Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DOMINIO 5
Dominio 1: Proceso de
Dominio 5: auditoría a los sistemas
Protección de los de información, 21%
activos de
información, 27%
Dominio 2:
Gobierno y gestión
de TI, 17%
Dominio 4:
Operaciones de los
sistemas de
información y
resiliencia del
negocio, 23% Dominio 3: Adquisición,
desarrollo e
implementación de
sistemas de
información, 12%
Una vez finalizado este dominio, el auditor SI debería poder hacer lo siguiente:
• Realizar auditorías de conformidad con los estándares de auditoría de SI y una estrategia de auditoría de SI
basada en riesgos.
• Evaluar las políticas y prácticas de gestión de incidentes y problemas.
• Evaluar las políticas y prácticas de seguridad y privacidad de la información de la organización.
• Evaluar los controles físicos y ambientales para determinar si los activos de información están protegidos
adecuadamente.
• Evaluar los controles de seguridad lógica para verificar la confidencialidad, integridad y disponibilidad de la
información.
• Evaluar si las prácticas de clasificación de datos están alineadas con las políticas de la organización y con
los requerimientos externos aplicables.
• Evaluar las políticas y prácticas relacionadas con la gestión del ciclo de vida de los activos.
• Evaluar el programa de seguridad de la información para determinar su eficacia y que estén alineadas con
las estrategias y los objetivos de la organización.
• Realizar pruebas técnicas de seguridad para identificar posibles amenazas y vulnerabilidades.
• Evaluar oportunidades y amenazas potenciales asociadas con las tecnologías emergentes,
las regulaciones y las prácticas de la industria.
TEMAS DEL DOMINIO 5
SEGURIDAD Y CONTROL DE
LOS ACTIVOS DE
INFORMACIÓN
6
GARANTIZAR CONFIDENCIALIDAD,
INTEGRIDAD Y DISPONIBILIDAD
Confidencialidad
Seguridad
Integridad Disponibilidad
8
AUDITORÍA AL MARCO DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
Revisar las políticas, los Nuevos usuarios de TI
procedimientos y los estándares
escritos Usuarios de datos
Administrador de seguridad
PRINCIPIOS DE PRIVACIDAD
10
BUENAS PRÁCTICAS EN PRINCIPIOS DE PRIVACIDAD
11
ANÁLISIS DE IMPACTO EN LA
PRIVACIDAD
Señalar la naturaleza de la información personal
identificable asociada con procesos del negocio
Documentar la recogida, uso, revelación y
destrucción de información personal identificable.
Asegurar que existe la obligación de rendir cuentas
sobre los aspectos de privacidad.
Identificar los requisitos contractuales, regulatorios y
legales para la privacidad.
Ser la base para tomar decisiones informadas sobre
políticas, operaciones y diseño de sistemas
basadas en un entendimiento del riesgo de
privacidad y las opciones disponibles para mitigar
ese riesgo.
12
AUDITORÍA DE SI PARA GARANTIZAR
EL CUMPLIMIENTO DE LA POLÍTICA DE
PRIVACIDAD, LEYES Y OTROS
REGLAMENTOS
Identificar y entender los requisitos de cumplimiento con
respecto a la privacidad en las leyes, regulaciones y
acuerdos contractuales. Según la asignación, es posible
que los auditores de SI deban buscar la opinión legal o de
expertos sobre los mismos.
14
ACCESO FÍSICO Y CONTROLES AMBIENTALES
15
Proactivos
• Salvaguardia Reactivos
• Control que pretenden • Contramedidas
prevenir un incidente. • Controles que permiten la
detección, contención y
recuperación frente a un
incidente.
Controles
Técnico Físico
gerenciales
18
PROBLEMAS DE ACCESO FÍSICO
Entrada no autorizada
Daño, vandalismo o robo de los equipos o
documentos
Copia o visualización de información sensible o
patentada
Alteración de equipos e información sensibles
Revelación al público de información sensible
Abuso de los recursos de procesamiento de datos
Chantaje
Fraude
20
AUDITORÍAS DE ACCESO FÍSICO
La prueba debe incluir todos los caminos de entrada física, así como los siguientes
lugares:
• Salas de cómputo e impresoras
• UPS/generador
• Consolas del operador
• Salas de almacenamiento informático
• Equipo de comunicación de datos
• Instalación de almacenamiento externo de copias de respaldo
• Almacenamiento de medios
EXPOSICIONES AMBIENTALES
Interrupción de energía
• Falla total (apagón)
• Tensión muy reducida (caída de tensión)
• Pérdidas, picos y sobretensiones
• Interferencia electromagnética (EMI)
Daños por agua/inundaciones
CONTROLES AMBIENTALES
Las exposiciones ambientales deben tener el mismo nivel de protección que otros tipos
de exposiciones. Los posibles controles incluyen:
Alarmas de
Paneles de Detectores de Extintores de incendio y
control de alarma agua incendios detectores de
humo
Materiales de Salas de
Sistemas de Protectores de
construcción y computación con
supresión de sobrecarga
oficina resistentes ubicación
incendios eléctrica
al fuego estratégica
ACTIVIDAD
29
OBJETIVOS DE SEGURIDAD
Los objetivos de seguridad para cumplir los requisitos del negocio de una organización
deben garantizar lo siguiente:
• Disponibilidad continua de los sistemas de información y los datos
• Integridad de la información almacenada en sus sistemas informáticos y en tránsito
• La confidencialidad de los datos sensibles se preserva mientras se almacenan o están en tránsito
• Conformidad con las leyes, reglamentos y estándares aplicables
• Adhesión a los requisitos de confianza y obligación en relación con cualquier información
relacionada a una persona identificada o identificable (es decir, el sujeto de los datos) de acuerdo
a la política interna de privacidad o leyes y reglamentos de privacidad aplicables
• La protección adecuada para datos sensibles, almacenados y en tránsito; según los requisitos de
la organización.
PERMISO DE ACCESO AL SISTEMA
33
ACCESO DE TERCEROS
37
Fuga de datos
• Involucra desvío o filtración de información fuera de la
computadora.
Apagado de la computadora
• Se puede realizar a través de las terminales o de las
microcomputadoras conectadas directamente (en línea)
o remotamente (a través de Internet).
38
VÍAS DE ACCESO LÓGICO
Ruta directa
Red local
Acceso remoto
39
ACTIVIDAD
Las funciones generales de control de acceso a los Funciones de control de acceso a nivel base de
sistemas operativos o aplicativos datos o aplicación
• Crear o cambiar los perfiles de usuarios • Crear o cambiar los archivos de datos y los
• Asignar identificación y autenticación de usuarios perfiles de la base de datos
• Aplicar reglas de limitación de inicio de sesión de • Verificar las autorizaciones de usuarios al nivel de
los usuarios aplicación y de transacción
• Notificación sobre al uso y acceso apropiado antes • Verificar las autorizaciones de usuarios dentro de
de la sesión inicial la aplicación
• Crear responsabilidad y auditabilidad individuales • Verificar las autorizaciones de usuarios a nivel del
mediante actividades de registro de usuarios campo para los cambios dentro de una base de
• Establecer reglas de accesos a recursos datos
específicos de información (por ejemplo, recursos • Verificar las autorizaciones de subsistemas para el
y datos de aplicación a nivel del sistema) usuario al nivel del archivo
• Registrar los eventos • Registrar las actividades de acceso a base de
• Comunicar las capacidades datos /comunicaciones de datos para monitorear
las violaciones de acceso.
TIPOS DE CONTROL DE ACCESO
IDENTIFICACIÓN Y AUTENTICACIÓN
MÉTODOS DE AUTENTICACIÓN
Métodos de autenticación
Identificador de inicio de sesión y contraseñas
Tokens
Biometría
AUTORIZACIÓN
La autorización se refiere a las reglas de acceso que especifican quién puede acceder a
qué.
El control de acceso a menudo se basa en el menor privilegio, que se refiere al
otorgamiento a los usuarios de solo aquellos accesos requeridos para ejecutar sus
funciones.
El auditor SI necesita saber qué se puede hacer con el acceso y qué está restringido.
El auditor SI debe revisar las listas de control de acceso (ACLs). Un ACL es un registro
de usuarios que tienen permiso para usar un sistema en particular y los tipos de acceso
permitidos.
Riesgos Controles
• Denegación de servicio • Política y estándares
• Terceros maliciosos • Autorizaciones apropiadas
• Software de comunicaciones • Mecanismos de identificación y
mal configurado autenticación
• Dispositivos mal configurados • Herramientas y técnicas de
en la infraestructura informática encriptación, como por ejemplo
corporativa el uso de VPN
• Los sistemas de servidor (host) • Gestión (Management) de
no protegidos apropiadamente sistemas y de redes
• Problemas de seguridad física
en computadoras de usuarios
remotos
REGISTROS (LOGS) DEL SISTEMA.
Las pistas de auditoría deben ser protegidas por fuertes controles de acceso para
ayudar a prevenir accesos no autorizados.
El auditor SI debe asegurarse que los registros no puedan ser manipulados
indebidamente o alterados sin dejar una pista de auditoría.
Cuando se revisa o se realiza el seguimiento de un acceso de seguridad, el auditor SI
debe buscar:
• Patrones o tendencias que indican abuso de privilegios de acceso, como por ejemplo
concentración en una aplicación sensible
• Violaciones (como por ejemplo intentar el acceso a archivos informáticos para los cuales no se
tenga autorización) o uso de contraseñas incorrectas
52
ADMINISTRACIÓN DE SEGURIDAD DE ACCESO LÓGICO
Se deben implementar controles de software para el acceso a la computadora, a los archivos de datos y para el
acceso remoto a la red.
El ambiente de control físico debe ser lo más seguro posible, como por ejemplo tener terminales y salas de
computadores que se puedan cerrar con clave.
El acceso desde ubicaciones remotas por módem y desde computadores portátiles a las demás microcomputadoras
debe estar controlado de manera apropiada.
Se deben limitar las oportunidades de que gente no autorizada obtenga conocimientos del sistema, implementando
controles sobre el acceso a la documentación de los sistemas y a los manuales.
Deben existir controles para los datos transmitidos desde las ubicaciones remotas, como por ejemplo las ventas en
una ubicación que actualiza los archivos de las cuentas por cobrar en otra ubicación. La ubicación que envía la
información debe transmitir información de control, como por ejemplo, totales de control, para permitir que la
ubicación destinataria verifique la actualización de sus archivos. Cuando sea posible, el monitoreo centralizado debe
asegurar que todos los datos procesados en ubicaciones remotas hayan sido recibidos en forma completa y son
actualizados correctamente.
Cuando existan archivos replicados en múltiples ubicaciones, los controles deben asegurar que todos los archivos
usados sean correctos y estén actualizados, y cuando los datos sean usados para producir información financiera,
53
54
REGISTROS (LOGGING) DE AUDITORÍA EN EL MONITOREO DEL
ACCESO AL SISTEMA
Derechos de acceso a los Herramientas para el análisis de Revisión de auditoría de SI
registros del sistema la pista de auditorías El auditor SI debe asegurarse que los
Los derechos de acceso a los registros del Herramientas de reducción de auditoría registros no puedan ser manipulados
sistema para que los administradores de indebidamente o alterados sin dejar una
Herramientas de detección de pista de auditoría.
seguridad realicen las actividades citadas tendencias/varianzas
aquí anteriormente deben ser controlados Cuando se revisa o se realiza el
estrictamente. Herramientas de detección de ataque de seguimiento de un acceso de seguridad, el
firma auditor SI debe buscar:
Una revisión periódica de los registros
generados por sistema puede detectar Sistemas SIEM (Gestión Eventos e • Patrones o tendencias que indican abuso de
problemas de seguridad, incluyendo Información de Seguridad) privilegios de acceso, como por ejemplo
concentración en una aplicación sensible
intentos de exceder la autoridad de acceso
o de obtener acceso al sistema durante • Violaciones (como por ejemplo intentar el acceso
a archivos informáticos para los cuales no se
horas inusuales.
tenga autorización) o uso de contraseñas
incorrectas
55
Obtener una comprensión general del riesgo de seguridad que enfrenta el procesamiento de la
información a través de una revisión de la documentación relevante, consulta, observación,
evaluación de riesgo y técnicas de estimación.
Documentar y evaluar los controles sobre las vías potenciales de acceso al sistema para determinar
si son adecuados, eficientes y efectivos revisando las funciones apropiadas de seguridad del
hardware y del software e identificando cualesquiera deficiencias o redundancias
Probar los controles sobre las vías de acceso para determinar que están funcionando y que son
efectivas aplicando las técnicas apropiadas de auditoría.
Evaluar el ambiente de control de acceso para determinar si se logran los objetivos de control
analizando los resultados de las pruebas y otras evidencias de auditoría.
Evaluar el ambiente de seguridad para determinar si es adecuado revisando las políticas escritas,
observando las prácticas y los procedimientos y comparándolas con los estándares apropiados de
seguridad o con las prácticas y los procedimientos que usan otras organizaciones.
56
AUDITORÍA DEL PROCESO DE ACCESO LÓGICO
Revisar el
Revisar los
Evaluar y manual de
Familiarizarse Entrevistar al informes del
documentar operaciones
con el entorno personal de software de
las rutas de de los
de TI sistemas control de
acceso sistemas de
acceso
aplicación
57
FUGA DE DATOS
60
EL MODELO DE INTERCONEXIÓN DE SISTEMAS ABIERTOS (OSI)
El modelo OSI define grupos de funcionalidad requeridos para las computadoras de la red en
capas, que se describen a continuación:
2. Capa de enlace de datos: divide los datos en tramas que pueden ser transmitidas por la capa
física.
3. Capa de red: traduce las direcciones de red y enruta los datos del remitente al receptor.
4. Capa de transporte: garantiza que los datos se transfieran de forma fiable en la secuencia
correcta.
7. Capa de aplicación: media entre las aplicaciones de software y otras capas de servicios de red.
61
62
RIESGOS DE LAN ASOCIADOS.
EL ROL DE LA AUDITORÍA DE SI EN
LA TECNOLOGÍA LAN
Para llegar a un total entendimiento de la LAN, el
auditor SI debe identificar y documentar lo siguiente:
• Usuarios o grupos con derechos de acceso privilegiados
• Topología de la LAN y diseño de red
• El administrador de la LAN /propietario de la LAN
• Las funciones que desempeñan el administrador
/propietario de la LAN
• Los diferentes grupos de usuarios de la LAN
• Las aplicaciones informáticas usadas en la LAN
• Los procedimientos y los estándares relativos al diseño
de la red, soporte, perfiles de acceso y seguridad de los
datos.
64
SEGURIDAD DE INFRAESTRUCTURA DE RED
El auditor SI debe estar familiarizado con el riesgo y las exposiciones relacionadas con
la infraestructura de la red.
Las funciones de control de red deberían:
• Ser ejecutado por profesionales capacitados, y las funciones deben ser rotadas regularmente.
• Mantener una pista de auditoría de todas las actividades del operador.
• Restringir el acceso del operador a ciertas funciones.
• Revisar periódicamente los registros de auditoría para detectar actividades no autorizadas.
• Documentar estándares y protocolos.
• Analizar el equilibrio de la carga de trabajo, tiempo de respuesta y eficiencia del sistema.
• Cifrar los datos, cuando corresponda, para proteger los mensajes de la divulgación durante la
transmisión.
SEGURIDAD DE LAN
Ventajas Desventajas
• Disminución de los costos de hardware del • La configuración inadecuada del servidor
servidor. (host) puede crear vulnerabilidades que
• Capacidad de procesamiento y espacio de afectan no solo al servidor, sino también a
almacenamiento compartidos. los invitados (guest).
• Disminución de la huella física. • Los datos podrían filtrarse entre los
• Múltiples versiones del mismo sistema huéspedes.
operativo. • Los protocolos inseguros para el acceso
remoto podrían resultar en la exposición de
credenciales administrativas.
SEGURIDAD INALÁMBRICA
Una vez que recopila suficiente información de red, un intruso puede lanzar un ataque
real contra un sistema objetivo para obtener el control.
• Entre los ejemplos de ataques activos se incluyen la denegación de servicio (DoS), phishing,
acceso no autorizado, repetición de paquetes, ataques por fuerza bruta y suplantación (spoofing)
de correo electrónico.
El auditor SI debe tener una buena comprensión de los siguientes tipos de cortafuegos
(firewall):
• Filtrado de paquetes
• Sistemas de cortafuegos (firewall) de aplicación
• Inspecciones de estado
SEGURIDAD DE INTERNET (CONT.)
CORTAFUEGOS (FIREWALLS)
74
CARACTERÍSTUCAS DEL CORTAFUEGOS (FIREWALL)
Existen diferentes tipos de cortafuegos (firewall), pero la mayoría de ellos permiten a las
organizaciones:
• Filtrar el tráfico entrante y saliente
• Bloquear el acceso a sitios particulares en Internet
• Limitar el tráfico en el segmento de servicios públicos de una organización a direcciones y
puertos relevantes
• Prevenir que algunos usuarios accedan acceso a ciertos servidores o servicios
• Supervisar y registrar las comunicaciones entre una red interna y una externa para investigar las
penetraciones en la red o detectar alteraciones internas
• Encriptar paquetes enviados entre diferentes ubicaciones dentro de una organización mediante a
creación de una red privada virtual (VPN) a través de Internet (por ejemplo, IPSec, túneles VPN)
75
TECNOLOGÍA DE
CORTAFUEGOS (FIREWALL)
• Filtros de paquetes
• Inspección estatal
• Proxy de aplicación
• Cortafuegos (firewall) de próxima generación
76
MODELO DE CORTAFUEGOS (FIREWALL) DE FILTRADO DE
PAQUETES
Un cortafuegos (firewall) de primera generación, en el filtrado de paquetes, un enrutador
de filtrado examina el encabezado de cada paquete de datos que viaja entre Internet y la
red de la organización.
Los encabezados (headers) de paquetes contienen:
• Información, incluyendo la dirección IP del emisor y receptor
• Los números de puerto (aplicación o servicio) autorizados para utilizar la información transmitida
• Basada en esa información, el enrutador reconoce el tipo de servicio de Internet que se se utiliza
para enviar los datos y las identidades del remitente y receptor de los datos.
• Con esto, el enrutador puede prevenir el envío de ciertos paquetes entre Internet y la red
corporativa.
77
Ventajas
Desventajas
78
ATAQUES COMUNES CONTRA UN CORTAFUEGOS (FIREWALL) DE
FILTRADO DE PAQUETES
79
Los sistemas de cortafuegos (firewall) de aplicación permiten que la información fluya entre los sistemas
pero no permiten el intercambio directo de paquetes.
Portales de enlace (gateways) de nivel de aplicación: Sistemas que analizan paquetes a través de un
conjunto de proxies, uno para cada servicio.
• La implementación de múltiples proxies afecta al rendimiento de la red, por lo que cuando el rendimiento
de la red es una preocupación, un portal de enlace (gateway) a nivel de circuito puede ser una mejor
opción.
Pasarelas (gateway) de nivel de circuito: sistemas que utilizan un servidor proxy para todos los servicios.
• Estos son más eficientes y también operan a nivel de aplicación.
• Las sesiones TCP y UDP se validan, normalmente a través de un único proxy de propósito general,
antes de abrir una conexión.
Tenga en cuenta que comercialmente, las puertas de enlace de nivel de circuito son bastante raras.
80
CORTAFUEGOS (FIREWALL) DE APLICACIÓN
Ventajas
Desventajas
81
Ventajas
Desventajas
83
El filtrado sin estado no mantiene el estado de las sesiones de conexión TCP en curso.
• Esto contrasta con la acción de los sistemas de estado, que realizan un seguimiento de las
conexiones TCP.
El sistema sin estado no tiene memoria del número de puerto de origen que seleccionó
el cliente de la sesión.
• Los cortafuegos sin estado son más rápidos, pero menos sofisticados que los cortafuegos de
estado.
Debido a que el tráfico UDP no tiene estado, las aplicaciones que requieren UDP para
operar desde Internet a una red corporativa deben ser:
• Utilizados con moderación
• Implementados con controles alternativos
IMPLEMENTACIONES DE CORTAFUEGO (FIREWALL)
Errores de Monitoreo de
configuraciones demandas
Vulnerabilidad a los
Mantenimiento de ataques basados
políticas en aplicaciones y
entradas
88
PLATAFORMAS DE CORTAFUEGOS
Los cortafuegos (firewalls) pueden implementarse utilizando hardware, software o plataformas virtuales.
La implementación de hardware proporciona rendimiento con una mínima sobrecarga del sistema.
• Estos no son tan flexibles o escalables como los cortafuegos (firewall) basados en software.
Los cortafuegos (firewall) basados en software son genralmente más lentos con una sobrecarga
significativa de los sistemas.
• Son flexibles y pueden incluir servicios adicionales como protección contra virus.
Cuando se usan cortafuegos (firewall) basados en servidores, los sistemas operativos en los servidores
son a menudo vulnerables a ataques.
• Cuando los ataques a los sistemas operativos tienen éxito, el cortafuegos (firewall) puede verse
comprometido.
Un equipo informático (appliance) es un dispositivo que contiene todo el software y las configuraciones
preestablecidas en un servidor físico que está conectado entre dos redes. Generalmente, es mejor usar
equipos especializados (appliances), en lugar de servidores convencionales para los cortafuegos
(firewalls).
NGFW (del inglés Next Generation Firewall) son cortafuegos destinados a abordar dos
limitaciones clave encontradas en cortafuegos anteriores:
• La incapacidad del cortafuegos para inspeccionar la carga útil de los paquetes
• La incapacidad del cortafuego para distinguir entre tipos de tráfico web
Un NGFW es un sistema de seguridad de red adaptable capaz de detectar y bloquear
ataques sofisticados.
DESARROLLO Y AUTORIZACIÓN DE
CAMBIOS A LA RED
El auditor de SI puede probar este control de
cambio mediante:
• El muestreo de solicitudes de cambio recientes,
buscando la autorización apropiada y haciendo coincidir
la solicitud con el dispositivo de red real.
• La coincidencia de los cambios recientes de la red, tales
como nuevas líneas de telecomunicación, con
terminales agregadas y solicitudes de cambio
autorizado.
93
94
ACTIVIDAD
ACTIVIDAD
97
CLASIFICACIÓN DE DATOS
Para tener controles efectivos, las organizaciones deben tener un inventario detallado de
los activos de información.
La mayoría de las organizaciones usa un esquema de clasificación con tres a cinco
niveles de sensibilidad.
La clasificación de datos provee los siguientes beneficios:
• Define el nivel de los controles de acceso
• Reduce el riesgo y costo de proteger en exceso o defecto los recursos de información
• Mantiene requisitos de seguridad consistentes
• Permite el tratamiento uniforme de los datos mediante la aplicación de políticas y procedimientos
específicos de cada nivel.
• Identifica quién debe tener acceso.
CLASIFICACIÓN DE DATOS (CONT.)
La clasificación de los datos también debe tener en cuenta los requisitos legales,
regulatorios, contractuales e internos para mantener la privacidad, confidencialidad,
integridad y disponibilidad.
ACTIVIDAD
103
ENCRIPTACIÓN
Algoritmo de cifrado
• Una función basada en las matemáticas que cifra/decifra datos.
Clave de cifrado
• Una porción de información utilizada por el algoritmo de cifrado para hacer que el proceso de
cifrado o decifrado sea único.
Longitud de la clave
• Una longitud predeterminada para la clave; cuanto más larga es la clave, más difícil es
comprometerla
ESQUEMAS DE CIFRADO
110
INFRAESTRUCTURA DE CLAVE PÚBLICA
ELEMENTOS DE PKI
Un certificado digital se
Certificados compone de una clave pública
digitales e información acerca de la
identificación del propietario de
la clave pública.
112
SEGURIDAD DE VOZ SOBRE PROTOCOLO DE INTERNET (VOIP)
La clave para asegurar VoIP es usar los mecanismos de seguridad tales como los
desplegados en las redes de datos (por ejemplo, cortafuegos, encriptación) para emular
el nivel de seguridad usado normalmente por los usuarios de red de PSTN.
Por lo tanto, se deben aplicar rápidamente los parches al SO y las actualizaciones de las
firmas de virus para prevenir una potencial interrupción del sistema. Para aumentar la
protección del sistema telefónico y del tráfico de datos, la infraestructura de VoIP debería
ser segregada usando VLAN.
Cualquier conexión entre estas dos infraestructuras debería ser protegida usando
cortafuegos (firewall) que puedan interpretar los protocolos de VoIP.
113
114
COMPUTACIÓN ENTRE PARES (PEER-TO-PEER)
115
MENSAJERÍA INSTANTÁNEA
116
REDES SOCIALES
117
118
MODELOS DE DESPLIEGUE DE LA COMPUTACIÓN EN LA NUBE
119
120
OBJETIVOS DE SEGURIDAD EN LA NUBE
121
122
ENTORNOS VIRTUALIZADOS
123
ENTORNOS VIRTUALIZADOS
124
RIESGO DE VIRTUALIZACIÓN Los productos de
virtualización rara
vez tienen controles
Los siguientes tipos de riesgo de alto nivel son de acceso al
representativos en la mayoría de los sistemas virtualizados hipervisor: Por lo
en uso: tanto, cualquiera que
pueda iniciar una
Rootkit aplicación en el
• Configuración inadecuada sistema operativo
anfitrión puede
• Herramientas de invitado
ejecutar el
• Imágenes instantáneas hipervisor.
El único control de
acceso es si una
persona puede
iniciar sesión en el
sistema operativo
anfitrión.
125
127
INFORMÁTICA MÓVIL
Política de uso
Cifrado Cumplimiento Aprobación Debido cuidado
aceptable
Seguimiento de
Formación de Autenticación de Transmisión Aplicaciones
la
concienciación red segura estándar
geolocalización
132
AMENAZAS DE SEGURIDAD INALÁMBRICA Y MITIGACIÓN DE
RIESGOS
Clasificación de amenazas: Estrategia de mitigación
• Errores y omisiones • Autenticidad.
• Fraude y robo cometido por usuarios • No repudio
autorizados y no autorizados del sistema • Responsabilidad
• Sabotaje por empleados • Actividad de la red
• Pérdida de soporte físico y de
infraestructura
• Hackers maliciosos
• Espionaje industrial
• Código malicioso
• Espionaje de gobierno extranjero
• Amenazas a la privacidad personal
133
• Vulnerabilidades de dispositivo
Riesgo técnico: • Actualizaciones de dispositivo
• Gestión de dispositivos
134
GESTIÓN DE EVENTOS DE
SEGURIDAD
135
PROGRAMAS DE FORMACIÓN Y
CONCIENCIACIÓN EN SEGURIDAD
136
FORMACIÓN EN CONCIENCIACIÓN DE LA SEGURIDAD
139
Motivación
Factores
de riesgo
de fraude
Racionalización Oportunidad
140
CRIMEN COMPUTARIZADO
Pérdida financiera
Repercusiones legales
Pérdida de credibilidad o ventaja competitiva
Chantaje/espionaje industrial/crimen organizado
Revelación de información confidencial, sensible o
embarazosa
Sabotaje
141
CRIMEN COMPUTARIZADO
Es importante que el auditor SI sepa y entienda las diferencias entre delito y abuso
cibernético para sustentar las metodologías de análisis de riesgos y las prácticas de
control relacionadas. Ejemplos de delitos computarizados incluyen:
Reenvío de
Escuchas ilegales
Análisis de red paquetes (packet Enmascaramiento
(eavesdropping)
replay)
CONTROLES DE MALWARE
Controles para
los virus y los
gusanos (worms)
Monitoreo de
Controles
sistemas vs
gerenciales de
ataques
procedimiento
dirigidos
Estrategias de
implementación Controles
del software técnicos
antimalware
143
144
TÉCNICAS DE PRUEBAS DE SEGURIDAD
Controles de acceso • El auditor SI debe trabajar con el analista de software del sistema para
informático determinar si todo el acceso se debe a una necesidad de información.
Registro y reporte de • El auditor del SI debe intentar acceder a las transacciones informáticas o a
violaciones de acceso los datos para los que no está autorizado el acceso. Los intentos fallidos
a las computadoras deben ser identificados en los informes de seguridad.
Descubri-
Planificación Ataque
miento
Presentación de informes
Pruebas internas Se refiere a ataques y a intentos de evadir los controles en el objetivo desde dentro
del perímetro.
Pruebas dirigidas Se refiere a ataques e intentos de evadir el control sobre el objetivo, mientras tanto el
equipo de TI como los examinadores de penetración están conscientes de las
actividades de prueba.
INTELIGENCIA DE AMENAZAS
149
151
Categorías
• IDS basados en red
• IDS basados en servidor (host)
Una combinación de
Tipos modelos basados en
firma y basados en
• Basados en firmas estadísticas provee
• Basado en estadísticas una mejor
• Redes neurales protección.
Política
• Finalizar el acceso
• Rastrear el acceso
152
SISTEMAS DE PREVENCIÓN DE INTRUSOSS
Honeypots
• Interacción alta
• Interacción baja
Previene que los
servidores de las
Honeynet: un conjunto de honeypots vinculados víctimas previstas se
vean afectados por
Se debe realizar una revisión completa de todas las dichos ataques.
vulnerabilidades del sistema de red para determinar si se han
identificado las amenazas a la confidencialidad, integridad y
disponibilidad.
Revisión:
• Políticas y procedimientos de seguridad
• Controles de acceso
• Configuración de la red (cortafuegos y segmentación)
153
INFORMACIÓN DE SEGURIDAD Y
GESTIÓN DE EVENTOS
Los sistemas SEM agregan y correlasistemasn de
forma automática los datos de registro de eventos
de seguridad a través de múltiples dispositivos de
seguridad.
Los sistemas de gestión de eventos y seguridad de
la información (SIEM) toman las capacidades de los
SEM y las combinan con características de análisis
histórico e informes de los sistemas de gestión de la
información de seguridad (SIM).
Un SOC es un equipo organizado creado para
mejorar la postura de seguridad de una
organización y responder a incidentes de seguridad.
154
PREGUNTA PARA DISCUSIÓN
156
PLAN DE GESTIÓN DE RESPUESTA A INCIDENTES
157
158
INFORMÁTICA FORENSE
PROTECCIÓN DE EVIDENCIA Y
CADENA DE CUSTODIA
La evidencia de un delito informático existe en la
forma de archivos de registro, hora y fecha de
modificación, creación o acceso de archivos,
contenidos de memoria, etc.
• Hacer una copia o más imágenes del sistema atacado.
• El contenido de la memoria debe también ser copiado a
un archivo antes de reiniciar el sistema.
• Preservar la cadena de custodia.
160
PREGUNTA PARA DISCUSIÓN
PREGUNTA DE PRÁCTICA
164
PREGUNTA DE PRÁCTICA
165
PREGUNTA DE PRÁCTICA
166
PREGUNTA DE PRÁCTICA
167
PREGUNTA DE PRÁCTICA
168
PREGUNTA DE PRÁCTICA
169
PREGUNTA DE PRÁCTICA
170
PREGUNTA DE PRÁCTICA
171
PREGUNTA DE PRÁCTICA
172
PREGUNTA DE PRÁCTICA
173
PREGUNTA DE PRÁCTICA
174
PREGUNTA DE PRÁCTICA
175
PREGUNTA DE PRÁCTICA
176
PREGUNTA DE PRÁCTICA
177
PREGUNTA DE PRÁCTICA
178
PREGUNTA DE PRÁCTICA
179
PREGUNTA DE PRÁCTICA
180
PREGUNTA DE PRÁCTICA
181
PREGUNTA DE PRÁCTICA
182
PREGUNTA DE PRÁCTICA
183
PREGUNTA DE PRÁCTICA
184
PREGUNTA DE PRÁCTICA
185
PREGUNTA DE PRÁCTICA
186
REPASO DEL DOMINIO 5
MUCHAS GRACIAS