Seguridad Informática

Materia Seguridad Informática
Introducción a la
Seguridad Informática
Adrián Palma,CISSP,CISA,CISM,CRISC,ISO27001
Director General de Integridata
adrian.palma@integridata.com.mx
Lámina 1
Materia Seguridad Informática
Antecedentes y Conceptos de la Seguridad

Informática
Lámina 2
Ejercicio
Explicar su punto de vista con respecto a que es la Seguridad

Informática, Seguridad de la información y Ciberseguridad y
dar sus comentarios al grupo.
Lámina 3
Principios de la Seguridad
• Confidencialidad
• Integridad
• Disponibilidad
Lámina 4
Triangulo CIA
Seguridad de la
Ciberseguridad
Información
C A
Seguridad
I
Seguridad
Informática o de TI
Lámina 5
Definiciones
• Cyber: Lo relacionado con o en relación con computadoras
o redes de computadoras, como el Internet (Merriam-
Webster)
• Cyber: El entorno complejo que resulta de la interacción de

las Personas, Software y Servicios de Internet a través de
dispositivos tecnológicos y redes conectados a este, que no
existe en ninguna forma física (ISO27032)
• Cyberspace: El ciberespacio es mas que el Internet, este

incluye no solo los sistemas de Hardware, Software y de la
Información, sino también a las personas y la interacción
social dentro de estas redes (NATO CCD COE)
Lámina 6
Definiciones
• Cyberespace: Los Sistemas y Servicios relacionados ya sea
directa o indirectamente a Internet (International
Telecommunication Unión, (ITU))
• Cyberspace: Todas las formas de actividad en red, en digital,

esto incluye el contenido de las acciones y realizado a través de
redes digitales y conductas humanas que sean aceptables o
inaceptables (UK Cabinet Office)
• Cyberspace: El espacio virtual por donde circulan los datos

electrónicos de las computadoras del mundo (Comisión Europea)
• Cyberspace: un dominio global dentro del entorno de la

información que consiste en una red interdependiente de
infraestructuras de TI, incluyendo Internet, redes de
telecomunicaciones, sistemas informáticos y procesadores
embebidos y controladores (Departamento de Defensa de EEUU)
Lámina 7
Definiciones
• Cybersecurity: Es la Preservación de la Confidencialidad,
Integridad y Disponibilidad de la información en el
Ciberespacio (ISO27032)
• Cybersecurity: La liberación del peligro o daño debido a la

interrupción, falla o mal uso en restricciones a la
Disponibilidad o a la confiabilidad de la tecnología de
Información y Comunicaciones, las violaciones a la
confidencialidad y daños a la integridad de la información
(Holanda)
Lámina 8
Definiciones
• Cybersecurity: El conjunto de herramientas, políticas, conceptos de seguridad,
salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones,
formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para
proteger los activos de la organización y los usuarios en el ciberentorno. Los
activos de la organización y los usuarios son los dispositivos informáticos
conectados, los usuarios, los servicios/aplicaciones, los sistemas de
comunicaciones, las comunicaciones multimedios, y la totalidad de la
información transmitida y/o almacenada en el ciberentorno. La ciberseguridad
garantiza que se alcancen y mantengan las propiedades de seguridad de los
activos de la organización y los usuarios contra los riesgos de seguridad
correspondientes en el ciberentorno. Las propiedades de seguridad incluyen
una o más de las siguientes:
• Disponibilidad;
• Integridad incluir la autenticidad y el no repudio;
• Confidencialidad (ITU)
Lámina 9
Alcance Actual de Ciberseguridad
• Critical Infrastructure Protection
– Infraestructura Electrica
– Infraestructura petrolera y de gas natural
– Infraestructura de Agua
– Infraestructura de Telecomunicaciones
– Infraestructura de Transportación
– Infraestructura de Salud
– Infraestructura Financiera
• Information Critical Infrastructure Protection
– Redes de Comunicaciones
– Tecnologías de Información
– Internet
– Sistemas de Broadcasting
Lámina 10
Alcance Actual de Ciberseguridad
• Smart Grid
• Supervision Control and Data Acquisition (SCADA)
• Industrial Control Systems (ICS)
• Cloud Computing
• Internet de las Cosas (IoT)
• I3S
Lámina 11
Estándares de Ciberseguridad
• ISO/IEC 27032:2012, Information technology -- Security
techniques -- Guidelines for Cybersecurity
• Cybersecurity Capability Maturity Model (C2M2)
• National Cybersecurity Framework Manual (OTAN/NATO

CCD COE)
• Framework for Improving Critical Infrastructure

Cybersecurity (NIST)
Lámina 12
Estándares de Ciberseguridad
• Electricity Subsector Cybersecurity Capability Maturity
Model (ES-C2M2)
• Oil and Natural Gas Subsector Cybersecurity Capability

Maturity Model (ONG-C2M2)
• Guidelines for Smart Grid Cybersecurity (NISTR 7628

Rev1)
• PASS 555: 2013 (IT Governance)
Lámina 13
ISO/IEC 27032:2012, Information technology Security
Techniques Guidelines for Cybersecurity
• Esta norma proporciona directrices para mejorar el estado de la

Ciberseguridad, destacando aspectos únicos de dicha actividad y su
dependencia de otros ámbitos de seguridad en particular:
• La seguridad de la información
• La seguridad de las redes
• La seguridad del Internet
• La protección de la infraestructura crítica de información
Lámina 14
ISO/IEC 27032:2012, Information technology --
Security Techniques -- Guidelines for Cybersecurity
• Se cubre el punto de partida en prácticas de seguridad para las partes
interesadas del Ciberespacio. Esta norma proporciona:
– Las generalidades de la Ciberseguridad
– Una explicación de la relación entre Ciberseguridad y otros tipos de

Seguridad
– Una definición de las Partes Interesadas y una descripción de sus roles en la

Ciberseguridad
– Una Guía para abordar problemas comunes de la Ciberseguridad
– Un Marco de referencia que permite a las partes interesadas colaborar en la

resolución de problemas de Ciberseguridad
Lámina 15
Antecedentes
• Evolución y Aplicación de la Tecnología Informática
– Bajo costo - Alta capacidad - Menor tamaño
– Interconexión - Sistemas abiertos
– Facilidad de Operación - Popularización
– Aplicaciones (Oficina, Integradas y Estratégicas)
• Dependencia - continuidad de la Operación
• Cultura de la Protección
• Cambio del paradigma de la seguridad
– El boom de las comunicaciones
– El computo distribuido
– Internet
Lámina 16
Seguridad
Es la protección de los activos:

- Datos/Información
- Instalaciones
- Personas
- Equipo
- Software
- Accesorios
- Medios de Comunicación
- Capacidades de Cómputo
- Dinero
Lámina 17
Conceptos
Definición de “Seguridad Informática”
“ Es la Protección de la información y los activos

relacionados con su captación, almacenamiento,
transmisión, proceso, distribución y uso”
Lámina 18
Situaciones que afectan la Seguridad
Informática 1/2
1. No existe una función formal de Seguridad Informática en la organización.
2. Las debilidades en la Seguridad Informática se ven como problemas técnicos y no

como riesgos del negocio.
3. Problemas de comunicación entre el personal de seguridad informática y el

personal Gerencial de la organización.
4. La Seguridad Informática es considerada un requerimiento de menor prioridad en

comparación con los requerimientos financieros y operacionales.
5. Falta de un programa de motivación y entrenamiento al personal para llevar a cabo

buenas prácticas de seguridad.
6. El personal no está consciente de las políticas, procedimientos, guías, estándares y

sanciones relacionados con la seguridad informática de la organización.
Lámina 19
Situaciones que afectan la Seguridad
Informática 2/2
7. La propiedad y responsabilidad sobre los datos y/o aplicaciones no está establecida
claramente.
8. El procedimiento de contratación de empleados no incluye un adecuado proceso de

Investigación previa sobre ellos.
9. El proceso de terminación de la relación laboral de un empleado, no es llevado a cabo

en forma adecuada y completa.
10. Los incidentes de fraude, robo y desfalco relacionados con TI no son reportados a las
instancias legales.
11. La seguridad, auditabilidad, control, mantenibilidad y facilidad de uso, no son

consideradas con la importancia debida, durante el desarrollo y mantenimiento de las
aplicaciones.
12. No se tienen establecidos objetivos y estándares para el desarrollo, mantenimiento y

Lámina 20
operación de las aplicaciones.
Roles en la seguridad
• Dueño
– Definidor
• Custodio
– Implementador
• Usuario
– Ejecutor
Lámina 21
Gap de Funciones y Responsabilidades de la
Seguridad
Custodio Dueño
Seguridad Custodio
Quien tiene las responsabilidades y las

funciones de Seguridad ?
Lámina 22
Antecedentes
• La profesión del rol del oficial de seguridad de la información está en su
gestación y no ha tenido la fortuna de contar con programa estructurado y
profesional o de asesoramiento confiable y útil para su desarrollo, la carencia
de esto, conduce a:
– Dominio insuficiente de las habilidades y competencias necesarias para

tener éxito.
– Una tendencia a volver a la comodidad del hablar tecnológicamente.
– La incapacidad para elaborar estrategias orientadas a negocios y que
presenten una propuesta de valor.
– La falta de comunicación efectiva y habilidades de relación
– Y lo mas importante la Seguridad no se ve como una función del negocio
Lámina 23
Misión de la Función de Seguridad de la
Información
• La misión de Seguridad de la información es

asegurar la protección de su información sensitiva,
crítica y activos que la integran e interactúan para
ofrecer servicios que permiten la Gestión del
Negocio y las Operaciones de una manera oportuna,
confiable y segura, y que redunda en Calidad para
sus clientes, proveedores y empleados.
Lámina 24
Responsabilidades de Seguridad de la
Información
• Definir, Obtener y Gestionar Presupuestos de Seguridad, en otras
palabras vender la Seguridad a los altos niveles de la Organización
• Entender los requerimientos reales de Seguridad de la Información de

la organización a través del Dueño de los datos para que la seguridad
sea vista como una función mas de la organización
• Definir la función de Seguridad de la Información
• Definición de roles y responsabilidades desde la perspectiva de

Seguridad
• Comunicación interna y externa con cualquier hecho relacionado con la

Seguridad en la organización
Lámina 25
Información
• Valuación de la Información
• Clasificación de la Información
• Arquitectura, Blueprint, Framework, Modelo de Seguridad
• Sistema de Gestión de Seguridad de la Información
• Gobierno de Seguridad de la Información
• Comité de Seguridad de la Información
Lámina 26
Información
• Análisis y Evaluación de riesgos y Manejo de Riesgos con enfoque de
Procesos de Negocio
• Estrategia de Seguridad basado en Análisis de Riesgos ( asegurar el mejor

costo beneficio)
• Planes anuales a nivel estratégico y táctico
• Desarrollo y mantenimiento de la normatividad:

– Política Corporativa
– Políticas
– Estándares
– Guías
– Procedimientos
– Baselines
Lámina 27
Información
• Estrategias de Awareness,Training and Education
• Diagnósticos de Seguridad (Análisis de Vulnerabilidades)
• Seguridad en aplicaciones en Producción y Desarrollo
• Seguridad en Base de Datos
• Seguridad en Sistemas Operativos
• Seguridad en Redes
• Seguridad Física
Lámina 28
Información
• Compliance
• Privacidad de datos
• Manejo de Respuesta a Incidentes, Computo Forense y Legislación
• Continuidad del Negocio y Recuperación en caso de Desastres
• Y sobre todo: proporcionar Método. Herramientas y Metodología para

trabajar con el Dueño, Custodio y Usuario
Lámina 29
Normatividad
• Políticas
• Estándares
• Guías
• Procedimientos
• Baselines
Lámina 30
Awareness
• La seguridad es un problema de gente.
• Vivimos en la cultura del producto (tecnología),

¿y la gente y los procesos?
• Todos los expertos, autores, visionarios, pensadores, políticos,

comentan que la gente es un factor crítico de éxito para la seguridad …
… pero muy pocos son los que atienden esta problemática.
Lámina 31
Introducción
• Somos reactivos por naturaleza en lo que a seguridad refiere, con
respecto a la gente si la falla es grande / grave:
– Cambiarlo de área
– Asignarle otras tareas
– Lo apoyamos de forma inadecuada
– Despedirlo
• Difícilmente:
– Lo concientizamos
– Lo capacitamos
– Lo apoyamos de forma adecuada
Lámina 32
Introducción
• Una gran cantidad de planes fracasan por la poca claridad del
concepto y el propósito de los mismos.
• El awareness no es una moda, aunque así lo parezca.
• La ingeniería social ha existido por décadas, aunque el término

venga de los años 90’s.
Lámina 33
Introducción
• La vulnerabilidad que la gente representa nunca será
totalmente eliminada, no hay mecanismo 100% seguro.
• Cuando se trata de gente, el factor es doble, desconocimiento y

malas intenciones.
• Un programa de seguridad pretende reducir la vulnerabilidad a

un nivel aceptable.
Lámina 34
Problemática
Con tecnología podemos forzar a un usuario a cambiar su contraseña,

pero no podremos hacer nada en lo que a su comportamiento refiere...
él seguirá anotando el password en un post-it.
Lámina 35
Identifiquemos la problemática
Lámina 36
• En realidad, aún y cuando somos expertos en seguridad, muy

pocos sabríamos como reaccionar ante la existencia de un
virus.
• Tomemos una hoja y respondamos lo siguiente:
¿Qué usted haría en caso de detectar un comportamiento

anormal en su equipo de cómputo personal, que pudiera ser
representativo de una infección de virus?
Lámina 37
• En caso de dudas, consideremos lo siguiente como comportamiento
anormal:
– Los archivos desaparecen o se multiplican.
– Aparecen archivos desconocidos o misteriosos.
– Los datos se transforman o se alteran.
– Los archivos no pueden ser accedidos.
– El disco duro se llena.
– La capacidad de la memoria se reduce.
– La computadora se torna lenta o se “traba”.
– Aparecen mensajes inusuales en la pantalla.
• Seleccionemos 5 voluntarios y revisemos sus respuestas.
Lámina 38
• ¿Las respuestas fueron iguales?
• ¿parecidas?
• ¿todas funcionarían?
• ¿el tiempo que tomaría cada solución sería el adecuado?
Lámina 39
Relatemos una infección de virus
• 10:00 a.m.
– Un usuario recibe un mail de una persona desconocida con
un archivo adjunto.
– La iniciativa del usuario lo invita a abrir el mensaje y
ejecutar el archivo adjunto.
• 10:01 a.m.
– El virus se instala en el equipo.
– Comienza su propagación a través del correo electrónico a
toda la lista de contactos.
– Empieza a causar efectos negativos en la red.
Lámina 40
• 10:03 a.m.
– A la vista del usuario no ocurrió nada y le resta importancia
– Se asegura de enviarlo a sus amigos y compañeros de
confianza, o bien, a toda la lista de contactos por iniciativa
propia.
• 10:25
– El 20% de la red estará con indicios o alertas de infección.
• 10:34
– El servidor de correo está fuera de servicio, tiene 38,000
correos.
Lámina 41
• 12:00 - “Por mala suerte” (esa es la explicación que damos), el

escenario queda así:
– 57 equipos se dañaron.
– Hay equipos de directores.
– Hoy tenemos auditoría.
Lámina 42
Una respuesta “adecuada”
1. No siembre pánico.
2. No siga trabajando en el sistema.
3. Tome notas.
4. Notifique el incidente.
5. Solicite ayuda de personal experto.
6. Manténgase alerta ante cualquier indicio de reinfección.
Lámina 43
Problemática
• La gente es con frecuencia el eslabón más débil en la

cadena de seguridad.
• Los empleados desconocen cómo sus acciones pueden
impactar en la seguridad de toda la organización.
• La mayor cantidad de incidentes de seguridad son
ocasionados por cosas que hizo o dejó de hacer el usuario.
• Los colaboradores desconocen su rol y responsabilidad
con respecto a la seguridad de la información.
Lámina 44
Problemática
• La mayor cantidad de incidentes de seguridad son generados
por el desconocimiento de la gente.
• Los usuarios generalmente no saben cómo reaccionar ante un
evento o incidente de seguridad.
• ¿Por qué pasa todo esto?
¡Porque nadie se los ha dicho!
Lámina 45
Fundamentos
Lámina 46
Definición
• Awareness es el proceso a través del cual:

• los usuarios reconocen la importancia de la seguridad de la
información y los activos de información,
• se preocupan de forma proactiva por la misma, y
• responden de manera adecuada ante cualquier evento o
circunstancia.
Adrián Palma.
Lámina 47
Objetivos
• El objetivo principal de un programa de awareness es:

• Lograr que los usuarios comprendan su rol y
responsabilidad en la protección de la integridad,
confidencialidad y disponibilidad de la información y los
activos de su organización.
• Que los usuarios entiendan que la seguridad de la
información es responsabilidad de todos, no sólo del
Departamento de IT.
• Lograr que los usuarios comprendan que sus acciones
pueden impactar de forma adversa en la seguridad de la
organización.
Lámina 48
Importante diferencia
• Un programa de seguridad de la información típicamente

está dividido en dos componentes: Awareness y
Entrenamiento.
• Awareness:
• Está enfocado a lograr conciencia de la importancia de
la seguridad.
• Los mensajes deben ser simples, claros y presentados
en un formato fácil de entender para la audiencia.
…
Lámina 49
…
• El entrenamiento:
• Está enfocado a lograr un mejor nivel de entendimiento de las
prácticas de seguridad.
• Las técnicas pueden incluir clases formales, entrenamiento
personalizado y paquetes de educación.
Lámina 50
• Algunas metodologías consideran un tercer elemento
• Educación:
• Está enfocado a lograr competencias específicas y
especialistas.
• Las técnicas incluyen capacitaciones especializadas y cursos
de propósito específico.
Lámina 51
Triangulo del conocimiento organizacional
Producir atención a
Awareness la seguridad.
Producir skills y
Training competencias.
Producir especialistas
funcionales en una
Education base de conocimiento.
Lámina 52
Triangulo del conocimiento organizacional
Todos los usuarios
Awareness
Usuarios
relacionados
con TI
Training
Especialistas
en TI
Education
Lámina 53
Obstáculos para el éxito
• Teaching an old dog, new tricks

• Seguridad es un problema de tecnología de información, no es
mi problema
• Un tamaño ajusta a todos – audiencias
• Demasiada información
• Mala organización
• Fallas en el seguimiento
• Llevar el mensaje adecuado al lugar no adecuado
Lámina 54
Obstáculos para el éxito
• Falta de apoyo de la dirección
• Falta de recursos
• No explicar “¿por qué?”
• Confundir awareness con training
• Ingeniería social
• Tomar como referencia los pósteres o las “mejores prácticas”
de Internet
Lámina 55
Beneficios
• Ayuda a reducir el costo ocasionado por los incidentes de

seguridad.
• Eleva la moral de los colaboradores.
• Reduce la cantidad de sanciones y pérdida de empleados
valiosos.
• Reduce los riesgos de la información y los activos de
información.
• Protege a la organización.
• Aumenta el valor del negocio.
Lámina 56
¿Cómo resolvemos el problema?
El principal obstáculo que impide el éxito organizacional, radica en

intentar resolver los retos actuales, utilizando las herramientas del
pasado.
Lámina 57
Awareness
Lámina 58
Marketing o Cambio Organizacional
• El marketing es un proceso fundamental para la

identificación de necesidades y de satisfactores, para
finalmente lograr una colocación de los mismos en un
mercado.
• En la visión del Marketing, la seguridad es nuestro producto
o satisfactor.
• En algunas culturas este proceso es parte de la cultura
misma.
• En nuestras organizaciones, definitivamente el marketing es
una herramienta poderosa para lograr awareness en la gente.
Lámina 59
• Sin embargo, es importante considerar, que nosotros

requerimos lograr algo más que marketing para concientizar a
las personas.
• Ya que buscamos lograr un cambio en su
• Forma de actuar,
• Actitudes,
• Cultura,
• Forma de trabajar, etc.
Lámina 60
• Lo que me lleva a pensar que:

• este cambio requiere esfuerzos mayores al marketing.
• el resultado esperado no será una labor trivial.
• será necesario involucrarse con la forma y cultura de la
organización.
• con este proceso vamos a cambiar prácticas de hace
muchos años, y cuando esto se hace con gente de por
medio, el riesgo de fracasar es alto...
¡Vamos a cambiar a la gente!

Lámina 61
Un proceso probado
• Awareness con un enfoque de cambio organizacional.
Punto de falla!!!
Punto específico de falla!!!
Lámina 62
Consigan una Metodología
Pero no crean todo lo que dice,

recuerden que somos diferentes
Lámina 63
Metodología
• Conseguir un patrocinador
• Definir ¿qué es Awareness?
• Definir metas y objetivos que sean:
• claros,
• reales,
• medibles y
• Comunicables
• Conocer la cultura corporativa – Diagnóstico.
• Crear una estrategia.
Lámina 64
Diagnóstico de la
Cultura Corporativa
Hagamos un paréntesis al Diagnóstico...
Lámina 65
Metodología de Diagnóstico
• Identificación de la situación actual con respecto a:
• Conocimiento corporativo
• Preferencia de medios de comunicación
• Conocimiento en materia de seguridad
• Prácticas de seguridad
Lámina 66
Descripción de la metodología:
I. Definición del diagnóstico
• Definición del objetivo y alcance
• Definición de rubros a evaluar
II. Selección y diseño de herramientas

• Definición de técnicas de recolección de información
• Cuestionarios – Encuestas
• Ingeniería social
• Observación
• Entrevistas
Lámina 67
• Es importante ponderar las respuestas.
NO es lo mismo el uso de passwords

débiles que la fuga de información.
Lámina 68
• Ejemplo de una técnica para recolección de información –
Cuestionario.
Lámina 69
III. Identificación de la audiencia
• Identificar las áreas de negocio / audiencias.
• Identificar el tamaño de la muestra.
# de
Empleados % Tamaño de la
con acceso Muestra
a TI
100 – 1000 15 – 18 %
1000 – 2500 10 – 12 %
2500 – 5000 6 – 10 %
más de 5000 4–6%
NOTA: Con universos menores a 100 empleados,
analizar de forma independiente
Lámina 70
IV. Preparación de logística
• Identificación de la audiencia específica y su ubicación.
• Elaboración de calendario y programa de encuestas.
V. Ejecución y resultados
• Aplicación del medio de evaluación.
• Consolidación de resultados.
• Análisis de la información recolectada.
• Elaboración de informe de resultados.
Lámina 71
Algunos Ejemplos de Resultados –
Conocimiento Corporativo
44.90%
Alto
55.10%
Medio - Bajo
I
2004
Lámina 72
Algunos Ejemplos de Resultados
Lámina 73
Los usuarios comparten sus Los usuarios comparten sus

identificadores y contraseñas identificadores y contraseñas
100%
100%
90%
90%
80% 80%
72.87% 65.89%
70% 70%
60% 60%
50% 50%
34.11%
40% 40%
26.36%
30% 30%
20% 20%
10% 10%
0% 0%
Sí No
Sí No
Lámina 74
Posibilidad de fugas de información Posibilidad de fugas de información
100% 100%
90% 90%
83.67%
80%
80% 76.74%
70% 70%
60% 60%
50% 50%
40% 40%
23.26%
30% 30%
16.33%
20% 20%
10% 10%
0% 0%
Si No Si No
Lámina 75
Lámina 76
Nivel de Concientización de Seguridad

(prácticas de seguridad)
Respuesta a incidentes y problemas

de seguridad
Manejo y administración de la
información
Seguridad en correo electrónico
Seguridad en lugares de trabajo
Utilización de passwords de usuario
Registro de usuarios
Establecimiento y organización de la
Seguridad Informatica
Cumplimiento de políticas de
seguridad
Reconocimiento de la difusión formal
de la normatividad
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Lámina 77
Continuando con la
metodología de Awareness
Lámina 78
Metodología de Awareness
• Diseñar la estrategia de awareness considerando:
1. Resultados del diagnóstico
• Efectividad de medios.
• Debilidades del conocimiento de seguridad.
• Debilidades en prácticas de seguridad.
Lámina 79
2. Análisis y evaluación de Riesgos
• Riesgos importantes
– Debilidades de control y vulnerabilidades.
– Trabajar el awareness como control compensatorio.
Lámina 80
3. Políticas.
• No para ser difundidas, sino como referencia para la
estrategia e implementación del plan.
Lámina 81
s
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Análisis Diagnóstico
de Riesgos
Necesidades de
Concientización
Normatividad
Lámina 82
• Desarrollar el plan de Awareness
– Estructurar una campaña de comunicación
I. Pre-lanzamiento
II. Lanzamiento y mantenimiento
III. Evaluación
IV. Reforzamiento
• Crear esquema de mantenimiento del plan
• Establecer programas de revisión y mejoras de manera formal.
Lámina 83
• Desarrollar el plan
I. Pre-lanzamiento
– Seleccionar tipo de campaña
» Formal / Ejecutiva
» Informal / Dibujos, deportes extremos, etc.
– Seleccionar medios de difusión
» Correo
» Posters
» Spots
Lámina 84
– Eventos, conferencias, sesiones informativas
– Medios impresos
– Medios electrónicos
III. Evaluación
– Elaboración de métricas para determinar la efectividad
del programa de awareness, pudiendo considerar:
• Entrevistas
• Tickets del help desk
• Encuestas
• Incidentes de seguridad
• Observación
Lámina 85
IV. Reforzamiento
– Reforzar la campaña inicial en
• Rubros indicados por la evaluación.
• Nuevas formas o requerimientos de seguridad.
• Nuevas disposiciones o formas de hacer negocio.
• Etc.
Lámina 86
Algunos tips para su plan
Lámina 87
I. Pre - Lanzamiento
• Seleccionar un tipo de campaña que genere impacto y que
cumpla con los estándares de comunicación visual de la
organización
– Formal / Ejecutiva
– Informal / Dibujos, deportes extremos, etc.
• Seleccionar los medios de difusión de mayor preferencia
– Correo
– Póster
– Spot
Lámina 88
I. Pre - Lanzamiento
• Considerar técnicas y materiales para difundir la
información:
– Videos,
– Pósteres,
– Pláticas
– Brochures & flyers
– Plumas, lápices.
– Post-its.
– Holdings del teléfono.
– Correos mensuales.
– Boletines internos.
– CBA – Computer Based Awareness
Lámina 89
Recomendaciones para la elaboración
del material
Técnica Recomendación
Póster • Iniciar con la definición de la idea general que queremos
expresar
• Hacer un bosquejo en el cual definamos los elementos
que contendrá el cartel, así como de los mensajes.
• Consultar el “Informe de la definición de mensajes y
slogan de campaña”
• Realizar el diseño considerando manejo de colores,
fuentes tipográficas, uso de imágenes, pero siempre en
estricto apego al contenido del informe.
• Se recomienda que las imágenes que se usen, sean del
tipo monosemia, es decir que al verlo nos transmita un
solo significado y no varios.
Lámina 90
del material
Circular • Hacer uso de los formatos ya existentes en la
organización, y respetando el diseño que se tenga.
• Apegarse al marco de identidad gráfica de la
organización.
• Mantener el formalismo que ya es parte inherente
de este medio de difusión.
• En caso de incluir imágenes (se recomienda no más
de 3), deberán como en el caso de pósteres remitir
a una interpretación del tipo monosémica.
Lámina 91
del material
Tríptico • Para la elaboración de un tríptico, se deberá
mantener la misma línea de diseño de toda la
campaña
• Se recomienda que la información que allí se
plasme no sea superior a dos cuartillas de
información
• Se deberán usar como máximo 6 imágenes no
saturadas, tres imágenes por cada lado.
Lámina 92
del material
Spot animado Recomendaciones:
y Screen •Los movimientos de imágenes y texto deben estar
Savers sincronizados, la saturación de efectos pueden
complicar la lectura del mismo.
•La longitud de los mensajes por pantalla no debe
exceder de 15 palabras, si el mensaje fuese más largo
se recomienda la programación de varias pantallas.
•Las imágenes utilizadas no deben de ser más
llamativas que los mensajes que se estén proyectando,
debe existir un equilibrio de ambos elementos.
Lámina 93
del material
Spot Recomendaciones:
animado y •Se recomienda el uso de familias tipográficas con las
Screen que ya este acostumbrado el empleado a recibir
mensajes por parte de la organización.
Savers
•En todos los diseños de los spots se recomienda el uso
del logotipo de la organización, se deberá jerarquizar
su uso, es decir se le dará más importancia en el
diseño.
Lámina 94
del material
Spot Recomendaciones:
animado y •El diseño y creatividad empleada en el spot
Screen no debe ser repetitiva, es decir no se debe
Savers caer en el hecho, del que ver un spot, me será
suficiente para saber como serán los
próximos.
•Se recomienda hacer uso de la innovación y
factores sorpresa, siempre respetando las
recomendaciones anteriores.
Lámina 95
Campaña Basada en Deportes
Extremos
– Slogan de campaña
• Primera persona
• Inclusivo
• Motivador
– Frases cortas
– Mensajes directos
Lámina 96
Campaña Basada en Deportes
Extremos
• Primera persona
• Inclusivo
• Motivador
– Frases cortas
Lámina 97
Campaña Basada en
Comunicación Formal
• Primera persona
• Inclusivo
• Motivador
– Frases cortas
Lámina 98
Identificar Audiencias Adecuadamente
Audiencia Técnicas Medios Resultados esperados

Alta Gerencia • Justificación de costos • Presentación • Fondos
• Comparación con la Industria • Video • Apoyo
• Reportes de auditoria • Reportes de violaciones
• Análisis de Riesgos
Gerencia • Demostrar beneficios en el • Presentación • Apoyo

Media trabajo • Artículos de Seguridad • Recursos de apoyo
• Ejecutar revisiones de seguridad • Videos • Adherencia
Usuarios • Firma de declaraciones de • Presentación • Apoyo

responsabilidad • Periódicos y noticias • Adherencia
• Políticas y procedimientos • Video
(indicando de su existencia).
Lámina 99
• Algunas fechas que pueden ser usadas como referencia o

apoyo son las siguientes:
– Mayo 10 — International Emergency Response Day.
– Septiembre 8 — Computer Virus Awareness Day.
– Noviembre 30 — International Computer Security Day.
Lámina 100
III. Evaluación
• Elaboración de métricas para determinar la efectividad del

programa de awareness, pudiendo considerar:
– Entrevistas
– Tickets del help desk
– Encuestas
– Incidentes de seguridad
– Observación
Lámina 101
IV. Reforzamiento
• Reforzar la campaña inicial en
– Rubros indicados por la evaluación.
– Nuevas formas o requerimientos de seguridad.
– Nuevas disposiciones o formas de hacer negocio.
– Etc.
Lámina 102
Recomendaciones
• Antes de solicitar a los empleados conocer y seguir la
normatividad de seguridad, deberá ser realizado un
programa de Awareness.
• El Awareness tiene como misión transmitir mensajes
asertivos para lograr captar la atención de los empleados.
• Inmediatamente después del Awareness deberá trabajarse
en el entrenamiento.
• No olvidar los mecanismos que sean requeridos para que
los usuarios puedan seguir los requerimientos de seguridad
y normativos.
• Es necesario medirlo, lo que no se puede medir, no se
puede mejorar.
Lámina 103
Conclusión
El Plan de Awareness debe tener la capacidad

real de marcar una diferencia positiva en la vida
de las empresas y en su forma de operar.
Lámina 104
Las Opciones Académicas
• Diplomados
– ITESM-CEM
– UNAM
– ITAM
• Cursos aislados en programas de maestría y licenciatura
• Licenciatura en Seguridad Informática ( Tec Milenio) ya no

existe.
Lámina 105
Maestrías en México
• IPN/ESIME Culhuacán
– Maestría en Seguridad y Tecnologías de Información
• UNITEC
– Maestría en Seguridad de Tecnología de Información
• CESNAV
– Maestría en Seguridad de la Información
Lámina 106
Maestrías en el Extranjero
• University of Sheffield
– http://www.shef.ac.uk
• Ecole Ingenieur Télécom Paris - ENST Ecole nationale
– Mastere Sécurité des systèmes informatiques et des réseaux
– http://www.enst.fr/3e-cycle-msc-masteres/masteres/ssir.php
• University Purdue
– Center for Education and Research in Information Assurance
and Security, or CERIAS
– http://www.cerias.purdue.edu/
Lámina 107
Otras dos más...
• Carnegie Mellon University.
– Information Networking Institute (INI)
– http://www.ini.cmu.edu/
– Master of Science in Information Networking
– Master of Science in Information Security Technology and
Management
• Capitol College
– Master of Science in Network Security
– restricted by the United States Department of Commerce to
U.S. citizens and permanent residents
– http://www.capitol-college.edu/academics/grad/msns.html
Lámina 108
Certificaciones
• ¿Qué puedo certificar?
– Individuos
– Organizaciones
– Productos
Lámina 109
Organismos que otorgan certificaciones
• (ISC)2
– International Information Systems Security Certification
Consortium
• ISACA
– Information Systems and Audit Control Association
• British Standards Institute: BS
• International Standards Organization : ISO
Lámina 110
Certificación de individuos
Lámina 111
Opciones certificación
• Más de 55 certificaciones en seguridad neutrales de productos
• Las mas demandadas
– CISSP
– CRISC
– CISA
– CISM
– SANS GIAC
• SANS GIAC la pionera en la creación de programas de

certificaciones
– cuenta con una gran variedad y están relacionadas entre sí a
manera de carrera.
Lámina 112
CISSP
• Título que ostenta el profesional certificado
– Certified Information Systems Security Professional
• Otorgado por la (ISC)2
– International Information Systems Security Certification
Consortium
– Organismo independiente
– Creado para realizar la certificación de profesionales en
seguridad informática
Lámina 113
CISSP
• Certificación en México
– Primer seminario en 1996
• 4 profesionales certificados
– Mas de 300 certificados en México actualmente
– Seminario 43, Septiembre del 2016
Lámina 114
El Examen
• Costo $599.00 U.S.
• Formato
– Examen de opción múltiple
– 250 preguntas
– se cuenta hasta 6 horas para resolverlo
• Aprobar examen con 700 puntos
• Certificar un mínimo de 5 años de experiencia profesional en el
campo de la Seguridad Informática en 2 dominios del CBK.
(Grado profesional equivale a 1 año), ( Otra certificación
aprobada por ISC2 equivale a 1 año)
Lámina 115
Examen CISSP
• Llenar un Endorsment (incluye adherirse legalmente al Código de
Ética)
• Enviar formato de adhesión/certificación (Endorsement Form)

avalada por un CISSP o por otro profesional calificado
• Requisitos (procedimientos independientes)

– Aprobar examen
– Cumplir con el Procedimiento de Certificación
Lámina 116
CISSP
• Recertificación cada 3 años
– 120 Créditos CPE (Continuing Professional Education) por 3

años recomendado 40 por año
– $85 USD/año
– Auditoría, si es seleccionado
Lámina 117
CISSP
• Código de ética
– Conducirme con los más altos estándares

– No comprometerme en actos ilegales
– Reportar cualquier actividad ilegal
– Ayudar en esfuerzos que promuevan entendimiento y
aceptación
– Proveer servicios competitivos
– No ignorar o mal usar información
Lámina 118
Common Body of Knowledge (CBK)
• Las profesiones se caracterizan por el conocimiento de un
CBK
• Compartido por los miembros de una profesión
• Abstracto y estable
• Utilizado en su trabajo
• Independiente de habilidades, tareas, actividades y tecnologías
• Lenguaje que facilita la comunicación entre miembros
• Evidencia necesaria, pero no suficiente, de un profesional
calificado
Lámina 119
Common Body of Knowledge (CBK)
• Definido y actualizado por un comité nombrado por el consejo
de directores de (ISC)2
• Miembros del comité son los más reconocidos y
experimentados líderes en el campo
• Determinan las fronteras y las áreas del conocimiento
• Estructurado en ocho dominios y múltiples sub-dominios
• Actualizado anualmente
• Elimina referencias a leyes y políticas de los E.U. e incluye
referencias a normas internacionales
• Promovido y difundido por el (ISC)2
Lámina 120
CBK del CISSP(Abril 2015)
• Security and Risk Management
• Asset Security
• Secirity Engineering
• Communications and Network Security
• Identity and Access Management
• Security Assesment Testing
• Security Operations
• Software Development Security
Lámina 121
Concentrations CISSP
• Information Systems Security Architecture Professional (ISSAP)
• CBK
– Access Control Systems and Methodology
– Communications & Network Security
– Cryptography
– Security Architecture Analysis
– Technology Related Business Continuity Planning (BCP) & Disaster Recovery
Planning (DRP)
– Physical Security Considerations
• Formato
– Exámen de opción múltiple
– 125 preguntas
– se cuenta con 3 horas para resolverlo.
– 2 años mínimo de experiencia en cualquiera en el área de Arquitectura
• Costo 399 usd, estándar, para la recertificación basta con tener vigente la certificación
CISSP
Lámina 122
• Information Systems Security Engineering Professional (ISSEP)
• CBK
– Systems Security Engineering
– Certification and Accreditation (C&A) / Risk Management Framework (RMF)
– Technical Management
– U.S. Government Information Assurance Related Policies and Issuances
• Formato
– 150 preguntas
– se cuenta con 3 horas para resolverlo
– 2 años como mínimo de experiencia en el área de Ingeniería
CISSP
Lámina 123
• Information Systems Security Management Professional (ISSMP)
• CBK
– Security Leadership Management
– Security Lifecycle Management
– Security Compliance Management
– Contingency Management
– Law, Ethics and Incident Management
• Formato
– 125 preguntas
– 2 años como mínimo de experiencia en management de Seguridad
CISSP
Lámina 124
CSSLP
• Certified Secure Software Lifecycle Professional
• Avalada por ISC2
• Formato
– examen de opción múltiple
– 175 preguntas
– 4 años mínimo de experiencia en SDLC en 1 o mas dominios
del CBK
Costo 549 usd, estándar, 90 horas CPE por 3 años, 100 usd por
año para la Recertificación
Lámina 125
CBK del CSSLP
• Certified Secure Software Lifecycle Professional
• Secure Software Concepts

• Secure Software Requirements
• Secure Software Design
• Secure Software Implementation/Coding
• Secure Software Testing
• Software Acceptance/ Assurance
• Software Deployment, Operations, Maintenance, and Disposal
• Supply Chain and Software Acquisition
Lámina 126
HCISPP
• HealthCare Information Security and Privacy Practitioner
• Formato
– 125 preguntas
– 2 años mínimo de experiencia
Costo 349 usd, estándar, 60 CPE por 3 años, 65 usd por año para
la Recertificación
Lámina 127
CBK del HCISPP
• HealthCare Information Security and Privacy Practitioner
• Healthcare Industry
• Regulatory Environment
• Privacy and Security in Healthcare
• Information Governance and Risk Management
• Information Risk Assessment
• Third Party Risk Management
Lámina 128
CCFP
• Certified Cyber Forensics Professional
• Formato
– 125 preguntas
– 3 años mínimo de experiencia en 3 de los 6 dominios del CBK
Costo 549 usd, estándar 90 CPE por 3 años, 100 usd por año para
la Recertificación
Lámina 129
CBK del CCFP
• Certified Cyber Forensics Professional
• Legal and Ethical Principles

• Investigations
• Forensic Science
• Digital Forensics
• Application Forensics
• Hybrid and Emerging Technologies
Lámina 130
CAP
• Certified Authorization Professional
• Formato
– 125 preguntas
– 2 años mínimo de experiencia en cualquiera de los 7 dominios
del CBK
la Recertificación
Lámina 131
CBK del CAP
• Certified Authorization Professional
• Risk Management Framework (RMF)

• Categorization of Information Systems
• Selection of Security Controls
• Security Control Implementation
• Security Control Assessment
• Information System Authorization
• Monitoring of Security Controls
Lámina 132
CCSP
• Certified Cloud Security Professional
• Formato
– 125 preguntas
– 5 años mínimo de experiencia en TI o 3 años en seguridad de
la información y 1 en cualquier dominio del CBK
la Recertificación
Lámina 133
CBK del CCSP
• Certified Cloud Security Professional
• Architectural Concepts & Design Requirements

• Cloud Data Security
• Cloud Platform & Infrastructure Security
• Cloud Application Security
• Operations
• Legal & Compliance
Lámina 134
SSCP
• Systems Security Certified Practitioner
• Formato
– 125 preguntas
– 1 año de experiencia en cualquiera de los dominios del CBK
la Recertificación
Lámina 135
CBK del SSCP
• Access Controls
• Security Operations and Administration
• Risk Identification, Monitoring, and Analysis
• Incident Response and Recovery
• Cryptography
• Network and Communications Security
• Systems and Application Security
Lámina 136
CISA
• Certified Information Systems Auditor
• En un principio dominio exclusivo de auditores de IT
• AVALADA por la ISACA (Information Systems Audit and Control
Association & Foundation)
– fundada en 1969
• Certificación CISA tiene desde 1978
• FormatoFormato
– 150 preguntas ( 450 Puntos para aprobar el examen )
– 5 años de Experiencia
Miembro No miembro
FAX/Correo
• 450 T/500 F usd On line 635 T/685 F usd On line
75 cargo adicional
Lámina 137
CBK del CISA
• The Process of Auditing Information Systems (21%)
• Governance and Management of IT (16%)
• Information Systems Acquisition, Development and Implementation

(18%)
• Information Systems Operations, Maintenance and Support (20%)
• Protection of Information Assets (25%)
Lámina 138
CISM
• ISACA avala la certificación CISM
– Certified Information Security Manager
• Certificación que reconoce el conocimiento y experiencia de

un administrador de seguridad IT
• Debido a que se lanzo en 2003, paso por un periodo de

“apadrinamiento”
– aquellos que puedan demostrar ocho años de experiencia en

el área de seguridad informática puede obtener la
certificación sin realizar examen alguno
• Primer examen se ofreció en Junio 2004
Lámina 139
CBK del CISM
• Information Security Governance (24%)
• Information Risk Management and Compliance (33%)
• Information Security Program Development and Management (25%)
• Information Security Incident Management (18%)
• FormatoFormato
– 200 preguntas ( 450 puntos para aprobar el examen)
– 5 años como mínimo de experiencia
Miembro No miembro
FAX o Coreo
450 T/500 F usd On line, 655 T/685 F usd On line
75 usd cargo adicional
Lámina 140
CRISC
• ISACA avala la certificación CRISC
– Certified in Risk Information System Control
• Certificación reconoce el conocimiento y experiencia de un

profesional en riesgos y controles
• Debido a que se lanzo en 2010, paso por un periodo de

“apadrinamiento”
– aquellos que puedan demostrar ocho años de experiencia en el
área de seguridad informática puede obtener la certificación
sin realizar examen alguno
• Primer examen se ofreció en Junio 2011
Lámina 141
CBK del CRISC
• IT Risk Identification (27%)
• IT Risk Assesment (28%)
• Risk, Response and Mitigation (23%)
• Risk and Control Monitoring and Reporting (22%)
• Formato
– 150 preguntas ( 450 puntos para pasar el examen )
– 3 años como mínimo de experiencia
Miembro No miembro
FAX o Correo
450 T/500 F, usd On line, 635 T/685 F, usd On line
75 usd cargo adicional
Lámina 142
Cybersecurity Nexus (CSX)
• ISACA avala las Certificaciones CSX
• La plataforma de conocimientos de CSX cuenta con 4

certificaciones teniendo una de ellas 3 especialidades:
– Cybersecurity Fundamentals Certificate ( Básico )
– CSX Practitioner ( Principiantes )
– CXS Specialist ( Intermedio y Avanzado)
– CXS Expert ( Master)
Lámina 143
CBK del Cybersecurity Fundamentals
• Cybersecurity Concepts (10%)
• Cybersecurity Architecture Principles (20%)
• Security of Network, Systems, Application & Data (40%)
• Incident Response (20%)
• Security of Envolving Technology (10%)
• Formato

– 75 preguntas ( 65% para aprobar el examen)
– No ser requiere años de experiencia para obtener la certificación
– No tiene fecha de expiración
– Costo 150 USD en línea para miembros y no miembros
Lámina 144
CBK del CSX Practitioner
• Identify (13-15%)
• Protect (33-37%)
• Detect (21-25%)
• Respond (16-18%)
• Recover (10-12%)
• Formato
– El examen esta basado en probar los skills actuales del candidato en
ciberseguridad con escenarios en vivo en un cyberlab virtual
– Se cuenta con 3 1/2 horas reales para resolverlo
– No se requiere años de experiencia para ob btener la certificación
– Costo 540 USD para miembros y 725 para no miembros
– Para la Recertificación por primera vez se requieren comprobar 30 horas por
año durante 3 años, para el siguiente periodo de recertificación se debe
volver a presentar el examen o tomar las certificaciones de CXS Especialista
o Experto
Lámina 145
CBK del CXS Specialist
• CXS Specialist Identify & Protect
• CXS Specialist Detect
• CXS Specialist Response & Recover
• Formato
– El examen esta basado en probar los skills especializados actuales del
candidato en ciberseguridad con escenarios en vivo en un cyberlab virtual
– Tiempo de duración del examen: Próximamente
– No se requiere años de experiencia para obtener la certificación
volver a presentar el examen o tomar las certificación de CXS Experto
Lámina 146
CBK del CSX Expert
• No hay CBK
• Formato
– El examen esta basado en probar los skills especializados actuales del
candidato en ciberseguridad con escenarios en vivo en un cyberlab virtual,
ejecutando tareas especificas de respuesta para escenarios del mundo real
– No hay ni cursos ni material de estudios debido a la naturalexa de la
certificación
– Tiempo de duración del examen: Próximamente
– No se requiere años de experiencia para obtener la certificación
volver a presentar el examen de CXS Experto
Lámina 147
Global Information Assurance Certifications
• SANS Institute ofrece una serie de certificaciones bajo el

programa GIAC
– Global Information Assurance Certification
• Grupo de certificaciones técnicas y algunas administrativas
• La experiencia no es explicita o necesaria para obtenerla

– Orientadas a la práctica de seguridad informática
• http://www.giac.org
Lámina 148
Las Certificaciones
Security Administration
• Certified Forensic Examiner
• Security Essentials Certification • Advanced Smartphone Forensics
• Certified Incident Handler Management
• Certified Intrusion Analyst
• Penetration Tester • Security Leadership
• Certified Perimeter Protection Analyst • Information Security Professional
• Web Application Penetration Tester • Certified Project Manager
• Certified Windows Security Administrator Software Security
• Assessing and Auditing Wireless Network
• Certified UNIX Security Administrator • Secure Software Programmer-Java
• Information Security Fundamentals • Certified Web Application Defender
• Certified Enterprise Defender • Secure Software Programmer-.NET
• Exploit Researcher and Advanced Penetration Audit
Tester
• Global Industrial Cyber security Professional • Systems and Network Auditor
• Mobile Device Security Analyst Legal
• Critical Control Certification
• Continuous Monitoring Certification • Law of Data Security & Investigations
• Python Coder
Forensics
• Certified Forensic Analyst
• Reverse Engineering Malware
• Network Forensic Analyst GSE Certification GIAC Security Expert
Lámina 149
EC-Council
• EC-Council ofrece una serie de certificaciones
•
• Grupo de certificaciones técnicas
•
• La experiencia no es explicita o necesaria para obtenerla
– orientadas a la práctica de seguridad informática
• http://www.eccouncil.org
Lámina 150
Las Certificaciones
• C/EH Certified Ethical Hacker
• C/HFI Computer Hacking Forensic Investigator
• E/CSA EC-Council Certified Security Analyst
• L/PT Licensed Penetration Tester
• E/NSA EC-Council Network Security Administrator
• E/CIH EC-Council Certified Incident Handler
• E/CSP EC-Council Certified Secure Programmer Java
• E/CSP EC-Council Certified Secure Programmer .NET
• E/DRP EC-Council Certified Disaster Recovery Professional
• C/CISO Certified Chief Information Security Officer
• CNDA Certified Network Defense Architect
Lámina 151
Las Certificaciones
• ECSS Certified Security Specialist
• CSCU Certified Secure Computer User
• ECVP Certified VoIP Professional
• ECES EC-Council Encryption Specialist
• CAS 611 Advanced Penetration Testing
• CAS 616 Advanced Securing Windows Infrastructure
• CAS 612 Advanced Mobile Hacking & Forensics
• CAS 613 Advanced Hacking Hardening Corporate Web Apps
• CAS 614 Advanced Network Defense
• MSS Master of Security Science ( on line )
• BSIS The Bachelor of Science in Information Security
Lámina 152
Otras Certificaciones
• Certificaciones de Productos
– Symantec
– IBM
– HP
– Computer Associates
– Checkpoint
– McAfee
– Juniper
– Aruba
– Websense
– Bluecode
– Etc,etc
Lámina 153
Certificaciones de Organizaciones
Lámina 154
Certificación Organizaciones
• Pregunta
– ¿Si igual voy a hacer algo, porque no lo hago teniendo en
cuenta las Normas, Metodologías y Legislaciones
Internacionales aplicables?
– Un arma de 2 filos.
Lámina 155
Transición
BS7799-1 : 1999 ISO 17799:2000 ISO 17799:2005 ISO 27002:2013

ISO27002:2005
10 dominios 10 dominios 11 dominios 14 dominios

36 controles objetivo 36 controles objetivo 39 controles objetivo 35 controles objetivo
127 controles específicos 127 controles específicos 133 controles específicos 114 controles específicos
BS7799-2 : 2001 BS7799-2:2002 ISO 27001:2005 ISO 27001:2013
10 dominios 10 dominios 11 dominios 14 dominios

36 controles objetivo 36 controles objetivo 39 controles objetivo 35 controles objetivo
127 controles específicos 127 controles específicos 133 controles específicos 114 controles específicos
Lámina 156
Actualización de la Norma
2000 edition 2005 edition
3 Security policy 5 Security policy
4 Organisational security 6 Organizing information security
5 Asset classification & control 7 Asset management
6 Personnel security 8 Human resources security
7 Physical & environmental security 9 Physical & environmental security
8 Communications & operations 10 Communications & operations
management management
9 Access control 11 Access control
10 Systems development & 12 Information systems acquisition,
maintenance development & maintenance
13 Information security incident
management
11 Business continuity management 14 Business continuity management
12 Compliance 15 Compliance
Lámina 157
Actualización de la Norma
ISO 27001:2005 ISO 27001:2013
A.5 Política de Seguridad A.5 Políticas de Seguridad
A.6 Organización de seguridad de la información A.6 Organización de la seguridad de la
información
A.8 Seguridad en recursos humanos A.7 Seguridad en recursos humanos
A.7 Administración de activos A.8 Administración de activos
A.11 Control de acceso A.9 Control de acceso
A.10 Criptografía
A.9 Seguridad física y ambiental A.11 Seguridad física y ambiental
A.10 Administración de comunicaciones y A.12 Seguridad en operaciones
operaciones
A.13 Seguridad en comunicaciones
A.12 Adquisición, desarrollo y mantenimiento de A.14 Adquisición, desarrollo y mantenimiento de
sistemas sistemas
A.15 Relación con proveedores
A.13 Administración de incidentes de seguridad de A.16 Administración de incidentes de seguridad
la información de la información
A.14 Administración de continuidad del negocio A.17 Aspectos de seguridad de la información en
la administración de continuidad del negocio
A.15 Cumplimiento A.18 Cumplimiento Lámina 158
Los Estándares de la series ISO
IEC 27000
ISO/IEC Descripción
27000 Vocabulario y definiciones
27001 Especificación de la estructura metodológica (basada en el BS7799-
2:2002):2005
27002 Código de prácticas (basada en ISO17799:2005):2007
27003 Guía de implementación
27004 Métricas y medidas
27005 La Administración del Riesgo:2008-2011 (basado en BS 7799-3)
27006 Requerimientos para organismos de acreditación de Sistemas de
Gestión de Seguridad de la Información: 2007
Lámina 159
Principales características del
ISO/IEC 27001:2005
• Modelo PDCA
• Proceso metodológico basado en modelo PDCA
• Definición mejorada y claridad entre la relación de la evaluación del

riesgo, la selección de controles y el establecimiento del SoA
• Anexo de guía en la nueva edición
• Anexo que muestra la correspondencia entre ISO/IEC 27001:2005,

ISO 9001:2000 y el ISO 14001:2004
Lámina 160
Cerrar el Ciclo
Definir el Contexto
- Definir el Alcance del ISMS Mantener y Mejorar
- Definir la Política - Implementar mejoras identificadas
- Identificar Riesgos - Tomar las acciones correctivas /preventivas
- Analizar riesgos Plan apropiadas
Act
- Seleccionar Objetivos de Control - Comunicar los resultados
y controles para acciones y acuerdos
el tratamiento del riesgo* a todas las partes interesadas
- Preparar la Declaración de Continual - Asegurar que las mejoras
Aplicabilidad (SoA) alcanzan sus objetivos.
Implementar y Improvement
operar Monitoreo y revisión
- Formular un plan Do - Ejecutar procedimientos
de tratamiento de riesgo Check de monitoreo
- Implementar el plan - Efectuar revisiones periódicas
- Implementar controles
seleccionados para alcanzar de efectividad.
los objetivos de seguridad - Conducir auditorías internas a
intervalos planeados
La organización DEBE!
Lámina 161
Diferencias ISO27001 2005 -2013
Lámina 162
El Camino de la Certificación
Certificado
Acuerdo de ISMS
Confidencialidad
Pre- Auditorías
Pre-Estudio/ Auditoría Inicial Seguimiento
Auditoría Periódicas
Implementación
Implementadores
Auditores
Creación de Valor
Lámina 163
Certificación
• Los certificados tienen una validez de 3 años.
• Se requieren auditorías de evaluación, que van desde los periódica de 6 hasta
los 12 meses después de efectuada la primera auditoría.
• A partir de la publicación del estándar ISO 27001, BS7799 queda anulado.
• Solo certificó en BS7799 hasta el 15 de Abril del 2006, a partir de esa fecha
todas la auditorías se efectúan en base al estándar ISO 27001.
• Las empresas certificadas tendrán un periodo de tiempo para la transición de
la ISO27001:2005 a la 2013 de 2 años.
• Las empresas que están en vías de certificarse con la ISO27001:2005 lo
podrán hacer pero tendrán que migrar a la ISO27001:2013 en el tiempo
establecido.
Lámina 164
Registro internacional de certificados
en SGSI
Lámina 165
Registro internacional de certificados en
SGSI en México
Lámina 166
Factores que afectan la certificación
• Tamaño de la compañía
• Factores de Impacto (giro del negocio/estructura de la
compañía)
• IT-Estructura (tamaño y complejidad)
• Disposición de Recursos.
• Alcance de la Certificación
Lámina 167
La certificación de productos
Lámina 168
TCSEC Certification
• Trusted Computer Systems Evaluation Criteria
• Pagina (Rainbow Series Library)
– http://www.radium.ncsc.mil/tpep/library/rainbow/
• Documento publicado por el Departamento de Defensa de los
Estados Unidos en 1983 (DOD 5200.28-STD) conocido
también como el “Orange Book.”
– actualizado en 1985
Lámina 169
Objetivos TCSEC
• Proporcionar una guía a los fabricantes de productos comerciales
en relación a las características de seguridad que deben cumplir
sus productos.
• Dotar al DoD de los Estados Unidos con una métrica para

evaluar el grado de confiabilidad de los sistemas orientados a
manejar información clasificada.
• Proporcionar una base a los usuarios finales para establecer

requerimientos de seguridad en sus adquisiciones de productos.
Lámina 170
Los niveles
Nivel Descripción Comentarios
D sistema no seguro
C1 protección discrecional DAC
identificación + autenticación
C2 acceso controlado auditoria de sistemas
B1 seguridad etiquetada etiqueta + nivel seguridad jerárquico +
categorías
B2 protección estructurada etiqueta cada objeto de nivel superior por
ser padre de un inferior
B3 dominios seguridad monitor referencia que permite o niega
peticiones acceso
A protección verficada uso métodos formales para asegurar
todos los procesos
Lámina 171
Algunos libros de la serie arcoiris
• Orange Book
– DoD Trusted Computer System Evaluation Criteria
• Green Book
– DoD Password Management Guideline,
• Light Yellow Book
– Computer Security Requirements
• Yellow Book
– Guidance for Applying the DoD TCSEC in Specific Environments,
• Light Yellow Book
– Guidance for Applying the DoD TCSEC in Specific Environments
• Bright Blue Book
– Trusted Product Evaluation - A Guide for Vendors
• Red Book
– Trusted Network Interpretation
Lámina 172
Estándares creados a partir del TCSEC
• ITSEC
– Information Technology Security Evaluation Criteria
– http://www.cordis.lu/infosec/src/crit.htm
– la versión europea
• CTCPEC
– Canadian Trusted Computer Product Evaluation Criteria
– ftp://ftp.cse.dnd.ca/pub/criteria/CTCPEC.ascii
– la versión canadiense
Lámina 173
Common Criteria
• Iniciativa de varios países (14)
• Flexible
– No cuenta con perfiles predeterminados.
– Permite la adición de nuevos criterios.
• Parte de las necesidades de cada usuario/fabricante

– No de las necesidades del DoD.
• Cada nueva evaluación implica la creación de un modelo o marco

de referencia (Security Target o ST).
• Al igual que en el Orange Book la evaluación se enfoca a los

componentes relevantes desde el punto de vista Seguridad (Target
of Evaluation o TOE).
Lámina 174
Objetivos CC
• Permitir a los usuarios el especificar sus requerimientos de
seguridad
• Permitir a los desarrolladores especificar los atributos de sus

productos
• Permitir que los evaluadores determinen si los productos

cumple con lo que estipulan.
Lámina 175
Niveles Aseguramiento CC
Common Criteria Descripción Referencia TCSEC
EAL1 Probado funcionalmante --
EAL2 Estructuralmente probado C1
EAL3 Metodológicamente probado C2

EAL4 Metodológicamente diseñado,
probado, y revisado B1
EAL5 Semiformalmente diseñado y B2
probado
EAL6 Semiformalmente verificado B3
(diseño) y probado
EAL7 Formalmente verificado A1
(diseño) y probado
Lámina 176
Tipos documentos CC
• El CC define un conjunto de requerimientos de seguridad
– Dividido en requerimientos funcionales y de seguridad
• Dos tipos de documentos

– Protection Profiles (PPs): documento creado por un usuario
o comunidad de usuarios que identifica requerimientos de
seguridad por parte del usuario
– Security Targets (STs): documento creado por un
desarrollador de sistema, que identifica las capacidades de
un producto en partícular
• Un ST puede indicar la implementación de cero o mas
PPs
Lámina 177
Los Niveles del CC (EAL)
• Usuario puede contar con una evaluación independiente que
compruebe que el producto cumple con lo estipulado en el ST
– evaluación conocida como TOE - Target of Evaluation
• EAL: Evaluation Assurance Level
– Numeradas del 1 al 7
– EALs superiores requieren de un mayor esfuerzo de
evaluación
– Los EAL de mayor valor garantizan más “seguridad”, pero su
evaluación requiere de mayor tiempo y cuesta más dinero
– EAL valor grande no significa “mejor seguridad”, solo
estipula que seguridad proclamada fue extensamente validada
Lámina 178
Niveles Aseguramiento CC
Common Criteria Descripción Referencia TCSEC

EAL1 Probado funcionalmante --
EAL2 Estructuralmente probado C1
EAL3 Metodológicamente probado C2

EAL4 Metodológicamente diseñado,
(W2K, Solaris, HP- probado, y revisado B1
UX, AIX)
EAL5 Semiformalmente diseñado y B2
probado
EAL6 Semiformalmente verificado B3
(diseño) y probado
EAL7 Formalmente verificado (diseño) y A1
probado
Lámina 179
Control de Acceso
Lámina 180
Objetos y Sujetos
El controlar el acceso a los recursos, es uno de los temas centrales y
fundamentales de la Seguridad Informática
• El Sujeto son entidades activas que requieren acceso a los Objetos
• El Objeto son entidades pasivas que contienen información
• El Acceso se define como el flujo de información entre un sujeto y un

Objeto
Lámina 181
Sujetos
Un Sujeto puede ser:
• Un usuario
• Un programa
• Un proceso (accede a un objeto para completar una tarea)
• Cuando un programa accede a un archivo, el sujeto es el programa y el

archivo el objeto.
Lámina 182
Objetos
Un Objeto puede ser:
• Una Computadora
• Una base de datos
• Un archivo
• Un campo contenido en una base de datos
• Un dispositivo de red
Lámina 183
Sujetos y Objetos
Sujetos, entidades activas – Objetos, entidades pasivas – Acceso, flujo de información entre un sujeto y un objeto
Lámina 184
Etapas del control de acceso
• Identificación
• Autenticación
• Autorización
Lámina 185
Autenticación
• Autenticación usuario consiste en que una computadora verifique
que uno es quien dice ser.
• Punto importante a tratar en la seguridad.
Lámina 186
Mecanismos Autenticación
• Clasificación
– Basados en algo que se sabe
– Basados en algo que se es
– Basadas en algo que se tiene
• Posible combinar los métodos

– autenticación de dos factores
• basado en algo que se sabe y algo que se es
• basado en algo que se sabe y algo que se tiene
• basado en algo que se es y algo que se tiene
• basado en algo que se es y algo que se sabe
• otras combinaciones
– autenticación de tres factores
• basado en algo que se es, algo se sabe y algo que se tiene
Lámina 187
Passwords
Existen dos clases de Passwords:
• Estático: No cambian
• Dinámico: Cambian después de un determinado

intervalo de tiempo o uso.
– One-Time Password (Password de Solo Uso):
Cambian cada vez que son usados
ENTRE MAYOR SEA EL TIEMPO QUE UN

PASSWORD PERMANECE ESTÁTICO, LA
PROBABILIDAD DE QUE SEA
COMPROMETIDO TAMBIÉN ES MAYOR….
Lámina 188
Passwords
¿Cómo se puede mejorar la seguridad de un
Password?
• Establecer un largo mínimo

• Age – Mínima y Máxima
• Caracteres especiales (Mayúsculas, Símbolos,
Minúsculas, Números)
• Prevenir el reuso
• Programas de Concientización (Awarness)
• No al uso de palabras de Diccionario
• Suplantar letras por números
• Bloqueo de cuenta tras número de intentos
fallidos
• Auditoría Lámina 189
Tokens
• Los Tokens son dispositivos electrónicos que generan passwords.
• Los Sujetos deben tenerlos a la mano
• Recae en la categoría “Algo que tienes”
• Dispositivo de tipo:
– Password estático
• Tarjeta de ATM + NIP
– Password dinámico
• One-Time-Password
• Calculadoras de números aleatorios desplegados en pantalla
Lámina 190
Tokens
• Existen 3 tipos de Tokens:
– Estáticos:
• USB,
• Una llave para operar un candado físico,
• Smart Card,
• “Swipe Card”. La mayoría almacenan una llave criptográfica
(llave pública o privada o credenciales encriptadas)
– Syncrounous Dynamic Password:

• Genera passwords en un determinado intervalo de tiempo, es
decir, están basados en el TIEMPO
• Requiere que los relojes, tanto del token como del servidor
de autenticación, estén sincronizados
Lámina 191
Tokens
– Asyncrounous Dynamic Password:
• Genera passwords basados en un esquema de
“Challenge/Response”
• Requiere el usuario presione un botón o tecla
• El servidor de autenticación envía primero un valor “random”
• El usuario teclea en el token dicho valor, el cual el dispositivo usa
para encriptar ese valor y genera un valor nuevo que el usuario
ocupa como One-Time-Password
• El usuario envía al servidor de autenticación este nuevo valor junto
con credenciales de acceso.
• Si el servidor de autenticación puede decriptar este valor y es el
mismo valor enviado al inicio de la sesión, el usuario es
autenticado exitosamente
Lámina 192
El Proceso Biométrico
Registro Base datos
template
Sensor Extractor
Biométrico característica
Identificación
Sensor Extractor
Biométrico característica
Comparación
característica
Lámina 193
Biométricos
• Crossover Error Rate, False Rejection Rate y False Acceptance Rate
Lámina 194
Biométricos
“Falso Rechazo” (False Rejection) es el tipo de error que ocurre cuando un
Sujeto Válido no es Autenticado por un Dispositivo Biométrico. También se le
conoce como “Falso Positivo” y “Error Tipo 1”
“Falsa Aceptación” (False Acceptance) es el tipo de error que ocurre cuando

un Sujeto No Válido es Autenticado por un Dispositivo Biométrico. También
se le conoce como “Falso Negativo” y “Error Tipo 2”
El Punto en el cual la Tasa de Falso Rechazo [False Rejection Rate(FRR)] y la

Tasa de Falsa Aceptación [False Acceptance Rate (FAR)] son iguales, es
conocido como la Tasa de Cruce de Errores [Crossover Error Rate (CER)].
El nivel de “Crossover Error Rate” es usado como un punto estándar de

evaluación a partir del cual medir el “performance” o la calidad de un
dispositivo biométrico.
Lámina 195
Características biométrico ideal
• Universal
– toda persona posee la característica
• Único
– dos personas no comparten la característica
• Permanente
– la característica no debe cambiar o alterarse
• Colectable (collectable)
– característica es realmente presentable a un sensor y es
fácilmente cuantificable.
Lámina 196
Sistemas biométricos prácticos
• Desempeño
– robustez, requerimientos de recursos, y factores operacionales
o de ambiente que afectan su confiabilidad y velocidad
• Aceptación
– personas dispuestas a aceptar un identificador biométrico en su
vida diaria.
• Confiablidad
– que tan fácil es engañar al sistema, a través de métodos
fraudulentos
Lámina 197
Tecnologías Biométricas
• Imágenes faciales
• Geometría mano
• Métodos basados en
el ojo
• Firmas
• Voz
• Geometría de la vena
• Imágenes palma y
dedos
Lámina 198
Cara
• Característica más usada por los seres humanos
• Áreas más activos de investigación
• Principio funcionamiento
– reconocimiento basado en ubicación y forma de atributos
faciales: ojos, nariz, labios; así como relaciones espaciales
entre ellos
• Difícil reconocer una imagen capturada desde dos diferentes
puntos.
– restricciones respecto a como las imágenes se obtienen,
algunas veces requiere un fondo simple o una iluminación
especial
Lámina 199
Cara termográfica
• Sistema vascular en la cara humana produce una huella única de
cara cuando se pasa calor a través de la textura de la piel y es
emitida por la piel.
• La huella puede capturarse usando una cámara infrarroja

– resultado: imagen termográfica.
• Se dice que cara termográfica es única

– cirugía plástica no desvía el flujo de la sangre a través de las
venas.
Lámina 200
Huellas Digitales
• Sistema usado para identificación desde siglos.
• Huella digital es un patrón de líneas en la superficie de un dedo,
cuya formación se da durante el periodo fetal
– huellas digitales de gemelos son diferentes
• Encabezan las aplicaciones biométricas
• Problema
– aceptación por parte de un usuario
– huellas digitales son asociadas con investigaciones criminales
y trabajo policial
Lámina 201
Minucias
Lámina 202
La huella dactilar
Lámina 203
Geometría de la mano
• Medidas mano:
– forma, longitud y grosor de los dedos
• Dispositivos instalados en cientos de localidades en el mundo
• Técnica simple, relativamente fácil de usar y barata.
• Factores operacionales de ambiente (piel seca) no tiene
consecuencia en la identificación.
• Presenta una baja discriminación (artritis, manco, etc).
• Requiere de una geometría grande, no puede ser usada en algunas
aplicaciones como laptops
Lámina 204
Retina vs Iris
Lámina 205
Patrón de retina
• Patrón formado por venas detrás de la superficie de retina es
estable y único
– característica factible para reconocimiento
• Imágenes digitales patrones retina se pueden obtener

proyectando una haz de baja intensidad o una luz infrarroja
en el ojo y capturando la imagen de la rutina usando
dispositivos ópticos similares a un retinaescopio
• Requieren una participación fuerte del usuario

– necesario que el individuo enfoque en un punto
determinado del campo visual.
Lámina 206
Iris
• Iris es la región del ojo rodeada por la pupila y el blanco del ojo
• La textura visual de la iris se estabiliza durante los dos primeros

años de vida y su estructura compleja proporciona información
distintiva para identificación de individuos.
• Es más fácil obtener una imagen del iris que de la retina.
• Requieren una participación fuerte del usuario y es caro.
Lámina 207
Firma manuscrita
• Cada persona tiene un estilo único de escritura.
– dos firmas de la misma persona no son siempre idénticas
– variaciones dependen del estado de físico y emocional de la
persona
• Nivel identificación es razonable pero no suficiente para un
reconocimiento de gran escala.
• Dos tipos
– estático: solo usa características geométricas (forma) de la
firma
– dinámico: aparte usa características como velociada, presión
y patrones de trayectorias.
Lámina 208
Voz (speech)
• Su carácter de único se basa en la no tan variante forma/tamaño
de sus elementos (vocales, boca, cavidades nasales, labios) que
sintetizan el sonido
• No contiene suficiente información para un sistema de
reconocimiento de gran escala.
• Puede basarse en una entrada dependiente del texto (se cuenta con
una frase predeterminada) o independiente de este.
• Aceptado por mucha gente.
• Sensible a ruido de fondo, y al estado físico/emocional del
individuo.
Lámina 209
Key Stroke
• Velocidad y forma de tipear información con la
ayuda de un texto.
Lámina 210
Comparación
Biometrico Universal Unico Permanente Colectable Desempeño Aceptación Confiabilidad

Cara alta baja media alta baja baja bajo
Huella digital media alta alta media alta media alto
Gometria Mano media media media alta media media media
Iris alta alta alta media alta baja alta
Scan retina alta alta media baja alta baja alta
Firma baja baja baja alta baja alta baja
Impresión voz media baja baja media baja alta baja
F. Termográfico alta alta baja alta media alta alta
Lámina 211
Control de acceso
• Conjunto de mecanismos para limitar, controlar, y monitorear el

sistema de acceso a ciertos items de información o a ciertos
aspectos basados en una identidad de usuario y su pertenencia
en varios grupos predefinidos.
– Permite a los administradores de un sistema ejercer una

directríz o influencia de restricción sobre el comportamiento,
uso y contenido de un sistema respecto a confidencialidad,
integridad, y disponibilidad.
Lámina 212
Tipos de control de acceso
• Control de acceso discrecional
• Control de acceso Mandatorio
• Control de acceso basado en roles
Lámina 213
Control de acceso discrecional
• Permite al dueño (owner) o creador de un Objeto el
controlar y definir qué Sujeto puede acceder a dicho Objeto.
• El control de acceso es basado a DISCRECIÓN del dueño

del Objeto.
• El dueño del Objeto puede modificar los permisos del

mismo para definir qué Sujetos (usuarios) pueden o no
accederlo
• También conocido como DAC

– Discretional Access Control
Lámina 214
Control de acceso Mandatorio
• Depende del uso de “Etiquetas de Seguridad” (Security Labels)
• Los Sujetos son etiquetados dependiendo de su grado de autorización

(Clearance)
• Los Objetos son etiquetados acorde a su nivel de Clasificación o Sensitividad
• Los Sujetos podrán acceder Objetos que tengan la misma o menor etiqueta o
Clasificación.
• La clasificación de seguridad dicta la jerarquía de sensitividad
• También conocido como MAC
Lámina 215
Control de acceso basado en roles
(RBAC)
• También llamados Controles de Acceso no discrecionales

• Definen el tipo de acceso que tiene un Sujeto sobre un
Objeto dependiendo de la definición de un ROL o tipos de
tareas.
• Son mayormente utilizados en ambientes organizacionales
que presentan una rotación de puestos en su personal
elevado. Se recomienda así debido a que el acceso está
basado en la descripción de las labores que realice un Sujeto
(rol o tarea)
Lámina 216
Control de acceso basado en roles
(RBAC)
• Se manejan Roles y /o Grupos

– Un usuario puede pertenecer a diversos grupos
– Un usuario solo puede tener un rol único
• Los usuarios tienen solo los permisos y privilegios
asignados al rol
Lámina 217
Administración del control de acceso
• Administración de cuentas
• Monitoreo de cuentas, bitácoras y diarios
• Derechos y permisos ( privilegios ) de acceso
Lámina 218
Administración de cuentas
• Altas y bajas de usuarios.
• Recursos asignados o a los que tiene derecho.
• Permisos sobre los recursos asignados.
• Limites o cuotas en el uso de los recursos

asignados.
Lámina 219
Monitoreo de cuentas, bitácoras y
diarios
• Registro del uso que se le está dando a los recursos

asociados a una cuenta.
– Periodicidad de uso
– Tiempo estimado en cada uso.
– Cambio de contraseñas.
Lámina 220
Derechos y permisos de
acceso
• Permisos y derechos de acceso sobre ciertos

recursos del sistema o red.
– Lectura, escritura, ejecución, propiedad.
Lámina 221
Single Sign On (SSO)
• Este tipo de mecanismo permite a un usuario autenticarse
SOLO UNA VEZ y tener acceso a los recursos a los que esté
autorizado sin tener que autenticarse a cada uno de ellos.
• La autenticación se realiza de manera ÚNICA.
• Se requiere de un password robusto.
• Único punto de falla (Single Point of Failure) – Una vez que la
contraseña es comprometida, el atacante tiene acceso a todos
los recursos.
• Facilidad en la administración
• SSO puede ser habilitado a través de mecanismos de
autenticación (Kerberos, SESAME, Scripts)
Lámina 222
Single Sign On (SSO)
SSO permite al usuario presentar credenciales por única vez y tener la

posibilidad de acceder a los recursos dentro de un dominio
Lámina 223
Identity management
• Es una estrategia de negocio manifestada en un esquema de
seguridad para administrar los accesos en una empresa
• Soluciones para gerenciar las identidades (Identity Management,

IdM) el cual proporciona a los usuarios adecuados, el acceso
adecuado en el momento adecuado
• Solución de gestión eficiente y segura del acceso a los recursos de

información, que simplifica la integración de aplicaciones en una
infraestructura de seguridad común y reduce los costos asociados
a estas funciones
Lámina 224
Características y beneficios
• Tecnologías integradas.
• Bajos costos operativos.
• Procesos automáticos.
• Respuesta rápida al mercado.
• Autoservicios para clientes, proveedores y empleados.
• Control de activos integrados.
• Seguridad proactiva
Lámina 225
Identity Management
Definición
La esencia del Identity Management (IdM) como solución es:
• Proveer la combinación de elementos, procesos y tecnologías

para una adecuada administración del Ciclo de Vida de las
identidades digitales (Create, Mantain and Terminate)
• Establecer un adecuado control de acceso a la información y

recursos de la organización con base en la Identificación,
Autenticación, Autorización y Auditoría de los elementos que
conforman la solución.
Lámina 226
Identity Management
Entidad
• Colectividad considerada como unidad. Especialmente,

cualquier corporación, compañía, institución, etcétera,
tomada como persona jurídica
• Ente o Ser
Lámina 227
Identity Management
Identidad
• Cualidad de Idéntico
• Conjunto de rasgos propios de un individuo o de una

colectividad que los caracterizan frente a los demás
• Conciencia que tiene una persona de ser ella misma y

distinta a los demás
Lámina 228
Identidad Digital – Digital
Identity
La Identidad Digital está compuesta por atributos (rol en la

compañía, departamento, horario), “derechos” o permisos
(recursos disponibles para el usuario) y rasgos (información
de autenticación en mecanismo biométrico), que dependen de
factores como:
• Quién eres
• El contexto en el que te encuentras (La interacción con los
sistemas o mundo digital)
• Tu perfil (Profile)
Lámina 229
Componentes
Algunos de los componentes (sistemas) que conforman al

Identity Management como solución son:
• Directorio
• Base de Datos
• Servicios Web
• Clientes
• Aplicaciones/Ambientes
• Provisioning Manage Console
• Workflow Server
Lámina 230
Problemática
• Cumplimiento de requerimientos regulatorios de la industria de
manera continua
– Es muy caro el estar seguros si se está cumpliendo con todas las

regulaciones necesarias de la industria
– Si no se hace de manera adecuada, hay que iniciar TODO

nuevamente
• Sobrecarga de trabajo en el personal de Help Desk
– Existe una 25% promedio (o mayor – varía dependiendo de la

organización) de llamadas referentes a resetear contraseñas
– Existe una 25% promedio (o mayor – varía dependiendo de la

organización) de llamadas referentes al desbloqueo de cuentas
Lámina 231
Problemática
• Costos de Administración elevados
– Las organizaciones no cuentan con el presupuesto suficiente
para contratar a más administradores dentro del área de TI
– La población (usuarios, clientes, etcétera) va en aumento
• Cuentas de Usuario Fantasma
– La existencia de cuentas de usuario en los sistemas que NO son

eliminadas aún cuando su periodo en la organización ha
finalizado
– Pueden pasar varios años para ser eliminadas
– El lapso de tiempo para la eliminación de estas cuentas es

irrelevante para algunas organizaciones
Lámina 232
Problemática
• Acumulación de Privilegios y Privilegios Inapropiados
– A medida que los empleados o socios de negocio cambian
de responsabilidades, ellos siguen ACUMULANDO
nuevos privilegios
– No existe un adecuado control de privilegios
– Privilegios innecesarios no son eliminados
– NO existe un proceso definido de “desaprovisamiento”
• Requerimientos de Auditoría
– Ya sean auditores internos o externos, necesitarán verificar
un adecuado control sobre los sistemas de TI y el acceso a
información sensitiva
Lámina 233
Problemática
• Cambios CONSTANTES en la infraestructura de TI
– No existe un buen manejo de los cambios
• Publicidad Negativa relacionada con la Seguridad Informática
– Nadie quiere que el nombre de nuestra organización

aparezca en los diarios o noticieros debido a un problema
de Seguridad Informática
Lámina 234
Problemática
• Mucha Población, Pocas manos
– Muchas Identidades (ERP, LDAP, Mainframe, Windows,

UNIX, etc)
– Muchos Usuarios (Clientes, Empleados, Socios de

Negocio, etc)
– MUCHAS Aplicaciones (Finanzas, Producción, ERP, etc)
– Ambientes heterogéneos
Lámina 235
Problemática
• El principio de Segregación de Funciones no está siendo
reforzado, seguido o implementado
• Incremento de Costos / Reducción en la Productividad

– Demasiadas horas de administración ocupadas en
procesamiento de solicitudes
– Costo por llamada x Usuario x año
• Impactos negativos en las experiencias de los usuarios

– Demasiado tiempo en la espera de creación de cuentas de
usuario, asignación de lugar y toda aquella información
necesaria para la realización de sus actividades
Lámina 236
Comparando Esquemas
Lámina 237
Elementos Identity Management
• Autenticación
• Servicios de directorio corporativo
• Control de acceso
• Administración de usuarios
Lámina 238
Capas de la Seguridad
Informática
1. Seguridad relacionada con el personal
2. Seguridad Física
3. Seguridad de Datos
4. Seguridad del Software de Aplicaciones
5. Seguridad del Software del Sistema
6. Seguridad del Site de Datos
7. Seguridad en Internet
Lámina 239
Seguridad Relacionada con el personal
Lámina 240
Seguridad relacionada con el
personal
Alcance.
– Políticas, procedimientos y prácticas para la contratación

de empleados y terminación de la relación laboral.
– Programas de concientización de los empleados

sobre la seguridad.
Lámina 241
personal
Objetivos.
– Asegurar el establecimiento de políticas, estándares, procedimientos y guías para
que el personal desempeñe sus funciones y actividades adecuadamente, de tal
manera que se reduzcan las amenazas (ejem.robo, fraude, desfalco) que resultan de
contratar personal no calificado, deshonesto o con antecedentes cuestionables.
– Asegurar la observancia continua del personal en las buenas prácticas de seguridad

informática.
– Asegurar el establecimiento de un sistema de registro de las actividades del

personal sobre el sistema y recursos de cómputo y que permita conocer las
consecuencias de acciones impropias.
– Asegurar el acceso controlado, de agentes de riesgo, al sistema de cómputo, equipo

periférico, datos, programas, archivos y bases de datos para minimizar la
vulnerabilidad.
Lámina 242
personal
Guías y Técnicas de control 1/2
1. Efectuar una completa verificación de los antecedentes de los candidatos a contratar.
2. Establecer políticas claras y procedimientos para el proceso de terminación de la relación

laboral con empleados.
3. Establecer un adecuado programa de administración de passwords e identificaciones de

usuarios.
4. Entrenar al personal de TI en aspectos de seguridad informática.
5. Rotar a los empleados clave involucrados en el manejo de entrada y salida de datos de

aplicaciones.
6. Mantener una adecuada separación física de responsabilidades entre funciones incompatibles

tales como: operaciones del centro de cómputo, desarrollo, mantenimiento, control de entradas
y salidas, control de la red, base de datos, programación de sistemas, control de la producción.
Asimismo, separar responsabilidades en las áreas funcionales usuarias. Lámina 243
personal
Guías y Técnicas de control 2/2
7. Si la separación física de responsabilidades no es práctica, establecer una separación

electrónica de responsabilidades mediante el uso de passwords para el acceso a las
funciones del sistema o mediante revisiones gerenciales.
8. Asegurar que no existan relaciones familiares entre empleados que trabajan en áreas
sensitivas de la organización.
9. Distribuir a cada empleado su descripción de puesto, donde se defina claramente sus

responsabilidades, la forma en que será evaluado así como su nivel de autoridad.
10. Asegurar que los empleados tomen sus vacaciones cuando les corresponda.
11. Promover entre los empleados el desarrollo de una conciencia sobre la seguridad
informática.
Lámina 244
Seguridad Física
Lámina 245
Seguridad Física
Alcance
– Controles de acceso físico.

– Control de condiciones ambientales.
– Protección contra incendios, inundaciones y desastres naturales.
– Procedimientos de emergencia.
Objetivos
1. Asegurar el establecimiento de políticas, estándares, procedimientos y guías de

seguridad física, que reduzcan los riesgos potenciales de daño y destrucción que
resultan del acceso no autorizado a edificios, equipo e instalaciones informáticas.
2. Asegurar que sólo al personal autorizado se le permita el acceso al centro de

cómputo y que todos los visitantes sean acompañados por un empleado responsable
de ellos durante su visita.
Lámina 246
Seguridad Física
Objetivos (2/2)
3. Asegurar que existan controles adecuados para las condiciones ambientales (calor,
polvo, humedad, aire acondicionado), que reduzcan el riesgo por fallas o
malfuncionamiento del equipo, del SW, de los datos y de los medios de
almacenamiento.
4. Controlar el acceso, de agentes de riesgo, al equipo y sistema de cómputo para

minimizar la vulnerabilidad.
Lámina 247
Seguridad Física
Guías y Técnicas de Control
1. Requerir que todos los empleados usen su gafete de identificación.
2. Establecer una adecuada seguridad física sobre el centro de cómputo, terminales,

PC´s, Portátiles, Servidores, dispositivos de comunicaciones y la documentación.
3. Controlar entrada al centro de cómputo.
4. Instalar detectores de metal en las diferentes entradas a las instalaciones.
Lámina 248
Seguridad Física
5. Instalar dispositivos para la detección y extinción de fuego.
6. Mantener un inventario del equipo y accesorios de cómputo y realizar verificaciones

periódicas.
7. Instalar mecanismos o dispositivos para la vigilancia continua de áreas.
8. Instalar controles de respaldo tales como generadores de electricidad que usan diesel.
9. Mantener apropiados controles ambientales para la humedad y el aire acondicionado.
Lámina 249
Seguridad de Datos
Lámina 250
Seguridad de Datos
Alcance
– Evaluación de la función de seguridad de datos.
– Administración de passwords.
– Clasificación y protección de datos acorde a su grado de sensitividad y criticidad.
– Definición y administración de perfiles de usuario con propósitos de definir sus niveles

de acceso.
– Reportes de integridad de archivos y bases de datos.
– Manejo, almacenamiento y disposición de datos sensitivos o confidenciales

almacenados en registros de papel, mecánico o electrónicos.
Lámina 251
Seguridad de Datos
Objetivos

seguridad de datos, que reduzcan los riesgos de modificación, destrucción o revelación
de datos que resultan del acceso no autorizado a archivos y bases de datos.
2. Asegurar la existencia de un sistema de asignación de privilegios para el acceso a los

datos acorde con la sensitividad de los mismos y las responsabilidades y nivel de
autoridad de cada empleado.
3. Asegurar que la creación y mantenimiento de archivos y bases de datos se realice en

forma apropiada y que sea revisada periódicamente.
4. Controlar el acceso, de agentes de riesgo, a las entradas al sistema tales como

documentos fuente, formatos, archivos y salidas del sistema tales como reportes, para
minimizar la vulnerabilidad.
Lámina 252
Seguridad de Datos
Guías y Técnicas de Control 1/5
1. Adquirir o desarrollar software de seguridad de control automatizado de acceso.
2. Implantar adecuadas técnicas de identificación y autenticación de usuarios.
3. Establecer los principios de seguridad de “menor privilegio” y “requiere saber”.
4. Restringir los privilegios para procesar transacciones (agregar, cambiar, borrar,

consultar, dar override).
5. Emitir guías para el manejo, almacenamiento y destrucción de registros usados, ya

sean registros en papel (cartas, memoranda, documentos y reportes), registros mecánicos
(microfichas y microfilms), o registros electrónicos (cintas, cartuchos, discos, CD´s,
DVD´s, USB’S, Smarts Phones, Tabletas etc.).
Lámina 253
Seguridad de Datos
6. Implantar un sistema que registre la fecha de la última actividad o el último sign-on

de un usuario sobre el sistema.
7. Revisar los log´s de actividad del sistema, los journals, y reportes de excepción para
detectar violaciones a la seguridad.
8. Insertar nombres dummy y direcciones conocidas como trampas en listas de correo

relacionadas con sistemas financieros para detectar su uso no autorizado.
9. Instalar controles para el manejo apropiado de datos a través de todas las fases de
operación del sistema.
10. Donde sea apropiado y se justifique, aplicar técnicas criptográficas para proteger
datos confidenciales.
Lámina 254
Seguridad de Datos
11. Instalar el log-off automático de las terminales, después de un período de inactividad.
12. Establecer un sistema de convenciones para el etiquetado standard de archivos.
13. Implantar adecuadas técnicas para el diseño de documentos de entrada y diseño de

pantallas.
14. Instalar controles en el log-on / sign-on para prevenir o detectar intentos de log-on
impropios o no válidos.
15. Diseñar e incluir rutinas de control para la validación y edición de datos en el

software para asegurar la integridad y seguridad de los datos.
16. Producir reportes de imagen anterior y posterior para corregir errores durante el
mantenimiento de archivos. Lámina 255
Seguridad de Datos
17. Diseñar reportes de auditoría, reportes de control, reportes de antigüedad de registros y

reportes de excepción para que sean revisados y analizados por usuarios y auditores.
18. Proveer a los usuarios, para su revisión, reportes de error generados por la aplicación.
19. Establecer guías para el reinicio y recuperación de la aplicación.
20. Diseñar controles de checkpoint dentro del software de la aplicación.
21. Establecer un sistema de catalogación de data-set´s, archivos y procedimientos.
22. Establecer guías respecto a la protección de derechos de autor de todo el software y la

documentación.
Lámina 256
Seguridad de Datos
23. Informar al usuario de cualquier intento no autorizado para adivinar su password.
24. Mantener una adecuada separación física de responsabilidades entre funciones

incompatibles tales como: operaciones del centro de cómputo, desarrollo, mantenimiento,
control de entradas y salidas, control de la red, base de datos, programación de sistemas,
control de la producción. Asimismo, separar responsabilidades en las áreas funcionales
usuarias.

responsabilidades, la forma en que será evaluado así como su nivel de autoridad. Lámina 257
Seguridad del SW de Aplicaciones
Lámina 258
Alcance:
- Aplicaciones en desarrollo.
- Administración del proyecto de desarrollo.
- Aplicaciones en producción.
- Controles de acceso sobre cambios a programas.
Objetivos: (1/2)
1. Asegurar el establecimiento de políticas, estándares, procedimientos y guías de seguridad
para el software de aplicaciones que reduzcan los riesgos de modificación, destrucción o
revelación de que resultan del acceso no autorizado a aplicaciones.
2. Asegurar que el diseño del sistema incluya controles, componentes de auditabilidad y

seguridad, así como facilidades para su uso y mantenimiento. (Ejemplo: uso de técnicas
estructuradas en el diseño, programación y prueba del sistema para proveer una razonable
certeza de que el software será fácil de usar, fácil de mantener, controlado, auditable,
flexible, legible y entendible). Lámina 259
Objetivos: (2/2)
3. Asegurar que toda nueva aplicación sea probada completamente.
4. Asegurar que toda nueva aplicación sea probada completamente, se le apliquen pruebas de
aceptación y/o pruebas de paralelo/piloto, donde los usuarios preparen los datos de prueba y
verifiquen los resultados.
5. Asegurar que a los empleados se les restrinja el acceso, a las aplicaciones en producción,
de acuerdo a sus descripciones de puesto, o sea, de acuerdo a sus responsabilidades y nivel
de autoridad establecidos.
6. Asegurar que el mantenimiento a las aplicaciones incluya revisiones y pruebas apropiadas

realizadas por los usuarios funcionales.
7. Controlar el acceso, de agentes de riesgo, a los productos de la aplicación tales como

listados de programas fuente, especificaciones de programas y diseños, documentación y
formatos de la aplicación, archivos y bibliotecas de programas fuente y ejecutables, con el fin
de minimizar la vulnerabilidad. Lámina 260
Guías y Técnicas de Control. (1/7)
4. Restringir los privilegios para procesar transacciones desde terminales ,Pc´s,

Workstation, Portatiles (Por ejemplo: capacidad para leer, grabar, ejecutar, copiar,
modificar, dar override´s o desplegar programas).
5. Restringir el proceso de programas y el uso de terminales, PC´s, Workstation,

Portatiles etc.
6. Instalar controles para el manejo apropiado de datos a través de todas las fases de
operación del sistema.
Lámina 261
Guías y Técnicas de Control. (2/7)
7. Diseñar aplicaciones que requieran la mínima intervención de los operadores del
centro de cómputo.
8. Proveer protección criptográfica apropiada a los programas durante el

almacenamiento y transmisión de los mismos.
9. Implantar adecuadas técnicas para el diseño de documentos de entrada y diseño de

pantallas.
10.Construir programas modulares estructurados durante el desarrollo y mantenimiento

de las aplicaciones.
11. Desarrollar y promover estándares de programación para el desarrollo y

mantenimiento de las aplicaciones.
Lámina 262
Guías y Técnicas de Control (3/7)
12. Establecer la función de aseguramiento de calidad la cual pruebe e inspeccione
independientemente los programas y aplicaciones durante su desarrollo.
13. Simular transacciones sensitivas mediante el reproceso para detectar cambios e

impropiedades.
14. Utilizar periódicamente utilerías de comparación de código fuente para detectar

cambios e impropiedades.
15. Asegurar que en producción se usen las versiones correctas de programas.
16. Probar periódicamente las aplicaciones en producción para asegurar la integridad de

datos.
17. Controlar los cambios a programas para asegurar que sólo se hagan cambios
autorizados.
Lámina 263
18. Comparar periódicamente el uso de los recursos de producción
19. Diseñar e incluir rutinas de control para la validación y edición de datos en el

software de aplicaciones para asegurar la integridad de los datos.
20. Aplicar técnicas de “debugging” de software (detección e implantación deliberada de

errores) durante la etapa de pruebas.
21. Llevar a cabo revisiones del sistema (Revisiones Estructuradas (Walkthroughs),

Inspecciones, Revisiones de fase, peer reviews, etc.).
22. Donde sea aplicable, usar Diccionario de Datos para estandarizar el uso y nombres de
los “data items”.
23. Diseñar e incluir dentro de la aplicación, componentes de corrección automática de

errores.
Lámina 264
24. Utilizar técnicas y herramientas de rastreo (tracing) de programas.
25. Aplicar técnicas de validación y verificación de software.
26. Diseñar controles de checkpoint dentro del software de la aplicación.
27. Diseñar reportes de auditoría, reportes de control, reportes de antigüedad de

registros y reportes de excepción para que sean revisados y analizados por usuarios
y auditores.
28. Utilizar monitores de software de terminación anormal (ABEND) para el debugging

de programas.
29. Utilizar herramientas de debugging para programas interactivos.
Lámina 265
30. Utilizar herramientas de debugging para dumps de memoria.
31. Desarrollar y actualizar la documentación
32. Proveer a los usuarios reportes de error generados por la aplicación para su revisión.
33. Establecer guías para el reinicio y recuperación de la aplicación.
34. Establecer guías respecto a la protección de derechos de autor de todo el software y la

documentación.
35. Catalogar todos los dataset´s, archivos, procedimientos y programas.
36. Informar al usuario de cualquier intento no autorizado para adivinar su password.
Lámina 266
usuarias.

electrónica de responsabilidades mediante el uso de passwords para el acceso a las funciones
del sistema o mediante revisiones gerenciales.
Lámina 267
Seguridad del SW del Sistema
Lámina 268
Alcance:
- Sistemas de Base de Datos.
- Diccionario de Datos.
- Sistema operativo.
- Programas de Utilería.
- Control de acceso al sistema de cómputo.
- Control de actividades de “System Programmers”.
Lámina 269
-
Objetivos:
seguridad del software del sistema que reduzcan las amenazas de modificación,
destrucción o revelación de programas que resultan del acceso no autorizado a archivos
de programas.
2. Asegurar que todas los cambios y actualizaciones al software del sistema sean
probados ampliamente por los programadores antes de que se les ponga en producción.
3. Asegurar que se restrinja a los empleados, el acceso a los archivos y programas del
sistema, de acuerdo a sus descripciones de puesto, o sea, de acuerdo a sus
responsabilidades y nivel de autoridad establecidos.
4. Controlar el acceso, de agentes de riesgo, a listados de programas fuente, programas

fuente y ejecutables, archivos del sistema, y bibliotecas de programas fuente y
ejecutables, con el fin de minimizar la vulnerabilidad.
Lámina 270
1. Proveer protección criptográfica apropiada a los datos y programas

confidenciales.
2. Proteger del uso no autorizado, a los programas de utilería que desempeñen

funciones poderosas.
6. Restringir los privilegios para accesar el software del sistema desde cualquier
terminal.
7. Establecer guías para el reinicio y recuperación del software del sistema.

Lámina 271
8. Llevar a cabo auditorías periódicas del software del sistema (sistema operativo,
software de interface, monitores) para determinar su seguridad.
9. Establecer seguridad en las bases de datos a nivel de segmento o elemento de dato.
10. Establecer guías respecto a la protección de derechos de autor de todo el software

y la documentación.
12. Asegurar que todas las opciones y parámetros de los productos de software del
sistema sean instalados apropiadamente.
13. Adquirir o desarrollar un paquete de software que contabilice y monitoree el uso

de los recursos de cómputo en forma automatizada (Job Accounting, SMF, HP Open
View, Tivoli, etc.).
Lámina 272
14. Informar al usuario de cualquier no autorizado para adivinar su password
15. Asegurar que los empleados tomen sus vacaciones cuando les corresponda.
16. Controlar el acceso al sistema por parte del personal de servicio de mantenimiento de
Hardware y/o Software.

usuarias.

Lámina 273
Lámina 274
Seguridad de PC´s y Portátiles
Lámina 275
Seguridad en PC´s y Portátiles
Alcance:
- Controles Administrativos.
- Controles de Sistema.
- Controles Físicos.
Objetivos (1/2)
1. Asegurar que existen adecuados componentes de seguridad y control, tanto en
el HW como en el SW de PC´s y que funcionan de acuerdo a lo especificado.
2. Asegurar que existan controles razonables de integridad de datos en el SW

para asegurar que los datos en las PC´s estén protegidos y libres de error.
3. Asegurar que exista un adecuado sistema de seguridad en las PC´s para

prevenir y/o detectar a usuarios y transacciones no autorizados. Lámina 276
OBJETIVOS: (2/2)
4. Asegurar que los controles de respaldo y recuperación permitan la continuidad de las
operaciones del negocio y del servicio al cliente.
5. Controlar el acceso, de agentes de riesgo, al equipo, a los programas y archivos, para

minimizar la vulnerabilidad potencial.
6. Asegurar que los 5 tipos de controles (Directivos, Preventivos, Detectivos, Correctivos y

de Recuperación) así como las 3 clases de controles (Administrativos, de Sistema y Físicos)
se aplican adecuadamente al ambiente de PC´s, de tal manera que se reduzcan los riesgos
potenciales.
7. Asegurar que no existan áreas sobre controladas ni fuera de control en relación con la
seguridad de PC´s en términos de conveniencia, control y costo.
8. Asegurar que el ambiente de seguridad y control sobre las PC´s sea razonable y costo-
efectivo y que el proceso de control se lleve a cabo de acuerdo a las políticas y
procedimientos, estándares y guías sobre seguridad en PC´s publicadas en la organización .
Lámina 277
Controles Administrativos. (1/4)
1. Establecer y supervisar el cumplimiento de políticas, estándares, procedimientos y

guías para el correcto uso de la información en PC´sy portátiles en los cuáles se
identifiquen los tipos de información que requieren ser protegidos así como las medidas
de seguridad y control recomendables.
2. Promover que las áreas funcionales usuarias lleven a cabo revisiones de

autoevaluación de controles y seguridad sobre el uso de las PC´s de su departamento o
función.
3. Establecer un programa continuo de entrenamiento sobre el uso de las PC´s ,

portátiles y el SW de PC y portátiles, asegurando que cada usuario sea entrenado
oportunamente.
Lámina 278
4. Colocar anuncios en las diversas áreas que prohíban el fumar, beber y comer
alimentos junto a las PC`s y promuevan la limpieza en las áreas de trabajo así como
las prácticas de escritorio limpio.
5. Promover prácticas adecuadas para el manejo de CD´s, DVD´s, USB´s y otros

medios de almacenamiento para evitar su daño. mal manejo o uso inapropiado.
6. Promover prácticas adecuadas para la protección de los recursos de PC´S y

portátiles durante las horas no laborables o cuando estos recursos están desatendidos.
7. Establecer procedimientos para la destrucción de CD´s ,DVD´s, manuales y otros

documentos cuando ya no son útiles. Asegurar que los CD´s, DVD´s sean destruidos
totalmente y que manuales y documentos sensitivos sean triturados o quemados para
prevenir su uso no autorizado.
Lámina 279
8. Establecer procedimientos y guías para la obtención periódica de respaldos de

archivos y programas en disco. Asimismo, establecer procedimientos y guías para la
recuperación de archivos y programas.
9. Establecer un programa de mantenimiento preventivo y limpieza de las PC´s ,

portátiles y sus componentes, tanto internos como externos. (ejem: limpiar
periódicamente las cabezas lectoras/grabadoras de drives CD´s, DVD´s , disco
para quitar partículas de polvo y basura, las cuales pueden dañar los datos y los
programas).
10. Instalar rutinas que desplieguen en forma periódica la fecha en que se obtuvo el
último respaldo, después del primer “sign-on” al sistema o después de “bootear”
el sistema.
Lámina 280
11. Prohibir el uso, dentro de las PC´s y portátiles de la organización, de SW de

dominio público el cual es intercambiado libremente por usuarios interno y externos,
para evitar el contagio de virus.
12. Instalar en todas las PC´s y portátiles antivirus que detecten y eliminen virus.
13. Concientizar a los empleados de las consecuencias de copiar ilegalmente SW con

derechos de autor.
14. Contratar un seguro de protección de HW y SW contra daños por negligencia de

usuarios, incendios, inundaciones y desastres naturales. Cuando se justifique, incluir
en la cobertura el pago de los costos por recuperación de datos y programas.
Lámina 281
Controles de Sistema. (1/2)
1. Establecer un procedimiento para asegurar que la información sensitiva en discos que

se mandan a reparar, haya sido debidamente eliminada. (No es suficiente con borrar los
archivos con los comandos del sistema como “erase” o “delete”; el procedimeinto debe
incluir la sobregrabación (overwriting) de ceros y unos, o por un procedimiento de
magnetización (“degaussing”) y ser verificada con algún programa de utilería de
“debugging” de bajo nivel.
2. Instalar candados de encendido para restringir el acceso a las PC´s y portatiles.
3. Donde se justifique instalar procedimientos o sistemas de encripción de HW o SW

para proteger datos sensitivos durante su transmisión o almacenamiento.
4. Vigilar la actividad del personal de mantenimiento o reparación de HW y SW tanto

interno como externo a la organización.
Lámina 282
Controles de Sistema. (2/2)
5. Restringir la salida de tarjetas y componentes electrónicos de PC´s y portátiles

removidos por propósitos de mantenimiento o reparación, mediante la revisión y
autorización escrita de personal autorizado.
6. Instalar un sistema de control de acceso a la PC, ya sea de HW o de SW, que

permita verificar la identificación y autenticación del usuario mediante el uso de
USER-ID y Passwords como en el ambiente de mainframes, antes de permitir el acceso
al sistema, ya sea para entrada de datos, actualizaciones, respaldo de archivos,
consultas o impresión de reportes.
7. Instalar un sistema de control de acceso a la red local de PC´s donde éstas

comparten e intercambian datos.(User-ID´s, passwords, etc.).
8. Establecer y probar periódicamente los procedimientos de respaldo y recuperación

de datos, programas y archivos en la Red Local (LAN). Lámina 283
Controles Físicos.
1. Instalar candados o dispositivos que aseguren el equipo y sus periféricos al

escritorio o a la mesa de trabajo, para evitar que sean robados e extraídos del
área en la que deben estar instalados.
2. Promover el uso de fundas de plástico para proteger al equipo cuando no sea

usado y evitar que sea dañado por fugas de agua.
3. Instalar reguladores y sistemas No-Break para proteger al equipo contra altas

descargas de voltaje o caídas de corriente eléctrica.
4. Instalar extintores de fuego cerca del equipo.
5. Revisar que los cables de conexión del equipo no estén sobre el piso y al paso
del personal que puedan tropezarse o provocar corto-circuitos. Lámina 284
Seguridad del Site de Datos
Lámina 285
Alcance:
- Operación del equipo de Cómputo.
- Programación de trabajos en producción.
- Facturación de servicios.
- Actividades de operadores.
- JCL (Job Control Language).
- Servicios Externos.
- Centro de Información.
- Administración de medios de almacenamiento (discos, cintas) y sus respaldos.
- Administración de bibliotecas. Lámina 286

Objetivos:
seguridad para el Centro de cómputo que reduzcan los riesgos potenciales de
modificación, destrucción o revelación de datos y programas, o destrucción del equipo,
que resultan del acceso no autorizado a equipo, archivos y programas.
2. Asegurar que se restrinja el acceso al HW, datos, archivos y a los programas de utilería
en función de la responsabilidad y nivel de autoridad del empleado.
3. Asegurar que se prueben y documenten los planes de contingencia, tales como el plan
de respaldo, el plan de recuperación y el plan de emergencia, para permitir que la
organización continúe operando en caso de interrupciones debidas a incendios,
inundaciones o malfuncionamiento del sistema.
4. Asegurar la existencia y adecuado funcionamiento de un programa de retención de

registros vitales así como que exista un seguro que cubra la protección de la organización
en caso de incendios ú otros desastres naturales. Lámina 287
1. Promueva la participación del personal de operaciones del site de datos en el
desarrollo de aplicaciones y principales proyectos de mantenimiento.
2. Rotar empleados clave que manejan datos de entrada y salida de los sistemas
computarizados.
3. Llevar a cabo respaldos periódicos de datos y programas y administrar el

programa de registros vitales.
4. Mantener un almacén de papelería, formatos y accesorios para asegurar una

operación continua.
5. Desarrollar un Plan de contingencias y probarlo periódicamente para asegurar

su efectividad.
Lámina 288
6. Documentar procedimientos de emergencia (ejemplo: evacuación, supresión de
conatos de incendio), y probarlos periódicamente para asegurar su efectividad.
7. Contratar un cobertura de seguro suficiente para la protección contra interrupciones

de servicios y pérdidas.
8. Implementar un Programa de Retención de Registros Vitales.
9. Proteger del uso no autorizado, a los programas de utilería que desempeñen

funciones poderosas.
10. Mantener un inventario del equipo de cómputo y accesorios y llevar a cabo

inspecciones físicas periódicas.
Lámina 289
11. Emitir guías para el manejo, almacenamiento y destrucción de registros
usados, ya sean registros en papel (cartas, memoranda, documentos y reportes),
registros mecánicos (microfichas y microfilms), o registros electrónicos (cintas,
cartuchos,CD¨s, DVD´s etc.).
12. restringir el uso de programas de aplicación y el uso de terminales.
13. Establecer un grupo de control y soporte de software para la administración

automatizada de bibliotecas de programas.
14. Controlar documentos negociables y formatos sensitivos.
15. Establecer controles para el manejo apropiado de datos através de todo el

ciclo de operación del sistema.
Lámina 290
16. Diseñar aplicaciones de tal manera que requieran la mínima intervención de los
operadores.
17. Utilizar un sistema de administración de cintas para mejorar la seguridad en el

manejo de las mismas.
18. Establecer un sistema de convenciones para el etiquetado standard de archivos.
19. Diseñar e incluir dentro de la aplicación, componentes de corrección

automática de errores.
20. Diseñar controles de checkpoint, reinicio y recuperación, dentro del software

de aplicación y de base de datos.
21. Asegurar que todos los operadores tomen períodos de vacaciones continuas de
al menos una semana de duración. Lámina 291
22. Asegurar que todos los empleados tomen sus vacaciones cuando les
corresponda.
23. Asegurar que no existan relaciones familiares entre empleados que trabajan
en áreas sensitivas de la organización.
24. Distribuir a cada empleado su descripción de puesto, donde se defina

claramente sus responsabilidades, la forma en que será evaluado así como su
nivel de autoridad.
25. Establecer guías respecto a la protección de derechos de autor de todo el

software y la documentación.
Lámina 292
27. Mantener una adecuada separación física de responsabilidades entre
funciones incompatibles tales como: operaciones del centro de cómputo,
desarrollo, mantenimiento, control de entradas y salidas, control de la red, base
de datos, programación de sistemas, control de la producción. Asimismo,
separar responsabilidades en las áreas funcionales usuarias.
27ª. Si la separación física de responsabilidades no es práctica, establecer una

separación electrónica de responsabilidades mediante el uso de passwords para
el acceso a las funciones del sistema o mediante revisiones gerenciales.
28. Asegurar que todas las opciones y parámetros de los productos de software
del sistema sean instalados apropiadamente.
29. Adquirir o desarrollar un paquete de software que contabilice el uso de los

recursos de cómputo en forma automatizada (Job Accounting, SMF, etc.).
Lámina 293
30. Informar al usuario de cualquier intento no autorizado para adivinar su

password.
31. Controlar el acceso al sistema por parte del personal de servicio de

mantenimiento de Hardware y/o Software.
Lámina 294
Seguridad en Internet
Lámina 295
¿En qué consiste la inseguridad
del Internet?
• Puedes ser atacado desde cualquier parte del mundo
• No importa cuanto te protejas, con que alguien

descubra y/o explota una sola vulnerabilidad puede
tener acceso a tus sistemas.
• EL principio del Internet es que todo debía ser gratis,

esa es la razón por lo que cualquiera puede buscar la
forma de explotar vulnerabilidades.
Lámina 296
¿Cómo explotar Internet?
• Escaneos
Ejemplo Barrido de Puertos
Los protocolos TCP y UDP basan su modo de operación a través de puertos, dentro de
los encabezados TCP y UDP en la trama IP.
Existen un total de 65536 puertos
Los rastreadores de puertos envían paquetes a varios puertos para determinar que se
encuentran en modo listening.
 Si se encuentra el puerto 80, este corresponde al servicio WEB.

 Si se encuentra el puerto 23, este corresponde al servicio Telnet.
 Si se encuentra el puerto 53, este corresponde al servicio de DNS.
http://www.iana.org/assignments/port-numbers
Lámina 297
• Virus
Es un programa capaz de autoreproducirse y alterar otros sistemas a través de
rutinas dañinas, cuya ejecución depende de algún evento específico
• Gusanos (worms)
Es un programa independiente de ejecución que se reproduce y distribuye a sí
mismo, de un sistema a otro; sin alterar otros programas.
• Troyanos (Trojan horse)

Es un fragmento de código que está oculto detrás de otro programa distinto
(aparentemente benigno), para realizar funciones diferentes y maliciosas.
Lámina 298
• Bombas (Bombs)
Es un tipo de troyano que se emplea para activar un virus, gusano u otro tipo de
ataque con base en la ejecución de acciones no autorizadas por el usuario en fechas
u horas específicas.
• Hoax
Es una falsa alarma sobre un virus informático que se distribuye en cadenas de
mensaje por correo electrónico.
• Scam
Se orienta a la captación de intermediarios, “mulas”en el argot, para blanquear el
dinero obtenido con el phishing.
.
Lámina 299
• Ataques:
– Spaming
Es el bombardeo vía correo electrónico o scripts masivo.
– Spoofing
Utiliza paquetes corruptos con las direcciones originales de paquetes de Internet
(IP). Este ataque explota las vulnerabilidades en las aplicaciones que utilizan
autenticación a traves de paquetes IP
.
– DoS (Denial of Service)
Envío de mensajes o peticiones de procesamiento a un equipo remoto en cantidad
tal que propicien un colapso del equipo y la negación del servicio a todos los
usuarios legítimos del equipo, redes y todos sus recursos.
– Phishing
Redireccionar el URL de un sitio web a una copia falsa del mismo para obtener
datos sensitivos del usuario.
Lámina 300
– Scam
Se orienta a la captación de intermediarios, “mulas” en el argot, para blanquear el
dinero obtenido con el phishing
.
– Pharming
Modalidad de fraude en línea que consiste en suplantar, mediante la introducción de
un troyano, el sistema de resolución de nombres de dominio (DNS) de la maquina
infectada para conducir al usuario a una página web falsa.
– Ransomware
ransomware (del inglés ransom, 'rescate', y ware, por software) es un tipo de
programa informático malintencionado que restringe el acceso a determinadas partes
o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción
.
Spyware
Código malicioso que monitorea y recolecta información del comportamiento y
actividades de los usuarios que puede llegar a ser sensitiva para enviarla al atacante.
Lámina 301
– Adware
Software que se instala sin el consentimiento expreso del usuario u oculto en la
instalación de algún otro programa con fines generalmente comerciales.
– Blogs
Los blogs surgen a raíz de la necesidad de información actualizada en sitios públicos
de los cuales un atacante se puede aprovechar para obtener información valiosa.
– Prank (Virus Macro)

Macros automáticas introducidas en programas que se ejecutan sin el consentimiento
del usuario, no solo se reproducen, sino también causan daño en los archivos de
sistema.
– Evesdropping
Un intruso recoge información que fluye a través de la red con la intención de
adquirir y liberar el contenido del mensaje para obtener información sensitiva o para
terceros.
Lámina 302
• Escaneos
WAR - Dialing
War-Dialing o rastreo de líneas telefónicas no es más que intentos de marcado a través

de números telefónicos, tratando de buscar servidores de módems o algunos otros
marcadores de tono.
Los marcadores automáticos usan números que pueden conducir a ataques de fuerza
bruta para descifrar nombres de usuarios y passwords.
En algunas ocasiones, los módems no protegidos proporcionan uno de los métodos de

acceso más sencillo para que los intrusos puedan entrar a redes corporativas.
Este método es muy usado en conjunto con la ingeniería social.
Lámina 303
• Escaneos
Ejemplo WAR – Dialing
DMZ
Internet
PSTN
Red interna
Lámina 304
• Escaneos Redes Inalámbricas
WAR - Driving
War – Driving o guerra móvil, consiste en que con una computadora portátil y
una tarjeta inalámbrica un intruso puede andar deambulado por las calles y
disfrutar de acceso irrestricto a la red.
Lámina 305
• Escaneos
Barrido de Puertos
Barrer puertos es un término utilizado en el mundo de la informática y que
significa identificar aquellos puertos abiertos (habilitados) dentro de un equipo o
conjunto de equipos es específico.
La mayoría de los escáneres de puertos, determinan si una dirección esta en uso

antes de escanearla y hacerle el barrido de puertos
Esto lo hacen a través de un barrido de Pings.
 Envían una petición ICMP request a una amplia variedad de direcciones IP..
 Si el sistema contesta, este se encuentra activo en la red.
 Si no contesta, se asume que no se encuentra en red.
 Puede ser que el firewall se encuentre bloqueando tramas ICMP.
Lámina 306
¿Quién debe Protegerse?
• Usuarios de Internet
• Empresas
• En resumen todos aquellos que se conecten a Internet
Lámina 307
Mecanismos de Protección
• Antivirus
– Es una herramienta que se encarga de detectar, en medida de lo posible eliminar los

virus ya sea dentro de un ambiente host o de red.
• Firewall
– Es un dispositivo el cual se encarga de separar dos o más redes, permitiendo o

negando el paso de servicios.
• Prevención y Detección de Intrusos
– Herramienta la cual permite la detección de actividades sospechosas (ataques) ya

sea dentro de un ambiente host o de red.
Lámina 308
Arreglo de Herramientas
Internet
Firewall
DNS Web Antivirus IDS
Red Externa
Usuarios Usuarios Antivirus IDS
Red Interna
Lámina 309
Conceptos de Riesgos
Activo
• Concepto • Algunos Ejemplos
- Cualquier recurso de SW, - Información

HW, Datos, Administrativo, - Redes
Físico, de Personal de - Usuarios
Comunicaciones, etc.
- Aplicaciones
- Sistemas Operativos
- Base de Datos
- Servidores
- etc
Lámina 310
Vulnerabilidad
– Falta y/o Debilidad de – Cuentas de usuarios sin

controles ( seguridad ). contraseña.
– El personal externo no registra
– Indica que el activo es su entrada y salida a las
susceptible a recibir un daño a instalaciones.
través de un ataque. – Falta de lineamientos para la
construcción de contraseñas.
– No contar con un plan de
recuperación de desastres.
Lámina 311
Amenaza
– Circunstancia o evento con la – Naturales:

capacidad de causar daño a un • Terremotos que destruyan el
sistema. centro de cómputo.
– Humanos
– El daño es una forma de • Fraude realizado al modificar
destrucción, revelación o los saldos de cuentas por
cobrar.
modificación de datos.
– Software
• Cambios no autorizados al
– Puede incluir negación de sistema que realicen cálculos
servicios. incorrectos.
Lámina 312
Riesgo
– Probabilidad / posibilidad de que – ALTO

un evento desfavorable ocurra. – MEDIO
– BAJO
– Tiene un impacto negativo si se – 325,000 USD
materializa.
– El impacto puede ser sobre:

• Misión de la Empresa.
• Los objetivos de la Empresa.
• Los procesos de negocio,
entre otros.
Lámina 313
Impacto
– Es la “materialización” de un – Retraso en la ejecución y

riesgo. conclusión de actividades de
negocio.
– Una medida del grado de daño – Perdida de oportunidad y
o cambio. efectividad en la operación.
– Falta de credibilidad frente a
clientes.
– Divulgación de información
confidencial.
Lámina 314
Control
– Es una medida o mecanismo – Desarrollo de políticas y

para mitigar un riesgo. procedimientos de uso de
contraseñas.
– Es un mecanismo establecido
para prevenir, detectar y – Desarrollo e implantación de
reaccionar ante un evento de un programa de
seguridad. concientización.
– Implementación de un plan
de recuperación de desastres.
Lámina 315
En Resumen...
Debilidad
Vulnerabilidad
Control
Nivel de
Vulnerabilidad Amenaza Riesgo
Lámina 316
En Resumen...
Debilidad Vulnerabilidad
Control
No existe un • Falta de parches de
seguridad.
procedimiento de
control de cambios • Huecos de seguridad por
en Sistemas configuraciones erróneas.
Operativos.
Nivel de Amenaza Riesgo

Vulnerabilidad
ALTO • Infección de virus. •Alto

• Accesos no autorizados por
usuarios. •Medio
X • Modificación no autorizada
de la información del •Bajo
negocio.
Lámina 317
Ejemplos
Ayuda a explotar esta
Amenaza Resultante de esta amenaza
vulnerabilidad
Virus Carencia de software antivirus Infección de virus
Hacker Falta de actualización de parches Acceso no autorizado a la
información confidencial
Usuarios Parámetros mal configurados en el Mal funcionamiento del sistema
sistema operativo
Incendio Carencia de extintores de fuego Daños a los activos y a las
instalaciones y posibles perdidas
humanas.
Empleado Mecanismos de control de acceso Información sensitiva divulgada e
laxos información critica dañada.
Contratista Mecanismos de control de acceso Secretos comerciales robados
laxos
Atacante Una aplicación mal desarrollada Conduce a un buffer overflow
Intruso Falta de guardias de seguridad Ventanas rotas y robo de
computadoras y dispositivos
Empleado Falta de auditorias Entradas y salidas de datos alteradas
desde las aplicaciones de
procesamiento de datos
Atacante Falta de Baselines de configuración Ataques de negación de servicio
de firewalls
Lámina 318
Ejemplos
Origen Motivación Amenaza
Hacker Externo Reto •System hacking

Ego •Ingenieria Social
Diversión •Dumpster diving
Hacker Interno Deadline •Trap-door
Problemas financieros •Fraude
Desilusión •Pobre documentación
Craker Destrucción de Información •Spoofing
Ganancias Financieras •System intrusion
Alteración de datos no Autorizada •Ataques de Negación de servicio
Terrorista (ambiental) Venganza •System attack
Greenmail •Ingenieria Social
Causas Estridentes •Cartas Explosivas
•Virus
•Negación de Servicios
Pobre Entrenamiento a los Errores no intencionales •Datos Contaminados
empleados Errores de Programación •Código Malicioso
Errores en la captura de datos •Bugs del sistema
•Acceso no Autorizado
Lámina 319
Riesgo = (Impacto) x (Probabilidad de Ocurrencia)
Riesgo Residual = Riesgo – Control
Apetito de Riesgo = Máximo Riesgo Permitido

(Objetivo a donde se dirige el Riesgo Residual)
Lámina 320
Lámina 321
Risk Management vs Risk Analysis
¿ Son Sinónimos ?
Lámina 322
Risk Management y Risk Analysis
• Risk Management
– Es el proceso de identificar, evaluar, y reducir riesgos a un
nivel aceptable e implementar las salvaguardas correctas
para mantener ese nivel de riesgo aceptable.
– No hay ningún entorno 100% seguro.
• Risk Analysis
– Es una herramienta en el cual se basa el risk management,
es un método para identificar los riesgos y evaluar el
posible daño para justificar las salvaguardas.
Lámina 323
Risk Management
¿Cómo se maneja o administra un riesgo?
• Para administrar un riesgo, se pueden tomar varias alternativas:

– Aceptarlo
– Transferirlo
– Mitigarlo
y en algunos casos
– Evitarlo
• Las alternativas serán determinadas por la relación:
– Costo- beneficio
324 Lámina 324

Introducción a Risk Management
• Factores en la Determinación del Valor del Riesgo
• Impacto (Costo de Pérdida ó Daño)
• Probabilidad de Ocurrencia
• Costo /Unidad de Tiempo
Lámina 325
¿?
Lámina 326

Seguridad Informática

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad Informática

Cargado por

Copyright:

Formatos disponibles

Materia Seguridad Informática

Antecedentes y Conceptos de la Seguridad

Explicar su punto de vista con respecto a que es la Seguridad

• Cyber: El entorno complejo que resulta de la interacción de

• Cyberspace: El ciberespacio es mas que el Internet, este

• Cyberspace: Todas las formas de actividad en red, en digital,

• Cyberspace: El espacio virtual por donde circulan los datos

• Cyberspace: un dominio global dentro del entorno de la

• Cybersecurity: La liberación del peligro o daño debido a la

• Information Critical Infrastructure Protection

• Supervision Control and Data Acquisition (SCADA)

• Industrial Control Systems (ICS)

• Internet de las Cosas (IoT)

• Cybersecurity Capability Maturity Model (C2M2)

• National Cybersecurity Framework Manual (OTAN/NATO

• Framework for Improving Critical Infrastructure

• Oil and Natural Gas Subsector Cybersecurity Capability

• Guidelines for Smart Grid Cybersecurity (NISTR 7628

• PASS 555: 2013 (IT Governance)

• Esta norma proporciona directrices para mejorar el estado de la

• La seguridad de las redes

• La seguridad del Internet

• La protección de la infraestructura crítica de información

– Una explicación de la relación entre Ciberseguridad y otros tipos de

– Una definición de las Partes Interesadas y una descripción de sus roles en la

– Una Guía para abordar problemas comunes de la Ciberseguridad

– Un Marco de referencia que permite a las partes interesadas colaborar en la

Es la protección de los activos:

“ Es la Protección de la información y los activos

2. Las debilidades en la Seguridad Informática se ven como problemas técnicos y no

3. Problemas de comunicación entre el personal de seguridad informática y el

4. La Seguridad Informática es considerada un requerimiento de menor prioridad en

5. Falta de un programa de motivación y entrenamiento al personal para llevar a cabo

6. El personal no está consciente de las políticas, procedimientos, guías, estándares y

8. El procedimiento de contratación de empleados no incluye un adecuado proceso de

9. El proceso de terminación de la relación laboral de un empleado, no es llevado a cabo

11. La seguridad, auditabilidad, control, mantenibilidad y facilidad de uso, no son

12. No se tienen establecidos objetivos y estándares para el desarrollo, mantenimiento y

Quien tiene las responsabilidades y las

– Dominio insuficiente de las habilidades y competencias necesarias para

• La misión de Seguridad de la información es

• Entender los requerimientos reales de Seguridad de la Información de

• Definir la función de Seguridad de la Información

• Definición de roles y responsabilidades desde la perspectiva de

• Comunicación interna y externa con cualquier hecho relacionado con la

• Arquitectura, Blueprint, Framework, Modelo de Seguridad

• Sistema de Gestión de Seguridad de la Información

• Gobierno de Seguridad de la Información

• Comité de Seguridad de la Información

• Estrategia de Seguridad basado en Análisis de Riesgos ( asegurar el mejor

• Planes anuales a nivel estratégico y táctico

• Desarrollo y mantenimiento de la normatividad:

• Estrategias de Awareness,Training and Education

• Diagnósticos de Seguridad (Análisis de Vulnerabilidades)

• Seguridad en aplicaciones en Producción y Desarrollo

• Seguridad en Base de Datos

• Seguridad en Sistemas Operativos

• Manejo de Respuesta a Incidentes, Computo Forense y Legislación

• Continuidad del Negocio y Recuperación en caso de Desastres

• Y sobre todo: proporcionar Método. Herramientas y Metodología para

• Vivimos en la cultura del producto (tecnología),

• Todos los expertos, autores, visionarios, pensadores, políticos,

… pero muy pocos son los que atienden esta problemática.

• El awareness no es una moda, aunque así lo parezca.