Los 10 dominios del (ISC)² CISSP CBK

Posted on August 24, 2010 by Inforc Ecuador

Luego de haber publicado información acerca del Seminario de revisión y el Examen para la certificación CISSP, nos consultaron sobre cuáles son los aspectos que debe dominar el profesional que pretenda certificarse como CISSP, y respondemos que se trata de cubrir lo que se denomina como los 10 dominios de conocimiento que requiere el (ISC)² al candidato y son los que se tratan en el curso de preparación para el examen.

Estos 10 dominios son los siguientes:

  1. Prácticas de Gestión de la Seguridad: Identificación de los activos de una organización y desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías:
    • Conceptos y objetivos.
    • Gestión del riesgo.
    • Procedimientos y políticas.
    • Clasificación de la información.
    • Responsabilidades y roles en la seguridad de la información.
    • Concienciación en la seguridad de la información.
  2. Arquitectura y Modelos de Seguridad: Conceptos, principios, estructuras y estándares empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad:
    • Conceptos de control y seguridad.
    • Modelos de seguridad.
    • Criterios de evaluación.
    • Seguridad en entornos cliente/servidor y host.
    • Seguridad y arquitectura de redes.
    • Arquitectura de la seguridad IP.
  3. Sistemas y Metodología de Control de Acceso: Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información:
    • Conceptos y tópicos.
    • Identificación y autenticación.
    • Equipo de e-security.
    • Single sign-on.
    • Acceso centralizado / descentralizado / distribuido.
    • Metodologías de control.
    • Monitorización y tecnologías de control de acceso.
  4. Seguridad en el Desarrollo de Aplicaciones y Sistemas: Define el entorno donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información:
    • Definiciones.
    • Amenazas y metas de seguridad.
    • Ciclo de vida.
    • Arquitecturas seguras.
    • Control de cambios.
    • Medidas de seguridad y desarrollo de aplicaciones.
    • Bases de datos y data warehousing.
    • Knowledge-based systems.
  5. Seguridad de las Operaciones: Usado para identificar los controles sobre el hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso:
    • Recursos.
    • Privilegios.
    • Mecanismos de control.
    • Abusos potenciales.
    • Controles apropiados.
    • Principios.
  6. Criptografía: Los principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad:
    • Historia y definiciones.
    • Aplicaciones y usos de la criptografía.
    • Protocolos y estándares.
    • Tecnologías básicas.
    • Sistemas de encriptación.
    • Criptografía simétrica / asimétrica.
    • Firma digital.
    • Seguridad en el correo electrónico e Internet empleando encriptación.
    • Gestión de claves.
    • Public key infrastructure (PKI).
    • Ataques y criptoanálisis.
    • Cuestiones legales en la exportación de criptografía.
  7. Seguridad Física: Técnicas de protección de instalaciones, incluyendo los recursos de los sistemas de información:
    • Gestión de las instalaciones.
    • Seguridad del personal.
    • Defensa en profundidad.
    • Controles físicos.
  8. Seguridad en Internet, Redes y Telecomunicaciones: Incluye los dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación:
    • Gestión de la seguridad en la comunicaciones.
    • Protocolos de red.
    • Identificación y autenticación.
    • Comunicación de datos.
    • Seguridad de Internet y Web.
    • Métodos de ataque. Seguridad en Multimedia.
  9. Recuperación ante Desastres y Planificación de la Continuidad del Negocio: Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones:
    • Conceptos de recuperación ante desastres y de negocio.
    • Procesos de planificación de la recuperación.
    • Gestión del software.
    • Análisis de Vulnerabilidades.
    • Desarrollo, mantenimiento y testing de planes.
    • Prevención de desastres.
  10. Leyes, investigaciones y Ética: Engloba las leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos:
    • Leyes y regulaciones.
    • Gestión de incidentes.
    • Gestión de la respuesta ante incidentes.
    • Conducción de investigaciones.
    • Ética en la seguridad de la información.
    • Código ético del (ISC)².

Suerte!

Fuente: Internet Security Auditors

About Inforc Ecuador

El blog de INFORC ECUADOR empresa proveedora de soluciones de seguridad informática, trabajando en los nuevos escenarios de “riesgos y amenazas” para la sociedad de la información. Prestando servicios para el sector privado en temas relacionados con la identidad y privacidad. También estamos en Twitter @inforc.
This entry was posted in CISSP, Ecuador. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>