Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción a la
Seguridad Informática
Adrián Palma,CISSP,CISA,CISM,CRISC,ISO27001
Director General de Integridata
adrian.palma@integridata.com.mx
Lámina 1
Materia Seguridad Informática
Lámina 2
Ejercicio
Lámina 3
Principios de la Seguridad
• Confidencialidad
• Integridad
• Disponibilidad
Lámina 4
Triangulo CIA
Seguridad de la
Ciberseguridad
Información
C A
Seguridad
I
Seguridad
Informática o de TI
Lámina 5
Definiciones
• Cyber: Lo relacionado con o en relación con computadoras
o redes de computadoras, como el Internet (Merriam-
Webster)
Lámina 8
Definiciones
• Cybersecurity: El conjunto de herramientas, políticas, conceptos de seguridad,
salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones,
formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para
proteger los activos de la organización y los usuarios en el ciberentorno. Los
activos de la organización y los usuarios son los dispositivos informáticos
conectados, los usuarios, los servicios/aplicaciones, los sistemas de
comunicaciones, las comunicaciones multimedios, y la totalidad de la
información transmitida y/o almacenada en el ciberentorno. La ciberseguridad
garantiza que se alcancen y mantengan las propiedades de seguridad de los
activos de la organización y los usuarios contra los riesgos de seguridad
correspondientes en el ciberentorno. Las propiedades de seguridad incluyen
una o más de las siguientes:
• Disponibilidad;
• Integridad incluir la autenticidad y el no repudio;
• Confidencialidad (ITU)
Lámina 9
Alcance Actual de Ciberseguridad
• Critical Infrastructure Protection
– Infraestructura Electrica
– Infraestructura petrolera y de gas natural
– Infraestructura de Agua
– Infraestructura de Telecomunicaciones
– Infraestructura de Transportación
– Infraestructura de Salud
– Infraestructura Financiera
– Redes de Comunicaciones
– Tecnologías de Información
– Internet
– Sistemas de Broadcasting
Lámina 10
Alcance Actual de Ciberseguridad
• Smart Grid
• Cloud Computing
• I3S
Lámina 11
Estándares de Ciberseguridad
• ISO/IEC 27032:2012, Information technology -- Security
techniques -- Guidelines for Cybersecurity
Lámina 12
Estándares de Ciberseguridad
• Electricity Subsector Cybersecurity Capability Maturity
Model (ES-C2M2)
Lámina 13
ISO/IEC 27032:2012, Information technology Security
Techniques Guidelines for Cybersecurity
• La seguridad de la información
Lámina 14
ISO/IEC 27032:2012, Information technology --
Security Techniques -- Guidelines for Cybersecurity
• Se cubre el punto de partida en prácticas de seguridad para las partes
interesadas del Ciberespacio. Esta norma proporciona:
– Las generalidades de la Ciberseguridad
Lámina 15
Antecedentes
• Evolución y Aplicación de la Tecnología Informática
– Bajo costo - Alta capacidad - Menor tamaño
– Interconexión - Sistemas abiertos
– Facilidad de Operación - Popularización
– Aplicaciones (Oficina, Integradas y Estratégicas)
• Dependencia - continuidad de la Operación
• Cultura de la Protección
• Cambio del paradigma de la seguridad
– El boom de las comunicaciones
– El computo distribuido
– Internet
Lámina 16
Seguridad
Lámina 18
Situaciones que afectan la Seguridad
Informática 1/2
1. No existe una función formal de Seguridad Informática en la organización.
10. Los incidentes de fraude, robo y desfalco relacionados con TI no son reportados a las
instancias legales.
• Custodio
– Implementador
• Usuario
– Ejecutor
Lámina 21
Gap de Funciones y Responsabilidades de la
Seguridad
Custodio Dueño
Seguridad Custodio
Lámina 23
Misión de la Función de Seguridad de la
Información
Lámina 24
Responsabilidades de Seguridad de la
Información
• Definir, Obtener y Gestionar Presupuestos de Seguridad, en otras
palabras vender la Seguridad a los altos niveles de la Organización
• Valuación de la Información
• Clasificación de la Información
Lámina 26
Responsabilidades de Seguridad de la
Información
• Análisis y Evaluación de riesgos y Manejo de Riesgos con enfoque de
Procesos de Negocio
Lámina 27
Responsabilidades de Seguridad de la
Información
• Seguridad en Redes
• Seguridad Física
Lámina 28
Responsabilidades de Seguridad de la
Información
• Compliance
• Privacidad de datos
Lámina 29
Normatividad
• Políticas
• Estándares
• Guías
• Procedimientos
• Baselines
Lámina 30
Awareness
• La seguridad es un problema de gente.
Lámina 31
Introducción
• Somos reactivos por naturaleza en lo que a seguridad refiere, con
respecto a la gente si la falla es grande / grave:
– Cambiarlo de área
– Asignarle otras tareas
– Lo apoyamos de forma inadecuada
– Despedirlo
• Difícilmente:
– Lo concientizamos
– Lo capacitamos
– Lo apoyamos de forma adecuada
Lámina 32
Introducción
• Una gran cantidad de planes fracasan por la poca claridad del
concepto y el propósito de los mismos.
Lámina 33
Introducción
• La vulnerabilidad que la gente representa nunca será
totalmente eliminada, no hay mecanismo 100% seguro.
Lámina 34
Problemática
Lámina 35
Identifiquemos la problemática
Lámina 36
Identifiquemos la problemática
Lámina 37
Identifiquemos la problemática
• En caso de dudas, consideremos lo siguiente como comportamiento
anormal:
– Los archivos desaparecen o se multiplican.
– Aparecen archivos desconocidos o misteriosos.
– Los datos se transforman o se alteran.
– Los archivos no pueden ser accedidos.
– El disco duro se llena.
– La capacidad de la memoria se reduce.
– La computadora se torna lenta o se “traba”.
– Aparecen mensajes inusuales en la pantalla.
Lámina 38
Identifiquemos la problemática
• ¿parecidas?
• ¿todas funcionarían?
Lámina 39
Relatemos una infección de virus
• 10:00 a.m.
– Un usuario recibe un mail de una persona desconocida con
un archivo adjunto.
– La iniciativa del usuario lo invita a abrir el mensaje y
ejecutar el archivo adjunto.
• 10:01 a.m.
– El virus se instala en el equipo.
– Comienza su propagación a través del correo electrónico a
toda la lista de contactos.
– Empieza a causar efectos negativos en la red.
Lámina 40
Relatemos una infección de virus
• 10:03 a.m.
– A la vista del usuario no ocurrió nada y le resta importancia
– Se asegura de enviarlo a sus amigos y compañeros de
confianza, o bien, a toda la lista de contactos por iniciativa
propia.
• 10:25
– El 20% de la red estará con indicios o alertas de infección.
• 10:34
– El servidor de correo está fuera de servicio, tiene 38,000
correos.
Lámina 41
Relatemos una infección de virus
Lámina 42
Una respuesta “adecuada”
1. No siembre pánico.
2. No siga trabajando en el sistema.
3. Tome notas.
4. Notifique el incidente.
5. Solicite ayuda de personal experto.
6. Manténgase alerta ante cualquier indicio de reinfección.
Lámina 43
Problemática
Lámina 44
Problemática
• La mayor cantidad de incidentes de seguridad son generados
por el desconocimiento de la gente.
• Los usuarios generalmente no saben cómo reaccionar ante un
evento o incidente de seguridad.
• ¿Por qué pasa todo esto?
Lámina 45
Fundamentos
Lámina 46
Definición
Adrián Palma.
Lámina 47
Objetivos
Lámina 50
Importante diferencia
• Algunas metodologías consideran un tercer elemento
• Educación:
• Está enfocado a lograr competencias específicas y
especialistas.
• Las técnicas incluyen capacitaciones especializadas y cursos
de propósito específico.
Lámina 51
Triangulo del conocimiento organizacional
Producir atención a
Awareness la seguridad.
Producir skills y
Training competencias.
Producir especialistas
funcionales en una
Education base de conocimiento.
Lámina 52
Triangulo del conocimiento organizacional
Todos los usuarios
Awareness
Usuarios
relacionados
con TI
Training
Especialistas
en TI
Education
Lámina 53
Obstáculos para el éxito
Lámina 54
Obstáculos para el éxito
• Falta de apoyo de la dirección
• Falta de recursos
• No explicar “¿por qué?”
• Confundir awareness con training
• Ingeniería social
• Tomar como referencia los pósteres o las “mejores prácticas”
de Internet
Lámina 55
Beneficios
Lámina 56
¿Cómo resolvemos el problema?
Lámina 57
Awareness
Lámina 58
Marketing o Cambio Organizacional
Lámina 59
Marketing o Cambio Organizacional
Lámina 60
Marketing o Cambio Organizacional
Punto de falla!!!
Lámina 62
Consigan una Metodología
Lámina 63
Metodología
• Conseguir un patrocinador
• Definir ¿qué es Awareness?
• Definir metas y objetivos que sean:
• claros,
• reales,
• medibles y
• Comunicables
• Conocer la cultura corporativa – Diagnóstico.
• Crear una estrategia.
Lámina 64
Diagnóstico de la
Cultura Corporativa
Lámina 65
Metodología de Diagnóstico
• Identificación de la situación actual con respecto a:
• Conocimiento corporativo
• Preferencia de medios de comunicación
• Conocimiento en materia de seguridad
• Prácticas de seguridad
Lámina 66
Metodología de Diagnóstico
Descripción de la metodología:
I. Definición del diagnóstico
• Definición del objetivo y alcance
• Definición de rubros a evaluar
Lámina 68
Metodología de Diagnóstico
• Ejemplo de una técnica para recolección de información –
Cuestionario.
Lámina 69
Metodología de Diagnóstico
Descripción de la metodología:
III. Identificación de la audiencia
• Identificar las áreas de negocio / audiencias.
• Identificar el tamaño de la muestra.
# de
Empleados % Tamaño de la
con acceso Muestra
a TI
100 – 1000 15 – 18 %
1000 – 2500 10 – 12 %
2500 – 5000 6 – 10 %
más de 5000 4–6%
NOTA: Con universos menores a 100 empleados,
analizar de forma independiente
Lámina 70
Metodología de Diagnóstico
Descripción de la metodología:
IV. Preparación de logística
• Identificación de la audiencia específica y su ubicación.
• Elaboración de calendario y programa de encuestas.
V. Ejecución y resultados
• Aplicación del medio de evaluación.
• Consolidación de resultados.
• Análisis de la información recolectada.
• Elaboración de informe de resultados.
Lámina 71
Algunos Ejemplos de Resultados –
Conocimiento Corporativo
44.90%
Alto
55.10%
Medio - Bajo
I
2004
Lámina 72
Algunos Ejemplos de Resultados
Lámina 73
Algunos Ejemplos de Resultados
60% 60%
50% 50%
34.11%
40% 40%
26.36%
30% 30%
20% 20%
10% 10%
0% 0%
Sí No
Sí No
Lámina 74
Algunos Ejemplos de Resultados
100% 100%
90% 90%
83.67%
80%
80% 76.74%
70% 70%
60% 60%
50% 50%
40% 40%
23.26%
30% 30%
16.33%
20% 20%
10% 10%
0% 0%
Si No Si No
Lámina 75
Algunos Ejemplos de Resultados
Lámina 76
Algunos Ejemplos de Resultados
Registro de usuarios
Establecimiento y organización de la
Seguridad Informatica
Cumplimiento de políticas de
seguridad
Reconocimiento de la difusión formal
de la normatividad
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Lámina 77
Continuando con la
metodología de Awareness
Lámina 78
Metodología de Awareness
• Diseñar la estrategia de awareness considerando:
1. Resultados del diagnóstico
• Efectividad de medios.
• Debilidades del conocimiento de seguridad.
• Debilidades en prácticas de seguridad.
Lámina 79
Metodología de Awareness
• Diseñar la estrategia de awareness considerando:
2. Análisis y evaluación de Riesgos
• Riesgos importantes
– Debilidades de control y vulnerabilidades.
– Trabajar el awareness como control compensatorio.
Lámina 80
Metodología de Awareness
• Diseñar la estrategia de awareness considerando:
3. Políticas.
• No para ser difundidas, sino como referencia para la
estrategia e implementación del plan.
Lámina 81
Metodología de Awareness
s
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Análisis Diagnóstico
de Riesgos
Necesidades de
Concientización
Normatividad
Lámina 82
Metodología de Awareness
• Desarrollar el plan de Awareness
– Estructurar una campaña de comunicación
I. Pre-lanzamiento
II. Lanzamiento y mantenimiento
III. Evaluación
IV. Reforzamiento
• Crear esquema de mantenimiento del plan
• Establecer programas de revisión y mejoras de manera formal.
Lámina 83
Metodología de Awareness
• Desarrollar el plan
– Estructurar una campaña de comunicación
I. Pre-lanzamiento
– Seleccionar tipo de campaña
» Formal / Ejecutiva
» Informal / Dibujos, deportes extremos, etc.
– Seleccionar medios de difusión
» Correo
» Posters
» Spots
Lámina 84
Metodología de Awareness
• Desarrollar el plan
– Estructurar una campaña de comunicación
II. Lanzamiento y mantenimiento
– Eventos, conferencias, sesiones informativas
– Medios impresos
– Medios electrónicos
III. Evaluación
– Elaboración de métricas para determinar la efectividad
del programa de awareness, pudiendo considerar:
• Entrevistas
• Tickets del help desk
• Encuestas
• Incidentes de seguridad
• Observación
Lámina 85
Metodología de Awareness
• Desarrollar el plan
– Estructurar una campaña de comunicación
IV. Reforzamiento
– Reforzar la campaña inicial en
• Rubros indicados por la evaluación.
• Nuevas formas o requerimientos de seguridad.
• Nuevas disposiciones o formas de hacer negocio.
• Etc.
Lámina 86
Algunos tips para su plan
Lámina 87
I. Pre - Lanzamiento
• Seleccionar un tipo de campaña que genere impacto y que
cumpla con los estándares de comunicación visual de la
organización
– Formal / Ejecutiva
– Informal / Dibujos, deportes extremos, etc.
• Seleccionar los medios de difusión de mayor preferencia
– Correo
– Póster
– Spot
Lámina 88
I. Pre - Lanzamiento
• Considerar técnicas y materiales para difundir la
información:
– Videos,
– Pósteres,
– Pláticas
– Brochures & flyers
– Plumas, lápices.
– Post-its.
– Holdings del teléfono.
– Correos mensuales.
– Boletines internos.
– CBA – Computer Based Awareness
Lámina 89
Recomendaciones para la elaboración
del material
Técnica Recomendación
Póster • Iniciar con la definición de la idea general que queremos
expresar
• Hacer un bosquejo en el cual definamos los elementos
que contendrá el cartel, así como de los mensajes.
• Consultar el “Informe de la definición de mensajes y
slogan de campaña”
• Realizar el diseño considerando manejo de colores,
fuentes tipográficas, uso de imágenes, pero siempre en
estricto apego al contenido del informe.
• Se recomienda que las imágenes que se usen, sean del
tipo monosemia, es decir que al verlo nos transmita un
solo significado y no varios.
Lámina 90
Recomendaciones para la elaboración
del material
Técnica Recomendación
Circular • Hacer uso de los formatos ya existentes en la
organización, y respetando el diseño que se tenga.
• Apegarse al marco de identidad gráfica de la
organización.
• Mantener el formalismo que ya es parte inherente
de este medio de difusión.
• En caso de incluir imágenes (se recomienda no más
de 3), deberán como en el caso de pósteres remitir
a una interpretación del tipo monosémica.
Lámina 91
Recomendaciones para la elaboración
del material
Técnica Recomendación
Tríptico • Para la elaboración de un tríptico, se deberá
mantener la misma línea de diseño de toda la
campaña
• Se recomienda que la información que allí se
plasme no sea superior a dos cuartillas de
información
• Se deberán usar como máximo 6 imágenes no
saturadas, tres imágenes por cada lado.
Lámina 92
Recomendaciones para la elaboración
del material
Técnica Recomendación
Spot animado Recomendaciones:
y Screen •Los movimientos de imágenes y texto deben estar
Savers sincronizados, la saturación de efectos pueden
complicar la lectura del mismo.
•La longitud de los mensajes por pantalla no debe
exceder de 15 palabras, si el mensaje fuese más largo
se recomienda la programación de varias pantallas.
•Las imágenes utilizadas no deben de ser más
llamativas que los mensajes que se estén proyectando,
debe existir un equilibrio de ambos elementos.
Lámina 93
Recomendaciones para la elaboración
del material
Técnica Recomendación
Spot Recomendaciones:
animado y •Se recomienda el uso de familias tipográficas con las
Screen que ya este acostumbrado el empleado a recibir
mensajes por parte de la organización.
Savers
•En todos los diseños de los spots se recomienda el uso
del logotipo de la organización, se deberá jerarquizar
su uso, es decir se le dará más importancia en el
diseño.
Lámina 94
Recomendaciones para la elaboración
del material
Técnica Recomendación
Spot Recomendaciones:
animado y •El diseño y creatividad empleada en el spot
Screen no debe ser repetitiva, es decir no se debe
Savers caer en el hecho, del que ver un spot, me será
suficiente para saber como serán los
próximos.
•Se recomienda hacer uso de la innovación y
factores sorpresa, siempre respetando las
recomendaciones anteriores.
Lámina 95
Campaña Basada en Deportes
Extremos
– Slogan de campaña
• Primera persona
• Inclusivo
• Motivador
– Frases cortas
– Mensajes directos
Lámina 96
Campaña Basada en Deportes
Extremos
– Slogan de campaña
• Primera persona
• Inclusivo
• Motivador
– Frases cortas
– Mensajes directos
Lámina 97
Campaña Basada en
Comunicación Formal
– Slogan de campaña
• Primera persona
• Inclusivo
• Motivador
– Frases cortas
– Mensajes directos
Lámina 98
Identificar Audiencias Adecuadamente
Lámina 99
II. Lanzamiento y mantenimiento
Lámina 100
III. Evaluación
Lámina 101
IV. Reforzamiento
• Reforzar la campaña inicial en
– Rubros indicados por la evaluación.
– Nuevas formas o requerimientos de seguridad.
– Nuevas disposiciones o formas de hacer negocio.
– Etc.
Lámina 102
Recomendaciones
• Antes de solicitar a los empleados conocer y seguir la
normatividad de seguridad, deberá ser realizado un
programa de Awareness.
• El Awareness tiene como misión transmitir mensajes
asertivos para lograr captar la atención de los empleados.
• Inmediatamente después del Awareness deberá trabajarse
en el entrenamiento.
• No olvidar los mecanismos que sean requeridos para que
los usuarios puedan seguir los requerimientos de seguridad
y normativos.
• Es necesario medirlo, lo que no se puede medir, no se
puede mejorar.
Lámina 103
Conclusión
Lámina 104
Las Opciones Académicas
• Diplomados
– ITESM-CEM
– UNAM
– ITAM
Lámina 105
Maestrías en México
• IPN/ESIME Culhuacán
– Maestría en Seguridad y Tecnologías de Información
• UNITEC
– Maestría en Seguridad de Tecnología de Información
• CESNAV
– Maestría en Seguridad de la Información
Lámina 106
Maestrías en el Extranjero
• University of Sheffield
– http://www.shef.ac.uk
• Ecole Ingenieur Télécom Paris - ENST Ecole nationale
– Mastere Sécurité des systèmes informatiques et des réseaux
– http://www.enst.fr/3e-cycle-msc-masteres/masteres/ssir.php
• University Purdue
– Center for Education and Research in Information Assurance
and Security, or CERIAS
– http://www.cerias.purdue.edu/
Lámina 107
Otras dos más...
• Carnegie Mellon University.
– Information Networking Institute (INI)
– http://www.ini.cmu.edu/
– Master of Science in Information Networking
– Master of Science in Information Security Technology and
Management
• Capitol College
– Master of Science in Network Security
– restricted by the United States Department of Commerce to
U.S. citizens and permanent residents
– http://www.capitol-college.edu/academics/grad/msns.html
Lámina 108
Certificaciones
– Individuos
– Organizaciones
– Productos
Lámina 109
Organismos que otorgan certificaciones
• (ISC)2
– International Information Systems Security Certification
Consortium
• ISACA
– Information Systems and Audit Control Association
Lámina 110
Certificación de individuos
Lámina 111
Opciones certificación
• Más de 55 certificaciones en seguridad neutrales de productos
• Las mas demandadas
– CISSP
– CRISC
– CISA
– CISM
– SANS GIAC
Lámina 113
CISSP
• Certificación en México
– Primer seminario en 1996
• 4 profesionales certificados
– Mas de 300 certificados en México actualmente
– Seminario 43, Septiembre del 2016
Lámina 114
El Examen
• Costo $599.00 U.S.
• Formato
– Examen de opción múltiple
– 250 preguntas
– se cuenta hasta 6 horas para resolverlo
• Aprobar examen con 700 puntos
• Certificar un mínimo de 5 años de experiencia profesional en el
campo de la Seguridad Informática en 2 dominios del CBK.
(Grado profesional equivale a 1 año), ( Otra certificación
aprobada por ISC2 equivale a 1 año)
Lámina 115
Examen CISSP
• Llenar un Endorsment (incluye adherirse legalmente al Código de
Ética)
Lámina 116
CISSP
• Recertificación cada 3 años
– $85 USD/año
– Auditoría, si es seleccionado
Lámina 117
CISSP
• Código de ética
Lámina 118
Common Body of Knowledge (CBK)
• Las profesiones se caracterizan por el conocimiento de un
CBK
• Compartido por los miembros de una profesión
• Abstracto y estable
• Utilizado en su trabajo
• Independiente de habilidades, tareas, actividades y tecnologías
• Lenguaje que facilita la comunicación entre miembros
• Evidencia necesaria, pero no suficiente, de un profesional
calificado
Lámina 119
Common Body of Knowledge (CBK)
• Definido y actualizado por un comité nombrado por el consejo
de directores de (ISC)2
• Miembros del comité son los más reconocidos y
experimentados líderes en el campo
• Determinan las fronteras y las áreas del conocimiento
• Estructurado en ocho dominios y múltiples sub-dominios
• Actualizado anualmente
• Elimina referencias a leyes y políticas de los E.U. e incluye
referencias a normas internacionales
• Promovido y difundido por el (ISC)2
Lámina 120
CBK del CISSP(Abril 2015)
• Security and Risk Management
• Asset Security
• Secirity Engineering
• Communications and Network Security
• Identity and Access Management
• Security Assesment Testing
• Security Operations
• Software Development Security
Lámina 121
Concentrations CISSP
• Information Systems Security Architecture Professional (ISSAP)
• CBK
– Access Control Systems and Methodology
– Communications & Network Security
– Cryptography
– Security Architecture Analysis
– Technology Related Business Continuity Planning (BCP) & Disaster Recovery
Planning (DRP)
– Physical Security Considerations
• Formato
– Exámen de opción múltiple
– 125 preguntas
– se cuenta con 3 horas para resolverlo.
– 2 años mínimo de experiencia en cualquiera en el área de Arquitectura
• Aprobar examen con 700 puntos
• Costo 399 usd, estándar, para la recertificación basta con tener vigente la certificación
CISSP
Lámina 122
Concentrations CISSP
• Information Systems Security Engineering Professional (ISSEP)
• CBK
– Systems Security Engineering
– Certification and Accreditation (C&A) / Risk Management Framework (RMF)
– Technical Management
– U.S. Government Information Assurance Related Policies and Issuances
• Formato
– Exámen de opción múltiple
– 150 preguntas
– se cuenta con 3 horas para resolverlo
– 2 años como mínimo de experiencia en el área de Ingeniería
• Aprobar examen con 700 puntos
• Costo 399 usd, estándar, para la recertificación basta con tener vigente la certificación
CISSP
Lámina 123
Concentrations CISSP
• Information Systems Security Management Professional (ISSMP)
• CBK
– Security Leadership Management
– Security Lifecycle Management
– Security Compliance Management
– Contingency Management
– Law, Ethics and Incident Management
• Formato
– Exámen de opción múltiple
– 125 preguntas
– se cuenta con 3 horas para resolverlo.
– 2 años como mínimo de experiencia en management de Seguridad
• Aprobar examen con 700 puntos
• Costo 399 usd, estándar, para la recertificación basta con tener vigente la certificación
CISSP
Lámina 124
CSSLP
• Certified Secure Software Lifecycle Professional
• Avalada por ISC2
• Formato
– examen de opción múltiple
– 175 preguntas
– se cuenta con 4 horas para resolverlo
– 4 años mínimo de experiencia en SDLC en 1 o mas dominios
del CBK
• Aprobar examen con 700 puntos
Costo 549 usd, estándar, 90 horas CPE por 3 años, 100 usd por
año para la Recertificación
Lámina 125
CBK del CSSLP
• Certified Secure Software Lifecycle Professional
Lámina 126
HCISPP
• HealthCare Information Security and Privacy Practitioner
• Avalada por ISC2
• Formato
– examen de opción múltiple
– 125 preguntas
– se cuenta con 3 horas para resolverlo
– 2 años mínimo de experiencia
• Aprobar examen con 700 puntos
Costo 349 usd, estándar, 60 CPE por 3 años, 65 usd por año para
la Recertificación
Lámina 127
CBK del HCISPP
• HealthCare Information Security and Privacy Practitioner
• Healthcare Industry
• Regulatory Environment
• Privacy and Security in Healthcare
• Information Governance and Risk Management
• Information Risk Assessment
• Third Party Risk Management
Lámina 128
CCFP
• Certified Cyber Forensics Professional
• Avalada por ISC2
• Formato
– examen de opción múltiple
– 125 preguntas
– se cuenta con 3 horas para resolverlo
– 3 años mínimo de experiencia en 3 de los 6 dominios del CBK
• Aprobar examen con 700 puntos
Costo 549 usd, estándar 90 CPE por 3 años, 100 usd por año para
la Recertificación
Lámina 129
CBK del CCFP
• Certified Cyber Forensics Professional
Lámina 130
CAP
• Certified Authorization Professional
• Avalada por ISC2
• Formato
– examen de opción múltiple
– 125 preguntas
– se cuenta con 3 horas para resolverlo
– 2 años mínimo de experiencia en cualquiera de los 7 dominios
del CBK
• Aprobar examen con 700 puntos
Costo 419 usd, estándar, 60 CPE por 3 años, 65 usd por año para
la Recertificación
Lámina 131
CBK del CAP
• Certified Authorization Professional
Lámina 132
CCSP
• Certified Cloud Security Professional
• Avalada por ISC2
• Formato
– examen de opción múltiple
– 125 preguntas
– se cuenta con 4 horas para resolverlo
– 5 años mínimo de experiencia en TI o 3 años en seguridad de
la información y 1 en cualquier dominio del CBK
• Aprobar examen con 700 puntos
Costo 549 usd, estándar, 90 CPE por 3 años, 100 usd por año para
la Recertificación
Lámina 133
CBK del CCSP
• Certified Cloud Security Professional
Lámina 134
SSCP
• Systems Security Certified Practitioner
• Avalada por ISC2
• Formato
– examen de opción múltiple
– 125 preguntas
– se cuenta con 3 horas para resolverlo.
– 1 año de experiencia en cualquiera de los dominios del CBK
• Aprobar examen con 700 puntos
Costo 250 usd, estándar, 60 CPE por 3 años, 65 usd por año para
la Recertificación
Lámina 135
CBK del SSCP
• Access Controls
• Security Operations and Administration
• Risk Identification, Monitoring, and Analysis
• Incident Response and Recovery
• Cryptography
• Network and Communications Security
• Systems and Application Security
Lámina 136
CISA
• Certified Information Systems Auditor
• En un principio dominio exclusivo de auditores de IT
• AVALADA por la ISACA (Information Systems Audit and Control
Association & Foundation)
– fundada en 1969
• Certificación CISA tiene desde 1978
• FormatoFormato
– Exámen de opción múltiple
– 150 preguntas ( 450 Puntos para aprobar el examen )
– se cuenta con 4 horas para resolverlo
– 5 años de Experiencia
• Aprobar examen con 450 puntos
Miembro No miembro
FAX/Correo
• 450 T/500 F usd On line 635 T/685 F usd On line
75 cargo adicional
Lámina 137
CBK del CISA
• The Process of Auditing Information Systems (21%)
Lámina 138
CISM
• ISACA avala la certificación CISM
– Certified Information Security Manager
Lámina 139
CBK del CISM
• Information Security Governance (24%)
• Information Risk Management and Compliance (33%)
• Information Security Program Development and Management (25%)
• Information Security Incident Management (18%)
• FormatoFormato
– Exámen de opción múltiple
– 200 preguntas ( 450 puntos para aprobar el examen)
– se cuenta con 4 horas para resolverlo
– 5 años como mínimo de experiencia
Miembro No miembro
FAX o Coreo
450 T/500 F usd On line, 655 T/685 F usd On line
75 usd cargo adicional
Lámina 140
CRISC
• ISACA avala la certificación CRISC
– Certified in Risk Information System Control
Lámina 141
CBK del CRISC
• IT Risk Identification (27%)
• IT Risk Assesment (28%)
• Risk, Response and Mitigation (23%)
• Risk and Control Monitoring and Reporting (22%)
• Formato
– Exámen de opción múltiple
– 150 preguntas ( 450 puntos para pasar el examen )
– se cuenta con 4 horas para resolverlo
– 3 años como mínimo de experiencia
Miembro No miembro
FAX o Correo
450 T/500 F, usd On line, 635 T/685 F, usd On line
75 usd cargo adicional
Lámina 142
Cybersecurity Nexus (CSX)
• ISACA avala las Certificaciones CSX
Lámina 143
CBK del Cybersecurity Fundamentals
• Cybersecurity Concepts (10%)
• Cybersecurity Architecture Principles (20%)
• Security of Network, Systems, Application & Data (40%)
• Incident Response (20%)
• Security of Envolving Technology (10%)
• Formato
Lámina 144
CBK del CSX Practitioner
• Identify (13-15%)
• Protect (33-37%)
• Detect (21-25%)
• Respond (16-18%)
• Recover (10-12%)
• Formato
– El examen esta basado en probar los skills actuales del candidato en
ciberseguridad con escenarios en vivo en un cyberlab virtual
– Se cuenta con 3 1/2 horas reales para resolverlo
– No se requiere años de experiencia para ob btener la certificación
– Costo 540 USD para miembros y 725 para no miembros
– Para la Recertificación por primera vez se requieren comprobar 30 horas por
año durante 3 años, para el siguiente periodo de recertificación se debe
volver a presentar el examen o tomar las certificaciones de CXS Especialista
o Experto
Lámina 145
CBK del CXS Specialist
• CXS Specialist Identify & Protect
• CXS Specialist Detect
• CXS Specialist Response & Recover
• Formato
– El examen esta basado en probar los skills especializados actuales del
candidato en ciberseguridad con escenarios en vivo en un cyberlab virtual
– Tiempo de duración del examen: Próximamente
– No se requiere años de experiencia para obtener la certificación
– Costo 590 USD para miembros y 775 para no miembros
– Para la Recertificación por primera vez se requieren comprobar 30 horas por
año durante 3 años, para el siguiente periodo de recertificación se debe
volver a presentar el examen o tomar las certificación de CXS Experto
Lámina 146
CBK del CSX Expert
• No hay CBK
• Formato
– El examen esta basado en probar los skills especializados actuales del
candidato en ciberseguridad con escenarios en vivo en un cyberlab virtual,
ejecutando tareas especificas de respuesta para escenarios del mundo real
– No hay ni cursos ni material de estudios debido a la naturalexa de la
certificación
– Tiempo de duración del examen: Próximamente
– No se requiere años de experiencia para obtener la certificación
– Costo 640 USD para miembros y 825 para no miembros
– Para la Recertificación por primera vez se requieren comprobar 30 horas por
año durante 3 años, para el siguiente periodo de recertificación se debe
volver a presentar el examen de CXS Experto
Lámina 147
Global Information Assurance Certifications
• http://www.giac.org
Lámina 148
Las Certificaciones
Security Administration
• Certified Forensic Examiner
• Security Essentials Certification • Advanced Smartphone Forensics
• Certified Incident Handler Management
• Certified Intrusion Analyst
• Penetration Tester • Security Leadership
• Certified Perimeter Protection Analyst • Information Security Professional
• Web Application Penetration Tester • Certified Project Manager
• Certified Windows Security Administrator Software Security
• Assessing and Auditing Wireless Network
• Certified UNIX Security Administrator • Secure Software Programmer-Java
• Information Security Fundamentals • Certified Web Application Defender
• Certified Enterprise Defender • Secure Software Programmer-.NET
• Exploit Researcher and Advanced Penetration Audit
Tester
• Global Industrial Cyber security Professional • Systems and Network Auditor
• Mobile Device Security Analyst Legal
• Critical Control Certification
• Continuous Monitoring Certification • Law of Data Security & Investigations
• Python Coder
Forensics
• Certified Forensic Analyst
• Reverse Engineering Malware
• Network Forensic Analyst GSE Certification GIAC Security Expert
Lámina 149
EC-Council
• EC-Council ofrece una serie de certificaciones
•
• Grupo de certificaciones técnicas
•
• La experiencia no es explicita o necesaria para obtenerla
– orientadas a la práctica de seguridad informática
• http://www.eccouncil.org
Lámina 150
Las Certificaciones
• C/EH Certified Ethical Hacker
• C/HFI Computer Hacking Forensic Investigator
• E/CSA EC-Council Certified Security Analyst
• L/PT Licensed Penetration Tester
• E/NSA EC-Council Network Security Administrator
• E/CIH EC-Council Certified Incident Handler
• E/CSP EC-Council Certified Secure Programmer Java
• E/CSP EC-Council Certified Secure Programmer .NET
• E/DRP EC-Council Certified Disaster Recovery Professional
• C/CISO Certified Chief Information Security Officer
• CNDA Certified Network Defense Architect
Lámina 151
Las Certificaciones
• ECSS Certified Security Specialist
• CSCU Certified Secure Computer User
• ECVP Certified VoIP Professional
• ECES EC-Council Encryption Specialist
• CAS 611 Advanced Penetration Testing
• CAS 616 Advanced Securing Windows Infrastructure
• CAS 612 Advanced Mobile Hacking & Forensics
• CAS 613 Advanced Hacking Hardening Corporate Web Apps
• CAS 614 Advanced Network Defense
• MSS Master of Security Science ( on line )
• BSIS The Bachelor of Science in Information Security
Lámina 152
Otras Certificaciones
• Certificaciones de Productos
– Symantec
– IBM
– HP
– Computer Associates
– Checkpoint
– McAfee
– Juniper
– Aruba
– Websense
– Bluecode
– Etc,etc
Lámina 153
Certificaciones de Organizaciones
Lámina 154
Certificación Organizaciones
• Pregunta
– ¿Si igual voy a hacer algo, porque no lo hago teniendo en
cuenta las Normas, Metodologías y Legislaciones
Internacionales aplicables?
– Un arma de 2 filos.
Lámina 155
Transición
Lámina 156
Actualización de la Norma
2000 edition 2005 edition
3 Security policy 5 Security policy
4 Organisational security 6 Organizing information security
5 Asset classification & control 7 Asset management
6 Personnel security 8 Human resources security
7 Physical & environmental security 9 Physical & environmental security
8 Communications & operations 10 Communications & operations
management management
9 Access control 11 Access control
10 Systems development & 12 Information systems acquisition,
maintenance development & maintenance
13 Information security incident
management
11 Business continuity management 14 Business continuity management
12 Compliance 15 Compliance
Lámina 157
Actualización de la Norma
ISO 27001:2005 ISO 27001:2013
A.5 Política de Seguridad A.5 Políticas de Seguridad
A.6 Organización de seguridad de la información A.6 Organización de la seguridad de la
información
A.8 Seguridad en recursos humanos A.7 Seguridad en recursos humanos
A.7 Administración de activos A.8 Administración de activos
A.11 Control de acceso A.9 Control de acceso
A.10 Criptografía
A.9 Seguridad física y ambiental A.11 Seguridad física y ambiental
A.10 Administración de comunicaciones y A.12 Seguridad en operaciones
operaciones
A.13 Seguridad en comunicaciones
A.12 Adquisición, desarrollo y mantenimiento de A.14 Adquisición, desarrollo y mantenimiento de
sistemas sistemas
A.15 Relación con proveedores
A.13 Administración de incidentes de seguridad de A.16 Administración de incidentes de seguridad
la información de la información
A.14 Administración de continuidad del negocio A.17 Aspectos de seguridad de la información en
la administración de continuidad del negocio
A.15 Cumplimiento A.18 Cumplimiento Lámina 158
Los Estándares de la series ISO
IEC 27000
ISO/IEC Descripción
27000 Vocabulario y definiciones
27001 Especificación de la estructura metodológica (basada en el BS7799-
2:2002):2005
27002 Código de prácticas (basada en ISO17799:2005):2007
27003 Guía de implementación
27004 Métricas y medidas
27005 La Administración del Riesgo:2008-2011 (basado en BS 7799-3)
27006 Requerimientos para organismos de acreditación de Sistemas de
Gestión de Seguridad de la Información: 2007
Lámina 159
Principales características del
ISO/IEC 27001:2005
• Modelo PDCA
Lámina 160
Cerrar el Ciclo
Definir el Contexto
- Definir el Alcance del ISMS Mantener y Mejorar
- Definir la Política - Implementar mejoras identificadas
- Identificar Riesgos - Tomar las acciones correctivas /preventivas
- Analizar riesgos Plan apropiadas
Act
- Seleccionar Objetivos de Control - Comunicar los resultados
y controles para acciones y acuerdos
el tratamiento del riesgo* a todas las partes interesadas
- Preparar la Declaración de Continual - Asegurar que las mejoras
Aplicabilidad (SoA) alcanzan sus objetivos.
Implementar y Improvement
operar Monitoreo y revisión
- Formular un plan Do - Ejecutar procedimientos
de tratamiento de riesgo Check de monitoreo
- Implementar el plan - Efectuar revisiones periódicas
- Implementar controles
seleccionados para alcanzar de efectividad.
los objetivos de seguridad - Conducir auditorías internas a
intervalos planeados
La organización DEBE!
Lámina 161
Diferencias ISO27001 2005 -2013
Lámina 162
El Camino de la Certificación
Certificado
Acuerdo de ISMS
Confidencialidad
Pre- Auditorías
Pre-Estudio/ Auditoría Inicial Seguimiento
Auditoría Periódicas
Implementación
Implementadores
Auditores
Creación de Valor
Lámina 163
Certificación
• Los certificados tienen una validez de 3 años.
• Se requieren auditorías de evaluación, que van desde los periódica de 6 hasta
los 12 meses después de efectuada la primera auditoría.
• A partir de la publicación del estándar ISO 27001, BS7799 queda anulado.
• Solo certificó en BS7799 hasta el 15 de Abril del 2006, a partir de esa fecha
todas la auditorías se efectúan en base al estándar ISO 27001.
• Las empresas certificadas tendrán un periodo de tiempo para la transición de
la ISO27001:2005 a la 2013 de 2 años.
• Las empresas que están en vías de certificarse con la ISO27001:2005 lo
podrán hacer pero tendrán que migrar a la ISO27001:2013 en el tiempo
establecido.
Lámina 164
Registro internacional de certificados
en SGSI
Lámina 165
Registro internacional de certificados en
SGSI en México
Lámina 166
Factores que afectan la certificación
• Tamaño de la compañía
• Factores de Impacto (giro del negocio/estructura de la
compañía)
• IT-Estructura (tamaño y complejidad)
• Disposición de Recursos.
• Alcance de la Certificación
Lámina 167
La certificación de productos
Lámina 168
TCSEC Certification
• Trusted Computer Systems Evaluation Criteria
• Pagina (Rainbow Series Library)
– http://www.radium.ncsc.mil/tpep/library/rainbow/
• Documento publicado por el Departamento de Defensa de los
Estados Unidos en 1983 (DOD 5200.28-STD) conocido
también como el “Orange Book.”
– actualizado en 1985
Lámina 169
Objetivos TCSEC
• Proporcionar una guía a los fabricantes de productos comerciales
en relación a las características de seguridad que deben cumplir
sus productos.
Lámina 170
Los niveles
Nivel Descripción Comentarios
D sistema no seguro
C1 protección discrecional DAC
identificación + autenticación
C2 acceso controlado auditoria de sistemas
B1 seguridad etiquetada etiqueta + nivel seguridad jerárquico +
categorías
B2 protección estructurada etiqueta cada objeto de nivel superior por
ser padre de un inferior
B3 dominios seguridad monitor referencia que permite o niega
peticiones acceso
A protección verficada uso métodos formales para asegurar
todos los procesos
Lámina 171
Algunos libros de la serie arcoiris
• Orange Book
– DoD Trusted Computer System Evaluation Criteria
• Green Book
– DoD Password Management Guideline,
• Light Yellow Book
– Computer Security Requirements
• Yellow Book
– Guidance for Applying the DoD TCSEC in Specific Environments,
• Light Yellow Book
– Guidance for Applying the DoD TCSEC in Specific Environments
• Bright Blue Book
– Trusted Product Evaluation - A Guide for Vendors
• Red Book
– Trusted Network Interpretation
Lámina 172
Estándares creados a partir del TCSEC
• ITSEC
– Information Technology Security Evaluation Criteria
– http://www.cordis.lu/infosec/src/crit.htm
– la versión europea
• CTCPEC
– Canadian Trusted Computer Product Evaluation Criteria
– ftp://ftp.cse.dnd.ca/pub/criteria/CTCPEC.ascii
– la versión canadiense
Lámina 173
Common Criteria
• Iniciativa de varios países (14)
• Flexible
– No cuenta con perfiles predeterminados.
– Permite la adición de nuevos criterios.
Lámina 174
Objetivos CC
• Permitir a los usuarios el especificar sus requerimientos de
seguridad
Lámina 175
Niveles Aseguramiento CC
Common Criteria Descripción Referencia TCSEC
Lámina 176
Tipos documentos CC
• El CC define un conjunto de requerimientos de seguridad
– Dividido en requerimientos funcionales y de seguridad
Lámina 177
Los Niveles del CC (EAL)
• Usuario puede contar con una evaluación independiente que
compruebe que el producto cumple con lo estipulado en el ST
– evaluación conocida como TOE - Target of Evaluation
• EAL: Evaluation Assurance Level
– Numeradas del 1 al 7
– EALs superiores requieren de un mayor esfuerzo de
evaluación
– Los EAL de mayor valor garantizan más “seguridad”, pero su
evaluación requiere de mayor tiempo y cuesta más dinero
– EAL valor grande no significa “mejor seguridad”, solo
estipula que seguridad proclamada fue extensamente validada
Lámina 178
Niveles Aseguramiento CC
Lámina 180
Objetos y Sujetos
El controlar el acceso a los recursos, es uno de los temas centrales y
fundamentales de la Seguridad Informática
Lámina 181
Sujetos
Un Sujeto puede ser:
• Un usuario
• Un programa
Lámina 182
Objetos
Un Objeto puede ser:
• Una Computadora
• Un archivo
• Un dispositivo de red
Lámina 183
Sujetos y Objetos
Sujetos, entidades activas – Objetos, entidades pasivas – Acceso, flujo de información entre un sujeto y un objeto
Lámina 184
Etapas del control de acceso
• Identificación
• Autenticación
• Autorización
Lámina 185
Autenticación
• Autenticación usuario consiste en que una computadora verifique
que uno es quien dice ser.
• Punto importante a tratar en la seguridad.
Lámina 186
Mecanismos Autenticación
• Clasificación
– Basados en algo que se sabe
– Basados en algo que se es
– Basadas en algo que se tiene
Lámina 187
Passwords
Existen dos clases de Passwords:
• Estático: No cambian
– Password dinámico
• One-Time-Password
• Calculadoras de números aleatorios desplegados en pantalla
Lámina 190
Tokens
• Existen 3 tipos de Tokens:
– Estáticos:
• USB,
• Una llave para operar un candado físico,
• Smart Card,
• “Swipe Card”. La mayoría almacenan una llave criptográfica
(llave pública o privada o credenciales encriptadas)
Lámina 191
Tokens
– Asyncrounous Dynamic Password:
• Genera passwords basados en un esquema de
“Challenge/Response”
• Requiere el usuario presione un botón o tecla
• El servidor de autenticación envía primero un valor “random”
• El usuario teclea en el token dicho valor, el cual el dispositivo usa
para encriptar ese valor y genera un valor nuevo que el usuario
ocupa como One-Time-Password
• El usuario envía al servidor de autenticación este nuevo valor junto
con credenciales de acceso.
• Si el servidor de autenticación puede decriptar este valor y es el
mismo valor enviado al inicio de la sesión, el usuario es
autenticado exitosamente
Lámina 192
El Proceso Biométrico
Registro Base datos
template
Sensor Extractor
Biométrico característica
Identificación
Sensor Extractor
Biométrico característica
Comparación
característica
Lámina 193
Biométricos
Lámina 194
Biométricos
“Falso Rechazo” (False Rejection) es el tipo de error que ocurre cuando un
Sujeto Válido no es Autenticado por un Dispositivo Biométrico. También se le
conoce como “Falso Positivo” y “Error Tipo 1”
Lámina 195
Características biométrico ideal
• Universal
– toda persona posee la característica
• Único
– dos personas no comparten la característica
• Permanente
– la característica no debe cambiar o alterarse
• Colectable (collectable)
– característica es realmente presentable a un sensor y es
fácilmente cuantificable.
Lámina 196
Sistemas biométricos prácticos
• Desempeño
– robustez, requerimientos de recursos, y factores operacionales
o de ambiente que afectan su confiabilidad y velocidad
• Aceptación
– personas dispuestas a aceptar un identificador biométrico en su
vida diaria.
• Confiablidad
– que tan fácil es engañar al sistema, a través de métodos
fraudulentos
Lámina 197
Tecnologías Biométricas
• Imágenes faciales
• Geometría mano
• Métodos basados en
el ojo
• Firmas
• Voz
• Geometría de la vena
• Imágenes palma y
dedos
Lámina 198
Cara
• Característica más usada por los seres humanos
• Áreas más activos de investigación
• Principio funcionamiento
– reconocimiento basado en ubicación y forma de atributos
faciales: ojos, nariz, labios; así como relaciones espaciales
entre ellos
• Difícil reconocer una imagen capturada desde dos diferentes
puntos.
– restricciones respecto a como las imágenes se obtienen,
algunas veces requiere un fondo simple o una iluminación
especial
Lámina 199
Cara termográfica
• Sistema vascular en la cara humana produce una huella única de
cara cuando se pasa calor a través de la textura de la piel y es
emitida por la piel.
Lámina 200
Huellas Digitales
• Sistema usado para identificación desde siglos.
• Huella digital es un patrón de líneas en la superficie de un dedo,
cuya formación se da durante el periodo fetal
– huellas digitales de gemelos son diferentes
• Encabezan las aplicaciones biométricas
• Problema
– aceptación por parte de un usuario
– huellas digitales son asociadas con investigaciones criminales
y trabajo policial
Lámina 201
Minucias
Lámina 202
La huella dactilar
Lámina 203
Geometría de la mano
• Medidas mano:
– forma, longitud y grosor de los dedos
• Dispositivos instalados en cientos de localidades en el mundo
• Técnica simple, relativamente fácil de usar y barata.
• Factores operacionales de ambiente (piel seca) no tiene
consecuencia en la identificación.
• Presenta una baja discriminación (artritis, manco, etc).
• Requiere de una geometría grande, no puede ser usada en algunas
aplicaciones como laptops
Lámina 204
Retina vs Iris
Lámina 205
Patrón de retina
• Patrón formado por venas detrás de la superficie de retina es
estable y único
– característica factible para reconocimiento
Lámina 206
Iris
• Iris es la región del ojo rodeada por la pupila y el blanco del ojo
Lámina 207
Firma manuscrita
• Cada persona tiene un estilo único de escritura.
– dos firmas de la misma persona no son siempre idénticas
– variaciones dependen del estado de físico y emocional de la
persona
• Nivel identificación es razonable pero no suficiente para un
reconocimiento de gran escala.
• Dos tipos
– estático: solo usa características geométricas (forma) de la
firma
– dinámico: aparte usa características como velociada, presión
y patrones de trayectorias.
Lámina 208
Voz (speech)
• Su carácter de único se basa en la no tan variante forma/tamaño
de sus elementos (vocales, boca, cavidades nasales, labios) que
sintetizan el sonido
• No contiene suficiente información para un sistema de
reconocimiento de gran escala.
• Puede basarse en una entrada dependiente del texto (se cuenta con
una frase predeterminada) o independiente de este.
• Aceptado por mucha gente.
• Sensible a ruido de fondo, y al estado físico/emocional del
individuo.
Lámina 209
Key Stroke
• Velocidad y forma de tipear información con la
ayuda de un texto.
Lámina 210
Comparación
Lámina 211
Control de acceso
Lámina 212
Tipos de control de acceso
Lámina 213
Control de acceso discrecional
• Permite al dueño (owner) o creador de un Objeto el
controlar y definir qué Sujeto puede acceder a dicho Objeto.
Lámina 214
Control de acceso Mandatorio
• Depende del uso de “Etiquetas de Seguridad” (Security Labels)
• Los Sujetos podrán acceder Objetos que tengan la misma o menor etiqueta o
Clasificación.
Lámina 215
Control de acceso basado en roles
(RBAC)
Lámina 216
Control de acceso basado en roles
(RBAC)
Lámina 217
Administración del control de acceso
• Administración de cuentas
Lámina 218
Administración de cuentas
Lámina 219
Monitoreo de cuentas, bitácoras y
diarios
– Periodicidad de uso
– Cambio de contraseñas.
Lámina 220
Derechos y permisos de
acceso
Lámina 221
Single Sign On (SSO)
• Este tipo de mecanismo permite a un usuario autenticarse
SOLO UNA VEZ y tener acceso a los recursos a los que esté
autorizado sin tener que autenticarse a cada uno de ellos.
• La autenticación se realiza de manera ÚNICA.
• Se requiere de un password robusto.
• Único punto de falla (Single Point of Failure) – Una vez que la
contraseña es comprometida, el atacante tiene acceso a todos
los recursos.
• Facilidad en la administración
• SSO puede ser habilitado a través de mecanismos de
autenticación (Kerberos, SESAME, Scripts)
Lámina 222
Single Sign On (SSO)
Lámina 223
Identity management
• Es una estrategia de negocio manifestada en un esquema de
seguridad para administrar los accesos en una empresa
Lámina 224
Características y beneficios
• Tecnologías integradas.
• Bajos costos operativos.
• Procesos automáticos.
• Respuesta rápida al mercado.
• Autoservicios para clientes, proveedores y empleados.
• Control de activos integrados.
• Seguridad proactiva
Lámina 225
Identity Management
Definición
La esencia del Identity Management (IdM) como solución es:
Lámina 226
Identity Management
Entidad
• Ente o Ser
Lámina 227
Identity Management
Identidad
• Cualidad de Idéntico
Lámina 228
Identidad Digital – Digital
Identity
Lámina 229
Componentes
• Directorio
• Base de Datos
• Servicios Web
• Clientes
• Aplicaciones/Ambientes
• Provisioning Manage Console
• Workflow Server
Lámina 230
Problemática
• Cumplimiento de requerimientos regulatorios de la industria de
manera continua
• Requerimientos de Auditoría
– Ya sean auditores internos o externos, necesitarán verificar
un adecuado control sobre los sistemas de TI y el acceso a
información sensitiva
Lámina 233
Problemática
• Cambios CONSTANTES en la infraestructura de TI
Lámina 234
Problemática
• Mucha Población, Pocas manos
– Ambientes heterogéneos
Lámina 235
Problemática
• El principio de Segregación de Funciones no está siendo
reforzado, seguido o implementado
Lámina 236
Comparando Esquemas
Lámina 237
Elementos Identity Management
• Autenticación
• Servicios de directorio corporativo
• Control de acceso
• Administración de usuarios
Lámina 238
Capas de la Seguridad
Informática
1. Seguridad relacionada con el personal
2. Seguridad Física
3. Seguridad de Datos
7. Seguridad en Internet
Lámina 239
Seguridad Relacionada con el personal
Lámina 240
Seguridad relacionada con el
personal
Alcance.
Lámina 241
Seguridad relacionada con el
personal
Objetivos.
– Asegurar el establecimiento de políticas, estándares, procedimientos y guías para
que el personal desempeñe sus funciones y actividades adecuadamente, de tal
manera que se reduzcan las amenazas (ejem.robo, fraude, desfalco) que resultan de
contratar personal no calificado, deshonesto o con antecedentes cuestionables.
Lámina 242
Seguridad relacionada con el
personal
Guías y Técnicas de control 1/2
1. Efectuar una completa verificación de los antecedentes de los candidatos a contratar.
8. Asegurar que no existan relaciones familiares entre empleados que trabajan en áreas
sensitivas de la organización.
10. Asegurar que los empleados tomen sus vacaciones cuando les corresponda.
11. Promover entre los empleados el desarrollo de una conciencia sobre la seguridad
informática.
Lámina 244
Seguridad Física
Lámina 245
Seguridad Física
Alcance
Objetivos
Objetivos (2/2)
3. Asegurar que existan controles adecuados para las condiciones ambientales (calor,
polvo, humedad, aire acondicionado), que reduzcan el riesgo por fallas o
malfuncionamiento del equipo, del SW, de los datos y de los medios de
almacenamiento.
Lámina 247
Seguridad Física
Guías y Técnicas de Control
Lámina 248
Seguridad Física
Guías y Técnicas de Control
8. Instalar controles de respaldo tales como generadores de electricidad que usan diesel.
Lámina 249
Seguridad de Datos
Lámina 250
Seguridad de Datos
Alcance
– Administración de passwords.
Lámina 253
Seguridad de Datos
Guías y Técnicas de Control 2/5
7. Revisar los log´s de actividad del sistema, los journals, y reportes de excepción para
detectar violaciones a la seguridad.
9. Instalar controles para el manejo apropiado de datos a través de todas las fases de
operación del sistema.
10. Donde sea apropiado y se justifique, aplicar técnicas criptográficas para proteger
datos confidenciales.
Lámina 254
Seguridad de Datos
Guías y Técnicas de Control 3/5
11. Instalar el log-off automático de las terminales, después de un período de inactividad.
14. Instalar controles en el log-on / sign-on para prevenir o detectar intentos de log-on
impropios o no válidos.
16. Producir reportes de imagen anterior y posterior para corregir errores durante el
mantenimiento de archivos. Lámina 255
Seguridad de Datos
Guías y Técnicas de Control 4/5
18. Proveer a los usuarios, para su revisión, reportes de error generados por la aplicación.
26. Asegurar que no existan relaciones familiares entre empleados que trabajan en áreas
sensitivas de la organización.
27. Distribuir a cada empleado su descripción de puesto, donde se defina claramente sus
responsabilidades, la forma en que será evaluado así como su nivel de autoridad. Lámina 257
Seguridad del SW de Aplicaciones
Lámina 258
Seguridad del SW de Aplicaciones
Alcance:
- Aplicaciones en desarrollo.
- Administración del proyecto de desarrollo.
- Aplicaciones en producción.
- Controles de acceso sobre cambios a programas.
Objetivos: (1/2)
1. Asegurar el establecimiento de políticas, estándares, procedimientos y guías de seguridad
para el software de aplicaciones que reduzcan los riesgos de modificación, destrucción o
revelación de que resultan del acceso no autorizado a aplicaciones.
4. Asegurar que toda nueva aplicación sea probada completamente, se le apliquen pruebas de
aceptación y/o pruebas de paralelo/piloto, donde los usuarios preparen los datos de prueba y
verifiquen los resultados.
5. Asegurar que a los empleados se les restrinja el acceso, a las aplicaciones en producción,
de acuerdo a sus descripciones de puesto, o sea, de acuerdo a sus responsabilidades y nivel
de autoridad establecidos.
6. Instalar controles para el manejo apropiado de datos a través de todas las fases de
operación del sistema.
Lámina 261
Seguridad del SW de Aplicaciones
Guías y Técnicas de Control. (2/7)
7. Diseñar aplicaciones que requieran la mínima intervención de los operadores del
centro de cómputo.
Lámina 262
Seguridad del SW de Aplicaciones
Guías y Técnicas de Control (3/7)
12. Establecer la función de aseguramiento de calidad la cual pruebe e inspeccione
independientemente los programas y aplicaciones durante su desarrollo.
17. Controlar los cambios a programas para asegurar que sólo se hagan cambios
autorizados.
Lámina 263
Seguridad del SW de Aplicaciones
Guías y Técnicas de Control (4/7)
18. Comparar periódicamente el uso de los recursos de producción
22. Donde sea aplicable, usar Diccionario de Datos para estandarizar el uso y nombres de
los “data items”.
Lámina 265
Seguridad del SW de Aplicaciones
Guías y Técnicas de Control (6/7)
30. Utilizar herramientas de debugging para dumps de memoria.
32. Proveer a los usuarios reportes de error generados por la aplicación para su revisión.
Lámina 266
Seguridad del SW de Aplicaciones
Guías y Técnicas de Control (7/7)
37. Mantener una adecuada separación física de responsabilidades entre funciones
incompatibles tales como: operaciones del centro de cómputo, desarrollo, mantenimiento,
control de entradas y salidas, control de la red, base de datos, programación de sistemas,
control de la producción. Asimismo, separar responsabilidades en las áreas funcionales
usuarias.
39. Asegurar que no existan relaciones familiares entre empleados que trabajan en áreas
sensitivas de la organización.
40. Distribuir a cada empleado su descripción de puesto, donde se defina claramente sus
responsabilidades, la forma en que será evaluado así como su nivel de autoridad.
Lámina 267
Seguridad del SW del Sistema
Lámina 268
Seguridad del SW del Sistema
Alcance:
- Sistemas de Base de Datos.
- Diccionario de Datos.
- Sistema operativo.
- Programas de Utilería.
Lámina 269
Seguridad del SW del Sistema
-
Objetivos:
1. Asegurar el establecimiento de políticas, estándares, procedimientos y guías de
seguridad del software del sistema que reduzcan las amenazas de modificación,
destrucción o revelación de programas que resultan del acceso no autorizado a archivos
de programas.
2. Asegurar que todas los cambios y actualizaciones al software del sistema sean
probados ampliamente por los programadores antes de que se les ponga en producción.
3. Asegurar que se restrinja a los empleados, el acceso a los archivos y programas del
sistema, de acuerdo a sus descripciones de puesto, o sea, de acuerdo a sus
responsabilidades y nivel de autoridad establecidos.
6. Restringir los privilegios para accesar el software del sistema desde cualquier
terminal.
8. Llevar a cabo auditorías periódicas del software del sistema (sistema operativo,
software de interface, monitores) para determinar su seguridad.
12. Asegurar que todas las opciones y parámetros de los productos de software del
sistema sean instalados apropiadamente.
15. Asegurar que los empleados tomen sus vacaciones cuando les corresponda.
16. Controlar el acceso al sistema por parte del personal de servicio de mantenimiento de
Hardware y/o Software.
19. Asegurar que no existan relaciones familiares entre empleados que trabajan en áreas
sensitivas de la organización.
20. Distribuir a cada empleado su descripción de puesto, donde se defina claramente sus
responsabilidades, la forma en que será evaluado así como su nivel de autoridad.
Lámina 274
Seguridad de PC´s y Portátiles
Lámina 275
Seguridad en PC´s y Portátiles
Alcance:
- Controles Administrativos.
- Controles de Sistema.
- Controles Físicos.
Objetivos (1/2)
1. Asegurar que existen adecuados componentes de seguridad y control, tanto en
el HW como en el SW de PC´s y que funcionan de acuerdo a lo especificado.
7. Asegurar que no existan áreas sobre controladas ni fuera de control en relación con la
seguridad de PC´s en términos de conveniencia, control y costo.
8. Asegurar que el ambiente de seguridad y control sobre las PC´s sea razonable y costo-
efectivo y que el proceso de control se lleve a cabo de acuerdo a las políticas y
procedimientos, estándares y guías sobre seguridad en PC´s publicadas en la organización .
Lámina 277
Seguridad en PC´s y Portátiles
Guías y Técnicas de Control
Controles Administrativos. (1/4)
Lámina 278
Seguridad en PC´s y Portátiles
Guías y Técnicas de Control
4. Colocar anuncios en las diversas áreas que prohíban el fumar, beber y comer
alimentos junto a las PC`s y promuevan la limpieza en las áreas de trabajo así como
las prácticas de escritorio limpio.
10. Instalar rutinas que desplieguen en forma periódica la fecha en que se obtuvo el
último respaldo, después del primer “sign-on” al sistema o después de “bootear”
el sistema.
Lámina 280
Seguridad en PC´s y Portátiles
Guías y Técnicas de Control
12. Instalar en todas las PC´s y portátiles antivirus que detecten y eliminen virus.
Lámina 281
Seguridad en PC´s y Portátiles
Guías y Técnicas de Control
Controles de Sistema. (1/2)
5. Revisar que los cables de conexión del equipo no estén sobre el piso y al paso
del personal que puedan tropezarse o provocar corto-circuitos. Lámina 284
Seguridad del Site de Datos
Lámina 285
Seguridad del Site de Datos
Alcance:
- Operación del equipo de Cómputo.
- Facturación de servicios.
- Actividades de operadores.
- Servicios Externos.
- Centro de Información.
2. Asegurar que se restrinja el acceso al HW, datos, archivos y a los programas de utilería
en función de la responsabilidad y nivel de autoridad del empleado.
3. Asegurar que se prueben y documenten los planes de contingencia, tales como el plan
de respaldo, el plan de recuperación y el plan de emergencia, para permitir que la
organización continúe operando en caso de interrupciones debidas a incendios,
inundaciones o malfuncionamiento del sistema.
2. Rotar empleados clave que manejan datos de entrada y salida de los sistemas
computarizados.
Lámina 288
Seguridad del Site de Datos
Guías y Técnicas de Control (2/7)
6. Documentar procedimientos de emergencia (ejemplo: evacuación, supresión de
conatos de incendio), y probarlos periódicamente para asegurar su efectividad.
Lámina 289
Seguridad del Site de Datos
Guías y Técnicas de Control (3/7)
11. Emitir guías para el manejo, almacenamiento y destrucción de registros
usados, ya sean registros en papel (cartas, memoranda, documentos y reportes),
registros mecánicos (microfichas y microfilms), o registros electrónicos (cintas,
cartuchos,CD¨s, DVD´s etc.).
Lámina 290
Seguridad del Site de Datos
Guías y Técnicas de Control (4/7)
16. Diseñar aplicaciones de tal manera que requieran la mínima intervención de los
operadores.
21. Asegurar que todos los operadores tomen períodos de vacaciones continuas de
al menos una semana de duración. Lámina 291
Seguridad del Site de Datos
Guías y Técnicas de Control (5/7)
22. Asegurar que todos los empleados tomen sus vacaciones cuando les
corresponda.
23. Asegurar que no existan relaciones familiares entre empleados que trabajan
en áreas sensitivas de la organización.
Lámina 292
Seguridad del Site de Datos
Guías y Técnicas de Control (6/7)
27. Mantener una adecuada separación física de responsabilidades entre
funciones incompatibles tales como: operaciones del centro de cómputo,
desarrollo, mantenimiento, control de entradas y salidas, control de la red, base
de datos, programación de sistemas, control de la producción. Asimismo,
separar responsabilidades en las áreas funcionales usuarias.
28. Asegurar que todas las opciones y parámetros de los productos de software
del sistema sean instalados apropiadamente.
Lámina 293
Seguridad del Site de Datos
Guías y Técnicas de Control (7/7)
Lámina 294
Seguridad en Internet
Lámina 295
¿En qué consiste la inseguridad
del Internet?
• Puedes ser atacado desde cualquier parte del mundo
Lámina 296
¿Cómo explotar Internet?
• Escaneos
Los protocolos TCP y UDP basan su modo de operación a través de puertos, dentro de
los encabezados TCP y UDP en la trama IP.
Existen un total de 65536 puertos
Los rastreadores de puertos envían paquetes a varios puertos para determinar que se
encuentran en modo listening.
http://www.iana.org/assignments/port-numbers
Lámina 297
¿Cómo explotar Internet?
• Virus
Es un programa capaz de autoreproducirse y alterar otros sistemas a través de
rutinas dañinas, cuya ejecución depende de algún evento específico
• Gusanos (worms)
Es un programa independiente de ejecución que se reproduce y distribuye a sí
mismo, de un sistema a otro; sin alterar otros programas.
Lámina 298
¿Cómo explotar Internet?
• Bombas (Bombs)
Es un tipo de troyano que se emplea para activar un virus, gusano u otro tipo de
ataque con base en la ejecución de acciones no autorizadas por el usuario en fechas
u horas específicas.
• Hoax
Es una falsa alarma sobre un virus informático que se distribuye en cadenas de
mensaje por correo electrónico.
• Scam
Se orienta a la captación de intermediarios, “mulas”en el argot, para blanquear el
dinero obtenido con el phishing.
.
Lámina 299
¿Cómo explotar Internet?
• Ataques:
– Spaming
Es el bombardeo vía correo electrónico o scripts masivo.
– Spoofing
Utiliza paquetes corruptos con las direcciones originales de paquetes de Internet
(IP). Este ataque explota las vulnerabilidades en las aplicaciones que utilizan
autenticación a traves de paquetes IP
.
– DoS (Denial of Service)
Envío de mensajes o peticiones de procesamiento a un equipo remoto en cantidad
tal que propicien un colapso del equipo y la negación del servicio a todos los
usuarios legítimos del equipo, redes y todos sus recursos.
– Phishing
Redireccionar el URL de un sitio web a una copia falsa del mismo para obtener
datos sensitivos del usuario.
Lámina 300
¿Cómo explotar Internet?
– Scam
Se orienta a la captación de intermediarios, “mulas” en el argot, para blanquear el
dinero obtenido con el phishing
.
– Pharming
Modalidad de fraude en línea que consiste en suplantar, mediante la introducción de
un troyano, el sistema de resolución de nombres de dominio (DNS) de la maquina
infectada para conducir al usuario a una página web falsa.
– Ransomware
ransomware (del inglés ransom, 'rescate', y ware, por software) es un tipo de
programa informático malintencionado que restringe el acceso a determinadas partes
o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción
.
Spyware
Código malicioso que monitorea y recolecta información del comportamiento y
actividades de los usuarios que puede llegar a ser sensitiva para enviarla al atacante.
Lámina 301
¿Cómo explotar Internet?
– Adware
Software que se instala sin el consentimiento expreso del usuario u oculto en la
instalación de algún otro programa con fines generalmente comerciales.
– Blogs
Los blogs surgen a raíz de la necesidad de información actualizada en sitios públicos
de los cuales un atacante se puede aprovechar para obtener información valiosa.
– Evesdropping
Un intruso recoge información que fluye a través de la red con la intención de
adquirir y liberar el contenido del mensaje para obtener información sensitiva o para
terceros.
Lámina 302
¿Cómo explotar Internet?
• Escaneos
WAR - Dialing
Los marcadores automáticos usan números que pueden conducir a ataques de fuerza
bruta para descifrar nombres de usuarios y passwords.
Lámina 303
¿Cómo explotar Internet?
• Escaneos
Ejemplo WAR – Dialing
DMZ
Internet
PSTN
Red interna
Lámina 304
¿Cómo explotar Internet?
• Escaneos Redes Inalámbricas
WAR - Driving
War – Driving o guerra móvil, consiste en que con una computadora portátil y
una tarjeta inalámbrica un intruso puede andar deambulado por las calles y
disfrutar de acceso irrestricto a la red.
Lámina 305
¿Cómo explotar Internet?
• Escaneos
Barrido de Puertos
Barrer puertos es un término utilizado en el mundo de la informática y que
significa identificar aquellos puertos abiertos (habilitados) dentro de un equipo o
conjunto de equipos es específico.
Envían una petición ICMP request a una amplia variedad de direcciones IP..
Si el sistema contesta, este se encuentra activo en la red.
Si no contesta, se asume que no se encuentra en red.
Puede ser que el firewall se encuentre bloqueando tramas ICMP.
Lámina 306
¿Quién debe Protegerse?
• Usuarios de Internet
• Empresas
Lámina 307
Mecanismos de Protección
• Antivirus
• Firewall
Lámina 308
Arreglo de Herramientas
Internet
Firewall
Red Externa
Red Interna
Lámina 309
Conceptos de Riesgos
Activo
• Concepto • Algunos Ejemplos
Lámina 310
Conceptos de Riesgos
Vulnerabilidad
• Concepto • Algunos Ejemplos
Lámina 311
Conceptos de Riesgos
Amenaza
• Concepto • Algunos Ejemplos
Lámina 312
Conceptos de Riesgos
Riesgo
• Concepto • Algunos Ejemplos
Lámina 313
Conceptos de Riesgos
Impacto
• Concepto • Algunos Ejemplos
Lámina 314
Conceptos de Riesgos
Control
• Concepto • Algunos Ejemplos
– Implementación de un plan
de recuperación de desastres.
Lámina 315
En Resumen...
Debilidad
Vulnerabilidad
Control
Nivel de
Vulnerabilidad Amenaza Riesgo
Lámina 316
En Resumen...
Debilidad Vulnerabilidad
Control
No existe un • Falta de parches de
seguridad.
procedimiento de
control de cambios • Huecos de seguridad por
en Sistemas configuraciones erróneas.
Operativos.
Lámina 317
Ejemplos
Ayuda a explotar esta
Amenaza Resultante de esta amenaza
vulnerabilidad
Virus Carencia de software antivirus Infección de virus
Hacker Falta de actualización de parches Acceso no autorizado a la
información confidencial
Usuarios Parámetros mal configurados en el Mal funcionamiento del sistema
sistema operativo
Incendio Carencia de extintores de fuego Daños a los activos y a las
instalaciones y posibles perdidas
humanas.
Empleado Mecanismos de control de acceso Información sensitiva divulgada e
laxos información critica dañada.
Contratista Mecanismos de control de acceso Secretos comerciales robados
laxos
Atacante Una aplicación mal desarrollada Conduce a un buffer overflow
Intruso Falta de guardias de seguridad Ventanas rotas y robo de
computadoras y dispositivos
Empleado Falta de auditorias Entradas y salidas de datos alteradas
desde las aplicaciones de
procesamiento de datos
Atacante Falta de Baselines de configuración Ataques de negación de servicio
de firewalls
Lámina 318
Ejemplos
Origen Motivación Amenaza
Lámina 319
Conceptos de Riesgos
Lámina 320
Conceptos de Riesgos
Lámina 321
Risk Management vs Risk Analysis
¿ Son Sinónimos ?
Lámina 322
Risk Management y Risk Analysis
• Risk Management
– Es el proceso de identificar, evaluar, y reducir riesgos a un
nivel aceptable e implementar las salvaguardas correctas
para mantener ese nivel de riesgo aceptable.
– No hay ningún entorno 100% seguro.
• Risk Analysis
– Es una herramienta en el cual se basa el risk management,
es un método para identificar los riesgos y evaluar el
posible daño para justificar las salvaguardas.
Lámina 323
Risk Management
¿Cómo se maneja o administra un riesgo?
• Probabilidad de Ocurrencia
Lámina 325
¿?
Lámina 326