“CISA” (Ser o no ser)

En los últimos meses el término “CISA” ha estado presente en las labores cotidianas. Por lo que he decidido compartir un poco acerca de esta certificación.El procedimiento y los detalles que se deben tener en cuenta para poder brindar el examen de certificación CISA, se los puede encontrar en http://www.isaca.org o ingresando al capítulo de Ecuador http://www.isaca.org.ec


Lo primero que se debe hacer es, inscribirse como miembro ISACA, el valor anual de la membresía si se lo hace “on-line” a través de http://www.isaca.orges de $175,00 USD (capítulo Ecuador). Este es un valor que el miembro deberá cancelar anualmente.


El sitio de ISACA provee todos los recursos para prepararse y aprobar dicho examen, pero cabe recalcar que dichos recursos “NO” son gratuitos, se debe cancelar un valor por los diferentes materiales disponibles en el sitio.Un dato que llama la atención es la cantidad de profesionales certificados en el país, según la página de ISACA-Ecuador, el país cuenta con alrededor de 30 profesionales certificados. Un número significativamente bajo, para la posible demanda que se va generando en el país con respecto al tema.


Una de las “posibles” limitantes para obtener la certificación CISA, es el costo que tiene el examen, el valor del examen cuesta alrededor de $650,00 USD (para no miembros ISACA), y está disponible únicamente en las fechas de junio y diciembre.


Si se desea certificarse como CISA, se deberán seguir los procedimientos que se mencionan en la página de ISACA y estudiar a conciencia todo el material posible.


Mi aporte consiste en poner a su disposición el material oficial de estudio del 2009, si bien es cierto no está actualizado, pero aún se encuentra vigente y espero sea de su ayuda.


DESCARGA DE LA GUIA DE ESTUDIO CISA 2009 http://www.4shared.com/office/D8P_06Qy/GECI.html

Sin pretextos

“El tiempo no perdona”. Prueba de ello, el abandono que este blog ha sufrido por parte de su creador. No existen pretextos para justificar tanta ausencia. Lo importante es que vuelvo a retomar el blog. Durante este tiempo he podido recolectar un “poquitito” de información para poderla compartir, esperando sinceramente sea de su agrado queridos lectores.

Como novedad, he acogido las sugerencias de algunos colegas para mejorar el blog, entre ellas, publicar temas de auditoría de sistemas y uno que otro “humilde” criterio que se pueda aportar.

 

122 días sin publicar

Estimados lectores antes que nada una sincera disculpa por no haber aportado mucho en los últimos cuatro meses. La verdad que actividades personales y sueños que he logrado cumplir han hecho que haya dejado de publicar en el blog.

Si bien mi profesión y de lo que vivo tiene que ver con la seguridad informática, debo confesar que hay momentos en el camino profesional y personal que uno decide bajarse de la rutina y del diario vivir para cumplir sueños, hacer cosas diferentes o simplemente replantearse objetivos, nuevos sueños, metas y proyectos.

En fin, hoy que iniciamos el décimo mes del año, también hemos decidido retomar el blog que un poco estaba abandonado. Si bien en los últimos meses no he generado casi nada en lo que respecta a seguridad informática y de la información, no me he alejado del todo de este campo que aún me sigue apasionando.

Retomando no solo las actividades del blog sino a las propias de la profesión les comento que he decido poner la mira en dos objetivos para los próximos seis meses, mi tesis de magister y el estudio concienzudo y dedicado para rendir el examen para el CISSP en el 2012.

En torno a estos temas es que iré publicando artículos que puedan aportar y colaborar al desempeño profesional y personal de mis estimados lectores.

Hemos regresado y estamos con la pilas puestas al 100%.

Infografía I (Tipo de Hackers)

Links Recomendados de la Semana

Estimados Lectores:

Para finalizar la semana laboral, les dejo con links recomendados de esta semana.

http://blog.segu-info.com.ar/

http://blogs.eset-la.com/laboratorio/

http://www.dragonjar.org

http://www.bsecure.com.mx

http://www.iso27000.es/

Entre Sábado y Domingo si el tiempo lo permite colaboraré con laboratorios técnicos, de lo contrario lo haré los primeros días de la próxima semana.

Participaré de los festejos por el INTI RAYMI (fiesta del sol) en honor al “dios sol”, un ritual ancestral que nuestros pueblos andinos festejan desde hace siglos para celebrar el solsticio de verano; y ojalá pueda alcanzar a publicar en el Blog.

“No todo es trabajo y estudio, el alma también necesita alimento.”

Saludos.

Porqué concientizar además de capacitar.

Imagen tomada de: http://seguridad-informacion.blogspot.com

Conciencia y Capacitación, dos términos que van de la mano, el uno muy pronunciado pero poco practicado y el otro muy practicado pero poco aceptado.

Pienso que no basta solo con tener controles y medidas de seguridad bien implementadas, una de las funciones del Área de Seguridad de la Información es concientizar a quienes conforman la organización, sobre la importancia de manejar adecuadamente la información considerada sensible o confidencial.

Quizás es una de las tareas más complicadas con las que Seguridad de la Información se puede encontrar, llegar al Recurso Humano no solo requiere un “expertise” técnico, requiere un nivel importante de comunicación. Un buen manejo del lenguaje es importante en las campañas de concientización, debemos recordar que comúnmente una organización está conformada por varios perfiles profesionales y la seguridad no solo centra en tecnología; es importante conocer el negocio y poder identificar potenciales riesgos en el manejo de la información que las otras áreas también maneja.

Existen varias técnicas y metodologías para implementar campañas de concientización, lo menos recomendable cuando se inicia estas etapas es mencionar las sanciones que se pueden aplicar si existe un incidente de seguridad de la información. Eso de por sí hace que los colaboradores de la compañía se muestren un poco reacios a este tipo de iniciativas.

Considero que en una primera fase, es bueno es utilizar métodos y herramientas lúdicas que vayan calando en la conciencia de los colaboradores de la empresa.

Una de las principales diferencias que existe con capacitar, es el objetivo; concientizar es explicar el ¿por qué? y el ¿para qué? tener buenas prácticas de seguridad de la información basados en hechos reales. Ya luego la capacitación se encargará del ¿cómo? hacer que nuestra información esté protegida.

Entre el material que se suele emplear para emprender estas campañas dentro de la organización son:

  • Charlas de inducción para personal que recién ingresa.
  • Apoyo con material multimedia.
  • Actividades lúdicas que no afecten el normal desenvolvimiento de los colaboradores, la idea es “aprender jugando”.
  • El empleo de herramientas tecnológicas.
  • Cualquier otra idea innovadora que permita ayudar con la tarea de concienciación.

Un ejemplo de campaña de concientización a implementar podría ser: el buen uso de las contraseñas y el bloqueo de las estaciones de trabajo al ausentarse del puesto de trabajo.

Se debería iniciar con una reunión para indicar la importancia de no facilitar las contraseñas y del porqué deberían dejar bloqueados sus equipos en el caso de ausentarse de sus lugares de trabajo, argumentando problemas de seguridad como accesos no autorizados o acceso a información considerada confidencial.

Luego se pondrían en consideración las reglas del juego, incentivando con algún reconocimiento o mención a quienes menos incumplan dichas políticas, para fases posteriores, a aquellos que más incumplan las políticas definidas se les podría asignar alguna tarea que no necesariamente signifique sancionar, como por ejemplo, que dichos colaboradores dicten alguna charlar sobre el tema en otras áreas.

Estas y otras estrategias dan resultado si tiene un ciclo de vida continua, una revisión constante e indicadores que permitan identificar los resultados de dichas políticas. Todo depende del apoyo que se obtenga de las autoridades y de las herramientas empleadas para cumplir el objetivo, “crear conciencia sobre las amenazas informáticas que vivimos en esta era digital”.

Les comparto un “Paper” de un profesional colombiano que topa el tema de concientización desde varias aristas:

http://www.gigabytesperu.com/trabajos/0204-Concientiza.doc

VI Congreso Iberoamericano de Seguridad Informática

Después de un viaje obligado al Sur del continente, cambié de opinión con respecto a los “viajes de estudio”.

Uno puede elegir entre ir a aprender, pasear o alternar las dos actividades.  Ya sea por placer o por motivos de estudio no está por demás tener presente y considerar asistir al “VI Congreso Iberoamericano de Seguridad Informática” que este 2011, del 2 al 4 de Noviembre, celebra una nueva edición, en el cual se abordarán temas relacionados con la seguridad informática y de la información.

Este año 2011 la sede es Bucaramanga (Colombia) en la Universidad Pontificia y coincide con el “Feriado de Difuntos” que se celebra justamente en esas fechas en Ecuador,  además no está tan lejos. Los motivos para ir pueden ser algunos, aprendizaje, diversión o porque no las dos, en todo caso la invitación está hecha.

En lo personal aún no he decidido si ir o no, después del viaje que me espera en Julio, se me acabaron los permisos en el trabajo y en la casa, con todo sería de evaluar las posibilidades.

Pero dicen que el único riesgo de ir a Colombia es “Que te quieras quedar”. ¿Será verdad?

Más información en: http://www.cibsi.upbbga.edu.co/

A %d blogueros les gusta esto: