defensa de USA: Orange Book
– ITSEC – Information Technology Security Evaluation Criteria:
White Book
– Sans Institute
– ITIL “IT Infraestructure Library”, tiene 10 años. Libros específicos
de Seguridad Informática (performance, calidad de servicios)
Otras
– Sarbones Oxley Act, target algunas empresas y algunos
aspectos Seguridad Interna (SOX 404 IT)
– Banco Central 3198 pub. A
– COSO (Objetivos de Control de Organización)
– CMM (Gestión de Ingeniería de Software y Sistemas)
– ISO 9001: Calidad
– ISO 14001: Ambiental
– BS 18001: Seguridad y Salud
Depende de que se persigue o lineamientos hacia donde se

quiere llegar.
BS7799
 El British Standards Institute emitió el BS Code of Practice for

Information Security Management (BS 7799).
 Conjunto de estándares internacionalmente aceptados para la
práctica de seguridad informática.
 BS7799 – Parte 1: Mejores prácticas
 BS7799 – Parte 2: Certificación
International Standards Organization: Normas ISO
 La principal norma de Evaluación e Implementación de

medidas de Seguridad en Tecnologías de la Información es la
NORMA ISO 17799, actualizada por la ISO 27001 que
incorpora un capítulo sobre Administración de Incidentes.
 Está organizada en once capítulos, basados en el BS7799 –
Parte 1
 ISO (Europa) y NIST (USA)
 Homologada en Argentina IRAM/ISO/IEC 17799
Es conveniente utilizar un estándar.

¿Cómo seleccionar un estándar internacional?
A la hora de desarrollar una política o norma a ser implementada para
estandarizar los procesos y controles, es recomendable:
 Indagar sobre los diferentes estándares que ofrece el mercado.

 Evaluar la entidad u organización emisora de los estándares en
cuanto a su trayectoria, reconocimiento en el dictado de estándares,
etc.
 Investigar sobre las implementaciones efectuadas del estándar y sus
resultados.
 Analizar el contenido de los estándares con una visión técnica.
 Determinar la aplicabilidad de los estándares al modelo propio.
 . Seleccionar el estándar que mejor cumple con las expectativas.
 Alinearse al estándar seleccionado
¿Por qué basarse en la norma ISO/IRAM 17799?
 Aumento de los niveles de seguridad en las organizaciones

 Planificación de actividades
 Mejora continua
 Posicionamiento estratégico
 Cumplimiento de normativas y reglamentaciones
 Posicionamiento en un esquema corporativo en materia de seguridad
con otras organizaciones.
Esto NO implica que se requiera la certificación por parte de los Organismos

en dicha norma.
ISO 17799 / 27001
Criterios para llevar adelante una correcta GESTION DE

SEGURIDAD DE LA INFORMACION
1. Política de Seguridad
2. Organización de la Seguridad de la Información
3. Administración de Activos
4. Seguridad de los Recursos Humanos
5. Seguridad Física y Ambiental
6. Administración de las Comunicaciones y Operaciones
7. Administración de Accesos
ISO 17799 / 27001
(cont.)
8. Adquisición , Desarrollo y Mantenimiento de Sistemas de
Información
9. Administración de Incidentes de Seguridad de la
Información
10. Administración de la Continuidad del Negocio
11. Cumplimiento
ISO 17799
Los tres objetivos fundamentales en Seguridad de la Información

son:
ISO 17799
ISO 17799
Política de Seguridad
Objetivo: Proporcionar dirección y apoyo gerencial para brindar seguridad de la

información de acuerdo con los requerimientos y consideraciones de leyes y
regulaciones.
Importante: Apoyo y compromiso gerencial con el proyecto
Características:
 Definición de la seguridad de la información, objetivos y alcance generales.

 Declaración del propósito de los responsables del nivel gerencial.
 Breve explicación de las políticas, normas, procedimientos y requisitos de
cumplimiento en materia de seguridad.
 Definición de las responsabilidades generales y específicas.
 Referencias a documentos que puedan respaldar la política.
ISO 17799
Organización de Seguridad
Organización Interna
Objetivo: Administrar la seguridad de la información dentro de la organización.

Debe establecerse un marco gerencial para iniciar y controlar la
implementación de la seguridad de la información dentro de la organización.
Terceras Partes
Objetivo: Mantener la seguridad de la información y de las instalaciones de

procesamiento que son accedidas, procesadas, comunicadas o
administradas por terceras partes.
ISO 17799
Organización de Seguridad: Principales Roles y Funciones
– Sponsoreo y seguimiento
 Dirección de la Compañía
 Foro / Comité de Seguridad
– Autorización
 Dueño de datos
– Definición
 Área de Seguridad Informática
 Área de Legales
– Administración
 Administrador de Seguridad
ISO 17799
– Cumplimiento directo
 Usuarios finales
 Terceros y personal contratado
 Área de sistemas
– Control
 Auditoría Interna
 Auditoría Externa
ISO 17799
Control de Accesos
Requerimientos de Negocio para el Control de Accesos

– Política de control de accesos
Administración de Accesos de Usuarios

– Registración de usuarios
– Administración de privilegios
– Administración de contraseñas de usuario
– Revisión de derechos de acceso de usuario
Responsabilidades del Usuario

– Uso de contraseñas
– Equipos desatendidos en áreas de usuarios
– Política de escritorios y pantallas limpios
ISO 17799
Control de Acceso a la Red
– Política de utilización de los servicios de red

– Autenticación de usuarios para conexiones externas
– Identificación de equipos en redes
– Protección de puertos de diagnostico y configuración
remotos
– Subdivisión de redes
– Control de conexión a la red
– Control de ruteo de red
ISO 17799
Control de Acceso al Sistema Operativo

– Procedimientos de conexión segura
– Identificación y autenticación de los usuarios
– Sistema de administración de contraseñas
– Uso de utilitarios de sistema
– Desconexión de terminales por tiempo muerto
– Limitación del horario de conexión
Control de Acceso a las Aplicaciones

– Restricción del acceso a la información
– Aislamiento de sistemas sensibles
Computación Móvil y Trabajo Remoto

– Computación móvil y comunicaciones
– Trabajo remoto
ISO 17799
Adquisición, Desarrollo y Mantenimiento de Sistemas
Requerimientos de Seguridad de los Sistemas

– Análisis y especificaciones de los requerimientos de seguridad
Correcto procesamiento de aplicaciones

– Validación de datos de entrada
– Controles de procesamiento interno.
– Integridad de mensajes
– Validación de los datos de salida
Controles Criptográficos
– Política de utilización de controles criptográficos
– Administración de claves
ISO 17799
Seguridad de los sistemas de Archivos

– Control del software operativo
– Protección de los datos de prueba del sistema
– Control de acceso al código fuente
Seguridad de los procesos de desarrollo y soporte

– Procedimientos de control de cambios
– Revisión técnica de las aplicaciones luego de cambios en el
sistema operativo
– Restricción del cambio en los paquetes de software
– Salidas de Información
– Desarrollo externo de software
Administración de Vulnerabilidades Técnicas

– Control de vulnerabilidades técnicas
ISO 17799
Administración de incidentes de Seguridad de la Información
Reporte eventos de seguridad de la información y debilidades
Objetivo: Asegurar que los niveles de seguridad de la

información y debilidades asociadas con los sistemas de
información son comunicados de forma tal que permitan
tomar acciones correctivas a tiempo.
Administración de incidentes de seguridad de la información
y mejoras
Objetivo: Asegurar que se le da un tratamiento apropiado a la
administración de un incidente de seguridad de la información.
ISO 17799
Administración de la Continuidad de los Negocios
Objetivo: Contrarrestar las interrupciones de las actividades

comerciales y proteger los procesos críticos de los negocios de
los efectos de fallas significativas o desastres, asegurando el
reinicio de actividades en tiempo y forma.
Principales etapas
– Clasificación de los distintos escenarios de desastres
– Evaluación de impacto en el negocio
– Desarrollo de una estrategia de recupero
– Implementación de la estrategia
– Documentación del plan de recupero
– Testeo y mantenimiento del plan
ISO 17799
Cumplimiento
Objetivo: Impedir infracciones y violaciones de las leyes del derecho

civil y penal; de las obligaciones establecidas por leyes, estatutos,
normas, reglamentos o contratos; y de los requisitos de seguridad.
Recolección de evidencia
– Reglas para la recolección de evidencia
– Validez de la evidencia
– Calidad y Totalidad de la evidencia
ISO 17799
Principales Leyes y Proyectos de Ley relacionados con la

Seguridad Informática en Argentina
– Protección de Datos Personales – “Habeas Data” (Ley 25326)
– Firma Digital. (Ley 25506)
– Propiedad intelectual (Ley 11723) / Software Legal
– Regulación de las Comunicaciones Comerciales Publicitarias por
Correo Electrónico – “Antispam”
– Delitos Informáticos
– Confidencialidad de la Información y productos protegidos
– Normativa específica del Banco Central de la República Argentina
Otras implicancias legales
– Usos de recursos: convenio colectivo de trabajo
ISO 17799
Revisiones de la política de seguridad y la compatibilidad

técnica
– Cumplimiento de la Política de Seguridad

– Verificación de la compatibilidad Técnica
Auditoria de sistemas
– Controles de Auditoría de los Sistemas

– Protección de las Herramientas de auditoria de Sistemas
Certificación
Certificaciones Profesionales en Seguridad
Valor de la Certificación
– Es requerida por la práctica profesional

– Permite alcanzar el desempeño requerido por normas internacionales
– Proporciona reconocimiento de la carrera profesional
– Confirma la experiencia desarrollada en el trabajo
Certificación
Algunos Tipos de Certificación
 CISM - Certified Information Security Manager
 CISSP - Certified Information Systems Security Professional
 CISA - Certified Information Systems Auditor

Certificación
Organizaciones Certificantes
– ASIS – Advancing Secturity Worldwide
– ISSA – Information Systems Security Association
– (ISC)2 - International Information Systems Security

Certification Consortium.
Certificación
La seguridad es una disciplina cambiante, consecuentemente

se necesita un programa de entrenamiento continuo.
Educación: más general, se aprende a pensar
Certificación: es entrenamiento más especializado.

Se aprende a hacer. Requiere de educación
permanente.
Consideraciones técnicas
Vulnerabilidad
Es un problema o error que puede ser utilizado maliciosamente para que un
sistema realice funciones para los que no fue diseñado.
Ciclo de vida de una vulnerabilidad

Fuente Cisco
Política de Seguridad
“Es una declaración formal de reglas de acceso a la tecnología de la
organización y sus activos de información”. RFC 2196, Site Security
Handbook
¿Porqué es necesaria?
– establece una referencia en su postura de seguridad

– define lo permitido y no permitido
– ayuda a elegir herramientas y definición de procedimientos
– informa a los usuarios de sus responsabilidades
– define como manejar incidentes de seguridad
Política de Seguridad cont.
Que debe contener?
– autoridad y alcance
– política de uso aceptable
– política de identificación y autenticación
– política de uso de internet
– política de uso en campus
– política de uso remoto
– procedimientos para el manejo de incidentes
Ataques
No estructurados: ataques al azar, principalmente dados

por script kiddies que prueban herramientas.
Estructurados: realizados por gente altamente motivada y
técnicamente competente. Generalmente estas personas
trabajan solas o en pequeños grupos.
Externos: actos realizados desde el exterior, con intento de
malicia o destrucción.
Internos: realizados desde el interior, principalmente por
empleados.
Pasos de un ataque
Reconocimiento
– pasivo
– activo
Consolidación de la información
– ¿qué encontré?
– ¿qué herramientas dispongo?
Ataque práctico
– explotación
– búsqueda del objetivo
Worms, Virus y Troyanos
Worm
 Programa que infecta una PC explotando una vulnerabilidad existente;
se disemina e instala código que permite al atacante tomar el control del
equipo afectado.
Virus
 Programa malicioso, adosado a otro programa o correo, que es
ejecutado por el usuario y realiza una función no deseada.
Troyano
 Similar a un virus, pero imita funciones mientras en la práctica realiza
otras.
Resultados
– Pérdida de reputación
– Interrupción no planeada de negocios, servicios, producción
– Pérdidas financieras y de tiempo
– Robo de información sensible
¿Cuánto cuesta no tener sistemas por un día?

¿Cuánto cuesta un fraude a mis Bases de Datos?
¿Y cuánto vale perder la imagen ante el mercado?
¿Qué ocurre cuando se produce un incidente?
Incidente -> Reacción -> Securización
Y qué debería ser la Seguridad:
Prevención, prevención, más prevención.

Riesgo = Las amenazas pueden ser

Amenaza – Contramedida intencionales o accidentales.
+ Vulnerabilidad
Tecnología: oscurece el 95% de la Tipos de amenazas:

tarea del hacker
Riesgo:
– Corte del suministro eléctrico – Naturales
– Robo / hurto – Humanas
– Penetración – Ambientales
– Pérdida de Información
– Fraude
– Agua
– Tumulto / Vandalismo
– Incendio / Terremoto
– Ataque de D.O.S.
– Otros
Impacto
Se produce pérdida económica al concretarse la amenaza .
Impacto económico
Reposición del sistema + costo horas técnicas + parches + costo
pérdida imagen + costo de no operar
Determinación del impacto
Es preciso:
– Contar con la información de cada sistema
– Criticidad
– Sensibilidad de la información
Cadena de Vulnerabilidad
– Recursos Humanos
– Recursos LAN
– Recursos WAN
– Infraestructura
– Aplicativos
– Sistema Operativo
– Contratistas
– Centrales Telefónicas
– Ingeniería Social
– Otros
¿ Qué hacer ?
Actitud: Ser “proactivo” y no “reactivo”
Seguridad: Es deber, no querer
Claridad: Análisis del impacto del negocio (BIA Business

Impact Analysis)
Resumen de Preocupaciones
Consideraciones técnicas / remedios
Vulnerability Assessment
 Es una prueba técnica de que la seguridad de un sitio se

encuentra bajos las reglas de la política de seguridad pautada.
 Investiga los servicios con presencia y es una muestra del

escenario que se observa desde el punto de vista del atacante.
Consideraciones técnicas / remedios
Penetration Test
Un intento localizado y limitado en el tiempo, para obtener acceso y tomar

control de la información, utilizando técnicas de un atacante.
Se asemeja a los eventos reales de una intrusión, utilizando las últimas

técnicas y herramientas con los siguientes objetivos:
1. Prueba que una vulnerabilidad específica es explotable

2. Proporciona resultados tangibles para el gerenciamiento de las
acciones a tomar
3. Los patches, procedimientos y controles de seguridad son verificables
Permite entender como un ataque real puede impactar en los

negocios de la organización y sus activos clave.
Riesgo
Evaluación de
Riesgos
1) Activos (físicos e
intangibles) Los 1) tienen 2)
2) Valor de los activos y Las 3) aprovechan 4)
potenciales impactos 5) incrementan 2), 3), 4)
3) Amenazas Las 4) exponen 1)
4) Vulnerabilidades Los 7) protegen contra 3)
5) Nivel de Seguridad
6) Requisitos de
Seguridad
7) Controles
Enfoque de Riesgos
Como dirigir la inversión para mitigarlos:
1) Evaluar inicialmente que activos pueden ser afectados, que

riesgos existen, estimar su nivel de impacto, probabilidad de
ocurrencia.
2) Considerar los requerimientos legales, regulatorios y
contractuales. Quiénes deben cumplir: integrantes de la
organización, socios de negocios, contratistas, proveedores de
servicio.
3) Considerar siempre los principios, objetivos y requerimientos de
negocio.
Riesgo
Administración de Riesgo
La “cultura de riesgo” pone en práctica la idea de que la

administración de riesgos deber ser un elemento natural
integrante de los procesos y no algún tipo de proceso “externo”
que los vigila (“cultura de la necesidad”).
Cuanto más eficaces son los esfuerzos de administración del riesgo

operacional e Informático, menor es la necesidad de contar con
reservas financieras (Basilea II). Mediante una adecuada
gestión de riesgos, la organización podrá hacer foco y priorizar
en aquellos aspectos que requieren mayor atención.
La Seguridad debe ser un balance entre medidas de

protección versus aceptación del riesgo:
¿Qué decisiones incluye?

– Costos: la cantidad de inversión requerida para disminuir el
riesgo
– Situación Dolorosa: Habilidad de continuar operando con
incidentes de seguridad
– Visibilidad: el impacto potencial sobre la reputación de la
compañía
Las decisiones no deberían deparar sorpresas al

aceptar el riesgo sin conocerlo.
Administración de riesgos
Acciones:
 Diseñar un tablero de mandos de Seguridad de la
Información
– Identificación y evaluación de amenazas/vulnerabilidades y sus
efectos
– Ponderar la probabilidad de ocurrencia y su impacto
 Clasificar la información y los distintos recursos
informáticos
 Realizar revisiones periódicas – nivelación
 Establecer mecanismos de mitigación y remediación
 Ejecución periódica de evaluaciones propias e
independientes
Análisis de Riesgo / Etapas
Responsabilidad del negocio, no solo en la continuidad

operativa. Debe entenderse y conocerse: riesgo y
modelo de seguridad
Tercerizar NO LIBERA de las responsabilidades

existentes
Requiere de control
Obligaciones a hacer cumplir a terceros
– Adhesión a políticas internas
– Accesos
– Políticas de Internet
Cultura de Seguridad
Objetivo:
 Promover la “valoración” de la información (activos intangibles
ligados a imagen, prestigio, etc)
 Incrementar la concientización sobre el riesgo de los sistemas y
redes de información
 Promover la cooperación y el intercambio de información sobre
el desarrollo y ejecución de políticas de seguridad
 Minimizar incidentes de seguridad (evitar divulgación de
información comercial, ataques, virus, etc.)
Cultura de Seguridad
Acciones:
 Dar más presencia a cuestiones de seguridad mediante el diseño de

elementos de oficina con consideraciones de seguridad
 Portal de seguridad que incluya acciones de protección hogareña
 Publicación de Newsletter
 Concientización de usuarios
Qué premisas deben quedar claras
“Es necesario el soporte de la alta gerencia”

“La seguridad no es un producto, es un proceso”
“Lleva tiempo”
“Requiere de presupuesto”
“Requiere de abstracción para ver toda su dimensión”
Proceso Continuo
Una forma de ordenar la seguridad
Fuente SegurInfo
Como se podría gestionar la seguridad
Fuente SegurInfo
Enlaces de interés Políticas de seguridad
 http://www.sans.org/resources/policies Modelos de políticas/procedimientos de SANS
Estándares
 http://www.standards.ieee.org Buscador de OUI
 http://www.ietf.org/The Internet Engineering Task Force
 http://www.iso.org International Organization for Standarization
 http://www.isecom.org Institute for Security and Open Methodologies
 http://www.isaca.org/ Information Systems audit. And Control Association
 http://www.isaca.org/cobit.htm Cobit (Control Objectives for Information and related
Technology)
 http://www.nist.gov National Institute of Standards and Technology .Reglamentaciones
 http://www.jus.gov.ar Ministerio de Justicia y Derechos Humanos de la Nación Argentina
 http://infoleg.mecon.gov.ar Información Legislativa - Ministerio de Economía y
Producción
 http://www.secyt.gov.ar/ Secretaría de Ciencia, Tecnología e Innovación Productiva
 (http://www.secyt.gov.ar/11723.htm)
 http://www.softwarelegal.org.ar/ Software Legal
 http://www.pki.gov.ar Firma Digital

Seguridad de La Informacion

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Seguridad de La Informacion

Загружено:

Авторское право:

Доступные форматы

Seguridad de la Información

Ing. Luis A. Del Fiore, MBA

 La seguridad de la información es un área donde la

Aspectos que intervienen en la Seguridad

Aspectos que afectan la Seguridad Informática

 Creciente número de aplicaciones y plataformas

– Usuario corporativo promedio tiene más de 5 passwords

 Múltiples políticas para cuentas / autenticación

¿Porqué se generan más incidentes que antes?

 Crecimiento de la dependencia tecnológica (multitud de componentes)

¿Qué se requiere o se tiene?

 Necesidad de proteger activos intangibles.

Cada organización puede asignar valores distintos a estos ítems.

Depende de que se persigue o lineamientos hacia donde se

 El British Standards Institute emitió el BS Code of Practice for

International Standards Organization: Normas ISO

 La principal norma de Evaluación e Implementación de

Es conveniente utilizar un estándar.

 Indagar sobre los diferentes estándares que ofrece el mercado.

¿Por qué basarse en la norma ISO/IRAM 17799?

 Aumento de los niveles de seguridad en las organizaciones

Esto NO implica que se requiera la certificación por parte de los Organismos

Criterios para llevar adelante una correcta GESTION DE

Los tres objetivos fundamentales en Seguridad de la Información

Objetivo: Proporcionar dirección y apoyo gerencial para brindar seguridad de la

 Definición de la seguridad de la información, objetivos y alcance generales.

Objetivo: Administrar la seguridad de la información dentro de la organización.

Objetivo: Mantener la seguridad de la información y de las instalaciones de

Organización de Seguridad: Principales Roles y Funciones

 Foro / Comité de Seguridad

 Terceros y personal contratado

Requerimientos de Negocio para el Control de Accesos

Administración de Accesos de Usuarios

Responsabilidades del Usuario

Control de Acceso a la Red

– Política de utilización de los servicios de red

Control de Acceso al Sistema Operativo

Control de Acceso a las Aplicaciones

Computación Móvil y Trabajo Remoto

Adquisición, Desarrollo y Mantenimiento de Sistemas

Requerimientos de Seguridad de los Sistemas

Correcto procesamiento de aplicaciones

Seguridad de los sistemas de Archivos

Seguridad de los procesos de desarrollo y soporte

Administración de Vulnerabilidades Técnicas

Administración de incidentes de Seguridad de la Información

Reporte eventos de seguridad de la información y debilidades

Objetivo: Asegurar que los niveles de seguridad de la

Administración de la Continuidad de los Negocios

Objetivo: Contrarrestar las interrupciones de las actividades

Objetivo: Impedir infracciones y violaciones de las leyes del derecho

Principales Leyes y Proyectos de Ley relacionados con la

Revisiones de la política de seguridad y la compatibilidad

– Cumplimiento de la Política de Seguridad

– Controles de Auditoría de los Sistemas

Certificaciones Profesionales en Seguridad

– Es requerida por la práctica profesional

Algunos Tipos de Certificación

 CISM - Certified Information Security Manager

 CISSP - Certified Information Systems Security Professional

 CISA - Certified Information Systems Auditor

– ASIS – Advancing Secturity Worldwide

– ISSA – Information Systems Security Association

– (ISC)2 - International Information Systems Security