Dominio3

Programa Formativo para el EXAMEN CISM

Convocatoria 2005

Information Security
Program Management
(ISPM)

42 preguntas

© Fundación DINTEL DOMINIO 3 – Pág. 01 © Carlos Bachmaier, 2005


Convocatoria 2005

Program Management
(ISPM)

42 preguntas

© Fundación DINTEL DOMINIO 3 – Pág. 01 bis © Carlos Bachmaier, 2005

Recordamos que el objetivo primario del curso es preparar al alumno para aprobar el
examen CISM, y que los conocimientos de seguridad, y sistemas de información en
general se presuponen (si bien se hace una somera revisión de los mismos de cara a
recordar o recomendar al alumno que repase o estudie aquellos en que sea deficitario).


Convocatoria 2005

• Note to Instructor:
• Please emphasize to candidates that reading and understanding this
material will not guarantee them success on the CISM examination.
The CISM examination will require them to answer questions and to
make judgments based on the information learned in this course and
Program Management
on their own professional experiences. As you go through this material
try to add your own experiences, and/or ask class participants to do so.
(ISPM)
In addition, recommend that candidates refer to the numerous
additional information references that appear throughout the CISM
Review Manual 2005, especially in areas in which they may be
unfamiliar.

42 preguntas

© Fundación DINTEL DOMINIO 3 – Pág. 01 tris © Carlos Bachmaier, 2005

Recordamos que un componente importante de éxito en el examen es la capacidad de
realizar valoraciones apropiadas (de riesgo, de alineamiento con las necesidades del
negocio, etc.), que debe desarrollarse si no se dispone por experiencia profesional previa.


Convocatoria 2005

Presentación del profesor
Carlos Bachmaier, CISA, CISM
• Actualmente, en Sistemas Técnicos de Loterías del Estado (Unidad de
Seguridad)
• Anteriormente, en GMV y SGI Soluciones Globales Internet
• Experiencia profesional en Dirección, Seguridad y Auditoría TIC (25
años)
• Áreas de gestión: Dirección empresarial, TIC, gestión de proyectos, etc.
• Áreas tecnológicas: Unix/Windows, Networking (IP), Internet, Desarrollo
SW
• Dirección e-mail: nombre_dcism2k5.cbajo@spamgourmet.com

Docendo disco, scribendo cogito


Para enviarme un correo, enviarlo a la dirección indicada, sustituyendo “nombre” por el
nombre del alumno


Convocatoria 2005

Information Security Program Management
1. El dominio dentro del conjunto del examen
2. Objetivo del dominio
3. ISPM Overview
4. Create & Maintain Plans
5. Information Security Baselines
6. Business Processes
7. IT Infrastructure Activities
8. Life Cycle Activities
9. Impact on End Users
10.Accountability
11.Metrics
12.Internal & External Resources

Entramos directamente de lleno en el Dominio, siendo ésta su tabla de contenido. Nótese
que los contenidos se presentan siguiendo el Manual de Revisión (al preparar la presente
solo estaba disponible el del año 2004). Lo que sigue trata de presentar el material
siguiendo una pura visión ISACA, esto es, el alumno debe tratar de “borrar” de cara al
examen cualquier visión divergente anterior …

Se presenta un resumen del detalle completo que viene en el manual. Conceptos
importantes son siempre, para el examen, las necesidades del negocio y todo lo que le
afecta: la eficacia y la eficiencia, el riesgo; los estándares aumentan la eficiencia y
reducen el riesgo.

Se indica en rojo alguna de los asuntos que siempre son de alta preocupación para
ISACA en los exámenes CISM
Se indican en cursiva (itálica) aclaraciones adicionales y la traducción de algunas
palabras (su origen en inglés o su traducción habitual al castellano)


Convocatoria 2005

Information Security Program Management
• “poscuela”:
1. El dominio dentro del conjunto del examen
2. Objetivo del dominio •que es ISACA/CISM
3. ISPM Overview •objetivo básico del curso
4. Create & Maintain Plans sobre el examen
•más
5. Information Security Baselines de trabajo
•esquema
6. Business Processes
•como prepararse y aprobar
7. IT Infrastructure Activities
•Calendario
8. Life Cycle Activities
9. Impact on End Users •el día del examen;
10.Accountability “revisión rápida de conceptos tecnológicos”
•
11.Metrics
12.Internal & External Resources
© Fundación DINTEL DOMINIO 3 – Pág. 03bis © Carlos Bachmaier, 2005

Posteriormente también se presentarán los siguientes elementos (que no están en la tabla
anterior), de los que se hará una breve presentación:
“poscuela”: que es ISACA/CISM; objetivo básico del curso; más sobre el examen;
esquema de trabajo; como prepararse y aprobar; Calendario; el día del examen;
“revisión rápida de conceptos tecnológicos”


Convocatoria 2005

1.- El dominio en el conjunto del examen
Todos los dominios:
• Information Security Governance (21%)
Establish and maintain a framework to provide assurance that information
security strategies are aligned with business objectives and consistent with
applicable laws and regulations.
• Risk Management (21%)
Identify and manage information security risks to achieve business
objectives.
• Information Security Program(me) Management (21%)
Design, develop and manage an information security program(me) to
implement the information security governance framework.
• Information Security Management (24%)
Oversee and direct information security activities to execute the information
security program(me).
• Response Management (13%)
Develop and manage a capability to respond to and recover from disruptive
and destructive information security events.


Se enumeran todos los dominios y sus pesos relativos, así como sus líneas
fundamentales, de cara a enmarcar en el contexto del curso el presente dominio.


Convocatoria 2005

El dominio
• El Dominio dentro del conjunto del examen
• Objetivo del dominio
• ISPM Overview
• Create & Maintain Plans
• Information Security Baselines
• Business Processes
• IT Infrastructure Activities
• Life Cycle Activities
• Impact on End Users
• Accountability
• Metrics
• Internal & External Resources


Se recuerda que se trata de presentar siguiendo una pura visión ISACA


Convocatoria 2005

2.- Objetivo del dominio
El área de actividad ISPM
Dos tipos de dominios: Proceso y Temáticos; éste, es temático

• Definición:
Design, develop and manage an information security program(me) to
implement the information security governance framework.

• Objetivo:
Identify and manage information security risks to achieve business
objectives through a number of tasks utilizing the security manager’s
knowledge of key risk management techniques.


Se centra el Dominio mediante su definición y objetivo


Convocatoria 2005

Revisión del conocimiento sobre (9 tareas):
• Create and maintain plans to implement the information security governance
framework.
• Develop information security baseline(s).
• Develop procedures and guidelines to ensure business processes address
information security risk.
• Develop procedures and guidelines for IT infrastructure activities to ensure
compliance with information security policies.
• Integrate information security program(me) requirements into the organization's
life cycle activities.
• Develop methods of meeting information security policy requirements that
recognize impact on end users.
• Promote accountability by business process owners and other stakeholders in
managing information security risks.
• Establish metrics to manage the information security governance framework.
• Ensure that internal and external resources for information security are identified,
appropriated and managed.

Se enumeran y describen las tareas necesarias para desarrollar un adecuado ISPM:
Planificación
Líneas base
Procedimientos y guías para los procesos de negocio
Procedimientos y guías para la infraestructura TI
Integración en el ciclo de vida
Métodos con sensibilidad al impacto sobre los usuarios
Rendimiento de cuentas por los propietarios de los procesos de negocio
Métricas
Gestión de recursos internos y externos


Convocatoria 2005

Elementos de conocimiento:
• Knowledge of methods to develop an implementation plan that meets
security requirements identified in risk analyses
• Knowledge of project management methods and techniques
• Knowledge of the components of an information security governance
framework for integrating security principles, practices, management and
awareness into all aspects and all levels of the enterprise
• Knowledge of security baselines and configuration management in the
design and management of business applications and the infrastructure
• Knowledge of information security architectures (for example, single sign-on,
rules-based as opposed to list-based system access control for systems, limited points of systems
administration)


De todo esto hay que saber para dominar el Dominio.

Se enumeran y describen los conocimientos necesarias para desarrollar un adecuado
ISPM:
Gestión de planes
Gestión de proyectos
Marco de gobernanza de seguridad de la información
Líneas base y gestión de configuración
Arquitecturas tecnológicas (seguridad de la información)


Convocatoria 2005

Elementos de conocimiento (y 2):
• Knowledge of information security technologies (for example, cryptographic
techniques and digital signatures, to enable management to select appropriate controls)
• Knowledge of security procedures and guidelines for business processes
and infrastructure activities
• Knowledge of the systems development life cycle methodologies (for
example, traditional SDLC, prototyping)
• Knowledge of planning, conducting, reporting and follow-up of security
testing
• Knowledge of certifying and accrediting the compliance of business
applications and infrastructure to the enterprise's information security
governance framework


ISPM:
Técnología (seguridad de la información)
Procedimientos y métodos de seguridad, en procesos de negocio e infraestructura
Ciclo de vida de desarrollo de sistemas
Pruebas de seguridad
Certificación y acreditación


Convocatoria 2005

Elementos de conocimiento ( y3):
• Knowledge of types, benefits and costs of physical, administrative and
technical controls
• Knowledge of planning, designing, developing, testing and implementing
information security requirements into an enterprise's business processes
• Knowledge of security metrics design, development and implementation
• Knowledge of acquisition management methods and techniques (for
example, evaluation of vendor service level agreements, preparation of
contracts)
O sea, de disponer del conocimiento apropiado de ser
un responsable de seguridad lógica adecuado


ISPM:
Controles
Planificación
Métricas de seguridad
Gestión de Compras


Convocatoria 2005

El dominio
• Objetivos del dominio
• ISPM Overview
• Accountability
• Metrics


Visión general de un ISPM
Se recuerda se trata de presentar siguiendo una pura visión
ISACA


Convocatoria 2005

3.- ISPM Overview
Risk
ISO: “El potencial de que una amenaza determinada explote las
vulnerabilidades de un activo o grupo de activos y ocasione
pérdida o daño a los activos”
El impacto del riesgo es proporcional al valor del daño o pérdida y a la
frecuencia (probabilidad) estimada de la amenaza

ISACA: “The possibility that a particular threat will adversely
impact an IS (asset) by exploting a particular vulnerability

• Risk Assessment
• Countermeasure (Salvaguarda, Contramedida, Control)
• Risk Management (risk/impact)


Definiciones clásicas;
Activo: elemento con valor
Vulnerabilidad: aquella (falta) de cualidad que hace un activo se pueda dañar
Amenaza: lo que puede dañar un activo
Otros aspectos:
Evaluación del riesgo
Contramedidas
Gestión del riesgo (acotar riesgo / acotar impacto)


Convocatoria 2005

3.- ISPM Overview
Risk


Tabla clásica de relación entre activos, vulnerabilidades y amenazas


Convocatoria 2005

3.- ISPM Overview
ISM´s objective: Risk Management (not avoidance)
• Asset value
• Impact of Loss
• Likelihood of event impacting the asset

• Choices, choices … Security vs
– Ease of use
– Cost
– Likelihood
– Impact
– Maintenance


Objetivo del Gestor de Seguridad de Activos de Información (ISM): gestionar el riesgo,
no evitarlo …
Debe tener en cuenta el valor de los activos, el impacto de la pérdida de activos, y la
posibilidad de que haya un incidente que impacte al activo


Convocatoria 2005

3.- ISPM Overview
Factors

• Most important to protect assets: the foundation
• ISO17799: comprehensive set of controls for InfoSec Manag.
• Legislation: copyright, privacy, IP (Intelectual Property),
personal data, …

• Security Objectives:
– Confidentiality
– Integrity / Authenticity
– (D) Continued Availability

– Compliance (Laws, Regulations, Standards)


Conjunto de factores que impactan como debe ser la particular gestión de la seguridad


Convocatoria 2005

3.- ISPM Overview
Cost of Failures

• Direct Impact Losses
• Cost of recovery
• Securing the recovered systems
• Hardening costs
• Reputational costs

• A good security can:
– Prevent losses
– Save money
– Give competitive advantage


Taxonomía de los costes que puede representar un fallo de seguridad


Convocatoria 2005

3.- ISPM Overview
Key Elements

• Senior Management Commitment & Support
• Policies (framework, concise, general, top management)
• Roles & Responsabilities
• Standards (baselines, guidelines)
• Implementation (measures, practices, procedures) (systems
introduced and maintained)
• Organization (clearly defined)
• Communications (communicated and maintained)


Elementos clave, sin ellos no se obtiene (normalmente) un ISPM apropiado


Convocatoria 2005

3.- ISPM Overview
Security Responsabilities
Position Responsability

Executive Mgmt. • Overall

Process owners • Apropriate security measures

Data owners • Data clasification

Security ppl / Comittee • Promulgate and assist

IT Develop. • Implement Infosec in developed products

Users • Comply with Security Policy and follow practices

IS Auditors • Provide independent assurance to management
• Formally stablished, terms of reference, regular
IS Security Committee minutes of meetings, actions itrms reviewed.


Relación de cargos y sus responsabilidades asociadas en lo relativo a la Seguridad de
Activos de Información


Convocatoria 2005

El dominio
• ISPM Overview
• Accountability
• Metrics

Aspectos relativos a la creación y mantenimiento de los
planes del ISP
ISACA


Convocatoria 2005

4.- Create & Maintain Plans
To implement the Infosec gobernance framework
• Define the framework
• Gain approval from senior management (riesgo)
• Implement
• Monitor and make changes
• Assign responsabilities for tasks; establish target dates
• Includes also the security police, standards and guidelines

• Knowledge statements
– of methods to develop an implementation plan that meets security
requirements identified in risk analyses
– of project management methods and techniques(measures,
practices, procedures)

Las fases son las de siempre para todo proceso (PDCA). Nótese que la aprobación por la
más Alta Dirección es un paso
imprescindible


Convocatoria 2005

Methods to develop an implementation plan: Key
Elements

• Meeting security requirements identified in risk analyses (first,
conduct a risk analysis):
– Identify Assets; criticality levels, threats, vulnerabilities
• Covering process, physical, platform and network areas
• Based on best practices
• Protection Matrix
• Implementation plan performance measures (to check if
meeting business objectives)


Se describen los pasos que hay que cubrir, y el ámbito y circunstancias de su producción.
Se presenta el concepto de matriz de protección (activos vs protecciones)
Se indica la necesidad de tener elementos para medir el avance


Convocatoria 2005

Project Management methods and techniques

• Ensure the ISP will comply with the organization´s PM
standards (check with PM function?) (riesgo)

• If not, employ generally accepted PM techniques: (riesgo)
– Setting goals
– Measuring progress
– Tracking deadlines
– Assigning responsabilities in a controlled and repeatable way


Algunas recomendaciones (para hacer las cosas bien y además acotar el riesgo del ISM ;-
)


Convocatoria 2005

Project Management methods and techniques
• Analyze to estimate level of effort and resources:
– Persons-hours/type
– Facility requirements
– HW/SW requirements
– Training requirements
• Budgeting ($)
• Scheduling (sequential relationship):
– Earliest start date / Latest finish date
– Gantt charts / Pert Diagrams
• Milestones: Budget/Schedule review:
– Assess estimates meeting
– Identify/Analyse variances: determine cause and corrections
– Timely report variances and analysis to management


Métodos y técnicas estándar de gestión de proyectos:
-Esfuerzo y recursos
-Presupuesto
-Programación
-Hitos (Mojones)


Convocatoria 2005

El dominio
• ISPM Overview
• Accountability
• Metrics

Definiendo las “Líneas Base” (lo base que hay que hacer en
cualquier caso para cada escenario)
ISACA


Convocatoria 2005

5.- IS Baselines
To help
• Define the minimum acceptable security vs respective
criticality levels
• Before:
– Establish security policy
– Identify criticality levels
– Assess the risks
• Sources of baselines:
– Technology Organizations, Vendors
– ISO 17799 / BS 7799
– NIST (protection profiles based on the Common Criteria) / SANS / …
• Use: to fix ground zero and additional measures to be taken
(addressing personnel, physical, management, technical &
operational controls)

Otras medidas de seguridad pueden ser discutidas y evaluadas; estas no: si hay ese activo
se hace eso.
Ejemplo: si a una persona le muerde un perro, se le pone la vacuna antirrábica. Luego se
puede ver si el perro tenía la rabia o no …
Otro ejemplo: si vamos a conectar una LAN a Internet, se protege con un cortafuegos …
a nadie se le ocurre, sin más información, hacer otra cosa … (si, ya, lo normal es hacer
primero una política de seguridad, un análisis de riesgos, etc.; pero es de esperar que
haya un cortafuegos en nuestro camino …)


Convocatoria 2005

El dominio
• ISPM Overview
• Accountability
• Metrics

La seguridad de activos de información y los procesos de
negocio: íntimos aliados. Los propietarios de los procesos
de negocio deben involucrarse en la seguridad. Y seguridad
cooperar con ellos.
ISACA


Convocatoria 2005

6.- Business Processes
To develop procedures and guidelines

• To ensure BP address IS risk (critical in the ISP)
• Most effective program: security is considered within each step
of each BP
• BP owners:
– Responsible for the security of the information they
generate/use
– Most qualified to develop priorities and identify risks and
impacts


Los procesos de negocio deben tener en cuenta el riesgo; la seguridad debe estar
contemplada en todos los procesos de negocio, en cada uno de sus pasos.
Los propietarios de los procesos de negocio son los responsables de la seguridad que
generan y usan, y a su vez los más cualificados para determinar las prioridades e
identificar los riesgos e impactos.


Convocatoria 2005

6.- Business Processes
• ISM:
– Establish security policies
– Promote security awareness programs
– Coordinate the security efforts with the BP efforts
– Ensure that Infosec is considered in the BP
– To understand the BP and needs and the risks, so the ISP meets business
needs
• Tools:
– Regular meetings with BP owners
– Documenting the approach in Security Guidelines (supported by Senior
Management)

• Knowledge
– of security procedures and guidelines for business processes

El ISM (Information Security Manager) debe establecer políticas de seguridad (es
responsabilidad de la Alta Dirección), promover el conocimiento y la vigilia intelectual
en asuntos de seguridad, coordinar con los BP, asegurarse que la seguridad de la
información es adecuadamente tenida en cuenta, y entender las necesidades y los riesgos
de los procesos de negocio para que el ISP este alineado con las necesidades del negocio.


Convocatoria 2005

El dominio
• ISPM Overview
• Accountability
• Metrics


Se describen las actividades y conocimientos que el ISM
debe manejar en el plano tecnológico. Es uno de los
aspectos más clásicos de lo que se espera de la función
seguridad TI.
ISACA


Convocatoria 2005

7.- IT Infrastructure Activities
• To ensure compliance with InfoSec policies
• Many taxonomies of Infrastructure; for example:
– Process
– Physical
– Platform
– Network
• Each component has a CIA (Confidenciality, Integrity, Avail)
requirements
• ISM: must consider those requirements to determine which
controls are needed to enforce the policy and protect the info


La infraestructura debe asegurar el cumplimiento de las políticas de seguridad de activos
de información.
La infraestructura entendida en sentido amplio.
La determinación de controles técnicos necesarios es esencial.


Convocatoria 2005

To develop procedures and guidelines: CONTROLS

• Process:
– Security policy ; Overall gobernance (critical)
• Physical:
– Restrict access to facilities (identification badges, smart cards, biometric
devices, security cameras, security guards, fences, lighting, locks, sensors, …)
– Natural/Technological events (backup power sources, generators, …)
• Platform
– Hardening, access control, virus detection, HIDS, …
• Network
– Firewalls, Routers, Switches, RAS, VPNs, NIDS, …


Es necesario un conocimiento amplio y profundo de los controles organizativos y
técnicos habituales


Convocatoria 2005

Knowledge Statements
• of security procedures and guidelines for infrastructure
• of information security architectures (networks, platforms, single sign-on,
access systems, system administration, …)
• of information security technologies (cryptographyc techniques, digital
signatures, …)
• of types, benefits and costs of physical, administrative and technical controls

• Representan los conocimientos técnicos fundamentales que
debe dominar el ISM, necesarios para aprobar el examen
• Páginas 63 a 87 del Review Manual de 2004 (ALUVION)
• Páginas 123 a 152 y 203 a 240 del RM CISA 2004
• Repaso somero al final de la presentación

Se resumen las áreas de conocimiento requeridas en lo referente a infraestructura TI.
Al final de la presentación se realizará un repaso somero.


Convocatoria 2005

El dominio
• ISPM Overview
• Accountability
• Metrics


Se presenta como el ISPM debe interactuar con los ciclos
de vida de los proyectos de la organización.
ISACA


Convocatoria 2005

8.- Life Cycle Activities
Ensuring an effective ISP
• Integration of security into Organization Life Cycles
– Awarenes campaigns
– Security policies
Security shall be considered during each process life cycle
• Not only IT projects: new products, merger/adquisitions, …
• Requirements, design, implementation, maintenance, …
• Certification and Accreditation of Business apps and infrast.
• Adaptation of company Project Management practices


Un ISP efectivo requiere estar integrado con el ciclo de vida de las actividades de la
organización. Para ello deberán realizarse tanto campañas de concienciación como
implementar políticas de seguridad apropiadas.

La seguridad debe tenerse en cuenta en todas y cada una de las etapas del ciclo de vida
… de todas las actividades de la organización.

El manual de revisión revisa en detalle las etapas más o menos existentes en todos los
esquemas de ciclo de vida, y hace una revisión detallada del mismo en el caso del
proceso de desarrollo de sw.

La certificación y acreditación de aplicaciones de negocio e infraestructura es una
medida muye efectiva.
Certificación: Verificación del cumplimiento de los requisitos funcionales y de seguridad
Acreditación: Proceso de aprobación por la gerencia de la implementación de un
determinado elemento

La adecuada adaptación de los métodos de gestión de proyectos de la organización es
esencial.


Convocatoria 2005

8.- Life Cycle Activities
Knowledge statements:

• System Development Life Cycle (SDLC) methodologies:
– Traditional /waterfall; prototyping; agile; time-box; …
– Feasability, requirements, design, development, implementation
– APIs, Corba/Com, RPCs, XML, SOAP, WebSDL, UDDI
• Certification and accreditation of business aplications and
infrastructure to IS gobernance framework
– Strong senior management commitment needed (implement and enforce)
– Very effective / Increases awareness / Increases security (closes gaps)
– Models: NIACAP, NIST, …


El ISM debe tener firmes conocimientos en lo relativos a los diversos ciclos de vida, sus
fases, y de la interrelación entre la tecnología escogida y los mismos.

El ISM también debe tener un profundo conocimiento de los procesos y ventajas de la
certificación y acreditación, así como conocer los modelos más relevantes.


Convocatoria 2005

El dominio
• ISPM Overview
• Accountability
• Metrics


Es ISM debe conocer que el ISPM impacta sobre los
usuarios, y como, y tener en cuenta las necesidades del
negocio en su conjunto.
ISACA


Convocatoria 2005

9.- Impact on end users
There is impact! Take that into consideration

• If business processes are adversely impacted, trade-off impact
vs security benefit
• And sell it! (business case)

• Security Testing (KS) (riesgo: previniendo meter la gamba …)
– Planning, conducting, reporting, follow-up
– Test environment; review of impact (over access, response time, etc.)
• Controls (administrative and technical) (KS) (Vendiendo la función)
– Types, benefits and costs (budgets & choices; ROI, ROSI, TCO, …)


No a la seguridad a toda costa. Además, hay que saber realizar la venta interna.

ISACA incluye en esta sección (en los Knowledge Statements) aspectos de pruebas de
seguridad y los controles, estos últimos con una mención importante a su trade-off
teniendo en cuenta los costes (business case)


Convocatoria 2005

El dominio
• ISPM Overview
• Accountability
• Metrics


Sobre la rendición de cuentas
ISACA


Convocatoria 2005

10.- Accountability
Todo el mundo debe rendir cuentas
• Business process owners: how do manage info-risks?
– They best understand the value of the info they manage
– They can best evaluate impacts
• ISM:
– Meet and discuss their accountability
– Communicate how ISM can assist

• Security Gobernance framework knowledge (KS) (underpinning)
• Integrating the security requirements into the business
processes (KS) (conociendo el negocio; dando la talla)


Tanto el ISM como los propietarios de los procesos de negocio deben rendir cuentas
sobre los riesgos y seguridad. Todos tienen deberes en el área de seguridad.

El ISM debe conocer perfectamente los marcos de gobernanza, para así poder apalancar
su función (underpinning).
También debe conocer perfectamente el negocio, con vistas a una doble cuestión: no
meter la pata y dar la talla …


Convocatoria 2005

El dominio
• ISPM Overview
• Accountability
• Metrics


Lo que no se mide, ¿no existe?
ISACA


Convocatoria 2005

11.- Metrics
Lo que no se mide, no existe …
• Measure level of risk
– What security to implement
– Capability and awareness of people
– Impact of controls
• What to measure?
– ?
– System Security Engineering Capability Maturity Model (SSE-CMM)
– Information Technology Security Assesment Framework (ITSAF)

• Security Metrics Design, Develpment and Impementation (KS)


Es necesario medir para poder evaluar impactos, mejoras y progresos … (Nota del
profesor: si bien este aspecto de la gestión de la seguridad esta aún inmaduro…)


Convocatoria 2005

El dominio
• ISPM Overview
• Accountability
• Metrics


Sobre como gestionar los recursos propios y externos
ISACA


Convocatoria 2005

12.- Internal & External Resources
Los recursos hay que apalancarlos …
• Identificar, obtener y gestionar
– Define requirements
– Qualify resources (do meet requirements?)
– Setting performance requirements / Measuring performance
– Selection: due diligence (ISM retains responsability …)
– Manage the resources / Robust Incident Management processs

• Acquisition Management Methods and Techniques (KS)
– Adquisition process
– Understandment of needs / requirements preparation
– Service level agreements
– Evaluation Matrix
– Contract: Legal/purchasing department assistance

El ISM debe estar capacitado en la gestión de los recursos y su obtención


Convocatoria 2005

Questions, any?

Gracias
Fin del Dominio 3 (núcleo)

Carlos Bachmaier
Foro: dintelcism2k5@coollist.com

Foro: http://groups.yahoo.com/group/ISACA_CISA_CISM_ES
Group email: ISACA_CISA_CISM_ES@yahoogroups.com
Continúa …


El foro en coollist.com está orientado a los alumnos presenciales. La dirección de correo
del profesor esta a disposición de todos los alumnos.
El foro y correo de grupo de yahoo están abiertos a todos los profesionales del sector.


Convocatoria 2005

“Poscuela”: qué es ISACA / CISM

• ISACA: Information Systems Audit and Control Association
– Asociación profesional; ITGI (IT Gobernance Institute); local chapter.
– Estándares y buenos métodos (prácticas); COBIT (Control Objectives IT)
– CISA y CISM
• CISM: Certified Information Security Manager
– Aprobar examen
– Experiencia profesional (5 años, con matices)
– CPE (Continuous Professional Education); $
• Examen
– 200 preguntas; tipo test 4 respuestas (sin penalización); 4 horas; test practical
knowledge and experience; one best answer
– más de 74% de aciertos (de la escala corregida) (leyenda urbana?: por dominio)
• CPEs
– Por cada 50 minutos de conferencias, congresos, etc.: 1CPE
– Webminars, Quizzs, Consultas, …
– 20 CPE mínimo por año, 120 mínino cada tres años


Resumen de información obtenible en www.isaca.com
Se revisa rápidamente que es ISACA y CISM (s.e.u.o.)


Convocatoria 2005

“Poscuela”: objetivo básico del curso

• Preparación conceptual (forma de pensar,
terminología), física y psicológica para:

– Corrected Score: PASS (= 75, ó +, sobre 100)

Por supuesto, la formación per se es importante también…


Aprobar, ese es el objetivo básico del curso


Convocatoria 2005

“Poscuela”: objetivo básico del curso

Notice of examination results


Ésta es la notificación de nuestro éxito


Convocatoria 2005

“Poscuela”: más sobre el examen
Un ejemplo de pregunta (CISA):

• ¿Cuál de las siguientes no violarían el Código de Ética
Profesional del auditor?
– A) Asistencia a un programa de formación ofrecido por un auditado a
todos sus empleados
– B) La aceptación de billetes de avión de un auditado
– C) La inclusión, en una opinión de auditoría, de todos los hechos
materiales (relevantes) pertinentes al área auditada
– D) Venta de acciones de la compañía antes de emitir la opinión de
auditoría.


Esta es de las fáciles … llave: el riesgo (para el auditor por un lado, y para la empresa,
por el otro …)

La solución es la C. Cualquiera de las otras viola el Código Ético de ISACA (que todos
los candidatos a ISACA deberían conocer/dominar … pues es un requisito para obtener
la Certiticación CISM el aceptar el Código Ético; y éste obliga a aceptar los Estándares
ISACA …)


Convocatoria 2005

Un ejemplo de pregunta (CISM):

• Who is in the BEST postion to develop the priorities and
identify what risks and impacts would occur if there were a loss
or corruption of the organization´s information resources:
– A) Internal Auditors
– B) Security Management
– C) Business process owners
– D) External regulatory agencies


Es de esperar que los “dueños de los procesos” tengan una clara visión de los riesgos e
impactos que habría …


Convocatoria 2005

Otro ejemplo de pregunta (CISA):

• Un veterano empleado de TI con sólidos conocimientos
técnicos y una amplia experiencia de gestión ha solicitado
cubrir una vacante en el departamento de auditoría de SI. La
decisión de aceptar a dicha persona debería basarse en:
– A) Su grado de competencia técnica
– B) Su edad puede dificultar su formación
– C) Su antigüedad en el puesto
– D) Sus buenas relaciones en el departamento de TI


Y cual de ellas no influiría sobre la decisión … Además, tiene una redacción retorcida y
tendente a crear confusión, y, en algunas preguntas, con mala traducción o baja
inteligibilidad.

Según ISACA, la fundamental aquí es … ¡¡¡la independencia !!! Por tanto, la respuesta
correcta es la C. Demasiada antigüedad en el puesto puede haber creado excesivos lazos
(y agradecimientos pendientes) con el grupo de TI.

Que no cunda el pánico, ésta pregunta tiene como objetivo introducir la necesidad del
“scaled score”, que veremos próximamente.


Convocatoria 2005

Otro ejemplo de pregunta (CISM):

• Security baselines are usually established by:
– A) end users
– B) developers
– C) trade associations
– D) sw vendors


Aquí la contestación oficial es … sw vendors.


Convocatoria 2005

Otro ejemplo de pregunta (CISM):

• The MOST appropriate metric to measure how well
information security is managing the administration of user
access is:
– A) % of accounts with configurations in compliance
– B) actual accounts/end users ratio
– C) elapsed time to suspend accounts of terminated users
– D) elapsed time to suspend accounts of users transferring

© Fundación DINTEL DOMINIO 3 – Pág. 49 tris © Carlos Bachmaier, 2005

Otra para ver el efecto del “scaled score”


Convocatoria 2005

• El scaled score
– Para todas las preguntas se hace un análisis estadístico de las contestaciones
– Aquellas con comportamiento estadístico anómalo, se revisan por comités (gramática, etc.)
– Aquellas consideradas “malas”, se … ¿eliminan? y compensan
– Se hace un escalado lineal de “raw score” a “scaled score”

• Y cómo nos irá el examen …
– Si no nos sabemos el libro gordo de petete … mal vamos
– Si nos sabemos el libro gordo de petete … probablemente nos vaya bien
– Nunca salen de las que has visto; Son isótropas, pero siempre sorprenden; Resbaladizas …
– Nomenclatura particular / Visión particular / Riesgo / Objetivos de Negocio
– 71% de aprobados a nivel mundial en 2004

• El idioma: español vs inglés vs tiempo (en 2005 aún no hay examen en español)


Para más información, ver www.isaca.org

Libro gordo de petete = expresión coloquial (y cariñosa) para el Manual de Revisión

Es esencial conocer la nomenclatura particular de ISACA. Y su visión de las cosas.
Nota: lo siguiente aún no es aplicable pues en 2005 aún no hay examen en español. Pero
la cuestión de hacer el examen en inglés y que la lengua materna sea el español, añade
complejidad.
Según el país de origen de cada hispanohablante, las preguntas pueden ser más o menos
inteligibles. Es España, el maus de Méjico se llama ratón. La planeación se llama
planificación. En algunos lugares se llama patente de sw a las licencias de uso de sw. Etc.


Convocatoria 2005

“Poscuela”: Revisión esquema de trabajo
Presencial
• Hacer, para Dominio = 1, …5
– (Trabajo personal: Lectura/Asimilación del dominio (1 semana))
– Presentación por el profesor: delineación, puntos importantes, aclaraciones
Enseñar/Aprender: sólo se aprende un 10% en la clase. El profesor, ese catalizador.
– (Trabajo personal: Estudio (1 semana))
– Revisión: 50 preguntas; simulacro de examen, luego revisión de contestaciones
– End-Hacer
• Hacer, desde 1 a 4: Simulaciones: 200 preguntas en 4 horas
Personal
• Analizar fallos, ver estadísticas de donde se falla, reestudiar, reestudiar…
• Entrenarse, medir tiempos y pausas, acostumbrarse …
• Evolución esperable de scores: 50% -> 70% -> 90%
• Intranquilidad
• Se obtienen resultados …


En clase sólo se aprende el 10%, el resto es trabajo personal. Pero la labor del profesor es
esencial, es un catalizador que prende la mecha del interés, y que dirige el proceso de
estudio, aclara las dudas y corrige las desviaciones.

Esto ocurre en clase en la forma presencial. En la forma a distancia es esencial el
contacto vía correo electrónico para que este hecho se produzca. ¡Alumnos, no dejéis de
crear un contacto sólido y continuo con vuestros profesores!


Convocatoria 2005

“Poscuela”: Cómo prepararse y aprobar
Material de estudio
• Presentaciones y material Dintel
• CISM Review Manual (y todas sus referencias)
• www.isaca.com (Código deontológico)
• www.isaca.com (Standards, Guidelines & Procedures)
• www.isaca.com (COBIT)
• www.isaca.com (K-net)
• www.isaca.com (Revista Control)
• www.isaca.com (Otros materiales de estudio)
• www.google.com o buscador favorito
• Wordreference.com (diccionario en línea)
• Otras fuentes
• Presentaciones/Charlas/Conferencias/Seminarios …

Estudiar, estudiar, estudiar, … ¿o no?

Ginkgo Biloba


Para muchos el trabajo intenso es necesario para aprobar.

Otros pueden no necesitar un estudio profundo si ya tienen la experiencia, los
conocimientos, una buena visión práctica, una valoración (juicio) alineado con la visión
y nomenclatura de ISACA …

Otros pensarán que los complementos de la dieta puedan ayudar al esfuerzo intelectual
…

No dejeis de estudiar … todo lo que necesiteis para el examen … en cualquier caso el
saber os será útil.


Convocatoria 2005

“Poscuela”: Algo de calendario
Fechas y asuntos
• Acceso al web de Isaca, y Welcome pack
• Ticket de admisión: finales Mayo 2005
– Tipo examen (CISA/CISM, idioma)
– Lugar de examen
– Numero de ID de examen

• Examen 11 de Junio 2005
• Perplejidad …
• Resultados entre el 15 y el 30 de Agosto (20)


En cualquier caso, se recomienda confirmar o averiguarlo en www.isaca.org

Los pasos son:
-Matricula
-Recepción del pack
-Recepción del ticket de admisión
-Examen


Convocatoria 2005

“Poscuela”: El día del examen
Asuntos
• 2004, en Madrid: Plaza de España, 7:30 (8:30 dentro sala) llegar
con tiempo suficiente
• Situación libre por tipo examen (aire acondicionado, sol, ruidos, etc.)
• Lectura de instrucciones; formulario examen (rellenado);
promesa confidencialidad; 9:00, YA (cantan tiempo restante)
• DNI, ticket de admisión
• Lapiceros HB / 2 ; borradores
• Caramelos, pero no comida ni bebida (hay agua)
• Bolsos, móviles, etc. (incordios)
• 50/hora; no engancharse, marcar y saltar (en el cuaderno de
preguntas se puede garrapatear; doblar esquinas; tachar lo que se sepa no es)


Para otros lugares: viene indicado en el ticket de admisión.

Lo importante es el ritmo. Una por minuto es un buen objetivo. Sobre todo, no
engancharse en una pregunta y perder diez minutos. Si no se sabe, marcar y saltar (para
volver al final si queda tiempo; por ello, se debe tachar lo que se sepa que no es, así no
hay que releerlo otra vez)


Convocatoria 2005

Questions, any?

Gracias
Fin de la “Poscuela”
Carlos Bachmaier

Continúa …




Convocatoria 2005

Knowledge Statements (presentación pag. 32)
pag.

• of security procedures and guidelines for infrastructure
• of information security architectures (networks, platforms, single sign-on, access
systems, system administration, …)
• of information security technologies (cryptographyc techniques, digital signatures, …)
• of types, benefits and costs of physical, administrative and technical controls

• Representan los conocimientos técnicos fundamentales que debe
dominar el ISM, necesarios para aprobar el examen
• Páginas 63 a 87 del Review Manual de 2004 (ALUVION)
• Páginas 123 a 152 y 203 a 240 del RM CISA 2004

El las páginas siguientes se presenta una somera (aunque larga ) revisión de aspectos
técnicos (arquitecturas y tecnologías de seguridad), siguiendo la más o menos ordenada
presentación de lo contenido en el Manual de Revisión.
No es todo lo que hay …


Convocatoria 2005

Páginas 63 a 87 del Review Manual de 2004
• Esta es la parte “no acotada”
• RM: refleja las inquietudes de los CISM/ISACA
• En un par de horas no se expone/presenta todo el
conocimiento técnico necesario de un CISM …
• Todo lo descrito en el RM debe manejarse perfectamente
• La importancia del glosario … y conocer la nomenclatura
• Contenido:
– Networks (LAN/WAN/MAN; wireless; modelo OSI)
– Arquitectura cliente-servidor (2/3 tier; middleware)
– Internet (servicios, controles _FWs/IDS)
– Encryption (general, PKI, Firmas, IPSec)
– Malicious code

Caveat emptor – avisos a navegantes

Nótese que no es objetivo del curso formar al alumno en TI, ni en general ni en aspectos
de seguridad.


Convocatoria 2005

• Networks / TIPS
• Challenges:
– Interoperability
– Availability
– Flexibility
– (centralized support & troubleshooting)

• => Standards (ISO, IEEE, ITU-T/CCITT)
– OSI Reference Model
• Proof of concept (IP no lo sigue en sus capas…)
• Basado en capas: selfcontained / function independent
• Protocolos


Convocatoria 2005

• Networks / TIPS
• OSI Model



Convocatoria 2005

• Networks / TIPS
• OSI Model
Layer Viajan En mundo IP Con qué Qué

7 Aplication messages Aplicaciones IP Gateways Acceso a recursos, archivos, servicios OS

HTTP ….
6 Presentation Conversion, reformat, Encryption, Compression (ej. ascii – ebcdic)

5 Session Sesiones nodo a nodo
Establecimiento, mantenimiento, cierre de sesiones. Autenticacion, Identificacion.

4 Transport Segments TCP / UDP End2end reliable
(packets) (connection / less) Packets: sequencing/divide-recombine; error control; flow/congestion control
Conection mgntm (SYN)
TCP/IP: source add, destination add, sour. Port, dest. Port, sequence, service

3 Network Packets IP Connection Routers Establish, maintain and close network links
less / Datagrams Routing; logical names _> physical names

2(H Datalink Frames NICS, Bridges / Switches (L2) Raw data; Logical link control, media access,
W) MACs, CRCs (error detection)

1(H Physical Bits Repeaters / Hubs Baseband (ehternet) / Broadband
W) X25, frame relay, atm, …

0(H Media Connectors / Wires
W)



Convocatoria 2005

• Networks / TIPS
• OSI Model



Convocatoria 2005

• Networks / TIPS
• OSI Model
• Aplication/Presentation/Session
• AFP (Appletalk Filing Protocol) • NIS (Network Information System, früher YP, Yellow
• CIFS (Common Internet File System) Pages)
• DNS (Domain Name Service) • NTP (Network Time Protocol)
• FTP (File Transfer Protocol) • POP (Post Office Protocol)
• HTTP (Hyper Text Transfer Protocol) • SAP (Service Advertising Protocol)
• IMAP (Internet Mail Access Protocol) • SLP (Service Location Protocol)
• IPP (Internet Printing Protocol) • SMB (Server Message Block)
• LDAP (Lightweight Directory Access Protocol) • SMTP (Simple Mail Transfer Protocol)
• LPD (Line Printer Demon) • SNMP (Simple Network Management Protocol)
• NBT (NetBios over TCP/IP) • SSL (Secure Socket Layer)
• NCP (Netware Core Protocol) • Telnet
• NetBIOS (Network Basic Input / Output System) • TFTP (Trivial File Transfer Protocol)
• NFS (Network File System) • UUCP (Unix to Unix Copy Program)



Convocatoria 2005

• Networks / TIPS
• OSI Model
• Transport / Network

• ARP (Address Resolution Protocol) • RARP (Reverve Address Resolution Protocol)
• BootP • RIP (Routing Information Protocol)
• DHCP (Dynamic Host Configuration Protocol) • SPX (Sequenced Packet Exchange)
• ICMP (Internet Control Message Protocol) • SSL (Secure Socket Layer)
• IP (Internet Protocol) • TCP (Transport Control Protocol)
• IPX (Internet Packet Exchange) • TLS (Transport Layer Security)
• NetBEUI (Network BIOS Enhanced User Interface) • UDP (User Datagram Protocol)
• OSPF (Open Shortest Path First) • WINS (Windows Internet Name Service)



Convocatoria 2005

• Networks / TIPS
• OSI Model
• DataLink / Physical

• Ethernet (10Base-2, 10Base-5, 10Base-T, 10Base-F, • MS-CHAP (Microsoft Challenge Handshake
100Base-T, 1000Base-SX) Authentification Protocol)
• ADSL (Asynchronous Digital Subscriber Line) • PAP (Password Authentification Protocol)
• CHAP (Challenge Handshake Authentification • POTS (Plain Old Telephone Services)
Protocol)
• PPP (Point to Point Protocol)
• CSMA/CD (Carrier Sense Multiple Access/Collision
Detection) • SDSL (Synchronous Digital Subscriber Line)
• FC/AL (Fibre Channel/Arbitrated Loop) • SLIP (Serial Line Interface Protocol)
• ISDN (Integrated Services Digital Network)



Convocatoria 2005

• Networks / TIPS
• OSI Model



Convocatoria 2005

• Networks / TIPS
• OSI Model – 0(media) – 1 (bits)



Convocatoria 2005

• Networks / TIPS
• OSI Model –1 (repetidores/hubs)



Convocatoria 2005

• Networks / TIPS
• OSI Model – 2 Data Link



Convocatoria 2005

• Networks / TIPS
• OSI Model – 3 Network



Convocatoria 2005

• Networks / TIPS
• OSI Model – 7 (Gateways)



Convocatoria 2005

• Networks / TIPS
• OSI Model – Ejemplo



Convocatoria 2005


• Networks / TIPS
• Tipos
– LAN (limited area)
– WAN
– MAN (voice+data)
• Riesgos
• Vulnerabilidades



Convocatoria 2005

• Networks / TIPS
• LAN technology
– Packet based swiching networks / 100m/1000m
– Unicast / Broadcast / Multicast
– Physical/datalink layers
– Physical Media
• Wired (twisted pairs, coaxial, fiber optics)
• Wireless ( infrared, wi-fi, radio, …)
– Media Access
• Ethernet CSMA/CD
• Tokens



Convocatoria 2005


• Networks / TIPS
• LAN technology
– Topologies



Convocatoria 2005

• Networks / TIPS
• LAN technology
– Protocols and Network SW
• IP
• SNA
• DecNet
– Components
• Repeaters & Hubs (physical layer) (same segment) (MAC based)
• Bridges / Switches (datalink layer) (unicasts containment) (MAC)
• Switches L3 / Routers (network layer) (broadcasts contaiment) (VLANS)
• Gateways (protocol converters)



Convocatoria 2005

• Networks / TIPS
• LAN risks – vulnerabilities –info gathering
– Risks
• Information: CIA; Access control, sniffing, DoS, …
• System: IA; unauthorized changes, viruses, hacking, spoofing, ..
• Compliance: licenses
– Vulnerabilities
• Administration debilities
• Lack of audit trails
• Expertise/time of administrator
– Info Gathering: topology, people, users, applications, procedures …



Convocatoria 2005

• Networks / TIPS
• WAN (“long” distance)
– Dedicated lines vs Switched
– (packed/circuit/message)
– Simplex / half duplex / duplex
– Wired / Wireless
– PPP, X.25, FrameRelay, ISDN, ATM, xDSL, (VPNs), (Wireless …)
• MAN (voice and data)
– Services:
• Lan 2 Lan, Voice (PBX), Direct links
– (ATM / ISDN !)



Convocatoria 2005

• Networks / TIPS
• Wireless (ojo confusiones con el RM, lo revuelven todo con todo)
– WAP
• WAP/WML/WMLScript/WTLS (ojo, es un Aplication layer
protocol!)
• (HTTP/HTML/JavaScrip/HTTPS)
– Risks and vulnerabilities:
• Data interception, loss/theft of devices, misuse of devices, loss of
data, distraction of users, health effects, user authentication, storage
security, wep (wired equivalent privacy: broken!), interoperability,
propietary solutions, subnets
• Access control (bluetooth/infrared steal; authentication, logging for
access audit trails; encryption to avoid sniffing)
• Application persistence
• Translation point (en WAP, cuando WTLS <-> SSL, puede hacerse
fraude)



Convocatoria 2005


• Client-Server / TIPS
• Manipulate data in server without controlling its resources
• Processing is splitted:



Convocatoria 2005


• Processing is splitted: middleware



Convocatoria 2005


• Risks/Vulnerabilities/Controls
– System integrity (middleware; lack of control); Change control
and change management. Unauthorized changes to system/data.
– Multiple access points and paths; authentication and network
monitoring. Application level access controls.
– Unsecure client side
– Unauthorized modems; not secured connections to external nets
– Confidentiality: Network sniffing / Data encryption
– Network/Server availability; Network obsolescence
– …



Convocatoria 2005

• Internet / TIPS
• Attacks:
– Pasive: network analysis, eavesdropping, traffic analysis, …
– Active: brute force, masquerading (impersonation, IP Spoofing),
packet replay, message modification, unauthorized access,
client-side script execution, DOS, Dial-in penetration, Email
bombing/spamming, email spoofing, …
• Reasons:
– Availability of tools and attackers
– Lack of security awarenes and training (users)
– Not secure aware producs (infrastructure)
– Inadequate/Failure internal security (design, operation, patches,
…)



Convocatoria 2005

• Internet / TIPS
• Tools:
– Firewalls (routers, servers, a variety of sw):
• Types:
– Packet filtering (allow packets in/out)
– Application firewalls (app. Level and circuit level) (packets do not cross
them) (hardening) (proxy servers) (NAT) (PAT)
– Stateful inspection
• Problems:
– False sense of security
– Modems (should be strictly controlled/prohibited)
– Misconfigured firewalls
– Lack of monitoring/supervision



Convocatoria 2005

• Internet / TIPS
• Tools:
– Firewalls:
• Implementations:
– Screened-host FW
– Dual-homed
– DMZ



Convocatoria 2005

• Internet / TIPS
• Tools:
– IDS (NIDS, HIDS)
– Signature based, statistical based, neural networks
– False positives/negatives
– Attacks on IDS
– Sensors / Collectors / Analyzers
– Features: intrusion detection, evidence gathering, automated
response (alarms, closing), policy enforcing, …
– Not a silver bullet … there could be policy weaknesses, app level
vulnerabilities, backdoors into apps, weak
identification/authentication, …



Convocatoria 2005

• Encryption / TIPS
• Uses:
– Protect info (confidentiality, integrity):
• In transit
• In storage
– Provide authenticity
• Of a transaction
• Of a document
• Essential elements:
– Algorithm
– Keys
– Key length



Convocatoria 2005

• Encryption strength depends on:
– Strength of key (secrecy, compromising difficulty, length, …)
– Back-doors, algorithm vulnerabilities, implementation
vulnerabilities, …
• Schemes
– Private (single, secret, symmetric) key schemes.
– Public Key cryptosystems
• Hashing / Digests



Convocatoria 2005


• Private (single, secret, symmetric) key schemes.
– DES: deprecated!, Blowfish, Twofish, Rinjdael (AES).
– Fast and light (data streams)
– Disadvantage: key distribution
• Public (asymetric) Key cryptosystems
– RSA (based in factorization)
– Easy key exchange (public!)
– Slower than symmetric ones
• Elliptical Curve
• Quantum cryptography



Convocatoria 2005

• PK Encryption
– Provides:
• Authentication
• Nonrepudiation
• Confidentiality
– Uses:
• Digital signature (encryption of the hash of the message with private
key of PK encryption ) (authentication and nonrepudiation)
• Confidentiality (encryption of message with public key of reader)
• Hashes:
– MD2, MD4, MD5, SHA-1, SHA-128, …



Convocatoria 2005

• Other items
– Replay protection (sequence number / timestamp within message)
– PKI / Certificates: independent authentication of user (joining a
“person” to a public key); PKI: issues, maintains and revokes PK
certificates by a trusted third party
– PK Certificates: PK + user identification, signed by PKI
– PKI must verify identity (CA, Certification Authority; can
delegate to RA, Registration Authority
– PK used in
• SSL (HTTPS, …) (OSI: session layer equiv.)(IP: session+pres+app!)
• IPSec (AH/ESP; SAs; ISAKMP/Oakley; transport/tunnel ) (OSI:
network layer; cifradores de linea, ejemplo de nivel 2 / enlace
/Datalink)
• Email, S/MIME
• SSH (OSI: session layer equiv.) , SET, Kerberos



Convocatoria 2005

• Malicious code / TIPS
• Forms
– Logic Bombs
– Virus
– Trojans
– Worms
– Pests (spyware, adware, highjacking, …)
• Controls
– Policy/Procedural
– Technical (AV
• AV tools the most effective … preventive use … ISACA dixit
• AV frequent updates to virus definitions
• AV user platform / server / gateway


Convocatoria 2005

• Kinds of AV tools
– Localization/Identification (detect)
– Erradication (wipe)
– Inoculators (block infected exes)
• Mechanisms:
– Code inspection: Signature based; heuristic/probabilistic
– Activity inspection: calls, …
– Integrity: CRCs, etc.
• Features needed:
– Reliable and quality detection
– Continuous checking (memory resident)
– Efficiency – reasonable usage of resources


Convocatoria 2005


• Types (the products mix all / marketing hipe …)
– Real Time
• Active monitors (monitor DOS/ROM BIOS calls)
• Behaviour blockers (for example, block boot sector writings …)
• Integrity CRC checkers
• …
– Asyncronous
• Scanners
– Immunizers (append a blocking piece)



Convocatoria 2005

Questions, any?

Gracias
Fin de la revisión de aspectos técnicos

Carlos Bachmaier




Dominio3

Más contenido relacionado

Destacado (15)

Similar a Dominio3 (20)

Más de 1 2d (20)

Último (20)

Dominio3