Metodologías Ágiles y Ciberseguridad: Conceptos Clave y Mejores Prácticas

Metodologías Ágiles: Conceptos Clave

• Manifiesto Ágil: Prioriza individuos, software funcional, colaboración con el cliente y adaptabilidad al cambio.
• Lean Thinking: Enfocado en eliminar desperdicios y optimizar recursos.
• Scrum Master: Facilita los procesos de Scrum, asegura la adhesión a prácticas ágiles y elimina impedimentos.
• Product Owner: Gestiona el Product Backlog y maximiza el valor del producto.
• Equipo de Desarrollo: Autoorganizado y responsable de entregar incrementos funcionales.
• Product Backlog: Lista priorizada de requisitos y funcionalidades gestionada por el Product Owner.
• Refinamiento del Backlog: Revisión continua para clarificar y priorizar los elementos del backlog.
• Incremento del Producto: Trabajo usable y funcional al final del sprint.
• Definition of Done (DoD): Criterios que indican cuándo una tarea o incremento está completamente finalizado.
• Sprint Review: Presentación del incremento al cliente para recibir feedback y ajustar el backlog.
• Retrospectiva: Reflexión del equipo al final del sprint para identificar mejoras en el proceso.
• Start-Stop-Continue: Técnica común en retrospectivas para definir acciones a comenzar, detener y continuar.
• Criterios de aceptación: Condiciones necesarias para que una historia de usuario sea considerada completada.
• Valores de Scrum: Respeto, compromiso, coraje, apertura y enfoque para un trabajo colaborativo efectivo.
• Métricas ágiles: Indicadores clave como velocidad (puntos completados por sprint) y Burn-Down Chart (progreso de tareas pendientes).
• Kanban: Método visual para gestionar flujo de trabajo, con límites de tareas en progreso (WIP).
• Feedback ágil: Retroalimentación rápida y continua enfocada en mejorar el producto y el proceso.

Preguntas y Respuestas sobre Metodologías Ágiles

1. En una empresa que adopta la filosofía Lean, el equipo de desarrollo está enfocado en mejorar la eficiencia de su proceso. En este contexto, ¿cuál es un principio clave del Lean Thinking que el equipo debería aplicar?

Respuesta: a. Eliminar desperdicios para optimizar recursos.

2. Un equipo nuevo de Scrum está definiendo sus roles y responsabilidades. En este equipo, ¿cuál debería ser la función principal del Scrum Master designado?

Respuesta: a. Facilitar los procesos de Scrum y asegurar la adhesión a las prácticas ágiles.

3. Un equipo Scrum está evaluando su rendimiento para mejorar sus procesos. ¿Cuál es un objetivo clave del uso de métricas ágiles para este equipo?

Respuesta: b. Evaluar y optimizar el rendimiento del equipo y los procesos ágiles.

4. Un Product Owner está trabajando con su equipo para mejorar el Product Backlog. En este contexto, ¿qué implica el refinamiento del Product Backlog en Scrum?

Respuesta: b. Revisar y mejorar continuamente la lista de funcionalidades y requisitos del producto.

5. Un equipo está preparando su próxima Sprint Review y planea utilizar un Product Vision Board. ¿Qué papel juega el Product Vision Board en la preparación de esta Sprint Review?

Respuesta: c. Ayudar a alinear al equipo en torno a una visión compartida del producto.

6. Un equipo de Scrum está discutiendo cómo mejorar su dinámica de trabajo. ¿Qué valor de Scrum debería enfatizar el equipo para mejorar su colaboración y toma de decisiones?

Respuesta: a. Respeto mutuo y consideración.

7. Un equipo está refinando sus historias de usuario para el próximo sprint. ¿Qué elemento es crucial para que las historias de usuario del equipo sean efectivas?

Respuesta: a. Centrarse en las necesidades y experiencias del usuario final.

8. Al final de su sprint, un equipo de Scrum planea realizar una retrospectiva. ¿Qué técnica de retrospectiva debería usar el equipo para identificar de manera efectiva qué acciones comenzar, detener y continuar?

Respuesta: a. Start-Stop-Continue.

9. Como nuevo miembro de un equipo Scrum, te familiarizas con sus valores fundamentales. ¿Cuál de estos es un valor central de Scrum?

Respuesta: a. Colaboración y empatía.

10. Te encargan escribir historias de usuario para un nuevo proyecto de software. ¿Qué elemento es esencial en una historia de usuario efectiva?

Respuesta: a. Claridad en los beneficios para el usuario final.

Conceptos Clave en Auditoría y Ciberseguridad

Programa: Conjunto de auditorías planificadas en un periodo de tiempo (por ejemplo, anual).

Plan: Detalle de los pasos y actividades para realizar una auditoría específica.

Capas de un sistema en auditoría:

Se auditan tres capas principales:

• Sistema operativo: Software base que permite la operación del hardware.
• Base de datos: Almacena y organiza información estructurada.
• Aplicaciones: Software que interactúa con el usuario para cumplir funciones específicas.

Niveles de madurez en ciberseguridad: Indican el grado de desarrollo y efectividad en la implementación de controles de seguridad, desde procesos iniciales hasta completamente optimizados.

Sistema operativo: Plataforma base que gestiona el hardware y software del sistema.

Base de datos: Herramienta para almacenar, gestionar y consultar datos estructurados.

Ley de Protección de Datos Personales: Garantiza el derecho a la privacidad y regula el uso, almacenamiento y tratamiento de datos personales.

Ley SOX (Sarbanes-Oxley): Ley estadounidense que establece controles internos y auditorías para empresas que cotizan en la bolsa de EE.UU. Afecta a empresas chilenas con intereses en ese mercado.

ISO 27001: Norma internacional para establecer, implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI).

Gestión de identidades: Proceso para asegurar que solo usuarios autorizados accedan a los recursos adecuados. Incluye controles como altas, bajas y modificaciones de usuarios.

Gestión de vulnerabilidades: Prácticas para identificar, evaluar y mitigar debilidades en sistemas.

Controles de configuración segura: Aplicación de guías y políticas que aseguren configuraciones seguras en sistemas, hardware y aplicaciones, alineadas con estándares de seguridad.

Confidencialidad, Integridad y Disponibilidad (C-I-A):

Principios fundamentales de la seguridad de la información:

• Confidencialidad: Proteger la información de accesos no autorizados.
• Integridad: Asegurar que los datos no sean alterados indebidamente.
• Disponibilidad: Garantizar el acceso a la información cuando sea necesario.

Gestión de riesgos en ciberseguridad: Identificación, análisis y mitigación de riesgos asociados con los activos y procesos de información.

Autenticación: Verificación de la identidad de un usuario.

Autorización: Permisos otorgados para acceder a recursos específicos.

Penetration Testing: Simulación de ciberataques para evaluar la seguridad de sistemas y redes, identificando vulnerabilidades explotables.

Parcheado de sistemas: Proceso de aplicar actualizaciones para corregir errores y vulnerabilidades en software y hardware.

Auditoría de sistemas: Evaluación sistemática de los sistemas de información para asegurar el cumplimiento de normas, la protección de datos y la efectividad de los controles implementados.

Preguntas y Respuestas sobre Auditoría y Ciberseguridad

1. Te encargan desarrollar un plan de auditoría y surgen dudas sobre la diferencia entre esto y un programa de auditoría. ¿Cómo podrías explicar a tu cliente de qué trata cada uno, para que sepa qué esperar de cada proceso?

Respuesta: Un programa de auditoría es un conjunto de auditorías a realizar en un periodo de tiempo, por ejemplo, de forma anual. El plan de auditoría son los pasos a desarrollar en una determinada auditoría.

2. Imagina que estás planificando las metodologías de pruebas para una revisión de las tres capas de un sistema, ¿recuerdas cuáles son?

Respuesta: Las capas son: Sistema operativo, Base de datos y Aplicaciones.

3. Después de realizar una evaluación de controles sobre un activo específico, debes explicar qué es el nivel de madurez obtenido. ¿Cuál de las siguientes declaraciones usarías para explicarlo?

Respuesta: Es el resultado del estado evolutivo en la aplicación de controles y la efectividad de los mismos.

4. Debes explicarle a un nuevo auditor qué diferencias existen entre sistemas operativos y bases de datos. ¿Cómo se lo explicarías?

Respuesta: El Sistema operativo es el sistema base de funcionamiento de los sistemas. La Base de datos es donde se resguardan los datos o información.

5. Para la planificación del programa de auditorías de sistemas, te piden explicar la Ley de Protección de Datos Personales. Elige la descripción más adecuada para describirla.

Respuesta: El objetivo de la Ley de Protección de Datos es garantizar el derecho a la privacidad y proteger los datos personales de las personas físicas.

6. Con respecto a la Ley SOX: ¿Dónde surgió y por qué impacta a algunas empresas chilenas?

Respuesta: Surge en EE.UU. e impacta en el cumplimiento a todas las empresas que quieran invertir en la bolsa de valores de este país. Por esta razón, muchas empresas chilenas lo hacen y están obligadas a cumplirla.

7. ¿Cuál es la norma ISO que ayuda a las áreas a realizar una correcta aplicación de controles en seguridad de la información?

Respuesta: ISO 27001.

8. En una evaluación de controles de gestión de identidades de una empresa del Retail, identifica qué controles aplican de la siguiente lista:

Respuesta: Identidad digital, además de controles de altas, bajas y modificación de usuarios.

9. En una evaluación de controles de gestión de vulnerabilidades de una empresa del sector bancario, te solicitan identificar los controles que aplican. ¿Cuáles son de la siguiente lista?

Respuesta: Parcheado, actualización de sistemas, además del inventario de vulnerabilidades.

10. En una evaluación de controles de configuración segura de una empresa del sector de telecomunicaciones, ¿cuáles de los siguientes controles aplican?

Respuesta: Aplicación de guías de configuración segura en los activos, según la política de seguridad establecida por la empresa o por estándares.