DOMINIO 5

PROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN

DOMINIO 5

Este capítulo aborda los componentes clave que

aseguran la confidencialidad, integridad y
disponibilidad de los activos de información. Se
explican el diseño, la implementación y el monitoreo
de los controles de acceso lógico y físico. También
se abarcan la seguridad de infraestructura de red,
los controles ambientales y los procesos y
procedimientos que se utilizan para clasificar,
introducir, almacenar, recuperar, transportar y
desechar los activos de información confidencial.
Los métodos y procedimientos que emplean las
organizaciones se describen centrándose en el rol
del auditor al evaluar la idoneidad y efectividad de
estos procedimientos.
ACERCA DEL EXAMEN CISA

Dominio 1: Proceso de
Dominio 5: auditoría a los sistemas
Protección de los de información, 21%
activos de
información, 27%

Dominio 2:
Gobierno y gestión
de TI, 17%
Dominio 4:
Operaciones de los
sistemas de
información y
resiliencia del
negocio, 23% Dominio 3: Adquisición,
desarrollo e
implementación de
sistemas de
información, 12%

OBJETIVOS DEL DOMINIO 5

Una vez finalizado este dominio, el auditor SI debería poder hacer lo siguiente:
• Realizar auditorías de conformidad con los estándares de auditoría de SI y una estrategia de auditoría de SI
basada en riesgos.
• Evaluar las políticas y prácticas de gestión de incidentes y problemas.
• Evaluar las políticas y prácticas de seguridad y privacidad de la información de la organización.
• Evaluar los controles físicos y ambientales para determinar si los activos de información están protegidos
adecuadamente.
• Evaluar los controles de seguridad lógica para verificar la confidencialidad, integridad y disponibilidad de la
información.
• Evaluar si las prácticas de clasificación de datos están alineadas con las políticas de la organización y con
los requerimientos externos aplicables.
• Evaluar las políticas y prácticas relacionadas con la gestión del ciclo de vida de los activos.
• Evaluar el programa de seguridad de la información para determinar su eficacia y que estén alineadas con
las estrategias y los objetivos de la organización.
• Realizar pruebas técnicas de seguridad para identificar posibles amenazas y vulnerabilidades.
• Evaluar oportunidades y amenazas potenciales asociadas con las tecnologías emergentes,
las regulaciones y las prácticas de la industria.
TEMAS DEL DOMINIO 5

Seguridad y control de los activos de Gestión de eventos de seguridad

información • Programas de formación y concienciación en
• Introducción seguridad
• Marcos, estándares y pautas de seguridad de los • Métodos y técnicas de ataques a los sistemas de
activos de información información
• Principios de privacidad • Herramientas y técnicas para probar la seguridad
• Acceso físico y controles ambientales • Herramientas y técnicas para monitorear la
seguridad
• Gestión de identidades y acceso
• Gestión de respuesta a incidentes
• Seguridad de la red y del punto final
• Recolección y manejo forense de evidencias
• Clasificación de datos
• Cifrado de datos y técnicas relacionadas con el
cifrado
• Infraestructura de clave pública (PKI)
• Tecnologías de comunicación basada en la web
• Ambientes virtualizados
• Dispositivos móviles, inalámbricos y de la Internet de
5 las cosas (IOT)

SEGURIDAD Y CONTROL DE
LOS ACTIVOS DE
INFORMACIÓN

6
GARANTIZAR CONFIDENCIALIDAD,
INTEGRIDAD Y DISPONIBILIDAD

Confidencialidad

Seguridad

Integridad Disponibilidad

MARCOS, ESTÁNDARES Y PAUTAS DE

SEGURIDAD DE LOS ACTIVOS DE INFORMACIÓN

8
AUDITORÍA AL MARCO DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
Revisar las políticas, los Nuevos usuarios de TI
procedimientos y los estándares
escritos Usuarios de datos

Capacitación y concienciación formales Autorizaciones documentadas

sobre seguridad Acceso de empleados que terminan su
Propiedad de los datos contrato

Propietarios de los datos Niveles mínimos de seguridad

Los custodios de datos Normas de acceso

Administrador de seguridad

PRINCIPIOS DE PRIVACIDAD

10
BUENAS PRÁCTICAS EN PRINCIPIOS DE PRIVACIDAD

La privacidad debe ser considerada desde el inicio e incorporada en el diseño. Lo

recomendable sería crear sistemáticamente políticas, estándares y procedimientos
desde el comienzo.
Los datos privados deben recopilarse de una manera bastante abierta y transparente.
Sólo deben recopilarse los datos que se requieren para ese fin en primera instancia.
Los datos privados deben mantenerse protegidos durante todo su ciclo de vida.
Los datos privados sólo deben usarse o revelarse para el fin para el que se recopilaron.
Los datos privados deben ser precisos, completos y actualizados.
Los datos privados deben eliminarse cuando ya no se requieran.

11

ANÁLISIS DE IMPACTO EN LA
PRIVACIDAD
Señalar la naturaleza de la información personal
identificable asociada con procesos del negocio
Documentar la recogida, uso, revelación y
destrucción de información personal identificable.
Asegurar que existe la obligación de rendir cuentas
sobre los aspectos de privacidad.
Identificar los requisitos contractuales, regulatorios y
legales para la privacidad.
Ser la base para tomar decisiones informadas sobre
políticas, operaciones y diseño de sistemas
basadas en un entendimiento del riesgo de
privacidad y las opciones disponibles para mitigar
ese riesgo.
12
AUDITORÍA DE SI PARA GARANTIZAR
EL CUMPLIMIENTO DE LA POLÍTICA DE
PRIVACIDAD, LEYES Y OTROS
REGLAMENTOS
Identificar y entender los requisitos de cumplimiento con
respecto a la privacidad en las leyes, regulaciones y
acuerdos contractuales. Según la asignación, es posible
que los auditores de SI deban buscar la opinión legal o de
expertos sobre los mismos.

Revisar la política de privacidad de la gerencia para

determinar si tiene en cuenta el requerimiento de estas
leyes y regulaciones de privacidad.

Verificar si los datos personales sensibles son gestionados

correctamente con respecto a estos requerimientos.

Verificar que se adopten las medidas de seguridad

correctas.
13

CONSIDERACIONES DE AUDITORÍA PARA LA PRIVACIDAD

Elecciones y consentimiento Garantías de seguridad

Especificación de proposito y
restricciones de uso legítimas
Ciclo de vida de la información
personal y de la información sensible
Monitoreo, medición y reporte
Prevención de daños
Gestión de terceros y proveedores

Precisión y calidad Gestión de infracciones

Apertura, transparencia y aviso Seguridad y privacidad en el diseño

Participación individual Circulación libre de información y

restricciones legítimas
Responsabilización

14
ACCESO FÍSICO Y CONTROLES AMBIENTALES

15

ACCESO FÍSICO Y CONTROLES

AMBIENTALES

Evaluar el diseño, la implementación, el

mantenimiento, el monitoreo y el informe de los
controles físicos y ambientales para determinar si
los activos de información están adecuadamente
protegidos.
CONTROLES DE SEGURIDAD

Un control efectivo es aquel que evita, detecta o contiene un incidente y permite la

recuperación de un evento.
Los controles pueden ser:

Proactivos
• Salvaguardia Reactivos
• Control que pretenden • Contramedidas
prevenir un incidente. • Controles que permiten la
detección, contención y
recuperación frente a un
incidente.

CONTROLES FÍSICOS, TÉCNICOS Y DE GESTIÓN

Controles
Técnico Físico
gerenciales

• Relacionados con la • Controles provistos a • Dispositivos instalados

supervisión, informes, través del uso de para restringir físicamente
procedimientos y tecnología, equipo o el acceso a una
operaciones de un dispositivo. instalación o hardware.
proceso.

18
PROBLEMAS DE ACCESO FÍSICO

Entrada no autorizada
Daño, vandalismo o robo de los equipos o
documentos
Copia o visualización de información sensible o
patentada
Alteración de equipos e información sensibles
Revelación al público de información sensible
Abuso de los recursos de procesamiento de datos
Chantaje
Fraude

EJEMPLOS DE CONTROLES FÍSICOS

Cerraduras de puertas (cifradas, Acceso controlado a visitantes

biométricas, atornilladas, electrónicas)
Bloqueos de la estación de trabajo de
Registro manual o electrónico la computadora
Tarjetas de identificación (fotocheck) Punto de entrada único controlado
CCTV Sistema de alarma
Guardia de seguridad Puertas blindadas

20
AUDITORÍAS DE ACCESO FÍSICO

El auditor SI debe comenzar con un recorrido por el

sitio y luego probar las medidas de protección física.
Las pruebas físicas pueden completarse mediante
observaciones visuales y revisión de documentos,
como pruebas del sistema contra incendios,
etiquetas de inspección y registros de cerraduras de
clave.

AUDITORÍAS DE ACCESO FÍSICO (CONT.)

La prueba debe incluir todos los caminos de entrada física, así como los siguientes
lugares:
• Salas de cómputo e impresoras
• UPS/generador
• Consolas del operador
• Salas de almacenamiento informático
• Equipo de comunicación de datos
• Instalación de almacenamiento externo de copias de respaldo
• Almacenamiento de medios
EXPOSICIONES AMBIENTALES

Interrupción de energía
• Falla total (apagón)
• Tensión muy reducida (caída de tensión)
• Pérdidas, picos y sobretensiones
• Interferencia electromagnética (EMI)
Daños por agua/inundaciones

Daños producidos por el hombre

• Amenazas/ataques terroristas
• Vandalismo
• Fallas en los equipos

CONTROLES AMBIENTALES

Las exposiciones ambientales deben tener el mismo nivel de protección que otros tipos
de exposiciones. Los posibles controles incluyen:

Alarmas de
Paneles de Detectores de Extintores de incendio y
control de alarma agua incendios detectores de
humo

Materiales de Salas de
Sistemas de Protectores de
construcción y computación con
supresión de sobrecarga
oficina resistentes ubicación
incendios eléctrica
al fuego estratégica

Suministro de Líneas de energía BCPs

Interruptor de documentados y
energía provenientes de
apagado de probados, y planes
ininterrumpida dos de evacuación de
emergencia
(UPS)/generador subestaciones emergencia
AUDITORÍA DE CONTROLES AMBIENTALES

El auditor SI debe primero establecer el riesgo ambiental al evaluar la ubicación del

centro de datos.
Además, el auditor SI debe verificar que las siguientes salvaguardas están en su lugar:
• Detectores de agua y humo
• Ubicación estratégica y visible de los extintores portátiles
• Documentación e inspección del sistema de extinción de incendios por parte del departamento de
bomberos
• Informes de prueba de UPS/generador
• Protectores de voltaje
• Documentación de materiales de construcción resistentes al fuego, uso de líneas eléctricas
redundantes y cableado ubicado en paneles resistentes al fuego.
• Planes de evacuación de emergencia y PCNs (Planes de continuidad de negocio) documentados
y probados
• Controles de humedad y temperatura

ACTIVIDAD

El directorio de operaciones de las instalaciones ha pedido al equipo de

auditoría de SI que realice un análisis de las políticas y los procedimientos
actuales en el edificio de la sede que también alberga el centro de datos
principal. Notará que las políticas y procedimientos se centran actualmente en
las actividades de contratación de operaciones y mantenimiento.
¿Cuál es un ejemplo de una exposición ambiental para cuya mitigación deben
implementarse controles?
¿Cuál sería un medio para realizar pruebas de penetración de los controles
físicos?
 PREGUNTA PARA DISCUSIÓN

¿Cuál de los siguientes controles ambientales es

apropiado para proteger los equipos informáticos
contra reducciones a corto plazo en la energía
eléctrica?
A. Acondicionadores de líneas de alimentación.
B. Dispositivos de protección contra sobrecargas
C. Suministros de energía alternativos
D. Suministros de energía interrumpibles

PREGUNTA PARA DISCUSIÓN

Un auditor SI revisa las medidas de seguridad físicas

de una organización. En relación con el sistema de
tarjeta de acceso, el auditor SI debería estar MÁS
preocupado de que:
A. las tarjetas de acceso no personalizadas se entregan
al personal de limpieza, que utiliza una hoja de
asistencia pero no muestra prueba de identidad.
B. las tarjetas de acceso no están identificadas con el
nombre y la dirección de la organización para facilitar
la devolución de una tarjeta perdida.
C. la emisión y administración de derechos de las
tarjetas se realizan en diferentes departamentos,
causando un tiempo de entrega innecesario de las
tarjetas nuevas.
D. el sistema utilizado para programar las tarjetas sólo
puede reemplazarse después de tres semanas en
caso de falla del sistema.
GESTIÓN DE IDENTIDADES Y ACCESO

29

OBJETIVOS DE SEGURIDAD

Los objetivos de seguridad para cumplir los requisitos del negocio de una organización
deben garantizar lo siguiente:
• Disponibilidad continua de los sistemas de información y los datos
• Integridad de la información almacenada en sus sistemas informáticos y en tránsito
• La confidencialidad de los datos sensibles se preserva mientras se almacenan o están en tránsito
• Conformidad con las leyes, reglamentos y estándares aplicables
• Adhesión a los requisitos de confianza y obligación en relación con cualquier información
relacionada a una persona identificada o identificable (es decir, el sujeto de los datos) de acuerdo
a la política interna de privacidad o leyes y reglamentos de privacidad aplicables
• La protección adecuada para datos sensibles, almacenados y en tránsito; según los requisitos de
la organización.
PERMISO DE ACCESO AL SISTEMA

El permiso de acceso al sistema genaralmente se refiere a un privilegio técnico, como la

capacidad de leer, crear, modificar o eliminar un archivo o datos, ejecutar un programa, o
abrir o usar una conexión externa.
El acceso a los recursos de sistemas de información se establece, gestiona y controla a
nivel físico y/o lógico.

Controles de acceso físico Controles de acceso lógico

• Restringir la entrada y la salida del
personal a un área como un edificio
de oficinas, una suite, un centro de
datos o una sala que contenga
equipos de procesamiento de
información.
• Restringir los recursos lógicos del
sistema (transacciones, datos,
programas, aplicaciones) y se aplican
cuando se necesita el recurso del
sujeto.

REVISIONES DE ACCESO AL SISTEMA

Las funciones deben ser asignadas por el propietario o administrador de la información.

La autorización de acceso debe revisarse periódicamente para garantizar su vigencia.
El auditor SI debe evaluar los siguientes criterios para definir permisos y conceder
acceso:
• Necesidad de saber
• Rendición de cuentas
• Trazabilidad
• Menor privilegio
• Segregación de funciones
SEGURIDAD DE LA INFORMACIÓN Y PARTES EXTERNAS

Identificación de los riesgos relacionados con terceros

• El acceso de terceros a la información de la organización no debe proveerse hasta tanto los
controles apropiados no hayan sido implementados y, cuando sea factible, se haya firmado un
contrato definiendo los términos y condiciones para la conexión o acceso y el acuerdo de
funcionamiento.
• Los terceros podrían poner en riesgo información si su gestión de la seguridad fuera inadecuada.
• NOTA: Los controles deben identifcarse y aplicarse para administrar el acceso de la parte externa
a las instalaciones de procesamiento de información.

Tratamiento de la seguridad cuando se trabaja con clientes

• Las políticas de protección de activos y control de acceso se aplican a los clientes para cumplir
con los requisitos de seguridad de los activos.

33

ACCESO DE TERCEROS

Se deben controlar el acceso de terceros

a las instalaciones de procesamiento de
información de una organización y al
procesamiento y comunicación de la
información.
Estos controles deben acordarse y
definirse en un contrato con el tercero.
CONDICIONES CONTRACTUALES
RECOMENDADAS DE ACCESO DE
TERCEROS
Cumplimiento de la política de seguridad de la información
de la organización.

Una clara estructura de preparación de informes y

formatos de informes acordados.

Un proceso claro y especificado para gestión de cambios.

Una política de control de acceso.

Acuerdos para informar, notificar e investigar incidentes de

seguridad de la información y violaciones de la seguridad

Requisitos de continuidad del servicio

El derecho a monitorear y revocar cualquier actividad

relacionada con los activos de la organización.

SEGURIDAD DE RECURSOS HUMANOS Y TERCEROS

Los roles y las responsabilidades de seguridad, los contratistas y terceros usuarios

deberían ser definidos y documentados en conformidad con la política de seguridad de
información de la organización.
Filtrado
• Todos los candidatos a empleo, contratistas y terceros usuarios deben estar sujetos a
verificaciones de antecedentes.

Retiro de los derechos de acceso

• Los derechos de acceso de todos los empleados, contratistas y terceros usuarios a la información
y a las instalaciones de procesamiento de información deben ser retirados a la terminación de su
empleo, contrato o acuerdo, o ajustados al cambio.
ACCESO LÓGICO

El acceso lógico es la capacidad para interactuar con los

recursos informáticos concedidos mediante la
identificación, autenticación y autorización.

Los controles de acceso lógico son los medios principales

que se utilizan para gestionar y proteger los activos de
información.

Los auditores SI deben poder analizar y evaluar la

efectividad del control de acceso lógico para lograr los
objetivos de seguridad de la información y evitar pérdidas
resultantes de las exposiciones.

Estas exposiciones pueden tener como consecuencia

desde inconvenientes menores hasta una paralización
total de las funciones de la computadora.

37

EXPOSICIONES DE ACCESO LÓGICO

Fuga de datos
• Involucra desvío o filtración de información fuera de la
computadora.

Apagado de la computadora
• Se puede realizar a través de las terminales o de las
microcomputadoras conectadas directamente (en línea)
o remotamente (a través de Internet).

38
VÍAS DE ACCESO LÓGICO

Ruta directa
Red local
Acceso remoto

39

ACTIVIDAD

Durante su auditoría de actualización de ERP,

usted identifica los siguientes hallazgos:
• Los controles de acceso lógico a las cuentas del
servidor de aplicaciones administrativas
se componen de autenticación de factor único no
complejo con una longitud de contraseña que debe
ser de seis caracteres cambiados cada 360 días.
• No existía una política para la clasificación de los
activos de información.

¿Cuál es el propósito de asignar clases o niveles

de sensibilidad y criticidad a los recursos de
información y establecer reglas de seguridad
específicas para cada clase?
 PREGUNTA PARA DISCUSIÓN

¿Una política de seguridad de la información que

indique que "la visualización de contraseñas
debe enmascararse o suprimirse", aborda cuál
de los siguientes métodos de ataque?
A. Piggybacking
B. Búsqueda en la basura (dumpster diving)
C. Espiar sobre el hombro (shoulder surfing)
D. Suplantación de identidad

PREGUNTA PARA DISCUSIÓN

Con la ayuda de un oficial de seguridad, otorgar

acceso a los datos es responsabilidad de:
A. los propietarios de los datos.
B. los programadores.
C. los analistas de sistemas.
D. los bibliotecarios.
SOFTWARE DE CONTROL DE ACCESO

El software de control de acceso se utiliza para impedir el acceso y modificación a los

datos sensibles de una organización y el uso de las funciones críticas del sistema, por
quienes no están autorizados.
Los controles de acceso deben aplicarse en todos las capas de la arquitectura de los
sistemas de información de una organización, incluido redes, plataformas o sistemas
operativos, bases de datos y sistemas de aplicación.
Cada control de acceso suele incluir:
• Identificación y autenticación
• Autorización de acceso
• Verificación de recursos de información específicos
• Registro y reporte de las actividades de los usuarios

FUNCIONES DEL SOFTWARE DE CONTROL DE ACCESO

Las funciones generales de control de acceso a los
sistemas operativos o aplicativos
• Crear o cambiar los perfiles de usuarios
• Asignar identificación y autenticación de usuarios
• Aplicar reglas de limitación de inicio de sesión de
los usuarios
• Notificación sobre al uso y acceso apropiado antes
de la sesión inicial
• Crear responsabilidad y auditabilidad individuales
mediante actividades de registro de usuarios
• Establecer reglas de accesos a recursos
específicos de información (por ejemplo, recursos
y datos de aplicación a nivel del sistema)
• Registrar los eventos
• Comunicar las capacidades
Funciones de control de acceso a nivel base de
datos o aplicación
• Crear o cambiar los archivos de datos y los
perfiles de la base de datos
• Verificar las autorizaciones de usuarios al nivel de
aplicación y de transacción
• Verificar las autorizaciones de usuarios dentro de
la aplicación
• Verificar las autorizaciones de usuarios a nivel del
campo para los cambios dentro de una base de
datos
• Verificar las autorizaciones de subsistemas para el
usuario al nivel del archivo
• Registrar las actividades de acceso a base de
datos /comunicaciones de datos para monitorear
las violaciones de acceso.
TIPOS DE CONTROL DE ACCESO

• Filtros de control de acceso lógicos usados para validar las

Controles de acceso
obligatorio (MAC)
credenciales
• No puede ser controlado o modificado por usuarios normales o
propietarios de datos
• Actúan por defecto
• Prohibitivo; todo lo que no esté expresamente permitido está
prohibido.

• Controles de acceso lógicos que pueden ser configurados o

Controles de acceso modificados por los usuarios o propietarios de los datos.
• No pueden anular los MAC.
discrecionales (DAC) • Actuar como un filtro adicional, prohibiendo aún más el acceso con
el mismo principio de exclusión.

IDENTIFICACIÓN Y AUTENTICACIÓN

La identificación y autenticación de acceso lógico (I&A) es el proceso de establecer y

probar la identidad de un usuario.
Para la mayoría de los sistemas, I&A es la primera línea de defensa, es una medida
técnica que impide que personas no autorizadas (o procesos no autorizados) entren a un
sistema informático.
IDENTIFICACIÓN Y AUTENTICACIÓN (CONT.)

Algunas vulnerabilidades comunes de I&A incluyen:

• Métodos débiles de autenticación
• Uso de contraseñas simples o fáciles de adivinar
• El potencial para que los usuarios evadan el mecanismo de autenticación
• La falta de confidencialidad e integridad para la información de autenticación almacenada
• La falta de encriptación para la información de autenticación transmitida a través de una red
• Falta de conocimiento del usuario sobre el riesgo asociado con compartir elementos de
autenticación

MÉTODOS DE AUTENTICACIÓN

La autenticación multifactorial es la combinación de más de un método de autenticación.

El inicio de sesión único (SSO) es el proceso para consolidar todas las funciones de
administración, autenticación y autorización basadas en la plataforma de una
organización en una sola función administrativa centralizada.
El auditor SI debe estar familiarizado con las políticas de autenticación de la
organización.

Métodos de autenticación
Identificador de inicio de sesión y contraseñas
Tokens
Biometría
AUTORIZACIÓN

La autorización se refiere a las reglas de acceso que especifican quién puede acceder a
qué.
El control de acceso a menudo se basa en el menor privilegio, que se refiere al
otorgamiento a los usuarios de solo aquellos accesos requeridos para ejecutar sus
funciones.
El auditor SI necesita saber qué se puede hacer con el acceso y qué está restringido.
El auditor SI debe revisar las listas de control de acceso (ACLs). Un ACL es un registro
de usuarios que tienen permiso para usar un sistema en particular y los tipos de acceso
permitidos.

ASPECTOS RELACIONADOS CON LA AUTORIZACIÓN

Riesgos
• Denegación de servicio
• Terceros maliciosos
• Software de comunicaciones
mal configurado
• Dispositivos mal configurados
en la infraestructura informática
corporativa
• Los sistemas de servidor (host)
no protegidos apropiadamente
• Problemas de seguridad física
en computadoras de usuarios
remotos
Controles
• Política y estándares
• Autorizaciones apropiadas
• Mecanismos de identificación y
autenticación
• Herramientas y técnicas de
encriptación, como por ejemplo
el uso de VPN
• Gestión (Management) de
sistemas y de redes
REGISTROS (LOGS) DEL SISTEMA.

Las pistas de auditoría deben ser protegidas por fuertes controles de acceso para
ayudar a prevenir accesos no autorizados.
El auditor SI debe asegurarse que los registros no puedan ser manipulados
indebidamente o alterados sin dejar una pista de auditoría.
Cuando se revisa o se realiza el seguimiento de un acceso de seguridad, el auditor SI
debe buscar:
• Patrones o tendencias que indican abuso de privilegios de acceso, como por ejemplo
concentración en una aplicación sensible
• Violaciones (como por ejemplo intentar el acceso a archivos informáticos para los cuales no se
tenga autorización) o uso de contraseñas incorrectas

LISTAS DE CONTROL DE ACCESO

Cuando un usuario
cambia sus funciones
Para proporcionar autorizaciones de seguridad para los de trabajo dentro de
archivos y recursos (facilities) enumerados anteriormente, los una organización, a
mecanismos de control de acceso lógico utilizarán tablas de menudo sus antiguos
autorización de acceso a las que también se hace referencia derechos de acceso
como listas de control de acceso (ACL) o tablas de control de no son eliminados
acceso. Las ACL se refieren a un registro de: antes de agregar los
nuevos accesos
• Usuarios (incluidos grupos, máquinas, procesos) a los que se les requeridos.
ha dado permiso para usar un recurso particular de sistema, y
• Los tipos de acceso permitidos. Sin eliminar los
antiguos derechos de
acceso, podría haber
un problema potencial
de SoD.

52
ADMINISTRACIÓN DE SEGURIDAD DE ACCESO LÓGICO

Se deben implementar controles de software para el acceso a la computadora, a los archivos de datos y para el
acceso remoto a la red.

El ambiente de control físico debe ser lo más seguro posible, como por ejemplo tener terminales y salas de
computadores que se puedan cerrar con clave.

El acceso desde ubicaciones remotas por módem y desde computadores portátiles a las demás microcomputadoras
debe estar controlado de manera apropiada.

Se deben limitar las oportunidades de que gente no autorizada obtenga conocimientos del sistema, implementando
controles sobre el acceso a la documentación de los sistemas y a los manuales.

Deben existir controles para los datos transmitidos desde las ubicaciones remotas, como por ejemplo las ventas en
una ubicación que actualiza los archivos de las cuentas por cobrar en otra ubicación. La ubicación que envía la
información debe transmitir información de control, como por ejemplo, totales de control, para permitir que la
ubicación destinataria verifique la actualización de sus archivos. Cuando sea posible, el monitoreo centralizado debe
asegurar que todos los datos procesados en ubicaciones remotas hayan sido recibidos en forma completa y son
actualizados correctamente.

Cuando existan archivos replicados en múltiples ubicaciones, los controles deben asegurar que todos los archivos
usados sean correctos y estén actualizados, y cuando los datos sean usados para producir información financiera,
53

que no tengan duplicaciones.

SEGURIDAD DE ACCESO REMOTO

Los riesgos de acceso remoto incluyen: Los controles de acceso remoto

• Denegación de servicio (DoS)
• Terceros maliciosos
• Software de comunicaciones mal
configurado
• Dispositivos mal configurados
• Sistemas de servidor (host) no
asegurados apropiadamente
• Problemas de seguridad física en
computadoras de los usuarios remotos
incluyen:
• Política y estándares
• Autorizaciones apropiadas
• Mecanismos de identificación y
autenticación
• Herramientas y técnicas de encriptación,
como por ejemplo el uso de VPN
• Gestión de sistemas y de redes

54
REGISTROS (LOGGING) DE AUDITORÍA EN EL MONITOREO DEL
ACCESO AL SISTEMA
Derechos de acceso a los
registros del sistema
Los derechos de acceso a los registros del
sistema para que los administradores de
seguridad realicen las actividades citadas
aquí anteriormente deben ser controlados
estrictamente.
Una revisión periódica de los registros
generados por sistema puede detectar
problemas de seguridad, incluyendo
intentos de exceder la autoridad de acceso
o de obtener acceso al sistema durante
horas inusuales.
Herramientas para el análisis de
la pista de auditorías
Herramientas de reducción de auditoría
Herramientas de detección de
tendencias/varianzas
Herramientas de detección de ataque de
firma
Sistemas SIEM (Gestión Eventos e
Información de Seguridad)
Revisión de auditoría de SI
El auditor SI debe asegurarse que los
registros no puedan ser manipulados
indebidamente o alterados sin dejar una
pista de auditoría.
Cuando se revisa o se realiza el
seguimiento de un acceso de seguridad, el
auditor SI debe buscar:
• Patrones o tendencias que indican abuso de
privilegios de acceso, como por ejemplo
concentración en una aplicación sensible
• Violaciones (como por ejemplo intentar el acceso
a archivos informáticos para los cuales no se
tenga autorización) o uso de contraseñas
incorrectas

55

AUDITORÍA DE ACCESO LÓGICO

Obtener una comprensión general del riesgo de seguridad que enfrenta el procesamiento de la
información a través de una revisión de la documentación relevante, consulta, observación,
evaluación de riesgo y técnicas de estimación.

Documentar y evaluar los controles sobre las vías potenciales de acceso al sistema para determinar
si son adecuados, eficientes y efectivos revisando las funciones apropiadas de seguridad del
hardware y del software e identificando cualesquiera deficiencias o redundancias

Probar los controles sobre las vías de acceso para determinar que están funcionando y que son
efectivas aplicando las técnicas apropiadas de auditoría.

Evaluar el ambiente de control de acceso para determinar si se logran los objetivos de control
analizando los resultados de las pruebas y otras evidencias de auditoría.

Evaluar el ambiente de seguridad para determinar si es adecuado revisando las políticas escritas,
observando las prácticas y los procedimientos y comparándolas con los estándares apropiados de
seguridad o con las prácticas y los procedimientos que usan otras organizaciones.
56
AUDITORÍA DEL PROCESO DE ACCESO LÓGICO

Revisar el
Revisar los
Evaluar y manual de
Familiarizarse Entrevistar al informes del
documentar operaciones
con el entorno personal de software de
las rutas de de los
de TI sistemas control de
acceso sistemas de
acceso
aplicación

57

FUGA DE DATOS

La fuga de datos involucra la transferencia no autorizada de información sensible o

patentada, de una red interna al mundo exterior.
La prevención de fuga de datos es un conjunto de tecnologías y procesos asociados que
localizan, monitorean y protegen la información confidencial de divulgación no
autorizada.
Las DLP tienen tres objetivos clave:
• Localizar y catalogar la información sensible almacenada en la empresa.
• Monitorear y controlar el movimiento de información sensible a través de las redes de la empresa.
• Monitorear y controlar el movimiento de información sensible en los sistemas del usuario final.
SOLUCIONES DE DLP (PREVENCIÓN
DE FUGA DE DATOS)
Datos en reposo
Datos en movimiento
Datos en uso
Creación y gestión de políticas
Integración de servicios de directorio
Gestión del flujo de trabajo
Respaldo y restauración
Presentación de informes
Riesgos, limitaciones y consideraciones de DLP

SEGURIDAD DE LA RED Y DEL PUNTO FINAL

60
EL MODELO DE INTERCONEXIÓN DE SISTEMAS ABIERTOS (OSI)

El modelo OSI define grupos de funcionalidad requeridos para las computadoras de la red en
capas, que se describen a continuación:

1. Capa física: gestiona las señales entre los sistemas de red.

2. Capa de enlace de datos: divide los datos en tramas que pueden ser transmitidas por la capa
física.

3. Capa de red: traduce las direcciones de red y enruta los datos del remitente al receptor.

4. Capa de transporte: garantiza que los datos se transfieran de forma fiable en la secuencia
correcta.

5. Capa de sesión: coordina y gestiona las conexiones de usuario.

6. Capa de presentación: formatea, cifra y comprime los datos.

7. Capa de aplicación: media entre las aplicaciones de software y otras capas de servicios de red.
61

MODELO OSI TRADICIONAL

62
RIESGOS DE LAN ASOCIADOS.

La pérdida integridad de datos y de los Revelación indebida de datos causado por

programas a través de cambios no
autorizados
La falta de protección de los datos
vigentes a través de la incapacidad
para mantener el control de versiones
Exposición a actividad externa a través
de la verificación deficiente de usuario
y potencial acceso a la red pública
desde conexiones remotas.
Infección por virus y gusanos.
63
disposiciones de acceso general en lugar
de utilizar la base de “necesidad de saber”.
Acceso ilegal por suplantación o
enmascaramiento como un legítimo.
Usuario de LAN
Usuario interno olfateando (sniffing)
Usuario interno suplantando (spoofing)
Falta de habilitación de registros de
actividad automatizados con detalle
Destrucción de los datos de logging y
de auditoría

EL ROL DE LA AUDITORÍA DE SI EN
LA TECNOLOGÍA LAN
Para llegar a un total entendimiento de la LAN, el
auditor SI debe identificar y documentar lo siguiente:
• Usuarios o grupos con derechos de acceso privilegiados
• Topología de la LAN y diseño de red
• El administrador de la LAN /propietario de la LAN
• Las funciones que desempeñan el administrador
/propietario de la LAN
• Los diferentes grupos de usuarios de la LAN
• Las aplicaciones informáticas usadas en la LAN
• Los procedimientos y los estándares relativos al diseño
de la red, soporte, perfiles de acceso y seguridad de los
datos.

64
SEGURIDAD DE INFRAESTRUCTURA DE RED

El auditor SI debe estar familiarizado con el riesgo y las exposiciones relacionadas con
la infraestructura de la red.
Las funciones de control de red deberían:
• Ser ejecutado por profesionales capacitados, y las funciones deben ser rotadas regularmente.
• Mantener una pista de auditoría de todas las actividades del operador.
• Restringir el acceso del operador a ciertas funciones.
• Revisar periódicamente los registros de auditoría para detectar actividades no autorizadas.
• Documentar estándares y protocolos.
• Analizar el equilibrio de la carga de trabajo, tiempo de respuesta y eficiencia del sistema.
• Cifrar los datos, cuando corresponda, para proteger los mensajes de la divulgación durante la
transmisión.

SEGURIDAD DE LAN

Para llegar a un total entendimiento de la LAN, el auditor SI debe identificar y

documentar lo siguiente:
• Usuarios o grupos con derechos de acceso privilegiados
• Topología de la LAN y diseño de red
• El administrador de la LAN /propietario de la LAN
• Las funciones que desempeñan el administrador /propietario de la LAN
• Los diferentes grupos de usuarios de la LAN
• Las aplicaciones informáticas usadas en la LAN
• Los procedimientos y los estándares relativos al diseño de la red, soporte, perfiles de acceso y
seguridad de los datos.
VIRTUALIZACIÓN

Los auditores de SI deben comprender las ventajas y desventajas de la virtualización

para determinar si la empresa ha tomado en consideración el riego aplicable en su
decisión de adoptar, implementar y mantener esta tecnología.
Algunas ventajas y desventajas comunes incluyen:

Ventajas
• Disminución de los costos de hardware del
servidor.
• Capacidad de procesamiento y espacio de
almacenamiento compartidos.
• Disminución de la huella física.
• Múltiples versiones del mismo sistema
operativo.
Desventajas
• La configuración inadecuada del servidor
(host) puede crear vulnerabilidades que
afectan no solo al servidor, sino también a
los invitados (guest).
• Los datos podrían filtrarse entre los
huéspedes.
• Los protocolos inseguros para el acceso
remoto podrían resultar en la exposición de
credenciales administrativas.

SEGURIDAD DEL CLIENTE/SERVIDOR

Un cliente/servidor consiste en un grupo de

computadoras conectadas por una red de
comunicaciones, donde el cliente es la máquina
solicitante y el servidor es la máquina
proveedora.
Existen diversas rutas de acceso en un entorno
cliente-servidor.
EL ROL DEL AUDITOR DE SI EN LA SEGURIDAD
CLIENTE/SERVIDOR
El auditor SI debe asegurarse que:
• Los controles de la aplicación no pueden ser evitados.
• Las contraseñas siempre están encriptadas.
• El acceso a los archivos de configuración o inicialización se mantienen al mínimo.
• Se auditan los accesos a los archivos de configuración o inicialización.

SEGURIDAD INALÁMBRICA

Los requisitos de seguridad inalámbrica

incluyen lo siguiente:
• Autenticidad: Un tercero debe poder verificar
que el contenido de un mensaje no haya sido
cambiado en tránsito.
• No repudio: El origen o el recibo de un
mensaje específico debe ser verificable por
parte de un tercero.
• Responsabilidad: Las acciones de una entidad
deben ser rastreables inequívocamente a esa
entidad.
• Disponibilidad de red: El recurso de tecnología
de información debe estar disponible
oportunamente para satisfacer los
requerimientos de misión o para evitar
pérdidas sustanciales.
SEGURIDAD DE INTERNET

El auditor SI debe comprender los factores de riesgo y seguridad necesarios para

garantizar que se implementen controles adecuados cuando una empresa se conecta a
Internet.
Los ataques a la red involucran indagar información sobre la red.
• Ejemplos de ataques pasivos incluyen el análisis de redes, espionaje y análisis de tráfico.

SEGURIDAD DE INTERNET (CONT.)

Una vez que recopila suficiente información de red, un intruso puede lanzar un ataque
real contra un sistema objetivo para obtener el control.
• Entre los ejemplos de ataques activos se incluyen la denegación de servicio (DoS), phishing,
acceso no autorizado, repetición de paquetes, ataques por fuerza bruta y suplantación (spoofing)
de correo electrónico.

El auditor SI debe tener una buena comprensión de los siguientes tipos de cortafuegos
(firewall):
• Filtrado de paquetes
• Sistemas de cortafuegos (firewall) de aplicación
• Inspecciones de estado
SEGURIDAD DE INTERNET (CONT.)

El auditor SI también debe estar

familiarizado con las implementaciones de
cortafuegos (firewall) comunes, que
incluyen:
• Cortafuegos (firewall) de servidor (host) de
filtrado
• Cortafuegos (firewall) de doble perímetro
(dual-homed)
• Cortafuegos (firewall) de zona desmilitarizada
(DMZ) o subred protegida

El auditor SI debe estar familiarizado con

los tipos, características y limitaciones de
los sistemas de detección de intrusos y los
sistemas de prevención de intrusos.

CORTAFUEGOS (FIREWALLS)

Un cortafuegos (firewall) es un sistema o combinación de sistemas que refuerza una

frontera entre dos o más redes.
Por lo general, forma una barrera entre un entorno seguro y uno abierto como Internet,
aplica reglas para controlar el tipo de tráfico de red que entra y sale.
La mayoría de los cortafuegos (firewall) comerciales están elaborados para manejar
protocolos de Internet más comunes.

74
CARACTERÍSTUCAS DEL CORTAFUEGOS (FIREWALL)

Existen diferentes tipos de cortafuegos (firewall), pero la mayoría de ellos permiten a las
organizaciones:
• Filtrar el tráfico entrante y saliente
• Bloquear el acceso a sitios particulares en Internet
• Limitar el tráfico en el segmento de servicios públicos de una organización a direcciones y
puertos relevantes
• Prevenir que algunos usuarios accedan acceso a ciertos servidores o servicios
• Supervisar y registrar las comunicaciones entre una red interna y una externa para investigar las
penetraciones en la red o detectar alteraciones internas
• Encriptar paquetes enviados entre diferentes ubicaciones dentro de una organización mediante a
creación de una red privada virtual (VPN) a través de Internet (por ejemplo, IPSec, túneles VPN)

75

TECNOLOGÍA DE
CORTAFUEGOS (FIREWALL)
• Filtros de paquetes
• Inspección estatal
• Proxy de aplicación
• Cortafuegos (firewall) de próxima generación

76
MODELO DE CORTAFUEGOS (FIREWALL) DE FILTRADO DE
PAQUETES
Un cortafuegos (firewall) de primera generación, en el filtrado de paquetes, un enrutador
de filtrado examina el encabezado de cada paquete de datos que viaja entre Internet y la
red de la organización.
Los encabezados (headers) de paquetes contienen:
• Información, incluyendo la dirección IP del emisor y receptor
• Los números de puerto (aplicación o servicio) autorizados para utilizar la información transmitida
• Basada en esa información, el enrutador reconoce el tipo de servicio de Internet que se se utiliza
para enviar los datos y las identidades del remitente y receptor de los datos.
• Con esto, el enrutador puede prevenir el envío de ciertos paquetes entre Internet y la red
corporativa.

77

CORTAFUEGOS (FIREWALL) DE FILTRADO DE PAQUETES

Ventajas

• Simplicidad de un cuello de botella (choke point) de red

• Mínimo impacto en el rendimiento de la red
• GRATISPoco costoso o gratuito

Desventajas

• Vulnerable a ataques debido a archivos configurados incorrectamente

• Susceptible a los ataques tunelizados a través de servicios permitidos
• Todos los sistemas de red privada son vulnerables cuando un
enrutador de filtrado de paquete se ve comprometido

78
ATAQUES COMUNES CONTRA UN CORTAFUEGOS (FIREWALL) DE
FILTRADO DE PAQUETES

• El atacante falsifica la dirección de IP de un servidor (host) de

Suplantación la red interna o uno de una red de confianza, por lo que el
(spoofing) de IP paquete enviado puede pasar la base de reglas del
cortafuegos (firewall) y penetrar en el perímetro del sistema.

• El atacante define la ruta que toma el paquete IP de tal

Especificación de manera que eludirá el cortafuegos (firewall).
enrutamiento en la • Este tipo de ataque se centra alrededor del enrutamiento
que un paquete IP debe tomar cuando atraviesa Internet
fuente desde el servidor (host) de origen hasta el servidor (host) de
destino.

Ataque de • El atacante fragmenta el paquete IP y fuerza paquetes más

pequeños a través del cortafuegos (firewall).
fragmentación en • Este tipo de ataque se basa solo en la primera secuencia de
paquetes fragmentados que se examinan, con la esperanza
miniatura de que otros puedan pasar sin revisión.

79

SISTEMAS DE CORTAFUEGOS (FIREWALL) DE APLICACIÓN

Los sistemas de cortafuegos (firewall) de aplicación permiten que la información fluya entre los sistemas
pero no permiten el intercambio directo de paquetes.

Hay dos tipos de sistemas de cortafuegos (firewall) de aplicación.

Portales de enlace (gateways) de nivel de aplicación: Sistemas que analizan paquetes a través de un
conjunto de proxies, uno para cada servicio.
• La implementación de múltiples proxies afecta al rendimiento de la red, por lo que cuando el rendimiento
de la red es una preocupación, un portal de enlace (gateway) a nivel de circuito puede ser una mejor
opción.

Pasarelas (gateway) de nivel de circuito: sistemas que utilizan un servidor proxy para todos los servicios.
• Estos son más eficientes y también operan a nivel de aplicación.
• Las sesiones TCP y UDP se validan, normalmente a través de un único proxy de propósito general,
antes de abrir una conexión.

Tenga en cuenta que comercialmente, las puertas de enlace de nivel de circuito son bastante raras.
80
CORTAFUEGOS (FIREWALL) DE APLICACIÓN

Ventajas

• Proporcionan seguridadseguridad para los protocolos usados con

más frecuencia
• Generalmente se oculta la red desde el exterior a redes no
confiables
• Tienen la habilidad de proteger toda la red al limitar los robos al
cortafuegos (firewall).
• Tienen la habilidad de examinar y asegurar el código de programar

Desventajas

• Bajo rendimiento y escalabilidad conforme crece el uso de internet

81

SISTEMAS DE INSPECCIÓN DE ESTADO

También conocido como filtrado dinámico de paquetes, un sistema de inspección de

estado rastrea la dirección IP de destino de cada paquete que sale de la red interna de
la organización.
El sistema de estado mapea la dirección IP de origen de un paquete entrante con una
lista de direcciones IP de destino que se mantiene y actualiza.
Cuando se recibe una respuesta a un paquete, se hace referencia a su registro para
determinar si el mensaje entrante se realizó en respuesta a una solicitud que la
organización envió.
Este enfoque previene cualquier ataque iniciado y originado por un extraño.
CORTAFUEGOS (FIREWALL) DE INSPECCIÓN DE ESTADO

Ventajas

• Proporcionan un mayor control sobre el flujo de tráfico IP

• Mayor eficiencia en el intensivo de CPU, en comparación
con los sistemas de cortafuegos (firewall) de aplicación de
tiempo completo

Desventajas

• Son complejos de administrar

83

CORTAFUEGOS (FIREWALL) SIN ESTADO VS. CON ESTADO

El filtrado sin estado no mantiene el estado de las sesiones de conexión TCP en curso.
• Esto contrasta con la acción de los sistemas de estado, que realizan un seguimiento de las
conexiones TCP.

El sistema sin estado no tiene memoria del número de puerto de origen que seleccionó
el cliente de la sesión.
• Los cortafuegos sin estado son más rápidos, pero menos sofisticados que los cortafuegos de
estado.

Debido a que el tráfico UDP no tiene estado, las aplicaciones que requieren UDP para
operar desde Internet a una red corporativa deben ser:
• Utilizados con moderación
• Implementados con controles alternativos
IMPLEMENTACIONES DE CORTAFUEGO (FIREWALL)

Las implementaciones de cortafuegos (firewall) pueden aprovechar la funcionalidad

disponible en una variedad de diseños de cortafuegos para proporcionar un enfoque
robusto y en capas para proteger los activos de información de una organización.
Las implementaciones más usadas que están disponibles en la actualidad incluyen:
• Cortafuegos (firewall) de servidor (host) de filtrado: Implementa la seguridad básica de la capa de
red (filtrado de paquetes) y la seguridad del servidor de aplicaciones (servicios proxy).
• Cortafuegos (firewall) con doble perímetro (dual-homed): tiene dos o más interfaces de red, cada
una de las cuales está conectada con una red diferente.
• Cortafuegos (firewall) de zona desmilitarizada (DMZ) o subredes protegidas

IMPLEMENTACIONES DE CORTAFUEGO (CONTINUACIÓN)

Otra implementación de cortafuegos

comunmente utilizada es la zona
desmilitarizada (DMZ) o cortafuegos de
subred protegida.
Se trata de una red pequeña y aislada para
los servidores públicos de una
organización, los servidores de información
de los servidores bastión (bastion host) y
agrupaciones de módems.
• La DMZ conecta la red no confianble a la
red de confianza, pero existe en su
propio espacio independiente para
limitar el acceso y la disponibilidad de
recursos.
BENEFICIOS DEL CORTAFUEGO (FIREWALL) DE DMZ

Los principales beneficios del sistema DMZ

son:
• Un intruso debe penetrar tres dispositivos
separados.
• Las direcciones de red privadas no se dan
a conocer en Internet.
• Los sistemas internos no tienen acceso
directo a Internet.

PROBLEMAS DEL CORTAFUEGOS

Errores de Monitoreo de
configuraciones demandas

Vulnerabilidad a los
Mantenimiento de ataques basados
políticas en aplicaciones y
entradas

88
PLATAFORMAS DE CORTAFUEGOS

Los cortafuegos (firewalls) pueden implementarse utilizando hardware, software o plataformas virtuales.
La implementación de hardware proporciona rendimiento con una mínima sobrecarga del sistema.
• Estos no son tan flexibles o escalables como los cortafuegos (firewall) basados en software.
Los cortafuegos (firewall) basados en software son genralmente más lentos con una sobrecarga
significativa de los sistemas.
• Son flexibles y pueden incluir servicios adicionales como protección contra virus.
Cuando se usan cortafuegos (firewall) basados en servidores, los sistemas operativos en los servidores
son a menudo vulnerables a ataques.
• Cuando los ataques a los sistemas operativos tienen éxito, el cortafuegos (firewall) puede verse
comprometido.
Un equipo informático (appliance) es un dispositivo que contiene todo el software y las configuraciones
preestablecidas en un servidor físico que está conectado entre dos redes. Generalmente, es mejor usar
equipos especializados (appliances), en lugar de servidores convencionales para los cortafuegos
(firewalls).

CORTAFUEGOS (FIREWALL) DE PRÓXIMA GENERACIÓN (NGFW)

NGFW (del inglés Next Generation Firewall) son cortafuegos destinados a abordar dos
limitaciones clave encontradas en cortafuegos anteriores:
• La incapacidad del cortafuegos para inspeccionar la carga útil de los paquetes
• La incapacidad del cortafuego para distinguir entre tipos de tráfico web
Un NGFW es un sistema de seguridad de red adaptable capaz de detectar y bloquear
ataques sofisticados.

Realizan funciones tradicionales, como: • Introduce el conocimiento de la aplicación.

• Filtrado de paquetes • Incorpora tecnología de inspección
• Inspección a nivel del estado profunda de paquetes (DPI).
• Traducción de dirección de red (NAT) • Ofrece diferentes grados de protección
integrada contra amenazas.
CORTAFUEGOS (FIREWALL) DE APLICACIÓN
WEB (WAF)
Un cortafuegos (firewall) de aplicación web es un complemento
de servidor, equipo informático (appliance) o filtro adicional que
puede ser empleado para aplicar reglas a una aplicación web
específica (normalmente a una comunicación HTTP).
El WAF opera a niveles más altos en el modelo OSI,
generalmente en el nivel 7.
En contraste, los cortafuegos de red operan en el nivel 3 ó 4.
Un WAF puede personalizarse para identificar y bloquear
muchos tipos de ataques, pero la personalización requiere
esfuerzo.
Cuando se hacen cambios en la aplicación, las reglas del WAF
también necesitan cambios.
91

DESARROLLO Y AUTORIZACIÓN DE
CAMBIOS A LA RED
El auditor de SI puede probar este control de
cambio mediante:
• El muestreo de solicitudes de cambio recientes,
buscando la autorización apropiada y haciendo coincidir
la solicitud con el dispositivo de red real.
• La coincidencia de los cambios recientes de la red, tales
como nuevas líneas de telecomunicación, con
terminales agregadas y solicitudes de cambio
autorizado.

Como un control agregado, el auditor SI debe

determinar quién tiene acceso al software de
cambio de red.
Este acceso debe ser restringido para los
administradores de red senior.
92
TI INVISIBLE (SHADOW IT)

TI Invisible (Shadow IT) es una aplicación,

herramienta, servicio o sistema que se utiliza
dentro de una organización para colaborar,
desarrollar software, compartir contenido,
almacenar y manipular datos o servir un gran
número de otros propósitos sin ser revisada,
probada, aprobada, implementada o asegurada
por parte de las funciones de seguridad de TI o
de la información de la organización de acuerdo
a las políticas y procedimientos escritos.

93

CONTROLES DE TI INVISIBLE (SHADOW IT)

El departamento de TI como organización de prestación

de servicios Política de TI
Invisible (Shadow
Presupuestos y adquisiciones de TI IT): una política que
se alinea con los
Consolidación de sistemas de TI (cuando sea posible) objetivos del
negocio y respalda
Acceso de usuarios y derechos administrativos los requisitos de
seguridad.
Educación de los usuarios
Monitorización de la actividad del usuario
Intercambio de datos del usuario

94
 ACTIVIDAD

Ha sido asignado para una revisión de la

arquitectura de red. Se trata de una gran red de
área extendida multicampus que utiliza las
siguientes tecnologías:
• Externas
ISP estándar suministrado T1 y OS3
VerSprinAT & Bell MPLS
Comunicaciones por satélite
Radiofrecuencia (RF) de punto a punto
• Internas
Wifi para empresas e invitados
Alambrado con fibra de columna vertebral

Al ejecutar una auditoría de la infraestructura de

red, ¿qué documento debe revisar el auditor SI?

ACTIVIDAD

El CIO y el CISO manifiestan que su objetivo

es prevenir y detectar ataques informáticos
que puedan dar lugar al robo o modificación
de datos de propiedad o confidenciales.
¿Cuál sería un riesgo específico de las redes
inalámbricas?
CLASIFICACIÓN DE DATOS

97

CLASIFICACIÓN DE DATOS

Para tener controles efectivos, las organizaciones deben tener un inventario detallado de
los activos de información.
La mayoría de las organizaciones usa un esquema de clasificación con tres a cinco
niveles de sensibilidad.
La clasificación de datos provee los siguientes beneficios:
• Define el nivel de los controles de acceso
• Reduce el riesgo y costo de proteger en exceso o defecto los recursos de información
• Mantiene requisitos de seguridad consistentes
• Permite el tratamiento uniforme de los datos mediante la aplicación de políticas y procedimientos
específicos de cada nivel.
• Identifica quién debe tener acceso.
CLASIFICACIÓN DE DATOS (CONT.)

El propietario de la información debe decidir sobre la clasificación adecuada, en función

de la política de clasificación y manejo de los datos de la organización.
La clasificación de los datos debe definir:
• La importancia del activo de información
• El propietario de los activos de información
• El proceso para otorgar acceso
• La persona responsable de aprobar los derechos y niveles de acceso
• La extensión y detalle de los controles de seguridad

La clasificación de los datos también debe tener en cuenta los requisitos legales,
regulatorios, contractuales e internos para mantener la privacidad, confidencialidad,
integridad y disponibilidad.

ACTIVIDAD

Usted ha sido asignado para ayudar al equipo de

respuesta a incidentes en la evaluación de las
lecciones aprendidas después del incidente y en
las actividades de remediación para prevenir la
recurrencia de las causas fundamentales. Su
equipo ha completado la respuesta a la fuga de
datos, lo que ha puesto en peligro el acceso
administrativo a la red de cortafuegos (firewall).
Cuando el cortafuegos (firewall) fue enviado
fuera del sitio para el mantenimiento del
proveedor, ¿qué medidas se deberían haber
tomado?
 PREGUNTA PARA DISCUSIÓN

El PRIMER paso en la clasificación de datos es:

A. establecer la propiedad.
B. realizar un análisis de criticidad.
C. definir reglas de acceso.
D. crear un diccionario de datos.

PREGUNTA PARA DISCUSIÓN

Desde una perspectiva de control, el objetivo

PRIMARIO de clasificar los activos de
información es:
A. establecer las pautas para el nivel de control de
acceso que deben asignarse.
B. asegurarse que los controles de acceso estén
asignados a todos los activos de información.
C. asistir a la gerencia y a los auditores en la
evaluación de riesgos.
D. identificar cuáles activos necesitan ser
asegurados contra pérdidas.
CIFRADO DE DATOS Y TÉCNICAS RELACIONADAS
CON EL CIFRADO

103

ENCRIPTACIÓN

La encriptación se usa en general para:

• Proteger a los datos que viajan a través de
las redes de la interceptación y la
manipulación no autorizadas
• Proteger a la información almacenada en
las computadoras de la visualización y la
manipulación no autorizadas
• Disuadir y detectar alteraciones
accidentales o intencionales de los datos
• Verificar la autenticidad de una transacción
o documento
ELEMENTOS CLAVE DE LOS SISTEMAS DE CIFRADO

Algoritmo de cifrado
• Una función basada en las matemáticas que cifra/decifra datos.

Clave de cifrado
• Una porción de información utilizada por el algoritmo de cifrado para hacer que el proceso de
cifrado o decifrado sea único.

Longitud de la clave
• Una longitud predeterminada para la clave; cuanto más larga es la clave, más difícil es
comprometerla

ESQUEMAS DE CIFRADO

Hay dos tipos de esquemas de cifrado:

• Simétrica: se utiliza una clave única (normalmente denominada "clave
secreta") tanto para el cifrado como para el descifrado.
• Asimétrica: la clave de descifrado es diferente a la utilizada para el
cifrado.

Hay dos ventajas principales de los sistemas de claves simétricas

sobre las asimétricas.
• Las claves son mucho más cortas y se pueden recordar fácilmente.
• Los criptosistemas de claves simétricas suelen ser menos complicados y,
por lo tanto, utilizan menos poder de procesamiento.
CRIPTOGRAFÍA DE CLAVE PÚBLICA

En un sistema de criptografía de clave pública, dos

claves trabajan juntas como un par. Una de las
claves se mantiene privada mientras que la otra se
revela públicamente.
El algoritmo subyacente funciona incluso si se utiliza
la clave privada para encriptación y la clave pública
para desencriptación.

ESQUEMAS DE FIRMA DIGITAL

Los esquemas de firma digital aseguran:

• Integridad de los datos: Cualquier cambio al mensaje de texto
plano tendría como resultado que el destinatario fracasara en
el cálculo del hash del documento.
• Autenticación: El destinatario puede asegurar que el
documento ha sido enviado por quien alega haberlo enviado
debido a que únicamente quien lo envió tiene la clave privada.
• No repudio: El remitente reclamado no puede negar después
que generó el documento.

El auditor SI debe estar familiarizado con la manera en

que funciona una firma digital para proteger datos.
 PREGUNTA PARA DISCUSIÓN

¿El objetivo PRINCIPAL de instalar software de

prevención de fuga de datos (DLP) es controlar
cuál de las siguientes opciones?
A. Privilegios de acceso a archivos confidenciales
almacenados en los servidores
B. Intentos de destruir datos críticos en la red
interna
C. Qué sistemas externos pueden acceder a
recursos internos
D. Documentos confidenciales que salen de la red
interna

INFRAESTRUCTURA DE CLAVE PÚBLICA

110
INFRAESTRUCTURA DE CLAVE PÚBLICA

La infraestructura de clave pública (PKI) permite a un tercero de confianza expedir,

mantener y revocar certificados de clave pública.

ELEMENTOS DE PKI
Un certificado digital se
Certificados compone de una clave pública
digitales e información acerca de la
identificación del propietario de
la clave pública.

Una CA es una autoridad Una autoridad de registro

en una red que emite y (RA) es una autoridad en
gestiona credenciales de Autoridad de una red que verifica las
seguridad y claves públicas Autoridad de solicitudes de un certificado
certificación
para la verificación o el registro (RA) digital recibidas de parte de
(CA) los usuarios e indica a la
cifrado de la firma del
mensaje. autoridad certificadora (CA)
que se emita.
111

TECNOLOGÍAS DE COMUNICACIÓN BASADA EN

LA WEB

112
SEGURIDAD DE VOZ SOBRE PROTOCOLO DE INTERNET (VOIP)

La clave para asegurar VoIP es usar los mecanismos de seguridad tales como los
desplegados en las redes de datos (por ejemplo, cortafuegos, encriptación) para emular
el nivel de seguridad usado normalmente por los usuarios de red de PSTN.
Por lo tanto, se deben aplicar rápidamente los parches al SO y las actualizaciones de las
firmas de virus para prevenir una potencial interrupción del sistema. Para aumentar la
protección del sistema telefónico y del tráfico de datos, la infraestructura de VoIP debería
ser segregada usando VLAN.
Cualquier conexión entre estas dos infraestructuras debería ser protegida usando
cortafuegos (firewall) que puedan interpretar los protocolos de VoIP.

113

SEGURIDAD DE CORREO ELECTRÓNICO

Problemas Consideraciones de control

• Ataques de phishing • Resolver los aspectos de seguridad del
• Ataques de DOS despliegue de un servidor de correo, a
través de estándares de mantenimiento y
• Mensajes de correo electrónico sin cifrar
manejo
interceptados
• Garantizar que la aplicación del servidor
• Virus
de correo esté desplegada, configurada y
• Problemas de exposición e integridad del administrada para satisfacer la política y
correo electrónico las pautas de seguridad establecidas por
la gerencia.
• Considerar la implementación de
tecnologías de encriptación para proteger
la autenticación de usuario y los datos de
correo

114
COMPUTACIÓN ENTRE PARES (PEER-TO-PEER)

115

MENSAJERÍA INSTANTÁNEA

116
REDES SOCIALES

Junto con el riesgo de las redes

sociales corporativas, existen
riesgos del uso personal de los
empleados de las redes
sociales que debe
considerarse.

117

MODELOS DE SERVICIO DE COMPUTACIÓN EN LA NUBE

118
MODELOS DE DESPLIEGUE DE LA COMPUTACIÓN EN LA NUBE

119

CARACTERÍSTICAS ESENCIALES DE LA COMPUTACIÓN EN LA

NUBE

120
OBJETIVOS DE SEGURIDAD EN LA NUBE

Asegurar la continua disponibilidad de sus sistemas de información y datos.

Garantizar la integridad y preservar la confidencialidad de los datos y la información
sensibles mientras están almacenados y en tránsito.
Asegurar el cumplimiento de las leyes, regulaciones y estándares aplicables.
Garantizar el cumplimiento con la confianza depositada y con las obligaciones en
relación con la información relativa a una persona identificada o identificable (es decir,
sujeto de datos) en conformidad con su política de privacidad o leyes y regulaciones de
privacidad aplicables.

121

EL AUDITOR SI Y LA COMPUTACIÓN EN LA NUBE

Algunas de las consideraciones para el auditor SI con respecto a la computación

en nube incluyen:
• Propiedad de los datos, custodia de datos y administración de la seguridad relacionada
con los modelos de implementación de la nube: CSA proporciona un cuestionario que las
organizaciones pueden utilizar para determinar si los proveedores de servicios cumplen
con la matriz de controles.
• Requisitos legales y riesgo único en el entorno de la nube: Las regulaciones, como el
Reglamento General de Protección de Datos (RGPD), pueden presentar desafíos únicos
para los datos almacenados en la nube.
• Potenciales limitaciones al derecho a la auditoría en un entorno de nube: Es posible que
un auditor no pueda investigar físicamente las instalaciones de un proveedor.

122
ENTORNOS VIRTUALIZADOS

123

ENTORNOS VIRTUALIZADOS

La virtualización nativa/metal (Bare Metal) ocurre cuando el hipervisor se ejecuta

directamente en el hardware subyacente, sin el sistema operativo anfitrión.
La virtualización alojada ocurre cuando el hipervisor se ejecuta por encima del sistema
operativo anfitrión (Windows, Linux o MacOS). Las arquitecturas de virtualización alojada
tienen por lo general una capa adicional de software (la aplicación de virtualización) que
se ejecuta en el sistema operativo huésped que proporciona utilidades para controlar la
virtualización mientras está en el sistema operativo huésped, tal como la capacidad de
compartir archivos con el sistema operativo anfitrión.
Containerización: Los contenedores incluyen la aplicación y todas sus dependencias
pero comparten el kernel con otros contenedores. Se ejecutan como un proceso aislado
en el espacio de usuario del sistema operativo del servidor (host).

124
RIESGO DE VIRTUALIZACIÓN Los productos de
virtualización rara
vez tienen controles
Los siguientes tipos de riesgo de alto nivel son de acceso al
representativos en la mayoría de los sistemas virtualizados hipervisor: Por lo
en uso: tanto, cualquiera que
pueda iniciar una
Rootkit aplicación en el
• Configuración inadecuada sistema operativo
anfitrión puede
• Herramientas de invitado
ejecutar el
• Imágenes instantáneas hipervisor.

El único control de
acceso es si una
persona puede
iniciar sesión en el
sistema operativo
anfitrión.
125

CONTROLES TÍPICOS DE VIRTUALIZACIÓN

El auditor SI debe revisar lo siguiente:
• El hipervisor y las imágenes huésped (sistemas operativos y redes) están configuradas de manera segura de
conformidad con los estándares de la industria. Reforzar la seguridad (hardening) de estos componentes virtuales
del mismo modo que lo haría con un servidor, conmutador, enrutador, cortafuegos u otro dispositivo de cómputo
físico.
• Las comunicaciones de gestión del hipervisor deben protegerse en una red de administración dedicada. Las
comunicaciones de gestión que se realizan en redes no confiables deben encriptarse, y la encriptación debe
encapsular el tráfico administrativo.
• Se deben colocar parches en el hipervisor a medida que el proveedor libera las correcciones para los defectos.
• La infraestructura virtualizada debe sincronizarse con un servidor de reloj que sea autorizado y confiable.
• El hardware físico no utilizado debe desconectarse del sistema anfitrión.
• Todos los servicios del hipervisor, como portapapeles o ficheros compartidos entre el sistema operativo huésped y
el sistema operativo anfitrión, deben desactivarse, a menos que sean necesarios.
• Se deben activar las capacidades de inspección del host para monitorear la seguridad de cada sistema operativo.
Los servicios de seguridad del hipervisor permiten monitorear la seguridad incluso cuando el sistema operativo
huésped está comprometido.
• Se deben activar las capacidades de inspección del servidor (host) para supervisar la seguridad de la actividad
que está ocurriendo entre los sistemas operativos huésped. De especial interés son las comunicaciones en un
126entorno no virtualizado
DISPOSITIVOS MÓVILES, INALÁMBRICOS Y DE LA
INTERNET DE LAS COSAS

127

INFORMÁTICA MÓVIL

La computación móvil se refiere a dispositivos que se

transportan o mueven durante el uso normal, incluidas
tabletas, teléfonos inteligentes y computadoras portátiles.

La informática móvil hace que resulte más difícil

implementar controles de acceso lógico y físico.

Las vulnerabilidades comunes de la computación móvil

incluyen las siguientes:
• La información puede viajar a través de redes inalámbricas no
seguras.
• La empresa puede no estar administrando el dispositivo.
• Información sin encriptar podría almacenarse en el dispositivo.
• El dispositivo podría tener una falta de requisitos de
autenticación.
• El dispositivo puede permitir la instalación de aplicaciones de
terceros sin firmar.
CONTROLES DE LA COMPUTACIÓN MÓVIL

Los siguientes controles reducirán el riesgo de revelación de los datos sensibles

almacenados en dispositivos móviles.

Registro del Almacenamiento Detección y

Etiquetado Seguridad física
dispositivo de datos control de virus

Política de uso
Cifrado Cumplimiento Aprobación Debido cuidado
aceptable

Seguimiento de
Formación de Autenticación de Transmisión Aplicaciones
la
concienciación red segura estándar
geolocalización

Borrado y Contrato de Soporte remoto

bloqueo remotos BYOD seguro

PROBLEMAS DE SEGURIDAD Y CONTROL

DE BYOD (TRAE TU PROPIO DISPOSITIVO)
Protección de datos sensibles y propiedad
intelectual.
Protección de redes a las que se conectan los
dispositivos BYOD.
Responsabilidad y rendición de cuentas por el
dispositivo y la información contenida en el
mismo.
Eliminación de los datos de la organización de
los dispositivos de los empleados al finalizar la
relación laboral o al perder el dispositivo.
Protección de malware.
130
RIESGOS DE BYOD

El riesgo relacionado a BYOD es similar al

riesgo de la informática móvil. Algunos riesgos
específicos relacionados con BYOD son:
• Controles de acceso y control de la seguridad de los
dispositivos.
• Capacidad para eliminar los datos sensibles de la
empresa en caso de terminación del empleo o
pérdida del dispositivo.
• Problemas de gestión relacionados con el soporte
de muchos tipos diferentes de dispositivos, sistemas
operativos y aplicaciones.
• Asegurarse de que los dispositivos BYOD propiedad
de los empleados estén debidamente respaldados
en todo momento.
131

RIESGOS DEL ACCESO A INTERNET EN DISPOSITIVOS MÓVILES

La interceptación de información Posibles efectos del uso de dispositivos

sensible.
La pérdida o robo de dispositivos
La pérdida de datos contenidos en los
dispositivos
El uso indebido de los dispositivos
Distracciones causadas por los
dispositivos
en la salud
Vulnerabilidades de SO
Aplicaciones
Autenticación de usuarios inalámbricos
Seguridad de archivos
Cifrado de seguridad de privacidad
equivalente al cableado (WEP)

132
AMENAZAS DE SEGURIDAD INALÁMBRICA Y MITIGACIÓN DE
RIESGOS
Clasificación de amenazas: Estrategia de mitigación
• Errores y omisiones • Autenticidad.
• Fraude y robo cometido por usuarios • No repudio
autorizados y no autorizados del sistema • Responsabilidad
• Sabotaje por empleados • Actividad de la red
• Pérdida de soporte físico y de
infraestructura
• Hackers maliciosos
• Espionaje industrial
• Código malicioso
• Espionaje de gobierno extranjero
• Amenazas a la privacidad personal

133

RIESGOS DE LA INTERNET DE LAS COSAS

• Salud y riesgo de la seguridad

• Cumplimiento de reglamentaciones
Riesgo de negocio: • Privacidad del usuario
• Costos inesperados

• Acceso inapropiado a la funcionalidad

Riesgo operacional: • Uso en segundo plano (shadow usage)
• Rendimiento

• Vulnerabilidades de dispositivo
Riesgo técnico: • Actualizaciones de dispositivo
• Gestión de dispositivos

134
GESTIÓN DE EVENTOS DE
SEGURIDAD

135

PROGRAMAS DE FORMACIÓN Y
CONCIENCIACIÓN EN SEGURIDAD

136
FORMACIÓN EN CONCIENCIACIÓN DE LA SEGURIDAD

Un programa activo de concienciación sobre la seguridad puede reducir en gran medida

los riesgos al tratar el elemento conductual de la seguridad a través de cursos de
formación y una aplicación consistente de técnicas encaminadas a crear conciencia.
Todos los empleados de una organización y los usuarios de terceros deben recibir
formación adecuada y actualizaciones periódicas sobre la importancia de las políticas,
estándares y procedimientos de seguridad de la organización.
Además, todo el personal debe estar capacitado en sus responsabilidades específicas,
relacionadas con la seguridad de la información.

PREGUNTA PARA DISCUSIÓN

¿Cuál de las siguientes opciones permite a un

auditor de SI determinar MEJOR la efectividad
de un programa de concientización y
capacitación sobre seguridad?
A. Revisar el programa de capacitación sobre
seguridad.
B. Preguntarle al administrador de seguridad.
C. Entrevistar una muestra de empleados.
D. Revisar los recordatorios de seguridad para los
empleados.
MÉTODOS Y TÉCNICAS DE ATAQUES A LOS
SISTEMAS DE INFORMACIÓN

139

FACTORES DE RIESGO DE FRAUDE

Motivación

Factores
de riesgo
de fraude

Racionalización Oportunidad

140
CRIMEN COMPUTARIZADO

Pérdida financiera
Repercusiones legales
Pérdida de credibilidad o ventaja competitiva
Chantaje/espionaje industrial/crimen organizado
Revelación de información confidencial, sensible o
embarazosa
Sabotaje

141

CRIMEN COMPUTARIZADO

Es importante que el auditor SI sepa y entienda las diferencias entre delito y abuso
cibernético para sustentar las metodologías de análisis de riesgos y las prácticas de
control relacionadas. Ejemplos de delitos computarizados incluyen:

Denegación de Malware, virus y

Hacking Fraude
servicio (DoS) gusanos

Acceso no Ataques de fuerza

Phishing Códigos maliciosos
autorizado bruta

Reenvío de
Escuchas ilegales
Análisis de red paquetes (packet Enmascaramiento
(eavesdropping)
replay)
CONTROLES DE MALWARE

Controles para
los virus y los
gusanos (worms)

Monitoreo de
Controles
sistemas vs
gerenciales de
ataques
procedimiento
dirigidos

Estrategias de
implementación Controles
del software técnicos
antimalware
143

HERRAMIENTAS Y TÉCNICAS PARA PROBAR LA

SEGURIDAD

144
TÉCNICAS DE PRUEBAS DE SEGURIDAD

• El auditor de SI puede usar tarjetas y claves de muestra para intentar

Tarjetas y claves de las obtener acceso más allá de lo autorizado.
terminales
• El auditor SI debe dar seguimiento a cualquier intento fallido de violación.

Identificación de • El auditor SI puede hacer un inventario de los terminales para buscar

terminales terminales registrados incorrectamente, faltantes o adicionales.

• Para poner a prueba la confidencialidad, el auditor SI puede intentar adivinar

contraseñas, encontrar contraseñas buscando en la oficina o conseguir que
un usuario divulgue una contraseña.
Identificadores de
• Para probar la encriptación, el auditor SI debe intentar ver la tabla de
inicio de sesión y contraseñas internas.
contraseñas
• Para probar la autorización, el auditor SI debe revisar una muestra de los
documentos de autorización de acceso para determinar si se ha dado la
autoridad adecuada.

TÉCNICAS DE PRUEBAS DE SEGURIDAD (CONT.)

Controles de acceso • El auditor SI debe trabajar con el analista de software del sistema para
informático determinar si todo el acceso se debe a una necesidad de información.

Registro y reporte de • El auditor del SI debe intentar acceder a las transacciones informáticas o a
violaciones de acceso los datos para los que no está autorizado el acceso. Los intentos fallidos
a las computadoras deben ser identificados en los informes de seguridad.

Seguimiento de las • El auditor SI debe seleccionar una muestra de informes de seguridad y

violaciones de acceso buscar evidencia de seguimiento e investigación de violaciones de acceso.

Evasión de la • El auditor SI debe trabajar con el analista de software del sistema, el

seguridad y controles administrador de red, el administrador de operaciones y el administrador de
compensatorios seguridad para determinar las formas de eludir la seguridad.
PRUEBAS DE PENETRACIÓN

Durante la prueba de penetración, un auditor trata de evadir las características de

seguridad de un sistema y explota las vulnerabilidades para tener acceso que de otro
modo sería no autorizado.
Descubrimiento
adicional

Descubri-
Planificación Ataque
miento

Presentación de informes

TIPOS DE PRUEBAS DE PENETRACIÓN

Pruebas externas Se refiere a ataques e intentos de evasión de controles en el perímetro de la red

objetivo desde fuera del sistema objetivo.

Pruebas internas Se refiere a ataques y a intentos de evadir los controles en el objetivo desde dentro
del perímetro.

Se refiere a la condición de la prueba cuando a un examinador de penetración se le

Prueba con da conocimiento limitado o ningún conocimiento de los sistemas de información del
enmascaramiento objetivo.

Doble Se refiere a una extensión de pruebas a ciegas, porque el administrador y el personal

prueba de seguridad del objetivo tampoco están al tanto de la prueba
a ciegas

Pruebas dirigidas Se refiere a ataques e intentos de evadir el control sobre el objetivo, mientras tanto el
equipo de TI como los examinadores de penetración están conscientes de las
actividades de prueba.
INTELIGENCIA DE AMENAZAS

La inteligencia de amenazas es una

información organizada, analizada y
refinada sobre ataques potenciales o
actuales que amenazan a una
organización proporcionada por los
prestadores de servicios y algunos CERT.

149

PREGUNTA PARA DISCUSIÓN

Un auditor SI está evaluando el desempeño de la

red para una organización que está
considerando el aumento de su ancho de banda
de Internet debido a una degradación del
rendimiento durante las horas laborales. ¿Cuál
de las siguientes opciones es la causa MÁS
probable de la degradación del desempeño?
A. Software malintencionado (malware) en los
servidores.
B. Configuración errónea del cortafuegos (firewall).
C. Aumento de correo no deseado (spam) por el
servidor de correo electrónico.
D. Actividades no autorizadas en las redes.
HERRAMIENTAS Y TÉCNICAS PARA MONITOREAR
LA SEGURIDAD

151

SISTEMAS DE DETECCIÓN DE INTRUSOS

Categorías
• IDS basados en red
• IDS basados en servidor (host)
Tipos
• Basados en firmas
• Basado en estadísticas
• Redes neurales
Una combinación de
modelos basados en
firma y basados en
estadísticas provee
una mejor
protección.

Política
• Finalizar el acceso
• Rastrear el acceso

152
SISTEMAS DE PREVENCIÓN DE INTRUSOSS

Honeypots
• Interacción alta
• Interacción baja
Previene que los
servidores de las
Honeynet: un conjunto de honeypots vinculados víctimas previstas se
vean afectados por
Se debe realizar una revisión completa de todas las dichos ataques.
vulnerabilidades del sistema de red para determinar si se han
identificado las amenazas a la confidencialidad, integridad y
disponibilidad.
Revisión:
• Políticas y procedimientos de seguridad
• Controles de acceso
• Configuración de la red (cortafuegos y segmentación)
153

INFORMACIÓN DE SEGURIDAD Y
GESTIÓN DE EVENTOS
Los sistemas SEM agregan y correlasistemasn de
forma automática los datos de registro de eventos
de seguridad a través de múltiples dispositivos de
seguridad.
Los sistemas de gestión de eventos y seguridad de
la información (SIEM) toman las capacidades de los
SEM y las combinan con características de análisis
histórico e informes de los sistemas de gestión de la
información de seguridad (SIM).
Un SOC es un equipo organizado creado para
mejorar la postura de seguridad de una
organización y responder a incidentes de seguridad.

154
 PREGUNTA PARA DISCUSIÓN

Las redes neurales son eficaces para detectar el

fraude debido a que pueden:
A. descubrir nuevas tendencias debido a su
naturaleza lineal.
B. solucionar problemas en los que no se pueden
obtener conjuntos grandes y generales de datos
de capacitación.
C. abordar problemas que requieren la
consideración de un gran número de variables de
entrada.
D. hacer suposiciones sobre la forma de cualquier
curva que relaciona las variables con la salida.

GESTIÓN DE RESPUESTA A INCIDENTES

156
PLAN DE GESTIÓN DE RESPUESTA A INCIDENTES

157

RECOLECCIÓN Y MANEJO FORENSE DE

EVIDENCIAS

158
INFORMÁTICA FORENSE

El auditor SI debe tener en consideración elementos

clave de informática forense durante la planificación
de la auditoría, incluidos los siguientes:
• Protección de datos
• Adquisición de datos
• Generación de imágenes
• Extracción
• Interrogación
• Ingestión/normalización
• Presentación de informes

PROTECCIÓN DE EVIDENCIA Y
CADENA DE CUSTODIA
La evidencia de un delito informático existe en la
forma de archivos de registro, hora y fecha de
modificación, creación o acceso de archivos,
contenidos de memoria, etc.
• Hacer una copia o más imágenes del sistema atacado.
• El contenido de la memoria debe también ser copiado a
un archivo antes de reiniciar el sistema.
• Preservar la cadena de custodia.

160
 PREGUNTA PARA DISCUSIÓN

El CSIRT de una organización difunde

descripciones detalladas de amenazas recientes.
La MAYOR preocupación de un auditor SI
debería ser que los usuarios puedan:
A. utilizar esta información para lanzar ataques.
B. compartir el alerta de seguridad.
C. implementar soluciones individuales.
D. no comprender la amenaza.

PREGUNTA PARA DISCUSIÓN

Un disco duro que contiene datos confidenciales

fue dañado sin posibilidad de reparación. ¿Qué
debe hacerse con el disco duro para impedir el
acceso a los datos contenidos en él?
A. Reescribir el disco duro con 0s y 1s aleatorios.
B. Formatear el disco duro a bajo nivel.
C. Desmagnetizar el disco duro.
D. Destruir físicamente el disco duro.
PREGUNTAS DE PRÁCTICA

PREGUNTA DE PRÁCTICA

En una organización donde se ha definido una

línea base (baseline) de seguridad de TI, un
auditor de SI debe PRIMERO asegurar:
A. la implementación.
B. el cumplimiento.
C. la documentación.
D. la suficiencia.

164
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la manera MÁS

segura para eliminar datos de cintas magnéticas
obsoletas antes de deshacerse de ellas?
A. Sobrescribir las cintas.
B. Inicializar las etiquetas de cintas.
C. Desmagnetizar las cintas.
D. Borrar las cintas.

165

PREGUNTA DE PRÁCTICA

Una organización permite el uso de unidades de

bus serial universal para transferir los datos
operacionales entre oficinas. ¿Cuál de los
siguientes es el MAYOR riesgo asociado con el
uso de estos dispositivos?
A. Los archivos no están respaldados.
B. El robo de los dispositivos.
C. El uso de los dispositivos para uso personal.
D. La introducción de software malintencionado
(malware) en la red.

166
 PREGUNTA DE PRÁCTICA

Con la ayuda de un oficial de seguridad, permitir

el acceso a los datos es responsabilidad de:
A. los propietarios de los datos.
B. los programadores.
C. los analistas de sistemas.
D. los bibliotecarios.

167

PREGUNTA DE PRÁCTICA

¿Cuál de los siguientes tipos de pruebas de

penetración simula un ataque real y se utiliza
para probar el manejo de incidentes y la
capacidad de respuesta del objetivo?
A. Prueba ciega
B. Pruebas de objetivos específicos
C. Pruebas de doble ciego
D. Pruebas externas

168
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la responsabilidad de

los propietarios de activos de información?
A. Implementar la seguridad de la información
dentro de sus aplicaciones
B. Asignar los niveles de criticidad de los datos
C. Aplicar las reglas de acceso a los datos y
programas
D. Proporcionar seguridad física y lógica de los
datos

169

PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes opciones de criptografía

aumentaría los gastos indirectos/costos?
A. La encriptación es simétrica, en lugar de
asimétrica.
B. Se utiliza una clave de encriptación larga
asimétrica.
C. Se encripta el hash, en lugar del mensaje.
D. Se utiliza una clave secreta.

170
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la función MÁS

significativa de una infraestructura de clave
pública (PKI) corporativa y una autoridad de
certificación que emplea certificados digitales
X.509?
A. Provee la configuración de clave pública/privada
para los servicios de encriptación y firma usados
por correo electrónico y espacios de archivos.
B. Vincula un certificado digital y su clave pública a
la identidad de un suscriptor individual.
C. Provee la fuente autorizada de identidad y
detalles personales del empleado.
D. Provee la fuente de autenticación autorizada de
acceso a objetos.

171

PREGUNTA DE PRÁCTICA

Una función de auditoría interna está revisando

un script de interfaz común de pasarela o
gateway desarrollado internamente para una
aplicación web. El auditor SI descubre que el
script no fue revisado y probado por la función de
control de calidad. ¿Cuál de los siguientes tipos
de riesgos es de MAYOR preocupación?
A. No disponibilidad del sistema
B. Exposición a software malintencionado (malware)
C. Acceso no autorizado
D. Integridad del sistema

172
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la consideración de

seguridad MÁS importante para una
organización que quiere trasladar una aplicación
de negocios a un servicio basado en la nube
(PaaS) proporcionado por un proveedor?
A. La clasificación y las categorías de
procesamiento de datos de la aplicación.
B. El coste del alojamiento interno en comparación
con el externo.
C. La reputación de un proveedor en el mercado y
los comentarios de los clientes.
D. La disminución en el rendimiento de la aplicación
debido al uso de dispositivos compartidos.

173

PREGUNTA DE PRÁCTICA

Una organización propone que se establezca

una red de área local inalámbrica (WLAN). La
gerencia pide al auditor SI que recomiende
controles de seguridad para la WLAN. ¿Cuál de
las siguientes recomendaciones sería la MÁS
apropiada?
A. Proteger físicamente los puntos de acceso
inalámbrico para evitar su alteración.
B. Utilizar identificadores de grupo de servicios que
identifiquen claramente la organización.
C. Cifrar el tráfico con el mecanismo de Privacidad
Equivalente al Cableado (WEP).
D. Implementar el Protocolo simple de gestión de
redes (SNMP) para permitir el monitoreo activo.

174
 PREGUNTA DE PRÁCTICA

Un centro de datos tiene un sistema de entrada

con tarjeta credencial. ¿Cuál de los siguientes es
MÁS importante para proteger los activos
informáticos en el centro?
A. Lectores de credenciales instalados en lugares
donde su manipulación se notaría.
B. La computadora que controla el sistema de
credenciales es respaldada con frecuencia.
C. Se sigue un proceso para desactivar de
inmediato las credenciales extraviadas o
robadas.
D. Se registran todos los intentos de entrada con
credenciales, más allá de que hayan sido
exitosos o no.

175

PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la manera MÁS

segura para eliminar datos de cintas magnéticas
obsoletas antes de deshacerse de ellas?
A. Sobrescribir las cintas.
B. Inicializar las etiquetas de cintas.
C. Desmagnetizar las cintas.
D. Borrar las cintas.

176
 PREGUNTA DE PRÁCTICA

Una organización permite el uso de unidades de

bus serial universal para transferir los datos
operacionales entre oficinas. ¿Cuál de los
siguientes es el MAYOR riesgo asociado con el
uso de estos dispositivos?
A. Los archivos no están respaldados
B. El robo de los dispositivos
C. El uso de los dispositivos para uso personal
D. La introducción de software malintencionado
(malware) en la red

177

PREGUNTA DE PRÁCTICA

Con la ayuda de un oficial de seguridad, permitir

el acceso a los datos es responsabilidad de:
A. los propietarios de los datos.
B. los programadores.
C. los analistas de sistemas.
D. los bibliotecarios.

178
 PREGUNTA DE PRÁCTICA

¿Cuál de los siguientes tipos de pruebas de

penetración simula un ataque real y se utiliza
para probar el manejo de incidentes y la
capacidad de respuesta del objetivo?
A. Prueba ciega
B. Pruebas de objetivos específicos
C. Pruebas de doble ciego
D. Pruebas externas

179

PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la responsabilidad de

los propietarios de activos de información?
A. Implementar la seguridad de la información
dentro de sus aplicaciones
B. Asignar los niveles de criticidad de los datos
C. Aplicar las reglas de acceso a los datos y
programas
D. Proporcionar seguridad física y lógica de los
datos

180
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes opciones de criptografía

aumentaría los gastos indirectos/costos?
A. La encriptación es simétrica, en lugar de
asimétrica.
B. Se utiliza una clave de encriptación larga
asimétrica.
C. Se encripta el hash, en lugar del mensaje.
D. Se utiliza una clave secreta.

181

PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la función MÁS

significativa de una infraestructura de clave
pública (PKI) corporativa y una autoridad de
certificación que emplea certificados digitales
X.509?
A. Provee la configuración de clave pública/privada
para los servicios de encriptación y firma usados
por correo electrónico y espacios de archivos.
B. Vincula un certificado digital y su clave pública a
la identidad de un suscriptor individual.
C. Provee la fuente autorizada de identidad y
detalles personales del empleado.
D. Provee la fuente de autenticación autorizada de
acceso a objetos.

182
 PREGUNTA DE PRÁCTICA

Una función de auditoría interna está revisando

un script de interfaz común de pasarela o
gateway desarrollado internamente para una
aplicación web. El auditor SI descubre que el
script no fue revisado y probado por la función de
control de calidad. ¿Cuál de los siguientes tipos
de riesgos es de MAYOR preocupación?
A. No disponibilidad del sistema
B. Exposición a software malintencionado (malware)
C. Acceso no autorizado
D. Integridad del sistema

183

PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la consideración de

seguridad MÁS importante para una
organización que quiere trasladar una aplicación
de negocio a un servicio basado en la nube
(PaaS) proporcionado por un proveedor?
A. La clasificación y las categorías de
procesamiento de datos de la aplicación.
B. El coste del alojamiento interno en comparación
con el externo.
C. La reputación de un proveedor en el mercado y
los comentarios de los clientes.
D. La disminución en el rendimiento de la aplicación
debido al uso de dispositivos compartidos.

184
 PREGUNTA DE PRÁCTICA

Una organización propone que se establezca

una red de área local inalámbrica (WLAN). La
gerencia pide al auditor SI que recomiende
controles de seguridad para la WLAN. ¿Cuál de
las siguientes recomendaciones sería la MÁS
apropiada?
A. Proteger físicamente los puntos de acceso
inalámbrico para evitar su alteración.
B. Utilizar identificadores de grupo de servicios que
identifiquen claramente la organización.
C. Cifrar el tráfico con el mecanismo de privacidad
equivalente al cableado (WEP).
D. Implementar el Protocolo simple de gestión de
redes (SNMP) para permitir el monitoreo activo.

185

PREGUNTA DE PRÁCTICA

¿Cuál es el MEJOR enfoque para mitigar el

riesgo de un ataque de phishing?
A. Detección de intrusiones (IDS)
B. Evaluación de seguridad
C. Autenticación fuerte
D. Educación del usuario

186
REPASO DEL DOMINIO 5

Ahora deberías poder:

• Realizar auditorías de conformidad con los estándares de auditoría de SI y una estrategia de auditoría de SI
basada en riesgos.
• Evaluar las políticas y prácticas de gestión de incidentes y problemas.
• Evaluar las políticas y prácticas de seguridad y privacidad de la información de la organización.
• Evaluar los controles físicos y ambientales para determinar si los activos de información están protegidos
adecuadamente.
• Evaluar los controles de seguridad lógica para verificar la confidencialidad, integridad y disponibilidad de la
información.
• Evaluar si las prácticas de clasificación de datos están alineadas con las políticas de la organización y con
los requerimientos externos aplicables.
• Evaluar las políticas y prácticas relacionadas con la gestión del ciclo de vida de los activos.
• Evaluar el programa de seguridad de la información para determinar su eficacia y que estén alineadas con
las estrategias y los objetivos de la organización.
• Realizar pruebas técnicas de seguridad para identificar posibles amenazas y vulnerabilidades.
• Evaluar oportunidades y amenazas potenciales asociadas con las tecnologías emergentes, las regulaciones
y las prácticas de la industria.

MUCHAS GRACIAS