Resumen Seguro

el programa de seguridad debe identificar metas y objetivos para el programa de seguridad en las diversas etapas en el futuro. Estas
metas y objetivos deben ser presentadas en los planes y deben incluir: Metas operacionales: -Estas son las metas y los objetivos
diarios. Qu puede hacer o debe usted hacer en este momento para apoyar, mantener y mejorar la postura de seguridad de la
organizacin? Objetivos tcticos: -Estos son objetivos a medio plazo que podra llevar semanas o meses para lograr. Objetivos
estratgicos: Estas son metas a largo plazo que podra llevar meses o incluso aos para lograrlo.
Objetivos de seguridad y controles: Estos son los activos que los profesionales de seguridad se encargan de proteger. proteccin
tiene tres objetivos, llamados la Trada CIA.
La Trada CIA los objetivos de seguridad de la prestacin de la confidencialidad integridad disponibilidad de los valiosos activos
de informacin.
Los trminos "confidencialidad", "integridad" y "disponibilidad" tambin pueden ser referenciados por los incumplimientos a cada
uno de ellos. Los trminos utilizados para describir las violaciones a la confidencialidad, integridad y disponibilidad de los activos son
la divulgacin, alteracin y destruccin (DAD), respectivamente.
La proteccin de estos activos de informacin tiene que ser coherente en distintos momentos y en cualquier estado de la
informacin. A veces el objetivo es protegeccin sensible (valiosa) Contenido de personas no autorizadas, mientras que usted lo
almacena para su uso en un momento posterior (datos en reposo). Los permisos de archivos, cifrado y control de acceso fsico
ayudan a proteger los datos en reposo. Los ejemplos pueden incluir la proteccin de un archivo que se almacena en un servidor de
archivos y tiene la receta de la salsa secreta para su producto de mayor venta, la proteccin de un archivo que contiene una
coleccin de contraseas en una bveda de contrasea en un ordenador porttil, y el proteccin de la informacin sensible impresa
en papel.
En otras ocasiones, debe comunicar su valiosa informacin a travs de conexiones de red peligrosas o de otros canales de
comunicacin, como cuando los datos se realizan en la carga til de los paquetes de trayecto de la red Ethernet o cuando la
informacin se transmite en las seales de radio en el aire para una red inalmbrica. Puede haber preocupacin de que alguien con
malas intenciones podra robar la informacin mientras est siendo transmitida a travs de una red. Se trata de los datos en trnsito.
Hay otra rea de la proteccin de datos. A medida que el usuario est accediendo de forma activa y usando la informacin, los datos
sensibles pueden ser presentados en las pantallas de video o en los informes impresos. Este es un ejemplo de datos en uso. Los
datos en este estado no pueden ser protegidos por la criptografa, ya que debe estar en un formato legible, por lo que deben ser
protegidos por medidas de seguridad fsica, la conciencia del usuario, y las defensas contra la ingeniera social, que se describen en la
seccin "Proporcionar formacin sobre la seguridad"
Modelos de Riesgo de Entendimiento:El tiempo debe ser dedicado a la recuperacin y la reparacin, y los activos fsicos y
sensibles podran tener que ser comprados. Todo esto lleva lejos los mximos beneficios de una organizacin podra tener y debera
haber logrado. Esta es la naturaleza de la prdida. Cualquier reduccin del mximo potencial de rentabilidad de la organizacin es la
prdida. Despus de la seguridad de las personas, evitar de prdida es la principal prioridad del profesional de la seguridad.
En el contexto de los sistemas de informacin y de los activos de informacin, las prdidas se producen cuando se produce un
compromiso de la confidencialidad, integridad o disponibilidad de los valiosos activos de informacin de la organizacin. Un activo
de informacin se ve comprometida cuando una poltica relacionada con la proteccin de estos activos es violada, lo que permite
que el activo sea expuesto, alterado o inaccesible (por lo general) a travs de alguna actividad no autorizada. Un compromiso,
tambin llamado un exploit, de cualquiera de estos aspectos de los valiosos activos de informacin de la organizacin reduce los
beneficios de la organizacin debido a las prdidas resultantes.
Una amenaza es la posibilidad de que alguien o algo le afecte a uno o ms por medio de las vulnerabilidades que existen dentro de
los valiosos activos de informacin. Las amenazas vienen en muchas formas, tales como un virus de computadora, la destruccin del
centro de datos por un huracn, o el robo de bienes por un empleado sin escrpulos. El componente activo de una amenaza se llama
el agente de amenaza.
Amenazas de cada una de las siguientes cuatro categoras Amenazas naturales Amenazas hechas por el hombre Amenazas
tcnicas (Software) Sistema de alimentacin
El riesgo es que la amenaza y su ingrediente activo, el agente de amenaza, aprovechar la vulnerabilidad y provocar prdidas a la
organizacin.
Usted debe cuantificar de alguna manera el nivel de riesgo de cada amenaza a cada valioso activo de informacin. Usted puede
lograr esto mediante la evaluacin de la probabilidad de que la amenaza va a tener xito en la explotacin de la vulnerabilidad de la
valiosa informacin de activos y cuantificar el impacto (las prdidas que resulten) del compromiso cuando ocurre.
La comprensin de las contramedidas y controles: El riesgo puede ser reconocido, y puede ser cuantificado para identificar la
superficie de ataque o la exposicin de un activo. El siguiente paso es la defensa de la organizacin de las prdidas evitables debido a
estos riesgos. Esto se logra mediante la introduccin de contramedidas, tambin llamado controles. Una contramedida es una tctica
o una estrategia que reduce o elimina uno o ms de las vulnerabilidades, reduce o elimina la probabilidad de ocurrencia, o reduce o
elimina el impacto de la transaccin. Las contramedidas incluyen las leyes y polticas, cifrado, permisos, autenticacin y mecanismos
de autorizacin, las cercas y cerraduras, y los guardias de seguridad, por nombrar unos pocos.
Un ejemplo de la defensa en profundidad, tambin llamada de seguridad por capas, es la construccin de un castillo fuerte, pero,
tambin, la construccin de un foso alrededor del castillo y montaje de una cantidad de armas y soldados entrenados para defender
el castillo cuando es atacado. Las diferentes contramedidas trabajan juntas (controles complementarios) y tienden a compensar una
o ms debilidades en las dems contramedidas (controles de compensacin), el fortalecimiento de la seguridad colectiva global de
los activos.
muestra las relaciones entre la mayor parte de estos trminos relacionados con el riesgo.

TIP EXAMEN
Es importante que usted entienda las relaciones entre los siguientes trminos: la prdida, el compromiso, explotacin,
vulnerabilidad, amenaza, agente de amenaza, las amenazas internas, las amenazas externas, el riesgo, la probabilidad, el impacto, la
superficie de ataque, la exposicin, contramedida, control, defensa en la profundidad y la seguridad por capas.
Los controles que usted elija provienen de las tres siguientes categoras principales:Los controles administrativos : Estos controles
son las polticas, reglas y leyes que se deben acatar Los controles fsicos: En trminos generales, si se puede soltar un control sobre
sus pies o golpearse la cabeza en l, debe ser un control fsico. Estas son las paredes, cercas y cerraduras que establecen lmites de
seguridad alrededor de sus instalaciones. Estos son los signos que advierten de choque o mordeduras de perros elctricos que
podran ocurrir si se introduce los lugares equivocados. Estos son los clsteres de servidores, los dispositivos de seguridad y los
dispositivos de sensores que proporcionan mejora de la disponibilidad y proteger y supervisar la red corporativa. Los controles
tcnicos: Los controles tcnicos son tambin llamados controles lgicos. Estos controles son casi siempre implementados en
software, tales como los permisos en un sistema de archivos; el cifrado de contenido digital; pares de claves asimtricas utilizadas en
certificados digitales; la base de reglas en un firewall; y la firma de base de datos utilizada en los sistemas de deteccin de intrusos.
Un control que se debe utilizar siempre que sea posible para complementar las capas antes mencionadas de la seguridad es la
seguridad por oscuridad, que describe el concepto de simplemente no dejar que los malos sepan que son activos valiosos que se
tengan
Reducir el riesgo de litigios:Litigios civiles son muy a menudo justificados porque, de vez en cuando, los accidentes ocurren y se
cometen errores. Cuando esto sucede, la mayora de los sistemas judiciales identifican un pasivo para compensar las prdidas a la
parte lesionada. La responsabilidad es el reembolso legalmente requerido de prdidas para la parte lesionada. Si la negligencia est
involucrada, las penas suben. La negligencia es la falta de cuidado razonable. Si el demandante (quien que pide una indemnizacin
por las prdidas sufridas) puede demostrar que el demandado fue negligente, las sanciones pecuniarias impuestas a la parte
demandada aumentan dramticamente.
As que, para evitar y reducir al mnimo las prdidas por la reduccin del riesgo de litigios, es tu trabajo: 1. Proteger a las personas
de las lesiones. 2. Proteger a tus socios de negocios (incluyendo clientes, proveedores, el pblico, y as sucesivamente) de sufrir
prdidas por las acciones, errores o deficiencias de la organizacin. 3. Asegrate de que la organizacin no es, y no parece ser,
negligente. - Evitar la negligencia se lleva a cabo siguiendo las siguientes pautas: Lleva a cabo la debida diligencia: Es el desarrollo
del conocimiento y la conciencia de los riesgos presentes en el lugar de trabajo y en el mercado. La debida diligencia contina con el
mantenimiento continuo, monitoreo, respuesta, aplicacin, formacin y evaluacin de los controles actualmente en vigor.
Implementar el debido cuidado: Con la visin desarrollada a partir de la debida diligencia, el debido cuidado es al implementar
medidas de seguridad, medidas y controles para proteger a las personas de daos (fsicos y financieros). El debido cuidado contina
con la aplicacin de la vigilancia, y con el mantenimiento de las medidas de seguridad, medidas y controles como una persona
prudente para asegurar la eficacia de los controles.
Polticas y Marcos: Las reglas de uso aceptable y el comportamiento de los trabajadores debern formalizarse para establecer la
base de control. Estos documentos se convierten esencialmente en contratos o acuerdos entre la direccin y los empleados de la
empresa. Se convierten en algo legalista y potencialmente vinculante, y debe incluir la advertencia de que la violacin de cualquiera
de los documentos de poltica, el incumplimiento, es motivo suficiente para la terminacin.
El programa de seguridad totalmente implementado debera abordar e incluir las siguientes caractersticas: Proveer un
ambiente seguro para los empleados, visitantes, clientes, proveedores, y as sucesivamente. Maximizar los beneficios.
Mitigar y evitar prdidas. Apoyar las necesidades de negocio. Identificar y defender a la empresa frente a las amenazas
especficas a la empresa. Cumplir con las leyes y reglamentos aplicables. Transmitir y poner en prctica la visin y de gobernanza
estndares de la alta direccin. Transmitir y ejecutar deseada postura tica de la administracin superior de la organizacin.
Definir las funciones y responsabilidades. Definir el programa de gestin de riesgos. Definir el programa de recuperacin de
desastres y la planificacin de la continuidad del negocio. Definir la clasificacin de los datos y el programa de proteccin. Definir
los requisitos de privacidad. Definir la auditora y monitoreo a realizar. Definir la seguridad fsica. Definir la respuesta a
incidentes. Definir la formacin de conciencia de seguridad y programa de ejecucin. Definir gestin de la configuracin y el
control de cambios. Definir la contratacin de los empleados y las prcticas de terminacin. Definir las prcticas de gobierno de
los proveedores de servicios de terceros.
Los documentos de poltica: Estos documentos escritos se vuelven un contrato legal o acuerdo entre la empresa y los empleados.
Cinco tipos de documentos establecen un marco de gobernabilidad para una empresa, y que se conocen colectivamente como los
documentos de poltica. Ellos incluyen las polticas, normas, procedimientos, lneas de base y directrices. Poltica: Este tipo de
documento describe el comportamiento esperado de los empleados (personas) de la empresa. Ellos marcan la pauta para el
comportamiento tico. Identifican metas operativas, tcticas y estratgicas, y definen el objetivo de adherirse a los requisitos legales
y reglamentarios de cumplimiento. Las polticas describen los requisitos de alto nivel de cada una de las funciones de seguridad
descritas anteriormente, y debe seguir siendo no especfico sobre cmo deben llevar a cabo los objetivos de alto nivel. Esos detalles
se encuentran en los tipos de documentos de apoyo. Poltica de la organizacin: Se trata de un alto nivel, en general, y la
declaracin general de la alta direccin en relacin con la gobernanza de la empresa. Emitir polticas especficas: Estas polticas
describen las expectativas de la compaa con respecto a temas especficos como ser un ambiente de no fumar, evitar el uso y
distribucin de materiales objetables u ofensivos, y la observacin de las reglas relativas a llevar armas en los locales. Polticas
especficas del sistema: Estos describen el uso de equipo e infraestructura especfica, sistemas dentro de la organizacin, tales como
las polticas sobre el uso de sistema de correo electrnico de la empresa para uso personal, la instalacin de software desde una lista
aprobada, las cuotas mximas de uso de disco en las carpetas principales de los usuarios, y el requisito para todos los accesos
remotos a cifrar y requerir autenticacin multi-factor.
Polticas ms comnmente implementadas incluyen: Poltica de proteccin Poltica de Monitoreo La clasificacin de datos y la
poltica de proteccin Prcticas de contratacin Prcticas de terminacin
Normas: Las normas establecen una definicin de cumplimiento requerido. Las normas son de alto nivel y en gran parte de carcter
tcnico y definen el algoritmo de cifrado requerido y longitud de clave para proteger el contenido confidencial, la longitud mnima de
la contrasea para autenticar su cuenta de usuario, y cmo se deben configurar los sistemas de informacin. Lnea de Base: Una
lnea de base es un documento de nivel inferior que soporta los detalles definidos dentro de los estndares. La lnea de base es un
punto de referencia establecido utilizado para comparar contra el tiempo o como un nivel aceptable. Las lneas de base ayudan a
establecer parmetros que le permiten evaluar los cambios en el rendimiento a travs del tiempo. Procedimiento: Los
procedimientos son instrucciones paso a paso sobre cmo llevar a cabo alguna tarea o actividad que apoya las polticas. Estos
incluyen cmo hacer un centenar de galones de la salsa secreta, cmo instalar un sistema operativo de servidor, y cmo configurar la
base de reglas de firewall. Los ajustes especficos de la base de reglas de cortafuegos (como una regla para bloquear todo el trfico
ICMP entrante) seran definidos en una norma o referencia. El procedimiento no se describe lo que el ajuste debe ser, sino de cmo
configurar el ajuste. Gua: La gua es el nico tipo de documento en el que el cumplimiento no es obligatorio. Las polticas, normas,
lneas de base y los procedimientos definen la forma de actuar en las condiciones establecidas y previsibles. Las guas son
recomendaciones sobre cmo manejar en condiciones inusuales e imprevisibles y siempre que los otros documentos no se aplican. Si
es opcional, es una gua. El Cdigo de tica ISC2 incluye cuatro cnones principales: 1. proteger a la sociedad, Estado Libre Asociado,
y la infraestructura. 2 Ley honorable, honesta, justa, responsable y legalmente. 3. Proporcionar servicio diligente y competente a los
directores. 4. Avanzado y protegerse la profesin.
Certificacin y acreditacin
En algunos casos, con mayor frecuencia cuando se trata de entidades de gobierno, el estado de seguridad de un sistema de
informacin debe ser formalmente verificada tcnicamente frente a un patrn (certificacin), y la decisin de permitir el flujo de
informacin, el procesamiento y el almacenamiento en ese sistema deber ser autorizada por a una parte especialmente designado
responsable (acreditacin) en nombre de la administracin.
Conciencia La buena noticia es que los profesionales de la seguridad y la alta gerencia (que aprueban los documentos) ya conocen
y comprenden las polticas y los requisitos tcnicos y de procedimiento que resultan estos documentos imponen sobre el medio
ambiente. . El programa de formacin de la conciencia de seguridad transmite esta informacin poltica a los trabajadores y se
describe en detalle en la seccin titulada "Proporcionar formacin sobre la seguridad". Trminos clave.
Las revisiones, actualizaciones, y control de cambios Debe ser mantenido en el tiempo como nuevas caractersticas se producen en
el medio ambiente, como cambios en la tecnologa, y como la postura de la organizacin cambia con el tiempo. Estos cambios
resultan en diferentes iteraciones o versiones del documento de poltica actualizada deben de ejecutarse mediante cuidadosamente
descrito y cumplirla estrictamente a las polticas y procedimientos s mismos. Las organizaciones deben desarrollar procedimientos
formales de control de cambios que incluyen documentacin exhaustiva y aprobaciones antes de hacer cualquier cambio y las
verificaciones y declarante, una vez que se realicen cambios a estos documentos. El control de cambios se la define formalmente
proceso de documentacin, aprobacin, ejecucin y verificacin de las solicitudes de cambio de controlado de documentos, cdigo
de las aplicaciones y configuraciones. El control de cambios debe gestionarse en relacin con los documentos de poltica; los planes
de continuidad del negocio; los planes de recuperacin de desastres; el proceso de desarrollo de software; y gestin de la
configuracin de los sistemas de informacin, aparatos, sistemas operativos y aplicaciones.
Evaluacin y gestin de riesgos: Una valoracin integral dentro de una organizacin que debe definirse claramente y
completamente dentro de los documentos de poltica es el proyecto de gestin de riesgos. Prcticamente todas las empresas debe
realizar una evaluacin de riesgos y siguiendo con la gestin de la identificada riesgos. Debido a que la gestin del riesgo se ha
identificado como un estndar de la diligencia debida, cualquier empresa que no est realizando estas funciones es esencialmente
negligente y enfrenta al aumento de la exposicin a relacionada negligencia-y litigios relacionados con la responsabilidad.
Para gestionar los riesgos, hay que convertirse en la primera conscientes y conocedores de los riesgos se gestionen. La evaluacin del
riesgo es el desarrollo del conocimiento y la conciencia de todos los riesgos para todos los activos de la organizacin. La evaluacin
del riesgo es toda la charla y papel y ninguna accin, el mecanismo que se utiliza para llevar a cabo la debida diligencia, descrito
anteriormente en este captulo. Despus de identificar los riesgos presentes en el medio ambiente, medidas de gestin de riesgos
pueden ser identificados junto con una justificacin de costos para cada contramedida.
La gestin tiene cuatro tipos de contramedidas para elegir. mitigar el riesgo riesgo de transferencia Evite riesgos Acepta el
riesgo
Inicio del proyecto de gestin de riesgo La alta direccin debe conducir y apoyar este proyecto mediante la definicin dentro de la
documentacin de la poltica de la empresa. El proyecto incluir un presupuesto, la asignacin formal de la responsabilidad, una
definicin de alcance, la formacin de un equipo de evaluacin de riesgos, y la provisin de las herramientas adecuadas para realizar
la tarea. Gestin define el alcance de la evaluacin e identifica qu parte de la empresa la valoracin asignada es a realizar sobre. El
alcance puede ser un solo departamento o un piso en un edificio. Puede ser que sea todo un edificio, un campus de edificios, o de
toda la empresa. Un problema comn para evitar en el proyecto es el de la corrupcin del alcance, un aumento no autorizado o
adicin al alcance de la evaluacin.
Inventario de los bienes: Asegrese de que ha capturado todo en el mbito definido para la evaluacin. Considere todos los activos
tangibles, que son los activos fsicos que pueden ser golpeado o dejado caer. Trabajadores con conocimientos especializados pueden
ser considerados activos tangibles. No es una buena cosa, pero si una persona de la organizacin proporciona un conjunto de
habilidades nicas (la nica persona que puede lograr alguna tarea crtica) o proporciona una presencia pblica nica, como una
fuerte figura decorativa para una organizacin, la prdida o ausencia de esta persona podra introducir prdidas para la organizacin.
Adems, tenga en cuenta todos los activos intangibles. Estos no son los activos fsicos que pueden ser golpeado o dejado caer. Por lo
general son los activos de informacin que se almacenan en un formato de software como bits binarios en algn dispositivo de
almacenamiento o sistema informtico. Esto incluira las bases de datos, listas de clientes, listas de proveedores, planes de
marketing y proyecciones, detalles de produccin, aplicaciones personalizadas y procesos patentados. Los activos intangibles
tambin incluiran la propiedad intelectual, tales como derechos de autor, marcas, patentes y secretos comerciales.
Asignar un valor a cada activo Muchos de estos aspectos de valor se pueden consultar en los recibos o informes mensuales. Los
valores para los cuales los precios especficos pagados pueden ser asignados se denominan valores cuantitativos cuando se conoce la
cantidad. Por lo general son los valores fciles de identificar.
El mtodo DELPHI
Se ha descubierto que durante una encuesta, cuando se conoce la identidad de la persona entrevistada, las respuestas son a menudo
sesgada y por lo tanto menos precisa. La gente no est dispuesta a admitir la verdad en muchos casos porque no quieren admitir que
hace las cosas mal, porque quieren inflar su autoestima, o porque estn intimidados y temerosos de repercusin cuando su
identidad est ligada a sus respuestas, por nombrar algunas de las razones. Para reunir ms informacin que es ms preciso y menos
sesgada por el miedo o ego, los entrevistadores deben permiten a los entrevistados que permanecen en el anonimato. Esta tcnica
de permitir que los entrevistados permanecer en el anonimato para reunir la informacin ms precisa se llama el Mtodo Delphi.
Calcular la expectativa de prdida anual La mayora de las empresas, departamentos, organismos y entidades similares asignan sus
presupuestos sobre una base anual. El programa de seguridad ser un esfuerzo continuo y probablemente estarn sujetos a esta
estructura del presupuesto propuesto y aprobado anual. La expectativa de prdida anual (ALE) de clculo para cada activo identifica
las prdidas previstas debido a las amenazas identificadas cada ao. La ALE est diseado para proporcionar la informacin necesaria
para construir una propuesta de presupuesto anual correspondiente para su aprobacin.
Este clculo debe ser realizado para cada activo y cada amenaza para el activo. Una vez ms, comenzando con el activo ms valioso y
una amenaza relacionada, determinar qu porcentaje del activo se pierde o se destruye si se produce la amenaza. Esto se llama el
factor de exposicin (EF). Por ejemplo, si el edificio tiene un valor de $ 1,2 millones, y una inundacin es la amenaza, es posible
concluir que el 30 por ciento del activo ser destruido. En este ejemplo, el factor de exposicin es 30 por ciento. Los valores
determinados para el factor de exposicin se pueden desarrollar a partir de la informacin proporcionada por su compaa de
seguros o de las estadsticas de la Agencia Federal de Manejo de Emergencias (FEMA) o la Administracin Nacional Ocenica y
Atmosfrica (NOAA). Usted puede encontrar los clculos en los artculos publicados y artculos de noticias. Este valor ser
especulativo que predicen el futuro, pero el valor debe basarse en la investigacin, la tarea, y una bien considerada y educada
estimada. Sabiendo el valor de los activos (AV), y el factor de exposicin (EF), se puede calcular la expectativa de prdida simple
(SLE), la prdida se puede esperar cuando se produce la amenaza. AV EF = SLE
Los identifica ALE, en su estado actual, el nivel (anualizado) de riesgo para el activo. Este es el actual riesgo residual de los activos,
que es la cantidad de la prdida que la gestin est aceptando (aun cuando era consciente de ello) para el mismo, en relacin con
esta amenaza, sobre una base anual.
ALE = Riesgo Residual (por ao)
Si se divide la ALE por el valor de los activos, a identificar la parte del activo que no est protegido por los controles (contramedidas).
Esto se llama la brecha de control, que es la brecha en los controles que permiten la exposicin del activo.
ALE / AV = Control Gap
Por ejemplo, si el activo es un valor de $ 25.000 y su ALE es de $ 1.000, su brecha de control es
$ 1,000 / $ 25,000 = 0.04 o 4%
Los cuatro mtodos de gestin de riesgo Con base en la evaluacin del riesgo y la ALE para cada amenaza a cada activo, el
profesional de la seguridad identifica una gama de contramedidas costo justificado que: 1. Mitigar reducir el riesgo (prdidas), por lo
general, al reducir o eliminar las vulnerabilidades en los activos, la probabilidad de prdida, y el impacto de la prdida. Esto incluira
controles tales como el establecimiento de un proceso formal y rutinaria aplicacin de parches para sistemas operativos y
aplicaciones, la implementacin de un concentrador VPN para asegurar las comunicaciones con control remoto trabajadores, y la
contratacin de una empresa de seguridad para patrullar la propiedad despus de horas. Esto se llama mitigacin de riesgos. 2.
Transfer Este est cambiando el riesgo a otra entidad; usted paga la otra entidad para manejar el riesgo. Esto se logra a menudo
mediante la compra de seguros, por lo que el seguro empresa absorbe las prdidas y el riesgo residual es el deducible. Otra tcnica
para transferir el riesgo es contratar a un proveedor de servicios de terceros, tales como el procesamiento de tarjetas de crdito
empresa. Su empresa debe ser capaz de aceptar y procesar tarjetas de crdito, pero esto compaa de procesamiento de tarjetas de
crdito externo est ahora manejando todo el riesgo asociado a la informacin de la tarjeta de crdito sensible. Esto se llama
transferencia de riesgo. 3. Evitar que Cese la actividad para evitar el riesgo o eliminar el activo que lleva demasiado riesgo. Si la
actividad o el activo es demasiado arriesgado, deja de hacer eso! Esta suele ser la eleccin cuando la administracin no estaba al
tanto del riesgo. (Eso nunca debe volver a ocurrir despus la primera evaluacin de riesgos.) Esta es la ltima opcin cuando la
administracin no est dispuesta a gastar ms en contramedidas y no est dispuesto a aceptar el riesgo residual. Esto se llama riesgo
evitacin. 4. Aceptar administracin acepta el riesgo residual restante. Una vez finalizada la gestin la eleccin de opciones de los
nmeros 1, 2, y 3 (mitigacin, transferencia y evitar riesgos), gestin debe aceptar lo que queda. Esto se conoce como la aceptacin
del riesgo. Si este residuo el riesgo es demasiado grande como para aceptar, sumergirse de nuevo en las elecciones de 1, 2 y 3 hasta
que el riesgo residual es lo suficientemente bajo como para aceptar. Los evaluadores de riesgos deben dar de gestin suficientes
opciones en 1, 2, y 3 para llevar el riesgo residual hasta un punto en que la gestin puede elegir opcin 4.
Entender el ciclo de vida de la informacin Para proteger los activos de informacin de forma continua y de manera apropiada,
debe reconocer cmo el activo se desarrolla en una empresa. Esto se conoce como el ciclo de vida de la informacin, y hay seis fases
elementales 1. Creacin La informacin bien es creada por un ser humano o una aplicacin y por lo general se produce en una forma
digital (que reside en un ordenador o medios de ordenador). Los activos de informacin tambin se pueden crear en el papel. 2.
Almacenamiento Se trata de datos en reposo. Los activos de informacin debern ser mantenidas o almacenarse hasta que se
necesite. Una vez ms, los principales tipos de medios de almacenamiento incluyen discos duros, discos pticos, memorias flash,
otros medios magnticos (como las cintas de copia de seguridad), y el papel impreso. 3. Distribucin Se trata de los datos en
trnsito. La informacin puede ser empujado desde su nacimiento hasta los destinatarios o se tira de un almacn por un usuario
autorizado en el momento de necesidad. Esto implica la conectividad entre la fuente y el destino. Esa conectividad es ms comn de
la red informtica, que podra ser la red de la empresa privada o la Internet pblica. Otros mecanismos de distribucin incluyen
correo fsico (por correo) y el contenido impreso a disposicin para el acceso (como los peridicos o folletos publicitarios).
Distribucin por video (como la televisin por cable) es posible pero no es una forma comn de distribucin de la informacin
corporativa. 4. Uso Se trata de datos en uso. Aqu es donde las empresas aprovechar los beneficios de sus activos de informacin. En
el momento de necesidad, los usuarios y los programas informticos de acceso (lectura) para el procesamiento de la informacin y la
toma de decisiones. A menudo, en este punto, la informacin puede modificarse, actualizarse, duplicado, o se transforma de alguna
manera, y luego los datos deben ser escritos a algn medio de almacenamiento para uso futuro o distribucin a otros. 5.
Mantenimiento Esto implica clsicamente la proteccin de la confidencialidad, integridad y disponibilidad de la valiosa informacin
de activos en el estado en que el activo podra ser (el resto, de trnsito, o por el uso). Controles de acceso apropiados (tales como
permisos o cifrado). Los controles de acceso tambin proporcionan proteccin de la integridad Varias copias de los activos de
informacin (tales como bases de datos distribuidas y back-ups) probablemente se requieren para la distribucin geogrfica y el
aumento de capacidad y con fines de recuperacin de desastres para asegurar la disponibilidad en caso de corrupcin, destruccin o
fallo del sistema. Estos procesos de mantenimiento deben ocurrir continuamente desde el momento de la creacin hasta que los
datos ha perdido su valor, y su perodo de retencin requerido (si los hay) ha expirado. 6. Eliminacin Cuando el activo de la
informacin ha perdido su valor, y su perodo de retencin requerido ha caducado, segn la definicin de la poltica corporativa o las
leyes y reglamentos, el activo de informacin debe ser destruida de manera segura. Todos los activos de informacin, a menos que
ya a disposicin del pblico, deben ser destruidos de forma segura en su momento de la eliminacin.
Asignar funciones y responsabilidades Varias funciones clave deben definirse y especficamente asignados en el programa de
seguridad y dentro del programa de clasificacin de datos. Ellos son: Propietario de datos Datos del banco depositario
Sistema Custodio Enforcer Usuario El auditor Definir categoras de clasificacin Ejemplos de categoras de clasificacin para
el uso del gobierno incluyen: - Top secret El incumplimiento supone un grave dao a la seguridad nacional. - Secreto El
incumplimiento introduce efectos graves para la seguridad nacional. - Confidencial El incumplimiento presenta dao a la seguridad
nacional. - Sensible pero sin clasificar Es deseable proteger, sino un incumplimiento no afectar la seguridad nacional (activos tales
como el nmero de licencia de conducir y nmero de Seguro Social). - Sin clasificacin Informacin pblica. Ejemplos de
categoras de clasificacin en el sector privado podran incluir: crticos confidencial interna Pblica o Red naranja Amarillo
verde o Clase I ,Clase II, Clase III, Clase IV, Clase V
Implementar prcticas de terminacin A la hora prevista para la terminacin que se produzca, el trabajador debe ser invitado a una
sala de reuniones. Esta reunin es la entrevista de salida. Considere tener un guardia de seguridad y uno o
ms testigos presentes en la entrevista de salida. Una entrevista de salida debe realizarse para cada
trabajador saliente.
La gestin de los proveedores de servicios de terceros En muchas situaciones, un tercero es responsable de proporcionar servicios a
la organizacin, especialmente SAIC sigue avanzando hacia servicios de outsourcing, tales como los servicios prestados en los
cloudthat incluyen: La infraestructura como base de la nube-Service (IaaS) (generalmente) de las mquinas virtuales, servidores,
firewalls, balanceadores de carga, de almacenamiento Plataforma como servicio (PaaS) servidores virtuales (sistema operativo
del servidor) con los servidores de aplicaciones de back-end, entornos de ejecucin de desarrollo de software, servidores de correo
electrnico, sistemas de bases de datos, servidores web Software como Servicio (SaaS) escritorios virtuales (sistema operativo del
cliente), aplicaciones puesto a disposicin de los usuarios finales sin tener que instalar ningn software en sistemas de usuario final
con excepcin quizs de una aplicacin de cliente ligero como un navegador Seguridad como Servicio (SECaaS) Autenticacin,
antivirus, deteccin de intrusos, seguridad de la informacin, y gestin de eventos
Un lado ms oscuro de servicios en la nube que debe ser defendido contra el Fraude es enrgico y tcnicamente progresiva como
servicio (FAAS). Los delincuentes cibernticos desarrollan habilidades y herramientas y la informacin sensible agregada sobre los
individuos y las empresas. Estos son los proveedores de servicios en este caso, pero los servicios que ofrecen son ilegales y
maliciosos por naturaleza. Los proveedores de Faas comercializar sus tcnicas, herramientas y datos a otros delincuentes
cibernticos. Estos proveedores FAAS suelen operar sus servicios en la nube nefastos en subterrneo, oculto, aislado y custodiado
ramas de Internet llaman la web profunda.
Los registros de sucesos de los sistemas de infraestructura de red, servidores y tal vez incluso las estaciones de trabajo cliente
pueden ser alimentados en una informacin de seguridad y gestin de eventos
Supervisin Auditoria Si la Enterprise est sujeto al cumplimiento legal o reglamentario, un nivel especfico de vigilancia
es probable que sea ordenada por las leyes o reglamentos para los sistemas y el entorno fsico
dentro del mbito de las leyes y reglamentos.
Control de Accesos
Tipos de controles de acceso Los controles administrativos Los controles fsicos Controles Tcnicos Control de
Disuasin Prevencin Demorar Deteccin Evaluar Responder Compensativa Directiva
Todos los controles de acceso caen en estas tres categoras principales (una revisin del Captulo 1):










Admn
Polticos
Reglas
Leyes
Fsicos
Barda
Talanqu
era
Cerradur
as
Tcnios
(Lgico)
Dgital
Pass
Certific
ado
Cifrado
s
Desuacin
Guarda
CCTV
(Circuito
cerrado
tv)
Perros
Prevensin
Guarda
Alarma
Perros
Demorador
Candado
s
circuitos
Controle
s de
Retraso
Deteccin
Cmaras
Sensores
Evaluar
Graveda
d de
Atacante
Responder
Llamar a
guardias
controle
s de
recupera
cin
Compensati
va
Servidor
de
Segurida
d
Directiva
Sealizac
in
El ciclo de vida de aprovisionamiento Aprovisionamiento describes operaciones administrativas relativas a la autenticacin,
autorizacin, y auditora funciones (llamada triples Ao AAA) de sus trabajadores para proporcionar acceso adecuado a los recursos
fsicos y los sistemas de informacin. Incluye la creacin, gestin y eliminacin de cuentas de usuario en los sistemas de acceso, tales
como las entradas y reas seguras y en los sistemas de informacin, as como la asignacin de privilegios que controlan el nivel
de acceso de las entidades establecidas en esos sistemas.







Gestin de Fraude
Parte del proceso de aprovisionamiento siempre debe incluir una valoracin crtica de si los nuevos privilegios proporcionan al
usuario demasiado acceso, acceso suficiente para atraer al usuario para cometer fraude y evadir la deteccin. Fraude comnmente
toma la forma de un empleado que puede alterar los registros de negocios para robar el dinero (u otros activos) de la empresa sin
ser detectado durante un perodo prolongado. La alteracin indebida de datos es una violacin de la integridad de los datos.

Autenticacin
Los mecanismos utilizan para autenticar a los usuarios caen en las siguientes categoras:
Algo que sabes cmo contraseas o nmeros de identificacin personal (PIN)
Algotiene como tarjetas inteligentes, tarjetas de memoria o dispositivos simblicos
Algo est biometra, como una huella digital, huella de voz, o escner de la retina

Algo que sabes:
Los ataques a las contraseas
Si un atacante puede llegar a la contrasea, el atacante puede autenticar como usted y tienen el mismo acceso a todos Los recursos
que tiene acceso. La pista de auditora mostrar que usted, no el atacante, cometi las infracciones. EL ATAQUE QUE FUERZA
BRUTA EL ATAQUE DICCIONARIO EL ATAQUE HYBRID EL ATAQUE DEL ARCO IRIS EL ATAQUE REPLAY INGENIERA
SOCIAL
EL ATAQUE QUE FUERZA BRUTA
Dado que las contraseas son simplemente cadenas de caracteres (binarios o bits), slo un nmero finito de combinaciones puede
ser generado a partir de los caracteres. Al tratar cada posible secuencia de caracteres, un atacante con el tiempo puede revelar
ninguna contrasea. Este ataque exhaustiva es un ataque de fuerza bruta. Est garantizado para revelar las contraseas, pero el
ataque tarda mucho tiempo, a menudo requieren semanas, meses o incluso aos para alcanzar el xito. Esta es una de las razones
claves por lo general estn obligados a ser ms largo y cambiados peridicamente. Las contraseas ms largas tienen ms caracteres
y pueden producir muchas ms combinaciones que el atacante debe intentar. Adems, la contrasea se debe cambiar antes de que
el atacante puede entenderlo.
EL ATAQUE DICCIONARIO
El ataque de diccionario es un subconjunto del ataque de fuerza bruta. Este ataque intenta palabras de diccionario como la
contrasea porque la mayora de los usuarios eligen contraseas que sean fciles de recordar, por ejemplo, palabras regulares
Diccionario. Este ataque es mucho ms rpido, y con frecuencia es efectiva, pero no es una garanta de xito, como el ataque de
fuerza bruta es.
EL ATAQUE HYBRID
El ataque hbrido comienza con el ataque de diccionario, pero siempre y cuando no se consiga ese ataque, el ataque hbrido contina
realizando sustituciones de caracteres como el signo de exclamacin (!) O 1 para la letra i, 5 o $ para la letra s, el nmero 3 para un E,
y as sucesivamente. El ataque hbrido tambin puede simplemente aadir caracteres al azar antes, despus, o antes y despus de
cada palabra del diccionario en su intento de adivinar la contrasea de un usuario. El ataque hbrido no es tan rpido como el ataque
de diccionario, pero aumenta la probabilidad de revelar con xito la contrasea.
EL ATAQUE DEL ARCO IRIS
Como se describi anteriormente, los sistemas muy suelen almacenar la contrasea de un usuario en su forma de hash. Si un
atacante puede recuperar una o ms de estas credenciales almacenadas (o incluso slo en cach temporalmente) en su forma de
A
I
A A
D
D
hash, se puede utilizar el ataque de arco iris. El ataque del arco iris se inicia con la generacin de las tablas de arco iris, que se
generan a partir de un ataque de fuerza bruta que trata cada posible secuencia de caracteres para una contrasea determinada
longitud, y registra la salida del valor hash para cada combinacin de caracteres. Las tablas de arco iris tambin se pueden descargar
de varios sitios web (pero pueden confiar en la descarga). Cuando las tablas de arco iris son en parte, si el valor hash de la contrasea
de un usuario puede ser robado de un sistema comprometido, es una bsqueda simple en las tablas de arco iris para revelar la
contrasea en texto plano original para el usuario que produce el valor hash.
Las tablas del arco iris para las contraseas ms largas se vuelven bastante grandes. Una coleccin abarca desde aproximadamente
64 GB para acercarse a 1 TB, dependiendo del nmero de caracteres, la diversidad de los tipos de caracteres (alfa, maysculas y
minsculas, numricos y smbolos), y la funcin de hash utilizados. Existen numerosas herramientas disponibles para realizar la
bsqueda real tabla de arco iris, pero, una vez ms, tenga cuidado con lo que descarga desde los sitios de hackers. Compaeros de
hackers son tambin posibles objetivos-no hay honor entre ladrones.
El uso de las tablas de arco iris de craqueo de contraseas es visto como una solucin de compromiso entre el espacio de
almacenamiento en disco duro y el tiempo. Se consumen grandes cantidades de espacio en el disco, pero si la contrasea wep
contraseas (que pena por ti), es probable que ahorrar tiempo.

EL ATAQUE REPLAY
El ataque de reproduccin se describe la seccin anterior, en el "algo que sabes". El atacante captura y registra la actividad de inicio
de sesin de un usuario legtimo travs de la red, por lo general mediante un sniffer, tambin llamado un analizador de protocolos o
analizador de red. El atacante extrae paquetes del usuario al servidor de autenticacin a partir de la captura y reproducirlas para el
servidor de autenticacin. El ataque de repeticin no revele la contrasea del usuario, pero podra engaar al servidor de
autenticacin en la creencia de que el atacante es el usuario legtimo.

INGENIERA SOCIAL
Esto se considera normalmente el ataque ms fcil y ms a menudo exitosos en contraseas. El ingeniero social (atacante) engaa al
usuario para que revele su contrasea. El atacante podra simplemente buscar las pginas de Facebook de los usuarios para
descubrir contraseas cognitivas o de establecer las bases para posibles contraseas de diccionario. El atacante puede llamar al
usuario y pretende ser la mesa de ayuda tratando de hacer un favor al usuario y resolver algn problema tcnico. Por supuesto, en el
proceso de solucin del problema, el usuario tiene que decirle al escritorio impostor ayuda su contrasea. El ingeniero social puede
tener acceso fsico al lugar de trabajo del usuario y mirar por encima del hombro de un usuario mientras el usuario est escribiendo
su contrasea (llamado surf hombro) para observar y memorizar la contrasea o para buscar contraseas escritas bajo teclados,
publicados en el monitor de visualizacin, o almacenado convenientemente en los cajones de la mesa superior. El atacante podra
solicitar algn tipo de asistencia, basndose en el deseo de la mayora de la gente de ser til y, en el proceso, por alguna razn,
aparentemente legtima, que tenga que utilizar la contrasea del usuario legtimo.
Algo que tienes
La segunda categora de mecanismos de autenticacin se basa en algn componente o dispositivo que se emitirn desde la
autoridad de confianza (de gestin o administracin de red) para el usuario legtimo. El dispositivo est asociado a una cuenta de
usuario y se expide a un trabajador.
Los inconvenientes de los dispositivos de autenticacin (algo que tienes)
Un inconveniente para el uso de dispositivos de autenticacin (algo que tienes) es el coste de los propios dispositivos, el costo del
sistema (s) de inscripcin, y, en algunos casos, se requiere el costo adicional de los lectores de autenticacin en cada ubicacin.
Algo que est
El tercer mecanismo de autenticacin principal se llama biometra. Este sistema explora un tipo especfico de atributo biolgica del
usuario (la parte bio), que la lectura se convierte en un valor numrico o valores (la parte -metric), y compara esa informacin con
los datos biomtricos almacenados en el sistema de autenticacin para ese usuario. La biometra se basa en la unicidad de los
atributos biolgicos de diferentes personas y es la forma ms cara de autenticacin pero la forma nica ms fuerte y ms especfico
de autenticacin. Los usuarios tienden a rechazar el uso de sistemas biomtricos, ya que invaden un espacio personal.
La autenticacin mutua
Otro enfoque para el fortalecimiento del sistema de autenticacin es con autenticacin mutua, por el cual el sujeto se autentica a s
mismo al sistema de autenticacin, y el sistema autentica al usuario. Esto se ha vuelto ms importante debido a la mayor uso de
acceso remoto, como la computacin de marcacin de entrada, las redes privadas virtuales (VPN), o Wi-Fi la creacin de redes.


CISSP Se basa en Iso 1779


Inicio de sesin nico
El inicio de sesin nico concepto (SSO) es tener el usuario inicie sesin en una vez y, basndose en ese nico firmar en, permite al
usuario acceder a todos los recursos, en toda la empresa, que el usuario ha sido concedido permiso de acceso.
Modelo de Control de acceso obligatorio Una autorizacin tcnica Ofthe fuerte (control de acceso) mecanismos es la obligatoria
modelo de control de acceso (MAC). El modelo de MAC se implementa principalmente cuando el valor de los recursos es muy alto,
tan alto, de hecho, que este modelo se utiliza raramente en el mundo comercial pero encuentra su hogar en su mayora dentro de
los sistemas de gobierno y de informacin militar.
Control de acceso discrecional (DAC) es un modelo de control de acceso tcnico de uso comn en sistemas de informacin
comercial y de muchos sistemas de gobierno que no almacenan, procesan o transmiten datos clasificados.
Control de acceso basado en roles (RBAC) Es un modelo de control tcnico. Es muy parecido a un simplificado
implementacin de DAC.
Control de acceso basado en reglas Control de Regla-basedaccess es un modelo de control tcnico. En el modelo clsico, como en
el papel a base de control de acceso, no se requiere la identidad del usuario discreta. En el modelo clsico para la regla basada en
control de acceso, las reglas se aplican a todos los usuarios.
1er. Nivel
Algo que sabe?
Usted conoce
Cdigo
Usuario
Contrasea
2do. Nivel
Algo que usted tiene.
Tokens
MSJ
Tarjeta Chip
3er. Nivel
Algo que eres.
Usted es?
Retina
Huella Dctilar
Palma Dctilar
SESAME En lugar de utilizar criptografa de clave simtrica en la billete conseguir boleto (TGT), SESAME utiliza criptografa de
clave asimtrica y clave simtrica criptografa
La prueba de conocimiento cero se utiliza para demostrar al servicio de autenticacin que conoce la contrasea sin
tener que revelar la contrasea
RADIUS: Un servidor RADIUS se posicionara entre el servidor de acceso a la red (NAS) y los recursos de los usuarios dial-in queran
acceder
TACACS
Sistema Terminal Access Controller Control de Acceso (TACACS) funciona como un servicio AAA en su mayora en los sistemas UNIX y
fue reemplazado por RADIUS y por XTACACS (eXtended TACACS), una implementacin propietaria de Cisco Systems
Otros tipos de controles de acceso EL INTERFACE CONSTRAINED, LA Hardware GUARDIA, LA GUARDIA DE SOFTWARE
Ejercicios

Ejercicio 2-1
Busque los registros en su computadora que muestran una autenticacin exitosa y fallida. en un Del sistema de Windows,
que se puede encontrar haciendo clic derecho en Mi PC y seleccione Administrar.

A continuacin, en el cuadro de dilogo Administracin de equipos, expanda el Visor de sucesos en la columna izquierda.
Expanda Registros de Windows y seleccione Seguridad. En un sistema Ubuntu Linux (y muchos otros Linux
distribuciones), los registros de autenticacin se pueden encontrar en /var/log/auth.log.

Busque cualquier intento de inicio de sesin fallidos. Documentar cmo se configure el tamao mximo de un archivo de
registro y lo que el sistema se hacer cuando se llega a ese tamao mximo.

Respuesta
En Windows, el tamao mximo de un registro se define haciendo clic derecho en el registro y seleccionando Propiedades.
A continuacin, ajuste el tamao en el campo Tamao mximo del registro. Controlar lo que el sistema debe hacer cuando
se ha alcanzado el tamao del registro justo debajo que al seleccionar Sobrescribir sucesos
Segn sea necesario (denominado registro circular; sobrescribe y pierde eventos), El Archivo Log (guarda el eventos en el
registro completo como un archivo independiente y no perdern los eventos), o No sobrescribir sucesos (registro se debe
borrar manualmente; registro deja de aceptar nuevos eventos y podra perder evento cuando completo).

Vea la Figura 2-15.

Figura 2-15 Configuracin de los registros de eventos de seguridad (Windows)

En Ubuntu Linux, el mtodo por defecto para la gestin del archivo de registro es por fecha y no por tamao
especficamente. El perodo para hacer girar el archivo se configura a travs del archivo de /etc/logrotate.conf. Logrotate se
llama desde el directorio cron.daily, y los parmetros especficos se sac de el archivo logrotate.conf antes mencionado.
De forma predeterminada, los archivos de registro se establecen para girar semanal, y el sistema est configurado para
archivar los ltimos cuatro registros. Una alternativa al uso de la logrotate demonio es el uso de el demonio sysklogd. La
figura 2-16 muestra un ejemplo del archivo auth.log.

FIGURA 2-16 El registro de sucesos de autenticacin, Ubuntu Linux


Ejercicio 2-2

Identificar cinco controles de acceso relativo en el equipo local y su uso. Determine su primario grupo (tcnico, fsico,
administrativo) y sub grupo (s) (detener, retrasar, prevenir, detectar, evaluar, corregir, recuperar, directa, compensar).
Cuando existen mltiples, una lista de los grupos con el fin del efecto deseado.

Respuesta

Los siguientes son ejemplos de controles que puedan estar en su lugar de acceso:
Poltica de proteccin administrativa preventiva (basado en la confianza del usuario),
Disuasorias Administrativo (sanciones por violacin descritos como una advertencia) de inicio de sesin Contrasea
tcnica preventiva, retraso por motivos tcnicos, de disuasin tcnica permisos Ficha tcnica preventiva
Sistema de archivos de auditora detective Tcnica, disuasin tcnica
permisos de recurso compartido tcnica preventiva revisin del captulo