Cambios en el CISSP CBK a partir del 1 de Enero de 2012.

Posted onAuthorASILeave a comment

El (ISC)2 ha publicado cambios en los dominios (CBK) para la certificación CISSP, vigentes desde el 1-Ene-2012 y que pueden consultarse en el Boletín de Información para el Candidato. En secureninja.com, Clement Depuis ha comentado acerca de estos cambios, y que me ha parecido interesante comentar, en castellano, aquí.

Según (ISC)2®, un CISSP (Certified Information System Security Professional, que podemos traducir como Profesional Certificado en Seguridad de Sistemas de Información) es un profesional de seguridad de la información que define la arquitectura, el diseño, la gestión y/o los controles que refuerzan la seguridad de los ambientes de negocios. La gran amplitud de conocimientos y la experiencia que se necesita para aprobar el examen es lo que establece la diferencia en la certificación CISSP. La credencial demuestra un estándar reconocido a nivel mundial de la competencia prevista por el (ISC)²® en el CBK (Common Base Knowledge, que podemos traducir como Base de Conocimiento Común) que abarca temas críticos en materia de seguridad de la información hoy en día, incluyendo cómputo en la nube, seguridad móvil, seguridad en el desarrollo de aplicaciones, la gestión del riesgo y mucho más.

De esta definición deriva la importancia del CBK y lo que implican sus cambios, los cuales no deben extrañarnos, ya que desde sus inicios han sido varios. Esto se debe nuevos desafíos o cambios en estos, lo que en ocasiones incluso ha provocado cambios en el nombre de los dominos o contenidos que se desplazan de un dominio a otro.

Al revisar el Boletín de Información para el Candidato — CIB — da la impresión que contiene tópicos del anterior y agrega otros nuevos.

Cambios de nombre

Sólo en dos dominios:

  • Seguridad en el Desarrollo de Aplicaciones ahora se llamará Seguridad en el Desarrollo de Software.
  • Seguridad de Operaciones ahora se llamará Operaciones de la Seguridad.

En realidad son cambios menores. El resto de los nombres sigue igual.

Introducción del CIB

Se aprecian cambios menores, orientados a buscar palabras más precisas o específicas al argot de seguridad de la información.

Se ha agregado un párrafo introductorio para definir a un CISSP que incluye tópicos clave incluidos en el CBK. Es en esta página donde al parecer se concentran los mayores cambios, en particular a lo referente a especificar “experiencia profesional”.

El resto son:

  • Puntos redundantes que se han refundido.
  • Se cambió “escritura creativa” por “escritura profesional”.
  • Se cambió “títulos aplicables” por “títulos de trabajo aplicables”.
  • Se cambió la denominación “Oficial” por “CISO”.
  • Se reemplazó “ingeniero” por “ingeniero de seguridad de la información”.
  • Se removieron referencias como “líder” y “diseñador”.
  • El término “criptografista” reemplazó a “criptologista” y “criptoanálisis”.
  • La denominación “arquitecto” fue reemplazada por “ciber-arquitecto”.
  • Las denominaciones “Consultor”, “Vendedor” y “Representante” fueron removidas de la lista de títulos.
  • El título de profesor (lecturer) fue agregado a la lista de títulos.

Refuerzo positivo

En muchos dominios se ha reemplazado lo que el candidato “debe entender” por lo que el candidato “se espera que entienda” como una manera de enfatizar lo que se espera que el candidato entienda más que lo que tiene que saber.

Dominio 1: Control de Acceso

Se ha modificado la introducción para reflejar mejor lo que abarca este dominio. Se ha agregado sólo una nueva área con unos pocos tópicos.

En Entendiendo un Ataque de Control de Acceso se agregan los siguientes puntos:

  • B.1 Modelado de amenazas.
  • B.2 Valuación de Activos.
  • B.3 Análisis de Vulnerabilidades.
  • B.4 Agregación del Acceso.

En Evaluar la Eficacia de los Controles de Acceso se agregó:

  • C.1 Derechos del usuario.
  • C.2 Revisión del acceso y su auditoría.

Se agrega un nuevo punto: Ciclo de Vida del Aprovisionamiento de la Identificación y el Acceso.

Cambios mínimos que afectarían alrededor del 1% del contenido.

Dominio 2: Seguridad de Telecomunicaciones y Redes

La porción de texto que describe este campo se ha reducido considerablemente. Se quitó el texto que se repetía en gran parte de la explicación de los temas enumerados. La introducción ya no menciona nada acerca de firewalls, VoIP y detección de ataques de red. También se eliminó el tema Establecer una Comunicación Segura de Datos.

Algunos cambios al dominio son:

  • A.3 Implicaciones de los protocolos multi-capas. Se agrega.
  • B.1 Puntos de acceso inalámbricos. Se agrega a la lista de dispositivos.
  • B.3 El término Dispositivos de Filtrado se reemplaza por la nueva palabra de moda dispositivos de Control de Acceso a la Red (NAC – Network Access Control).
  • C.1 VOIP fue reemplazado simplemente por el término Voz con ejemplos como POTS, PBX y VOIP.
  • C.3 Bajo Acceso Remoto se agregan los siguientes ejemplos: protector de pantalla (screen scraper), escritorio/aplicación virtual, teleconmutación.
  • D. Bajo Entender los Ataques de Red se agregan los siguientes ejemplos: DDos, suplantación (Spoofing).

En consecuencia, este es otro dominio en el cual se han introducido cambios menores, alrededor de un 1%.

Dominio 3: Gobernanza de la Seguridad de la Información y Gestión del Riesgo

A este dominio se le han agregado algunos puntos sin introducir cambios reales en general.

  • B.1 Bajo Procesos Organizacionales se agregaron algunos ejemplos: Adquisición, desinversiones, Comités de Gobierno.
  • B.2 Solía ser Definición de Roles de Seguridad y Responsabilidades y ahora es Roles de Seguridad y Responsabilidades, eliminándose sólo la palabra inicial.
  • E. Se agrega un nuevo tópico: Gestion de los Ciclos de Vida de la Información, con los siguientes ejemplos: clasificación, categorización, y propiedad. Es un nuevo punto, pero con con todos los asuntos cubiertos.
  • F. Nuevo tópico llamado: Gobierno de la Gestión de Terceras Partes, con los siguientes ejemplos: Evaluación in-situ, intercambio y revisión de documentos, revisión de políticas/procesos.

Bajo Evaluación de Riesgo agregaron Evaluaciones Cualitativas, Cuantitativas e Híbridas.

Bajo Gestión de la Seguridad del Personal agregaron los siguientes ejemplos: verificación de referencias, verificación de la educación.

Por alguna extraña razón se removió la verificación de la experiencia. ¿?

La Etica se ha removido completamente de este dominio para devolverla al dominio de Leyes, donde solíamos encontrarla hace un tiempo atrás.

Ahora el CBK menciona Gestión de la Seguridad del Personal en vez de Evaluación de la Seguridad del Personal.

En general, se aprecia un cambio global de alrededor de un 1% de este dominio.

Domino 4: Seguridad en el Desarrollo de Software

Leve cambio en la descripción del dominio.

El mayor cambio es el reemplazo de Aplicaciones por Software en todo el dominio. Esto lo hace más genérico ya que cualquier tipo de codificación y desarrollo queda incluída.

A.1 Ciclo de Vida del Desarrollo se usa en vez de Ciclo de Vida del Desarrollo de Software (SDLC).

El tópico de análisis de riesgo se ha removido de la lista. Sin embargo todavía constituye una de las principales actividades que se deben realizar en el desarrollo de software. Es dudosa la razón por la cual se ha removido.

Entre las cuestiones del código fuente se han agregado dos ejemplos: escalamiento de privilegios y puerta trasera.

Se ha removido: C&A. Auditoría y Registro, y Acciones Correctivas.

Además de cambios en palabras y la introducción de algunas nuevas, casi no hay más cambios en este dominio. Sólo algunos tópicos se han removidos lo que acorta aún más la lista de éste.

Dominio 5: Criptografía

Se ha cambiado una parte del texto para definir mejor que es criptografía y cómo se hace. Anteriormente se describía como un método para ocultar, ahora la presentan como la aplicación de algoritmos matemáticos y de transformación de datos que es muchísimo más preciso y describe mejor lo que realmente es criptografía. En el contenido se han agregado unas pocas líneas acerca de PKI y Gestión de Claves, asuntos ya cubiertos pero no listados en la descripción del texto.

Se agrega un nuevo tópico:

  • B. Entendiendo el Ciclo de Vida de la Criptografía, con los siguientes ejemplos: limitaciones de la criptografía, algoritmo, gobernanza del protocolo. Estos tópicos no son nuevos en el CBK.

Se agregan los siguientes ejemplos de Fuerza Bruta: tablas arco-iris, arquitectura especializada/escalable.

El tópico Empleo de la Criptografía para Mantener la Seguridad de la Red se reemplazó por Uso de la Criptografía para Mantener la Seguridad de la Red.

El tópico Uso de la Criptografía para Mantener la Seguridad del Correo Electrónico se reemplazó por Uso de la Criptografía para Mantener la Seguridad de las Aplicaciones. En este caso, la palabra Aplicación NO fue reemplazada por Software como se hiciera en todos los otros lugares del CBK.

Esto es todo con respecto a Criptografía, que en general es de tipo semántico como en los otros dominios, pero con nada nuevo.

Dominio 6: Arquitectura de Seguridad y su Diseño

El texto inicial de este dominio ha sido notoriamente mejorado. Sin embargo, el contenido no ha cambiado a excepción de unas pocas cosas que felizmente se le han agregado:

Una referencia a OWASP bajo vulnerabilidades y amenazas.

Se agregaron los tópicos de Cómputo en la Nube, Cómputo en Malla (grid computing). y Punto a Punto. Era tiempo de considerar los niveles de uso y las tendencias como virtualización y cómputo en la red. Finalmente se agregaron consideraciones con respecto a temas actuales.

En general, se puede decir que se ha agregado entre el 1 y el 2% dependiendo del instructor o de la empresa que hace el entrenamiento respecto del tiempo que se considere para explicar realmente lo que es Cómputo en la Nube, que servicios puede proveer, y cuales son las consideraciones de seguridad.

Por supuesto que muchos cubrirán esto en una transparencia, en cuyo caso será menos del 1%.

Dominio 7: Operación de Seguridad

El texto que describe el dominio fue mejorado, pero la lista de tópicos se mantiene casi al pie de la letra.

Los asuntos de Privacidad del Personal y Seguridad fueron completamente removidos.

En el último tópico agregaron Resilencia del Sistema a requerimientos de Tolerancia a Fallas.

Cambios en torno al 0% en este dominios. Es lo mismo que el antiguo excepto el nombre donde se intercambió el orden de las palabras.

Dominio 8: PCN y PRD

En el texto que describe el dominio cambiaron la Evaluación de Impacto en el Negocio por el término apropiado de Análisis de Impacto en el Negocio (BIA).

Como se mencionaba precedentemente, se espera que el candidato sepa claramente establecer lo que se espera que él sepa.

Nada cambió en los tópicos de este dominio excepto el último punto en el cual se decía Prueba y Actualización del Plan que se ha cambiado por Ejercitar, Evaluar, y Mantener el Plan con los ejemplos de Control de Versión y Distribución.

En general no hay cambios en este dominio.

Dominio 9: Legal, Regulaciones, Investigación y Cumplimiento

El texto que describe este dominio ha cambiado un poco. El Manejo de Incidentes ha sido removido del texto. Agregaron Comportamiento Ético ya que la Ética ha vuelto a este dominio. La descripción ya no habla más de leyes, Crímenes Computacionales y Regulaciones.

Como ya se ha mencionado, el tema ético se ha agregado a este dominio donde realmente pertenece. Lista específicamente el código de (ISC)2 y el código ético organizacional que se necesita soportar.

Cabe hacer notar las Amenazas Avanzadas Persistentes que es una buena manera de describir los ataques que mucha gente no puede describir. El candidato necesita entender como identificar Amenazas Avanzadas Persistentes. Otro tema de actualidad que se ha agregado al CBK sin mayores detalles.

Bajo el término forense se ha agregado el asunto Forense de Dispositivos de Hardware/Embebidos.

Finalmente agregaron:

  • F. Asegurar la seguridad en los acuerdos contractuales y procesos de compras y se dan ejemplos: cómputo en la nube, externalización, gobierno de fabricantes.

Dominio 10: Seguridad Física (Ambiental)

La descripción de este dominio se explica en unas pocas líneas.

Se agregaron unos pocos ejemplos a los tópicos.

El acrónimo HVAC se eliminó.

El tópico de Privacidad Personal y Seguridad que fue movido a un dominio previo ahora está de vuelta.

Es todo. Luego no hay nuevo contenido mas que un poco de otro dominio.

En general, casi no hay cambios en este dominio.

Lista de referencias

Hay algo mal en la lista de referencias. Es una copia fiel de la lista de 2009 menos un libro de McGraw acerca de Seguridad de Software. Un libro que aun es aplicable y adecuado para los temas contingentes.

Es difícil de creer que entre el 2009 y ahora aún no se hayan agregado referencias a la lista o no se le haya hecho mantenimiento.

Tampoco el (ISC)2 ha agregado preguntas al CBK usando las nuevas referencias o la lista no ha sido mantenida.

Sólo unas pocas referencias son del 2010 y muchas son antiguas.

Esto no parece correcto considerando las nuevas preguntas que se agregan periódicamente al examen.

Preguntas de ejemplo

Se presentan tres preguntas de ejemplo. Asi como la lista de referencias, se ha actualizado no más de un 33.3% de ellas.

La tercera pregunta dice relación con el uso de SSL bajo WAP. La pregunta no especifica la versión de WAP.

WAP 2.0 se liberó mas o menos en el 2002, ya no se requiere un gateway WAP. Sorprende que preguntas de este tipo aún se usen como ejemplos. La pregunta está obsoleta y no tiene validez ahora.

Es desilusionante ver esto más 7 años después que WAP 1.0 fuera descontinuado.

Ya es tiempo de retirar definitivamente ciertas preguntas e introducir nuevas y mejores preguntas de ejemplo.

Información del Examen

Nada ha cambiado acerca de la información del examen. Solo cambiaron la hora de término de este examen, donde se solía especificar las 15:00 hrs. para el CISSP aunque ahora simplemente se establece que el examen tomará 6 horas. Ya no se da por sentado que el examen comenzará exactamente a las 09:00 hrs. de la mañana.

Decepciones

Al CIB aún le faltan detalles. Inicialmente solía tener muchos detalles acerca de sub-tópicos bajo cada uno de los temas de los dominios.

Un mayor detalle puede ser una mejor guía para cualquier estudiante que quiera llegar a ser un CISSP. Lo expresado por (ISC)2 debiera ser tomado como el mínimo porcentaje del examen para cada uno de los diez dominios. CompTIA lo hace para sus certificaciones. Esto no debe ser algo secreto. ¿Porqué una buena definición del CBK debe tomarse como secreto?

Conclusión

Esto no es lo que podemos llamar una actualización, Como se menciona anteriormente a lo más un 2 a 3% del material es nuevo. No se ve nada relacionado con IP versión 6, ni una buena cobertura de Cómputo en la Nube, Virtualización, DNSSEC, BGPSEC, amenazas en Internet, Toyanos de Acceso Remoto, nuevas técnicas de ingeniería social, skimming, vishing, u otros proyectos a desplegar para mejorar la seguridad.

En general es un tanto desilusionante y tiende más al status-quo.

__________________________
Nuestro curso Preparación CISSP ya se encuentra actualizado con los nuevos cambios establecidos por el (ISC)2. A impartirse en la semana del 16 al 20 de abril. Inscripciones abiertas.

 

Deja una respuesta