CISSP: Certified Information System Security Professional

Dominio 1: Seguridad y Gestión de Riesgos

1.1 - Comprender, adherirse y promover la ética profesional

• Código de Ética Profesional ISC2
• Código de ética organizacional

1.2 - Comprender y aplicar conceptos de seguridad

• Confidencialidad, integridad y disponibilidad, autenticidad y no repudio (5 Pilares de la Seguridad de la Información)

1.3 - Evaluar y aplicar los principios de gobernanza de la seguridad

• Alineación de la función de seguridad a la estrategia comercial, metas, misión y objetivos
• Procesos organizacionales (por ejemplo, adquisiciones, desinversiones, comités de gobierno)
• Roles y responsabilidades organizacionales
• Marcos de control de seguridad (por ejemplo, Organización Internacional de Normalización (ISO), Instituto Nacional de Estándares y Tecnología (NIST), Objetivos de Control para la Información y Tecnología Relacionada (COBIT), Arquitectura de Seguridad Empresarial Aplicada de Sherwood (SABSA), Industria de Tarjetas de Pago (PCI), Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP))
• Cuidado debido/diligencia debida

1.4 - Comprender los problemas legales, regulatorios y de cumplimiento que se refieren a la seguridad de la información en un contexto holístico

• Ciberdelitos y violaciones de datos
• Requisitos de licencia y propiedad intelectual
• Controles de importación/exportación
• Flujo de datos transfronterizo
• Cuestiones relacionadas con la privacidad (por ejemplo, Reglamento General de Protección de Datos (GDPR), Ley de Privacidad del Consumidor de California, Ley de Protección de Información Personal, Ley de Protección de Información Personal)
• Contractuales, legales, normas de la industria y requisitos reglamentarios

1.5 - Comprender los requisitos para los tipos de investigación (es decir, estándares administrativos, penales, civiles, regulatorios, industriales)

1.6 - Desarrollar, documentar e implementar políticas, normas, procedimientos y directrices de seguridad

• Alineación de la función de seguridad a la estrategia comercial, metas, misión y objetivos
• Procesos organizacionales (por ejemplo, adquisiciones, desinversiones, comités de gobierno)
• Roles y responsabilidades organizacionales
• Marcos de control de seguridad (por ejemplo, Organización Internacional de Normalización (ISO), Instituto Nacional de Estándares y Tecnología (NIST), Objetivos de Control para la Información y Tecnología Relacionada (COBIT), Arquitectura de Seguridad Empresarial Aplicada de Sherwood (SABSA), Industria de Tarjetas de Pago (PCI), Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP))
• Cuidado debido/diligencia debida

1.7 - Identificar, analizar, evaluar, priorizar e implementar los requisitos de Continuidad del Negocio (BC)

• Análisis de impacto empresarial (BIA)
• Dependencias externas

1.8 - Contribuir y hacer cumplir las políticas y procedimientos de seguridad del personal

• Selección y contratación de candidatos
• Acuerdos de empleo y requisitos impulsados por políticas
• Procesos de incorporación, transferencias y terminación
• Acuerdos y controles de proveedores, consultores y contratistas

1.9 - Comprender y aplicar conceptos de gestión de riesgos

• Identificación de amenazas y vulnerabilidades
• Análisis de riesgos, evaluación y alcance
• Respuesta y tratamiento de riesgos (por ejemplo, seguro de ciberseguridad)
• Tipos de controles aplicables (por ejemplo, preventivos, de detección, correctivos)
• Evaluaciones de control (por ejemplo, seguridad y privacidad)
• Monitoreo y medición continuos
• Informes (por ejemplo, internos, externos)
• Mejora continua (por ejemplo, modelado de madurez de riesgo)
• Marcos de riesgo (por ejemplo, Organización Internacional de Normalización (ISO), Instituto Nacional de Estándares y Tecnología (NIST), Objetivos de Control para la Información y Tecnología Relacionada (COBIT), Arquitectura de Seguridad Empresarial Aplicada de Sherwood (SABSA), Industria de Tarjetas de Pago (PCI))

1.10 - Comprender y aplicar conceptos y metodologías de modelado de amenazas

1.11 - Aplicar conceptos de Gestión de Riesgos de la Cadena de Suministro (SCRM)

• Riesgos asociados con la adquisición de productos y servicios de proveedores y proveedores (por ejemplo, manipulación de productos, falsificaciones, implantes)
• Mitigación de riesgos (por ejemplo, evaluación y monitoreo de terceros, requisitos mínimos de seguridad, requisitos de nivel de servicio, raíz de confianza de silicio, función físicamente no clonable, lista de materiales de software)

1.12 - Establecer y mantener un programa de concientización, educación y capacitación en seguridad

• Métodos y técnicas para aumentar la conciencia y la capacitación (por ejemplo, ingeniería social, phishing, campeones de seguridad, gamificación)
• Revisiones periódicas de contenido para incluir tecnologías y tendencias emergentes (por ejemplo, criptomoneda, inteligencia artificial (IA), blockchain)
• Evaluación de la efectividad del programa

Dominio 2: Seguridad de los activos

2.1 - Identificar y clasificar información y activos

• Clasificación de datos
• Clasificación de Activos

2.2 - Establecer requisitos de información y manejo de activos

2.3 - Suministro de información y activos de forma segura

• Información y propiedad de activos
• Inventario de activos (por ejemplo, tangible, intangible)
• Gestión de activos

2.4 - Gestionar el ciclo de vida de los datos

• Roles de datos (es decir, propietarios, controladores, custodios, procesadores, usuarios/sujetos)
• Recopilación de datos
• Ubicación de datos
• Mantenimiento de datos
• Retención de datos
• Remanencia de datos
• Destrucción de datos

2.5 - Garantizar la retención adecuada de activos (por ejemplo, Fin de la Vida Útil (EOL), Fin del Soporte)

2.6 - Determinar los controles de seguridad de datos y los requisitos de cumplimiento

• Estados de datos (por ejemplo, en uso, en tránsito, en reposo)
• Alcance y sastrería
• Selección de estándares
• Métodos de protección de datos (por ejemplo, Digital Rights Management (DRM), Data Loss Prevention (DLP), Cloud Access Security Broker (CASB))

Dominio 3: Arquitectura de Seguridad e Ingeniería

3.1 - Investigar, implementar y administrar procesos de ingeniería utilizando principios de diseño seguros

• • Modelado de amenazas
  • Menor privilegio
  • Defensa en profundidad
  • Valores predeterminados seguros
  • Falla de forma segura
  • Segregación de Deberes (SoD)
  • Mantenlo simple y pequeño
  • Cero confianza o confianza pero verificar
  • Privacidad por diseño
  • Responsabilidad compartida
  • Borde de servicio de acceso seguro

3.2 - Comprender los conceptos fundamentales de los modelos de seguridad (por ejemplo, Biba, Star Model, Bell-LaPadula)

3.3 - Seleccione controles basados en los requisitos de seguridad de los sistemas

3.4 - Comprender las capacidades de seguridad de los Sistemas de Información (IS) (por ejemplo, protección de memoria, Módulo de Plataforma de Confianza (TPM), cifrado/descifrado)

3.5 - Evaluar y mitigar las vulnerabilidades de las arquitecturas de seguridad, diseños y elementos de solución

• • Sistemas basados en el cliente
  • Sistemas basados en servidor
  • Sistemas de bases de datos
  • Sistemas criptográficos
  • Sistemas de Control Industrial (ICS)
  • Sistemas basados en la nube (por ejemplo, Software como Servicio (SaaS), Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS))
  • Sistemas distribuidos
  • Internet de las Cosas (IoT)
  • Microservicios (por ejemplo, interfaz de programación de aplicaciones (API))
  • Contenedorización
  • Sin servidor
  • Sistemas integrados
  • Sistemas de Computación de Alto Rendimiento
  • Sistemas informáticos de borde
  • Sistemas virtualizados

3.6 - Seleccionar y determinar soluciones criptográficas

• • Ciclo de vida criptográfico (por ejemplo, claves, selección de algoritmos)
  • Métodos criptográficos (por ejemplo, curvas simétricas, asimétricas, elípticas, cuánticas)
  • Infraestructura de clave pública (PKI) (por ejemplo, distribución de clave cuántica)

3.7 - Comprender los métodos de ataques criptoanalíticos

• • Fuerza bruta
  • Solo texto cifrado
  • Texto sin formato conocido
  • Análisis de frecuencia
  • Texto cifrado elegido
  • Ataques de implementación
  • Canal lateral
  • Inyección de falla
  • Tiempo
  • Hombre en el Medio (MITM)
  • Pasa el hash
  • Explotación kerberos
  • Ransomware

3.8 - Aplicar principios de seguridad al diseño del sitio y las instalaciones

3.9 - Controles de seguridad del sitio y de las instalaciones de diseño

• • Armarios de cableado/instalaciones de distribución intermedia
  • Salas de servidores/centros de datos
  • Instalaciones de almacenamiento de medios
  • Almacenamiento de evidencia
  • Seguridad restringida y del área de trabajo
  • Utilidades y Calefacción, Ventilación y Aire Acondicionado (HVAC)
  • Cuestiones ambientales (por ejemplo, desastres naturales, provocados por el hombre)
  • Prevención, detección y supresión de incendios
  • Potencia (por ejemplo, redundante, copia de seguridad)

3.10 - Gestionar el ciclo de vida del sistema de información

• • Necesidades y requisitos de las partes interesadas
  • Análisis de requisitos
  • Diseño arquitectónico
  • Desarrollo /implementación
  • Integración
  • Verificación y validación
  • Transición/despliegue
  • Operaciones y mantenimiento/sostenimiento
  • Jubilación/eliminación

Dominio 4: Comunicación y Seguridad de la Red

4.1 - Aplicar principios de diseño seguro en arquitecturas de red

• Modelos de Interconexión de Sistema Abierto (OSI) y Protocolo de Control de Transmisión/Protocolo de Internet (TCP/IP)
• Protocolo de Internet (IP) versión 4 y 6 (IPv6) (por ejemplo, unidifusión, difusión, multidifusión, anycast)
• Protocolos seguros (por ejemplo, Internet Protocol Security (IPSec), Secure Shell (SSH), Secure Sockets Layer (SSL)/ Transport Layer Security (TLS))
• Implicaciones de los protocolos multicapa
• Protocolos convergentes (por ejemplo, Internet Small Computer Systems Interface (iSCSI), Voz sobre Protocolo de Internet (VoIP), InfiniBand sobre Ethernet, Compute Express Link)
• Arquitectura de transporte (por ejemplo, topología, datos/control/plano de gestión, recorte/almacenamiento y avance)
• Métricas de rendimiento (por ejemplo, ancho de banda, latencia, fluctuación, rendimiento, relación señal-ruido)
• Flujos de tráfico (por ejemplo, norte-sur, este-oeste)
• Segmentación física (por ejemplo, en banda, fuera de banda, con espacio de aire)
• Segmentación lógica (por ejemplo, redes virtuales de área local (VLAN), redes privadas virtuales (VPN), enrutamiento y reenvío virtuales, dominio virtual)
• Microsegmentación (por ejemplo, superposiciones/encapsulación de red; firewalls distribuidos, enrutadores, sistema de detección de intrusiones (IDS)/sistema de prevención de intrusiones (IPS), confianza cero)
• Redes de borde (por ejemplo, ingreso/ejercicio, peering)
• Redes inalámbricas (por ejemplo, Bluetooth, Wi-Fi, Zigbee, satélite)
• Redes celulares/móviles (por ejemplo, 4G, 5G)
• Redes de distribución de contenidos (CDN)
• Redes definidas por software (SDN), (por ejemplo, interfaz de programación de aplicaciones (API), Red de Área Amplia Definida por Software, virtualización de funciones de red)
• Nube Privada Virtual (VPC)
• Monitoreo y administración (por ejemplo, observabilidad de red, flujo/forma de tráfico, administración de capacidad, detección y manejo de fallas)

4.2 - Componentes de red seguros

• Operación de infraestructura (por ejemplo, energía redundante, garantía, soporte)
• Medios de transmisión (por ejemplo, seguridad física de los medios, calidad de propagación de señal)
• Sistemas de Control de Acceso a la Red (NAC) (por ejemplo, soluciones físicas y virtuales)
• Seguridad de punto final (por ejemplo, basada en host)

4.3 - Implementar canales de comunicación seguros según el diseño

• Voz, video y colaboración (por ejemplo, conferencias, salas de zoom)
• Acceso remoto (por ejemplo, funciones administrativas de red)
• Comunicaciones de datos (por ejemplo, redes de retorno, satélite)
• Conectividad de terceros (por ejemplo, proveedores de telecomunicaciones, soporte de hardware)

Dominio 5: Gestión de Identidad y Acceso (IAM)

5.1 - Controlar el acceso físico y lógico a los activos

• Información
• Sistemas
• Dispositivos
• Instalaciones
• Aplicaciones
• Servicios

5.2 - Estrategia de identificación y autenticación de diseño (por ejemplo, personas, dispositivos y servicios)

• Grupos y Roles
• Autenticación, Autorización y Contabilidad (AAA) (por ejemplo, autenticación multifactorial (MFA), autenticación sin contraseña)
• Gestión de sesiones
• Registro, prueba y establecimiento de identidad
• Gestión de Identidad Federada (FIM)
• Sistemas de gestión de credenciales (por ejemplo, bóveda de contraseñas)
• Inicio de sesión único (SSO)
• Justo a Tiempo

5.3 - Identidad federada con un servicio de terceros

• En las instalaciones
• Nube
• Híbrido

5.4 - Implementar y gestionar mecanismos de autorización

• Control de acceso basado en roles (RBAC)
• Control de acceso basado en reglas
• Control de acceso obligatorio (MAC)
• Control de acceso discrecional (DAC)
• Control de acceso basado en atributos (ABAC)
• Control de acceso basado en riesgos
• Aplicación de la política de acceso (por ejemplo, punto de decisión de la política, punto de aplicación de la política)

5.5 - Gestionar el ciclo de vida del aprovisionamiento de identidad y acceso

• Revisión del acceso a la cuenta (por ejemplo, usuario, sistema, servicio)
• Aprovisionamiento y desprovisionamiento (por ejemplo, embarque y traslados de encendido/apagado)
• Definición de roles y transición (por ejemplo, personas asignadas a nuevos roles)
• Escalada de privilegios (por ejemplo, uso de sudo, auditando su uso)
• Gestión de cuentas de servicio

5.6 - Implementar sistemas de autenticación

Dominio 6: Evaluación y Pruebas de Seguridad

6.1 - Diseñar y validar estrategias de evaluación, prueba y auditoría

• Interno (por ejemplo, dentro del control de la organización)
• Externo (por ejemplo, fuera del control de la organización)
• Terceros (por ejemplo, fuera del control empresarial)
• Ubicación (por ejemplo, local, nube, híbrido)

6.2 - Realizar pruebas de control de seguridad

• Evaluación de vulnerabilidades
• Pruebas de penetración (por ejemplo, ejercicios en equipo rojos, azules y/o morados)
• Comentarios de registro
• Transacciones sintéticas/marcos de referencia
• Revisión y pruebas de código
• Pruebas de casos de mal uso
• Análisis de cobertura
• Pruebas de interfaz (por ejemplo, interfaz de usuario, interfaz de red, interfaz de programación de aplicaciones (API))
• Simulaciones de ataque de ruptura
• Verificaciones de cumplimiento

6.3 - Recopilar datos del proceso de seguridad (por ejemplo, técnicos y administrativos)

• Gestión de cuentas
• Revisión y aprobación de la gestión
• Indicadores clave de rendimiento y riesgo
• Datos de verificación de copia de seguridad
• Formación y sensibilización
• Recuperación de Desastres (DR) y Continuidad del Negocio (BC)

6.4 - Analizar la salida de la prueba y generar informe

• Remediación
• Manejo de excepciones
• Divulgación ética

6.5 - Realizar o facilitar auditorías de seguridad

• Interno (por ejemplo, dentro del control de la organización)
• Externo (por ejemplo, fuera del control de la organización)
• Terceros (por ejemplo, fuera del control empresarial)
• Ubicación (por ejemplo, local, nube, híbrido)

Dominio 7: Operaciones de Seguridad

7.1 - Comprender y cumplir con las investigaciones

• Recopilación y manejo de pruebas
• Informes y documentación
• Técnicas de investigación
• Herramientas, tácticas y procedimientos forenses digitales
• Artefactos (por ejemplo, datos, computadora, red, dispositivo móvil)

7.2 - Realizar actividades de registro y monitoreo

• Detección y prevención de intrusiones (IDPS)
• Información de Seguridad y Gestión de Eventos (SIEM)
• Monitoreo y ajuste continuo
• Monitoreo de egress
• Gestión de registros
• Inteligencia de amenazas (por ejemplo, alimentación de amenazas, caza de amenazas)
• Análisis de Comportamiento de Usuarios y Entidades (UEBA)

7.3 - Realizar la Gestión de Configuración (CM) (por ejemplo, aprovisionamiento, baselining, automatización)

7.4 - Aplicar conceptos fundamentales de operaciones de seguridad

• Necesidad de saber/menos privilegio
• Separación de Deberes (SoD) y responsabilidades
• Gestión de cuentas privilegiadas
• Rotación de trabajo
• Acuerdos de nivel de servicio (SLA)

7.5 - Aplicar protección de recursos

• Gestión de medios
• Técnicas de protección de medios
• Datos en reposo/datos en tránsito

7.6 - Realizar gestión de incidentes

• Detección
• Respuesta
• Mitigación
• Reportando
• Recuperación
• Remediación
• Lecciones aprendidas

7.7 - Operar y mantener medidas de detección y prevención

• Firewalls (por ejemplo, próxima generación, aplicación web, red)
• Sistemas de Detección de Intrusiones (IDS) y Sistemas de Prevención de Intrusiones (IPS)
• Lista blanca/lista negra
• Servicios de seguridad proporcionados por terceros
• Sandboxing
• Honeypots/redes de miel
• Antimalware
• Herramientas basadas en aprendizaje automático e Inteligencia Artificial (IA)

7.8 - Implementar y apoyar la gestión de parches y vulnerabilidades

7.9 - Comprender y participar en los procesos de gestión del cambio

7.10 - Implementar estrategias de recuperación

• Estrategias de almacenamiento de respaldo (por ejemplo, almacenamiento en la nube, in situ, offsite)
• Estrategias del sitio de recuperación (por ejemplo, acuerdos de capacidad de recursos fríos vs. calientes)
• Múltiples sitios de procesamiento
• Resiliencia del sistema, alta disponibilidad (HA), Calidad de Servicio (QoS) y tolerancia a fallas

7.11 - Implementar procesos de Recuperación de Desastres (DR)

• Respuesta
• Personal
• Comunicaciones (por ejemplo, métodos)
• Evaluación
• Restauración
• Formación y sensibilización
• Lecciones aprendidas

7.12 - Planes de Recuperación de Desastres de Prueba (DRP)

• Lectura/mesa
• Recorrido
• Simulación
• Paralelo
• Interrupción completa
• Comunicaciones (por ejemplo, partes interesadas, estado de la prueba, reguladores)

7.13 - Participe en la planificación y ejercicios de Continuidad del Negocio (BC)

7.14 - Implementar y administrar la seguridad física

• Controles de seguridad perimetrales
• Controles internos de seguridad

7.15 - Abordar las preocupaciones de seguridad y protección del personal

• Viajar
• Capacitación y conciencia de seguridad (por ejemplo, amenaza interna, impactos en las redes sociales, fatiga de autenticación de dos factores (2FA))
• Gestión de emergencias
• Duress

Dominio 8: Seguridad de Desarrollo de Software

8.1 - Comprender e integrar la seguridad en el Ciclo de Vida de Desarrollo de Software (SDLC)

• Metodologías de desarrollo (por ejemplo, Agile, Waterfall, DevOps, DevSecOps, Scaled Agile Framework)
• Modelos de madurez (por ejemplo, Modelo de Madurez de Capacidad (CMM), Modelo de Madurez de Aseguramiento de Software (SAMM))
• Operación y mantenimiento
• Gestión del cambio
• Equipo Integrado de Productos

8.2 - Identificar y aplicar controles de seguridad en los ecosistemas de desarrollo de software

• Lenguajes de programación
• Bibliotecas
• Conjuntos de herramientas
• Entorno Integrado de Desarrollo
• Tiempo de ejecución
• Integración Continua y Entrega Continua (CI/CD)
• Gestión de configuración de software (CM)
• Repositorios de código
• Pruebas de seguridad de aplicaciones (por ejemplo, pruebas de seguridad de aplicaciones estáticas (SAST), pruebas de seguridad de aplicaciones dinámicas (DAST), análisis de composición de software, Prueba de Seguridad de Aplicaciones Interactivas (IAST))

8.3 - Evaluar la efectividad de la seguridad del software

• Auditoría y registro de cambios
• Análisis y mitigación de riesgos

8.4 - Evaluar el impacto de seguridad del software adquirido

• Comerciales (COTS)
• Código abierto
• Terceros
• Servicios gestionados (por ejemplo, aplicaciones empresariales)
• Servicios en la nube (por ejemplo, Software como Servicio (SaaS), Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS))

8.5 - Definir y aplicar pautas y estándares de codificación seguros

• Debilidades y vulnerabilidades de seguridad a nivel de código fuente
• Seguridad de las interfaces de programación de aplicaciones (API)
• Prácticas de codificación seguras
• Seguridad definida por software