Chapter 1

Security and Risk

Management
UNDERSTAND AND APPLY CONCEPTS OF CONFIDENTIALITY, INTEGRITY
AND AVAILABILITY.
Gestión de Seguridad de la
Información
Proteger los activos de información de la organización.

Comprende:
 Gestión de riesgos,
 Normativas de seguridad: políticas, normas, procedimientos,
estándares, guías
 Clasificación de la información
 Organización de la seguridad
 Educación en seguridad
 Definición e implantación de controles
 Seguimiento y mejora continuos
Incumbencia

 La Seguridad de la Información debe ser incumbencia de la alta

gerencia de la organización.
 Definitivamente NO debe circunscribirse al área de TI o al área de
seguridad.
 Enfoque TOP-DOWN.
Confidencialidad – disponibilidad e
integridad
Confidentiality

 La información es accedida solo por personal autorizado y de

manera autorizada.
 Confidencialidad e integridad dependen una de otra.
Otros conceptos de
confidencialidad

 Sensitivity
 Discretion
 Criticality
 Concealment
 Secrecy
 Privacy
 Seclusion
 Isolation
Cuales son las amenazas respecto
de la Confidencialidad?
 “Shoulder surfing”  Sniffing / Man-in-the-middle
 Ingeniería Social  Trashing Emanations
 Hacker / Cracker  Human Error
 Masqueraders / Spoofing
(Suplantación)
 Descarga de archivos sin
protección
 Actividad de usuario no
autorizada
 Troyanos
Medidas de Protección contra la
perdida de Confidencialidad
 Encripción de datos (Origen, Transito y Destino)
 Estrictos mecanismos de Control de Acceso
 Clasificación de la información
 Capacitación del Personal
 Procedimientos
Privacidad vs. Confidencialidad

Privacidad
 Es un principio de la seguridad que busca proteger la información
del individuo empleando controles para garantizar que la misma no
es diseminada o accedida en forma no autorizada.
Confidencialidad
 Es un principio de la seguridad que busca garantizar que la
información no es revelada a personas no autorizadas.
Integridad

Toda modificación a datos o información es realizada por personas

autorizadas de manera autorizada
Integridad puede ser examinada
desde diferentes perspectivas
 Prevenir modificaciones de sujetos no autorizados
 Prevenir sujetos autorizados de realizar operaciones no autorizadas
 Mantener consistencia interna y externa
Cuales son las amenazas respecto
de la Integridad?
 Ingeniería Social  Trapdoor – Maintenance hook
 Hacker / Cracker  Human Error
 Masqueraders (Suplantación)
 Actividad de usuario no
autorizada
 Descarga de archivos sin
protección
 Caballos de Troya
 Virus / Gusanos
 Buffer overflow
Contramedidas

 Strict Access Control

 Rigorous authentication procedures
 IDS
 Data Encryption
 Interface restrictions
 Input/function checks
Otros conceptos de integridad

 Accuracy
 Truthfulness
 Authenticity
 Validity
 Non-Repudiation
 Accountability
 Responsibility
 Completeness
 Comprehensiveness
Disponibilidad

 Sujetos y objetos autorizados poseen acceso a tiempo y en forma

ininterrumpida a otros objetos.
 Si un mecanismo de seguridad ofrece disponibilidad, este ofrece un
alto nivel de confianza de que los datos, objetos y recursos sean
accesibles a sujetos autorizados.
 Disponibilidad depende de ambos, Integridad y confidencialidad
Cuales son las amenazas respecto
de la Disponibilidad?
 Denegación de Servicio
 Device failure
 Software error
 Desastres naturales
 Acciones humanas – intencionales o accidentales
Medidas de Protección contra
amenazas a la Disponibilidad
 Conjunto de Controles: Físicos, Técnicos y Administrativos
 Seguridad física
 Mecanismos de tolerancia a fallos
 Change Management Process
 Asset Mangement Process
 Plan de contingencia (DRP/BCP)
 Procedimientos operativos
Organization Priorities

Military organizations focuses on confidentiality above integrity and

availability, whereas private companies focuses on availability above
confidentiality and integrity
El Opuesto a las The BIG three

Revelación (disclosure)
Modificación (alteration)
Destrucción - Interrupción (destruction - disruption)
Otros Conceptos a tener en
cuenta
 Identificación
 (Authentication Authorization “AAA”
Accounting)
 Autenticación Autorización
 Responsabilidad
 Auditar
 Identificación -> ID
 Autenticación -> Password
 Autorización -> Derechos /
Permisos
No-Repudio

 El principio de No-Repudio, evita que el responsable de una

transacción niegue haberla realizado posteriormente.
Identificación

 Forma en la cual los usuarios comunican su identidad a un sistema.

Identificación es un paso necesario para lograr la autenticación y
autorización.
Autenticación

 Es el proceso por el cual se prueba que la información de

identificación se corresponde con el sujeto que la presenta.
Autorización

 Derechos y permisos otorgados a un individuo (o proceso) que le

permite acceder a un recurso del sistema / computadora. El
proceso de Autorización se realiza una vez que se ha logrado la
Identificación y Autenticación del usuario.
Auditing

Registrar una bitácora de eventos y actividades relativas al Sistema y

sus relaciones.
Accounting

Reviewing log files to check for compliance and violation in order to

hold subjects accountable for their actions.
Responsabilidad(Accountability)

 Habilidad para determinar las acciones individuales que un usuario

efectúa en un sistema y cuándo las efectúa, y para identificar
unívocamente a dicho usuario. Usualmente este principio esta
soportado por logs de auditoría
Mecanismos de protección

 Otro aspecto de entender y aplicar conceptos de CIA es el

concepto de mecanismos de protección.
 Se refiere a características de los controles de seguridad.
 Estos mecanismos incluyen multiple niveles de acceso, abstracción,
esconder datos y utilizar encryption.
Layering

También conocido como “defense in-depth”, es simplemente

combinar múltiples mecanismos de control en serie.
Apply Security Governance
Principles
 Es la colección de practicas relacionadas a soportar, definir y dirigir
los esfuerzos de seguridad de una organización.
 Requerimientos de auditoria y validación deben estar presentes
debido a regulaciones gubernamentales o mejores prácticas de la
industria.
 Seguridad es una inversión esencial desde el punto de vista de
negocio a largo plazo, no debe tomarse como un gasto.
 Para lograr este objetivo se utiliza lo que se conoce como Top-
Down Approach.
Security Management Planing
 Strategic Plan
 Tactical Plan
 Operational Plan
Objetivos de las normativas

• Definir y clasificar las metas y objetivos

• Definir roles, responsabilidades y escala de autoridad
• Establecer criterios aceptables y uniformes de conducta
• Informar al personal sobre sus obligaciones y medidas a tomar por
incumplimiento
• Informar a terceros sobre las definiciones establecidas por la
organización
• Garantizar el cumplimiento de normativas externas
Due Diligence (Diligencia Debida)

Este te termino se refiere al acto de investigar y entender los riesgos a

los que se expone la organización.
Actuar de buena fe y cumplir con el concepto de Hombre Prudente
(En lo que refiere a la protección de la información)
Due Care (Cuidado Debido)

Se entiende que una organización se encuentra alineada con la

premisa de “Cuidado Debido”, cuando en ella se desarrollan
políticas de seguridad, procedimientos y estándares.
El “Cuidado Debido” demuestra que una organización asume su
responsabilidad por las actividades que en ella se llevan a cabo, y ha
tomado las medidas adecuadas para proteger la organización, sus
recursos y empleados de las posibles amenazas.
Si alguien practica “due care” entonces actúa en forma responsable
y tendrá menos posibilidades de ser acusado de negligencia o ser
hallado responsable si algo malo ocurre.
Ej.: si el Propietario de la info no protege su información esta violando
el principio de Due Care
Data Classification
No todos los datos / información poseen el mismo valor. No todo el personal
debe acceder a todos los datos / información. El valor de la información
influye directamente en la definición de los controles para protegerla. Se
deben cumplir aspectos legales / regulatorios.
Se debe contemplar los siguientes ítems
 Define la información como un activo de la organización.
 Define los propietarios de la información.
 Define a los custodios de la información.
 Define el proceso de clasificación de la información.
 Establece las responsabilidades en el proceso de clasificación de la
información.
 Determina el criterio de clasificación de la información.
 Establece los controles mínimos sobre la información para cada nivel
establecido, en cumplimiento con normativas existentes.
Ejemplo de proceso de
clasificación de la información
1. Definición de los niveles de clasificación
2. Definición del criterio de clasificación
3. Clasificación de la información por parte de los propietarios
4. Identificación de custodios de la información
5. Definir los controles de seguridad de la información para cada nivel
6. Documentar excepciones a la clasificación
7. Definir métodos de reasignación de la custodia de la información.
8. Desarrollar un procedimiento de revisión periódica de la clasificación de
la información y la definición de propietarios.
9. Desarrollar un procedimiento para la desclasificación de la información.
10. Introducir el proceso de clasificación de información en la
concientización del personal.
Criterios de clasificación
Modelo Habitual

 De uso público Información cuyo conocimiento fuera de la

organización no causaría daño a la misma. Ejemplo: web site.
 Solo para uso interno Información cuya sensibilidad permite ser
divulgada dentro de la organización, pero su conocimiento fuera
de la misma podría ocasionar daños. Ejemplo: lista de clientes,
costos de productos/ servicios, etc.
 Confidencial El acceso a esta información se logra solo si existe la
necesidad de conocer (need-to-know). Ejemplo: planes de
marketing, Desarrollo e Investigación, información de adquisiciones
y ventas a nivel corporativo, etc.
Modelo Comercial - Privado
Publico
 Puede ser publica, su conocimiento no causa impacto negativo o
adverso a la organización o el personal.
 Sensitivo Requiere precauciones especiales. Ej.: información sobre
proyectos.
 Privado Información para uso interno de la compañía. Su
conocimiento podría afectar negativamente al personal o la
compañía. Ej.: información de RRHH.
 Confidencial Sumamente Sensible, su conocimiento podría
impactar fuertemente en la compañía. Ej.: estrategia comercial.
Modelo militar - Gubernamental

 Sin Clasificar No Clasificada, Información que puede ser Publica.

 Sensitivo pero sin Clasificar De Baja Sensibilidad. Si se hace
publica, puede causar serios daños. Ej.: respuesta a tests.
 Confidencial De conocerse, podría causar serios daños. Sólo para
uso interno. Ej.: información de salud, código de programación.
 Secret De conocerse, podría causar serios daños a la Seguridad
Nacional. Ej.: desplazamiento de tropas.
 Top Secret El grado más alto. De conocerse podría causar daño
extremo en relación a la Seguridad Nacional. Ej.: planos de nuevo
armamento, información de espionaje.
Security Roles and Responsibilities

Gerencia General (Senior Managers) Responsable final por la

seguridad de la información de la organización.
Responsable de Seguridad de la Información (Security Professional)
Responsable de la gestión de la seguridad de la información de la
organización.
Analista de Seguridad de la Información Encargado de evaluar las
amenazas y vulnerabilidades y definir los estándares, normas y
baselines necesarios. Diseñar esquemas seguros.
Administrador de Seguridad Encargado de implementar las
definiciones de seguridad en los entornos informáticos.
Security Roles and Responsibilities
(cont.)
Propietario de la información (Data Owner)
Quién debe ser?
 Nivel gerencial. Conocimiento del valor de la información.
Qué debe hacer?
 Definir el nivel de clasificación que le corresponde a la información que
le pertenece.
 Definir los controles que requiere la información.
 Revisar la existencia de los controles.
 Revisar los niveles de clasificación periódicamente y realiza los cambios
que sean necesarios a la información.
Security Roles and Responsibilities
(cont.)
Custodio (Data Custodian)
Quién debe ser?
 Generalmente esta función se asigna a personal de TI.
Qué debe hacer?
 Ejecutar backups en forma regular de la información que custodia.
 Proteger la información almacenada.
 Restaurar la información cuando se necesita.
 Mantener el rótulo de la información.
 Cumplimentar las disposiciones de seguridad definidas para cada
nivel de clasificación
Security Roles and Responsibilities
(cont.)
Usuario (User)
 Seguir los procedimientos definidos para el manejo de información.
 Proteger la información clasificada.
 Utilizar los recursos asignados solo para fines de negocio.
Auditor
 Es responsable de reveer y verificar que las políticas de seguridad se
encuentren implementadas y que las soluciones de seguridad
derivadas son adecuadas.
 El auditor produce un reporte de cumplimiento que es revisado por el
senior management.
Control Frameworks
Uno de los puntos mas importantes del desarrollo de un plan integral de seguridad es
considera un framework o estructura de seguridad que se adecue a las necesidades
de la organización.

 CISSP exam cubre COBIT (Control Objectives for Information and Related
Technology)
 COBIT es un set de mejores prácticas diseñadas por ISACA

COBIT se basa en 5 principios:

 1: Meeting Stakeholders needs,
 2: Covering the enterprise End-to-End principle,
 3: Applying a single, integrated framework,
 4: Enabling a holistic approach,
 5: Separating Governance from Management
Políticas
 Presentan directivas de la Alta Gerencia.
 Define la filosofía organizacional de seguridad de la información.
 Define cómo se desarrollará el Programa de Seguridad.
 Independiente de la tecnología y las soluciones.
 Define responsabilidades y autoridades para la implantación de la
seguridad informática.
 De carácter abreviado y de alto nivel.
 Se alinean con la Política General de la organización.
 Determinan las normativas que deben cumplirse
Políticas
Estándares

 Especifican la forma de poner en práctica un objetivo de la

Política.
 Define actividades, acciones, reglas o regulaciones obligatorias.
 Definen el uso de una determinada tecnología o la aplicación de
una determinada solución de manera uniforme.
BASELINES

Determinan cómo deben ser configurados los aspectos de seguridad

de las diferentes tecnologías.
 TCSEC (Trusted Computer System Evaluation Criteria)
 ITSEC (Information Technology Security Evaluation and Criteria)
 NIST (National Institute of Standards and Technology)
Procedimientos

 Descripción detallada de tareas a realizar para cumplimentar los

Estándares y Baselines.
 Constituyen el nivel más bajo en la escala de normativas
Normas (Guidelines)

 Definiciones generales establecidas para colaborar con el

cumplimiento de los objetivos de las Políticas, proporcionando un
marco en el cual implementar controles adicionales.
 Tienen carácter de recomendación (no son obligatorias).
Threat Modeling

 Es un proceso de seguridad donde las potenciales amenazas son

identificadas, categorizadas y analizadas.
 Puede ser ejecutadas como una medida pro-activa durante el
diseño y desarrollo, o como una medida reactiva una vez que la
solución o el producto ha sido instalado.
 Por ejemplo el proceso de SDL (Security Development Lifecycle)
utilizado por algunas compañías con el objetivo de implementar
seguridad en cada etapa del desarrollo de un producto.
Identificando amenazas

 Focused on Assets: Intenta identificar amenazas dirigidas a los

activos valiosos.
 Focused on Attackers: Algunas organizaciones son capaces de
identificar atacantes potenciales y pueden identificar las amenazas
que ello representa.
 Focused on software: En algunos casos existen organizaciones que
desarrollan su propio software y en ese caso intentan identificar
amenazas dirigidas a dichos activos.
Determinando y diagramando
potenciales ataques
El siguiente
paso es
modelar si un
potencial
ataque
puede llegar
a concretarse
Reduction Analysis

El objetivo es obtener un mejor entendimiento de la lógica del product

así como la interacción del mismo con los elementos externos.

Se deben identificar los siguientes elementos:

 Trust Boundaries
 Data Flow Paths
 Input Points
 Privileged Operations
 Details about Security Stance and Approach
Prioritization and response

 Una vez que la amenaza ha sido identificada, se debe de

documentar. Esa documentación debe definir los objetivos y las
consecuencias de que dicha amenaza se materialice.
 Luego se debe dar un ranking a las amenazas, esto se puede lograr
mediante la siguientes formulas
 Probabilidad x Impacto (Daño) Potential Ranking = Escala 1-100
siendo 100 el riesgo mas severo
DREAD Rating System

 Damage Potential
 Reproducibility
 Exploitability
 Affected users
 Discoverability
Integrar Security Risk Considerations
en la practica de adquisición
 Asegura que exista una estrategia exitosa de seguridad en
cualquier organización independientemente de su tamaño.
 Al considerar el costo de adquisición es importante considerar el
TCO (Total Cost of Ownership) sobre la vida útil del producto y no
solamente el costo inicial de compra e implementación
Evaluación de third-party Vendors

Al evaluar adquirir un servicio de seguridad de un third-party vendor se

deben de tener en cuenta los siguientes items:
 On-site Assessments
 Document Exchange Review
 Process/Policy Review
Formas de lograr la
concientización
 Presentaciones en vivo o grabadas: conferencias/ presentaciones,
video, entrenamiento basado en computadoras (CBT), etc.
 Publicación / Distribución: newsletters, trípticos, boletines e intranet.

 Incentivos: premios y reconocimiento por alcanzar objetivos

relacionados con la seguridad de la información.
 Recordatorios: banners de login, mails, accesorios de marketing
(tazas, lapiceras, mouse pads, stickers, etc.).
Summary

 Security Governance define los parámetros básicos para poder

asegurar el ambiente. También define los objetivos que policy
designers y los implementadores de sistemas deben cumplir para
poder mantener la triada CIA (Confidencialidad, Integridad y
Disponibilidad)
 Los security roles definen quien es responsable de las diferentes
actividades y activos de la organización
 Senior Management es el último responsable de cualquier perdida
en los activos.
 Un aspecto importante de security management es planear la
implementación de la política de seguridad y para ser efectiva
debe seguir un top-down approach.