"Mantente ávido por saber y tal vez llegarás a ser sabio"

[ Isocrates -Profesor y político griego - 436-338 a.C. ]

Boletín 66 - Certificación CISSP - 14/10/2006

Leído por ahí (en topopardo y diarioti)

"Por lo visto, la empresa que distribuye la carne guarda celosa ese secreto, aunque garantiza que es de calidad y apta para el consumo humano." ...
"Microsoft asegura que Vista será un producto mucho más seguro si intereses ajenos no tienen acceso al kernel. La compañía recalca que de esa forma se estará impidiendo que intrusos, como hackers y crackers, revelen vulnerabilidades del código fuente."

1. Articulo del Día: Certificación CISSP
2. Novedades de Segu-Info
3. InfoSecurity
4. Gestión de la Seguridad (BCP y DRP)
5. Noticias de esta semana
6. Desafío de la semana

1. Artículo del Día: Certificación CISSP

He tenido el placer de asistir a 10 hs de capacitación intensiva sobre la Certificación CISSP (Certified Information Systems Security Professionals).
Estos cursos generalmente denominados Bootcamps tienen el objetivo de capacitar a sus asistentes en temas relacionados a la Certificación y a su forma tan particular de rendir (y aprobar) el examen.

Para obtener más información sobre Certificaciones sugiero la lectura de nuestros artículos 39 y 52.

Para comenzar realizaré un breve resumen de las características básicas de esta Certificación Internacional que reúne alrededor de 30.000 profesionales en el mundo.

La Certificación CISSP es entregada por (ISC)2, una organización sin fines de lucro dedicada a aspectos de seguridad de la información y que ha provisto Certificaciones Internacionales a profesionales desde 1992.
(ISC)2 fue formada en 1998 por la unión de organizaciones de seguridad en IT.

• Es la Certificación de mayor reconocimiento internacional como Profesional Integral en InfoSec, con el mismo valor académico y profesional en cualquier lugar del mundo.

• Es una de las pocas Certificaciones que ha logrado el Estándar ISO/IEC 17024 como "General requirements for bodies operating certification of persons."

• Consta de 10 dominios de estudio (conocidos como CBK - Base Común de Conocimiento) que cubren gran parte del conocimiento y experiencia actual en seguridad de la información.

• Lograr esta Certificación es un aval de Conocimiento, Credibilidad y Calidad.

• Para certificar se requieren 4 años de experiencia en cualquiera de los dominios o bien 3 años de experiencia y un título de grado. Se puede rendir y aprobar el examen pero se logrará la Certificación cuando se cumplan los requisitos de experiencia.

• El proceso de Certificación consta de tres etapas:

  1. Examination (rendir un exámen)

  2. Certification (verificar experiencia y código de ética)

  3. Audit (revisión de antecendentes en forma aleatoria)

• Rendir tiene un costo de 499 U$S

• El exámen consta de 250 preguntas múltiple choice 4 opciones posibles y una sola correcta. Si la pregunta se responde incorrectamente no se suma puntaje y tampoco se resta. De estas preguntas 25 no suman ni restan puntos y sólo son de prueba. El examinado no conoce cuales son estas preguntas por lo que deberá contestar las 250.

• El participante dispone de 6 hs para realizar el exámen.

• Los lugares de examinación son informados un mes y medio antes de la fecha y pueden variar según la cantidad de interesados en cada país.

• El examen puede solicitarse en varios idiomas (incluido el español) pero siempre se recibirá además en original en inglés para evitar inconvenientes y dudas propias de la traducción.

• Se aprueba el examen con 70% y cuando se lo hace no se informa al participante su puntaje, sólo se informa su aprobación y se lo felicita. Esto es así para lograr que todos los certificados sean igualmente CISSP sin importar el puntaje obtenido. En caso de no aprobar, sí se notifica el puntaje obtenido y el dominio en cual debe reforzar los estudios.

• Posterior a rendir el examen se debe acordar con el código de ética y un superior u otro CISSP deberá corroborar (firmar) la hoja de vida del interesado y su experiencia.

• Posterior a esto y antes de obtener la Certificación puede (aleatóriamente) realizarse una auditoría al candidato. Luego de ello el candidato recibe su credencial de CISSP.

• Para revalidar se debe demostrar actualización permanente. En este caso se debe sumar 120 puntos cada 3 periodos anuales.

• Las formas de estudio suelen ser:

  • Persona independiente con las guías de estudio

  • Toma de Bootcamps en grupos y dictados por otros CISSP

  • Grupos de estudio independientes

  • Cualquier combinación anterior

• Las guías (libros de 1000 hojas) de estudios más comúnmente utilizados son:

  1. CISSP All-in-One Exam Guide, Third Edition by Shon Harris (McGraw-Hill Osborne Media) ISBN: 007225712

  2. Official (ISC)2 Guide to the CISSP Exam By Susan Hansche (AUERBACH) ISBN: 084931707X

  3. The CISSP Prep Guide: Gold Edition By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X

  4. Advanced CISSP Prep Guide: Exam Q&A By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632

  5. CISSP Certification Training Guide By Roberta Bragg (Que) ISBN: 078972801X

  6. Information Security Management Handbook, Fifth Edition By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978

  7. CISSP: Certified Information Systems Security Profesional Study Guide Third Edition By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438

  8. Preguntas y respuestas de prueba online:
     http://www.boson.com/
     http://www.boson.com/
     http://www.testking.com/

Como nota al margen respondo una pregunta ampliamente realizada: si bien los libros mencionados pueden conseguirse en Internet y redes P2P, es muy recomendado adquirirlos en cualquier librería. Esto es debido a que, como se vio, una certificación de este tipo cumple con un código de ética que sería conveniente seguir. Además poseer libros de este volumen en nuestra biblioteca, sin duda, realza la misma.

A continuación dejo un breve resumen realizado por el CISSP Ezequiel Sallis (a cargo del intensivo mencionado) en donde se explican las diferencias con otras Certificaciones como CISA.

Las dos Certificación CISSP y CISA, están orientadas para diferentes perfiles. En caso de CISSP esta orientado a un CISO (con un perfil más técnico que funcional) y en el otro caso esta pura y exclusivamente orientado a un perfil de Auditor. No está de más tener las dos o las tres si mencionamos CISM (fuertemente orientada al Management de la seguridad de la información). Creo que el punto en este caso es ver cual es el objetivo de cada persona y certificar el conocimiento adecuado.

A continuación dejo algunos puntos a considerar para "Certificar o no Certificar".

Certificar o No Certificar

• Las Certificaciones son en gran parte, un indicador acerca del nivel de conocimiento.

• Sin embargo, la mayoría de las Certificación no implican la existencia de experiencia practica.

• No tener una Certificación NO se traduce en no tener conocimientos

El correcto entorno de una Certificación debe tener

• Un claro cuerpo del conocimiento

• Un estándar de conducta

• Una clara estructura que defina que significa la Certificación y cuales son los pasos para obtenerla

Tipos de Certificaciones de seguridad existentes

• Over All Scope (sin vendor especificado)

• Especificas:
  . Vendor Independent
  . Vendor Dependent

Motivo de una Certificación

• ¿En realidad la quiero?

• Dos consideraciones a tener en cuenta:
  . Area de conocimiento en el que deseo la Certificación . La Certificación debe mostrar conocimientos específicos o mas bien prefiero que demuestre conocimientos generales

Manteniendo las Certificaciones al día

• Generalmente se requiere del pago de un fee anual para el mantenimiento

• Pueden tener un periodo de validez

• La re-Certificación puede requerir rendir nuevamente el examen

• Algo interesante son aquellas Certificaciones en las que para re-certificar, hay que acreditar la actualización permanente(CPE). Por ejemplo CISSP

Algunas Certificaciones

• Certified Information System Security Professional CISSP

• Certified Information Security Manager CISM

• GIAC Security Essentials Certification GSEC

• Certified Information System Auditor CISA

• Microsoft Certified System Administrator + Security MCSA

• Cisco Certified Security Professional CCSP

• Certified Ethical Hacker CEH

• OSSTMM Professional Security Tester OPST

• Muchas otras

Consideraciones Finales

• Son un diferencial a la hora de postularse a un trabajo

• Otras veces se cree que es un error tipográfico al lado de nuestro nombre en el CV (Juan Perez CRZX/HTSE/JS$#@)

• Una Certificación, generalmente, no abarca valores intangibles que son importantes como:
  . Inteligencia
  . Sentido Común
  . Ética Laboral

Más Información:
Sitio de ISC2
El placer de ser CISSP

Gracias Ezequiel!

del.icio.us digg

2. Novedades de Segu-Info

En un claro ejemplo de lo que ha logrado esta comunidad en su tiempo de vida nos creemos en la responsabilidad de informar algunos nuevos logros que si bien no son grandes éxitos nos ayudan a continuar.

Cabe recordar que Segu-Info es un portal SIN fines de lucro en donde nos dedicamos a dar a conocer lo poco o mucho que sabemos de Seguridad de la Información pero sobre todo nuestro objetivo es concientizar al público en general sobre esta temática.

Desde hace un tiempo estamos sufriendo una sobrecarga de trabajo ya sea para actualizar el sitio, para lanzar este boletín, para administrar los cuatro foros (1 online y 3 por correo), para mantener al día nuestro blogger para que todos Uds. puedan estar al tanto al minuto de lo que sucede en el mundo de la seguridad.

Es por esta sobrecarga que solicitamos colaboradores. Cualquier ayuda que puedas brindar será bienvenida:

• Sabes otros idiomas. Ayúdanos a traducir artículos.

• Sabes programación. Ayúdanos a mantener el sitio.

• Lees muchas noticias. Ayúdanos a mantener el blogger o envíalas para su publicación.

• Tienes ideas. Envíalas.

• Eres administrador. Ayúdanos.

• Conoces AS/400, GNU/Linux, BSD, MAC-OS. Escribe para nosotros.

• Tienes ideas de como hacer crecer la comunidad. Escríbenos.

• No sabes nada de eso pero tienes ganas de ayudar. Escríbenos.

Como corolario a este pedido tenemos el placer de anunciar que Segu-Info a aparecido en InfoBAE y Clarín en esta última semana.
http://www.clarin.com/diario/2006/10/06/sociedad/s-03401.htm

Además el tio Google nos ha premiado sumando un punto a su PageRank.
Desde hace unas horas somos PR5.

3. InfoSecurity

Del 9 al 13 de octubre, en el Hotel Hilton, se llevó a cabo la 4ta edición de InfoSecurity Week Buenos Aires, el evento Académico de Seguridad de la Información.

Con una afluencia cercana a los 1200 asistentes, distribuidos durante los cinco días, la cita congregó a los Profesionales y Empresas más destacados del Mercado en un ámbito donde la concientización sobre la Seguridad fue el aspecto central.

Hubo más de 40 Conferencias, WorkShops y Meetings divididos de acuerdo a los diferentes targets: Gobierno, Prensa, Empresas, Asociaciones de Seguridad, Actividades Técnicas, entre otros. Las temáticas más atrayentes fueron las vinculadas a los Delitos Informáticos, con la exclusiva presencia del FBI, y las distintas técnicas de ataques, aunque también se destacaron otros temas como la importancia de Certificar Normas Internacionales (ISO, SOX) y el desarrollo de un Plan de Continuidad del Negocio frente a Contingencias (BCP).

Adicionalmente, se desarrollaron actividades de Capacitación, tal fue el caso del Intensivo Ethical Hacking y CISSP (Certified Information Systems Security Professionals), como también la Certificación I-SEC+.

Algunas apreciaciones personales

Si bien este año las presentaciones estuvieron verificadas para que sólo tuvieran contenido académico, nuevamente debo decir que la publicidad y el marketing tuvieron mayor cabida que el interés por la capacitación. Entiendo el motivo pero creo que esto debería verificarse y replantearse para futuras ediciones.

De todas formas, personalmente siempre prefiero asistir a las presentaciones de gente conocida en un área específica. Debo decir que cuando así lo hice no me arrepentí.

Nuevamente aprovecho para agradecer a I-Sec por las entradas sorteadas en Segu-Info.

Algunas fotos:

http://www.infosecurityonline.org/infosecurity/eventos/argentina/fotos.php

4. Gestión de la Seguridad (BCP y DRP)

A través de un excelente blog, "Seguridad y Gestión" de Joseba Enjuto, dejo los conceptos de Continuidad de Negocio y de Análisis de Riesgos tan necesarios en cualquier organización.

http://secugest.blogspot.com/2006/09/conceptos-de-continuidad-de-negocio.html
http://secugest.blogspot.com/2006/09/conceptos-de-analisis-de-riesgos.html

Además, en nuestra sección de terceros podrán encontrar información relacionada, desarrollada por Alberto G. Alexander:
http://www.segu-info.com.ar/terceros/

5. Noticias de esta semana

Estas noticias ahora pueden ser consultadas directamente desde aquí

También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)"

14 de octubre

• Robar Base de Datos en 5 segundos

• Lugares de trabajo: Amenazas internas a la seguridad

13 de octubre

• Como identifican los spammers sus blancos

• Empresas de celulares desmintieron promoción de SMS

• Delitos informáticos en Argentina

12 de octubre

• Crackeando VoIP

• Estudio que revela por qué funciona el phishing

• Diputados aprobó el proyecto para penalizar los delitos informáticos

• Microsoft retira el galardón MVP a un programador que distribuía software espía

11 de octubre

• Spamhaus puede perder su dominio si prospera petición de empresa de marketing online

10 de octubre

• Los PC son atacados 53 veces por noche

• Estado de situación de una dirección IP

• Microsoft se esfuerza... ¿para nada?

• Phishing: Home Banking (Banco de la Nación Argentina)

• El gobierno suizo planea utilizar troyanos para escuchas VoIP

• Resumen de Boletines de Seguridad para el mes de octubre de 2006

• Hackeados los sistemas de voto electrónico europeos

09 de octubre

• ¿Wifi abierto o encriptado?

• Microsoft recluta hackers (no piratas)

• Gmail es mejor en la lucha contra el spam

• Troyano propagandose en las ultimas 24hs (Web-Attacker, RootLauncher)

• La seguridad de los portátiles deberá ser prioridad número uno para las empresas

• Análisis de Vista RC2

• ¡Que viene Explorer 7, que viene!

• Robo internacional de datos

• Aprovechando Google y su buscador de código fuente

08 de octubre

• Microsoft publicará once boletines de seguridad el próximo martes

• Usando Javascript para conocer el historial de búsquedas

• Internet: aumentó 42% el envío de mails basura en castellano

6. Desafío de la semana

Solución al desafío del boletín anterior (65):

Este juego ha sido bautizado "San Segundo". Gana el segundo número más bajo que no esté repetido. ¿Qué número conviene elegir? Evidentemente no el 1: jamás podría ser el segundo número más bajo. Queda descartado. ¿Y el 2? Bueno, si nadie elegirá el 1, el 2 no podrá ser nunca el segundo número más bajo. También queda descartado. Si nadie elige ni el 1 ni el 2, tampoco es razonable elegir el 3; de la misma manera se descartan el 4, el 5, el 6, todos. Conclusión: no conviene elegir ningún número. Y sin embargo, al jugar, habrá alguno que gane.

Si leemos el desafío con atención dice "gana el segundo número más bajo que no esté repetido".

Nota: los números 0.001, 0.000000000001, 0.0000000000000000000001, etc. fueron considerados como 0.1 para evitar problemas.

Así, los números que llegaron: 0.1, 2, 2, 2, 3, 7, 9, 19, 65 Si observamos a lista el segundo número más bajo no repetido es el 3 (el 2 se repite 3 veces).

El ganador es: eduardo@

Desafío de esta semana:
Una determinada especie de amebas se reproduce dividiéndose en dos cada día. Entonces, si hoy tenemos una ameba, mañana tendremos dos, pasado mañana cuatro, etc. Cuando comenzamos con una ameba, se tarda 30 días en llenar una cierta superficie con amebas. ¿Cuánto se tarda en cubrir la misma superficie si comenzamos con dos amebas?