Chapter 2

Security and Risk

Management
PERSONNEL
Agenda

 En este capítulo se explora el lado humano de la seguridad, desde

el establecimiento de prácticas de contratación seguras y
descripciones de trabajo.
 Además, vamos a ver cómo la formación de los empleados, la
gestión y las prácticas de terminación se consideran una parte
integral de la creación de un entorno seguro.
 Finalmente, se analiza la forma de evaluar y gestionar los riesgos de
seguridad.
Contribute to Personnel Security
Policies
 Las personas son el elemento más débil en cualquier solución de seguridad. No
importa lo que los controles físicos o lógicos se despliegan, los seres humanos
pueden descubrir maneras de evitarlos.
 Las personas están involucradas en todo el proceso de desarrollo, la
implementación y la administración continua de cualquier solución. Por lo
tanto, se debe evaluar el efecto que usuarios, diseñadores, programadores,
desarrolladores, administradores y ejecutores tienen en el proceso.
 La elaboración de las descripciones de trabajo es el primer paso en la
definición de las necesidades de seguridad relacionadas con el personal.
 Cualquier descripción de trabajo para cualquier posición dentro de una
organización debería abordar las cuestiones de seguridad.
 Debe considerarse cuestiones tales como si la posición requiere el manejo de
material sensible o acceso a información clasificada
 Una vez que estos problemas han sido resueltos, la asignación de una
clasificación de seguridad a la descripción del trabajo es bastante estándar.
Separation of Duties

 Es el concepto de seguridad en el que las tareas de trabajo crítico,

importante y sensible se dividen entre varios administradores.
 Evita que una persona ejerza la capacidad de socavar o desvirtuar
los mecanismos de seguridad vitales.
 Responde a la aplicación del principio de privilegio mínimo para los
administradores.
 Es una protección contra la collusion, que es la ocurrencia de
actividad negativa llevada a cabo por dos o más personas, a
menudo con fines de fraude, robo o espionaje.
Separation of Duties (cont.)

 Un ejemplo de separación de funciones relacionadas con cinco

tareas de administración y siete administradores
Job Responsibilities

 Representan a cada tarea específica, que un empleado debe

llevar a cabo de forma regular.
 Para mantener la mayor seguridad, el acceso debe ser asignado
de acuerdo con el principio de privilegio mínimo (cantidad mínima
de acceso necesario para que puedan completar sus tareas de
trabajo necesarios o responsabilidades de trabajo).
 La aplicación de este principio requiere un control de acceso
granular de bajo nivel sobre todos los recursos y funciones.
Job Rotation

 Provee redundancia de conocimiento al existir multiples empleados

con capacidad para desarrollar las tareas de múltiples puestos de
trabajo. Ayuda a bajar la probabilidad de downtime o perdida de
la productividad si uno o mas empleados no pueden trabajar por
un periodo de tiempo extendido.
 Rotar el personal reduce el riesgo de fraude, modificación de
datos, robo, sabotaje, y el mal uso de la información.
 La rotación de puestos también proporciona una forma de
auditoría de pares y protege contra la collusion.
Job Rotation (cont.)
Cross Training

 Al igual que Job Rotation, Cross-training enseña las

responsabilidades y tareas de múltiples posiciones de trabajo para
preparar al empleado a cubrir la posición, pero no efectiviza la
rotación de forma regular.
 Cuando varias personas trabajan juntas para perpetrar un delito, se
llama collusion. El empleo de los principios de separación de
funciones, las responsabilidades del trabajo restringidos, y la
rotación en el trabajo reduce la probabilidad de que un
compañero de trabajo esté dispuesto a colaborar en una acción
ilegal o abusiva debido al mayor riesgo de detección.
 La colusión puede reducirse mediante una estricta vigilancia de
privilegios especiales, como los de un administrador, operador de
copia de seguridad, administrador de usuarios, entre otros.
Employment Candidate Screening

 La rigurosidad del proceso de selección debe reflejar la seguridad

del puesto a cubrir.
 La investigación al empleado candidato mediante verificación de
antecedentes, verificación de referencias y verificación de la
educación, son elementos esenciales para demostrar que un
candidato es adecuado, cualificado, y digno de confianza para
una posición de seguridad.
 La verificación de antecedentes en medio online y la revisión de las
cuentas de redes sociales de los solicitantes se ha convertido en
una práctica habitual para muchas organizaciones.
Employment Agreement and
Policies
 En este documento se describen las reglas y restricciones de la
organización, la política de seguridad, el uso aceptable y las
políticas de las actividades, los detalles del trabajo a realizar,
violaciones y consecuencias, y el período de tiempo que el
empleado estará en el puesto.
 Otro documento común es un acuerdo de confidencialidad (NDA).
Un NDA se utiliza para proteger la información confidencial dentro
de una organización para que no sea divulgada por un ex
empleado.
NCA and NDA

 La NDA es un contrato común conocido como acuerdo de no

competencia (NCA). El acuerdo de no competencia intenta evitar
que un empleado con conocimientos especiales de los secretos de
una organización, utilice esos conocimientos en una organización
que compite con la primera, con el fin de evitar que la segunda
organización se beneficie de un conocimiento especial del
trabajador de esos secretos.
 Los NCAs también se utilizan para evitar que los trabajadores
migren de una compañía a otra de la competencia sólo a causa
de los aumentos de sueldo u otros incentivos.
 A menudo, las NCA tienen un límite de tiempo, tal como seis meses,
un año, o incluso tres años.
NCA and NDA (cont.)

 Muchas compañías requieren a los nuevos empleados la foirma de

un NCA. Sin embargo, la aplicación del NCA en los tribunales a
menudo es compleja.
 Si la NCA podría impedir que una persona obtenga un ingreso
razonable a sus conocimientos, los tribunales a menudo invalidan la
NCA. Igualmente representan beneficios, tales como:
 La amenaza de una demanda debido a violaciónes de la NCA es
a menudo un incentivo suficiente para impedir que un trabajador
no la cumpla.
NCA and NDA (cont.)

 Si un trabajador no cumple los términos de la NCA, incluso aunque

la corte falle a su favor, el tiempo, el esfuerzo y el costo de tener
que defender su posición en la corte, es un elemento de disuasión.
 Revisar periódicamente los límites de cada descripción de trabajo
en relación con lo que está ocurriendo en realidad ayuda a
mantener las violaciones de seguridad al mínimo.
 Una parte clave de este proceso de revisión es hacer cumplir las
vacaciones obligatorias. Las vacaciones ausentan al empleado del
ambiente de trabajo y coloca un trabajador diferente en su
posición, lo que hace que sea más fácil de detectar el abuso,
fraude o negligencia por parte del empleado original.
Employment Termination Processes

 Una fuerte relación entre el departamento de seguridad y de

recursos humanos es esencial para mantener el control y minimizar
los riesgos durante la terminación.
 Antes de que se libere el empleado, todas las insignias de
identificación específicas de la organización, de acceso o de
seguridad, así como tarjetas, llaves y llaves de acceso deben ser
recogidos.
Employment Termination Processes
(cont.)
Employment Termination Processes
(cont.)
 Una entrevista de salida debe llevarse a cabo tan pronto como sea
posible. El principal propósito es revisar las restricciones impuestas al
ex empleado basadas en el contrato de trabajo, contrato de
confidencialidad, y cualquier otra documentación relacionada
con la seguridad.
 En la mayoría de los casos, debe desactivar o eliminar el acceso al
sistema de un empleado al mismo tiempo o justo antes de que se
les notifique de ser terminado.
Vendor Consultant and Contractor
controls
 Se utilizan para definir los niveles de rendimiento, la expectativa, la
compensación, y las consecuencias para las entidades, personas u
organizaciones que son externos a la organización.
 A menudo, estos controles se definen en un documento o una política
conocida como un acuerdo de nivel de servicio (SLA).
 Los siguientes temas se tratan comúnmente en los SLA:
 System uptime (as a percentage of overall operating time)
 Maximum consecutive downtime (in seconds/minutes/and so on)
 Peak load
 Average load
 Responsibility for diagnostics
 Failover time (if redundancy is in place)
 Los SLA comúnmente incluyen multas financieras y de otro tipo que entran en
juego si no se mantiene el acuerdo.
Compliance

 Es el acto de adherirse a las reglas, normas, reglamentos,

estándares o requisitos.
 A nivel personal, el cumplimiento está relacionado con si los
empleados siguen la política de la empresa y llevan a cabo sus
tareas en conformidad con los procedimientos estipulados.
 Si los empleados no cumplen con estas políticas, podría pagar la
organización en términos de pérdida de beneficios, cuota de
mercado, el reconocimiento y la reputación.
 Muchas organizaciones dependen del cumplimiento de los
empleados con el fin de mantener altos niveles de calidad, de
coherencia, de eficiencia y de ahorro de costos.
Privacy

 Es un principio de la seguridad que busca proteger la información del

individuo empleando controles para garantizar que la misma no es
diseminada o accedida en forma no autorizada.
 Personally identifiable information (PII): cualquier dato que puede
fácilmente remontarse a la persona de origen: Un número de teléfono,
dirección de correo electrónico, dirección postal, número de la
seguridad social, y el nombre, entre otros.
 Hay muchas competencias legislativas y normativas de cumplimiento
en lo que respecta a la privacidad: Many US regulations—such as the
Health Insurance Portability and Accountability Act (HIPAA), the
Sarbanes-Oxley Act of 2002 (SOX), and the Gramm-Leach-Bliley Act—as
well as the EU’s Directive 95/46/EC (aka the Data Protection Directive)
and the contractual requirement Payment Card Industry Data Security
Standard (PCI DSS)
Privacy (cont.)

 La privacidad es un problema no sólo para los usuarios externos,

sino también para sus clientes, empleados, proveedores y
contratistas. Si se reúne cualquier tipo de información sobre
cualquier persona o empresa, debe gestionar su privacidad.
 En los casos donde la privacidad se ha comprometido, los
individuos y las empresas deben ser informados; de lo contrario, se
puede enfrentar consecuencias legales.
 La privacidad también debe gestionarse cuando la empresa
decide restringir el uso personal de correo electrónico, la retención
de correo electrónico, la grabación de conversaciones telefónicas,
la recopilación de información sobre la navegación de sitios onlne,
los hábitos de consumo, y otros.
Security Governance

 Es el conjunto de prácticas relacionadas para apoyar, definir y

dirigir los esfuerzos de seguridad de una organización.
 Third-party governance es un sistema de supervisión (que puede ser
obligatoria por ley, regulación, estándares de la industria,
obligación contractual o requisitos de licencia). Por lo general
implica un investigador o auditor externo.
 Las operaciones de servicios externos pueden incluir los guardias de
seguridad, mantenimiento, soporte técnico y servicios de
contabilidad.
 Estas partes tienen que permanecer en cumplimiento con la
postura de seguridad de la organización, de lo contrario, presentan
riesgos y vulnerabilidades adicionales a la misma.
Security Governance (cont.)

 Los que realizan la evaluación o auditorías in situ deben seguir

protocolos de auditoría (tales como COBIT) y tienen una lista específica
de exigencias de investigación.
 En el proceso de auditoría y evaluación, tanto el auditado como el
órgano de gobierno externo, deben participar en un intercambio y
revisión de documentos completo y abierto. Esto reduce las
posibilidades de requisitos desconocidos o expectativas poco realistas.
 La revisión de la documentación (Documentation review) es el proceso
de la lectura de los materiales intercambiados para verificarlos con los
estándares y expectativas. Por lo general se lleva a cabo antes de la
inspección in situ.
 Si la documentación es incompleta, inexacta, o insuficiente, el examen
in situ se pospone hasta que la documentación puede ser actualizada
y corregida.
Security Governance (cont.)

 En muchas situaciones, especialmente en relación con el gobierno o

agencias militares o contratistas, no proporcionar suficiente
documentación puede resultar en una pérdida o una anulación de la
autorización para operar (ATO)
 La documentación completa y suficiente a menudo puede mantener
la ATO existente o proporcionar una ATO temporal (TATO).
 Una parte de la revisión de la documentación se asegura que las
tareas de negocios, los sistemas y las metodologías son prácticos,
eficientes y rentables, y sobre todo que apoyan el objetivo de la
seguridad a través de la reducción de las vulnerabilidades y el evitar,
reducir, o mitigar los riesgos.
 Risk management, risk assessment, y addressing risk son todos métodos
y técnicas involucradas en la realización del examen de los procesos y
políticas.
Understand and Apply Risk
Management Concepts
 La posibilidad de que algo podría dañar, destruir o divulgar datos u
otros recursos se conoce como riesgo.
 La comprensión de los conceptos de gestión de riesgos, es esencial
para el establecimiento de un estado suficiente de seguridad, del
gobierno de la seguridad, y prueba legal due care y due diligence.
 La gestión de riesgos es el proceso detallado de identificar los
factores que pudieran causar daños o divulgar los datos, la
evaluación de esos factores a la luz del valor de los datos y el costo
de contramedidas, y la implementación de soluciones rentables
para mitigar o reducir los riesgos.
 El proceso general de gestión de riesgos se utiliza para desarrollar e
implementar estrategias de seguridad de la información.
Understand and Apply Risk
Management Concepts (cont.)
 El objetivo principal de la gestión de riesgos es reducir el riesgo a un
nivel aceptable. El nivel depende de la organización, el valor de sus
activos, el tamaño de su presupuesto, y muchos otros factores.
 Es imposible diseñar e implementar un ambiente totalmente libre de
riesgo; Sin embargo, la reducción significativa del riesgo es posible, a
menudo con poco esfuerzo.
 Los riesgos para IT no son sólo los que provienen de la infraestructura de
TI. De hecho, muchos riesgos provienen de fuentes no relacionadas
con las computadoras.
 Tenga en cuenta que la seguridad de TI, comúnmente conocida
como la seguridad lógica o técnica, puede proporcionar una
protección sólo contra ataques lógicos o técnicos. Para protegerla
contra los ataques físicos, deben implementarse protecciones físicas.
Understand and Apply Risk
Management Concepts (cont.)
 El proceso por el cual se logran los objetivos de la gestión del riesgo
se conoce como análisis de riesgos (risk analysis).
 Incluye el examen de un entorno de riesgos, la evaluación de cada
amenaza en cuanto a su probabilidad de ocurrencia y el costo de
los daños que causaría si se produjese, evaluar el costo de diversas
contramedidas para cada riesgo, y la creación de un informe de
costo / beneficio de contramedidas para presentar a la alta
dirección.
 Además de estas actividades con enfoque de riesgo, gestión del
riesgo requiere de la evaluación, valoración, y la asignación de
valor a todos los activos dentro de la organización.
 Sin valoraciones de los activos adecuados, no es posible establecer
prioridades y comparar los riesgos con las posibles pérdidas.
Risk terminology
Asset
 Un activo es cualquier cosa dentro de un ambiente que debe ser
protegido.
 Puede ser un archivo de computadora, un servicio de red, un
recurso del sistema, un proceso, un programa, un producto, una
infraestructura de TI, una base de datos, un dispositivo de
hardware, muebles, recetas de productos / fórmulas, personal,
software, instalaciones, etc.
 La pérdida o divulgación de un activo podría resultar en un riesgo
de seguridad global, la pérdida de productividad, reducción de los
beneficios, gastos adicionales, la interrupción de la organización, y
numerosas consecuencias intangibles.
Risk terminology
Asset Valuation
 La valoración de activos es un valor en dinero asignado a un
activo, basado en el costo real y los gastos no monetarios.
 Estos pueden incluir los costos de desarrollar, mantener, administrar,
soportar, reparar y reemplazar un activo; también puede incluir
valores más difíciles de identificar, tales como la confianza del
público, el apoyo de la industria, aumento de la productividad, la
equidad de conocimiento y los beneficios que genera.
Risk terminology
Threats
 Cualquier suceso potencial que puede causar un resultado no
deseado o no esperado para una organización o para un activo
específico, es una amenaza.
 Puede ser intencional o accidental. Puede proceder de las
personas, organizaciones, hardware, redes, estructuras, o de la
naturaleza.
 Los agentes de amenaza explotan las vulnerabilidades de forma
intencionada. Son por lo general las personas, pero también
podrían ser programas, hardware o sistemas.
 Los eventos de amenaza son explotaciones accidentales e
intencionales de vulnerabilidades. También pueden ser naturales o
artificiales.
Risk terminology
Vulnerability
 La debilidad en un activo, o la ausencia o la debilidad de una
contramedida, es una vulnerabilidad.
 En otras palabras, una vulnerabilidad es una falla, error, limitación,
fragilidad, o susceptibilidad en la infraestructura TI o en cualquier
otro aspecto de una organización.
Risk terminology
Exposure
 La exposición es ser susceptible a la pérdida de activos debido a
una amenaza; existe la posibilidad de que una vulnerabilidad
pueda ser explotada por un agente de amenaza o evento de
amenaza.
 Sólo significa que si existe una vulnerabilidad, y si existe una
amenaza que puede explotarla, existe la posibilidad de que un
evento de amenaza pueda ocurrir.
 La exposición a una amenaza que se ha realizado se llama
exposición experimentada (experienced exposure).
Risk terminology
Risk
 El riesgo es la posibilidad o probabilidad de que una amenaza explote
una vulnerabilidad para causar daño a un activo. Es una evaluación
de la probabilidad o posibilidad.
 Cada instancia de la exposición es un riesgo. Cuando se escribe como
una fórmula, el riesgo se puede definir como sigue:
riesgo = amenaza * vulnerabilidad
 Por lo tanto, la reducción del agente de amenaza o de la
vulnerabilidad resulta directamente en una reducción en el riesgo.
 Todo el propósito de la seguridad es prevenir la realización de los
riesgos mediante la eliminación de las vulnerabilidades y el bloqueo de
agentes de amenaza y eventos de amenazas que ponen en peligro los
activos.
 Como una herramienta de gestión de riesgos, la seguridad es la
aplicación de salvaguardias o contramedidas.
Risk terminology
Safeguards
 Una salvaguardia, o contramedida, es todo lo que elimina o
reduce la vulnerabilidad o protege contra una o más amenazas.
 Una medida de seguridad puede ser la instalación de un parche
de software, un cambio de configuración, la contratación de
guardias de seguridad, la alteración de la infraestructura, la
modificación de los procesos, la mejora de la política de seguridad,
la formación de personal de manera más eficaz, la electrificación
de un cerco perimetral, la instalación de luces, y así sucesivamente.
 Las salvaguardias son el único medio por el cual se mitiga o se quita
el riesgo.
Risk terminology
Attack
 Un ataque es la explotación de una vulnerabilidad por un agente
de amenaza. En otras palabras, un ataque es cualquier intento
deliberado de aprovechar una vulnerabilidad de la infraestructura
de seguridad de una organización para causar daño, pérdida, o la
revelación de activos.
Risk terminology
Breach
 Es la aparición de un mecanismo de seguridad que es vulnerado
por un agente de amenaza. Cuando una breach se combina con
un ataque, puede dar lugar a una penetración, o intrusión.
 Una penetración es la condición en la que un agente de amenaza
ha obtenido acceso a la infraestructura de una organización a
través de la acción de eludir los controles de seguridad y es capaz
de poner en peligro directamente a los activos.
Risk terminology
Final Chapter 2 – Parte 1 de 2