Estándares, metodologías y buenas prácticas

Metodologías y buenas prácticas

• Open Source Security Testing Methodology Manual

(OSSTMM). Es el Manual de Metodología Abierta de
Comprobación de la Seguridad, realizado como proyecto
de metodología abierta (Open Methodology License), lo
que le permite a cualquier persona u organización, poder
utilizarlo sin necesidad de adquirir una licencia, al
ser creado como proyecto de software libre

• Se logró gracias a un consenso entre más de 150 expertos

internacionales sobre el tema, que colaboran entre sí
mediante Internet. Se encuentra en constante evolución.
 Metodologías y buenas prácticas

Actualmente se compone de las siguientes

fases:
✓ Sección A -Seguridad de la Información
✓ Sección B - Seguridad de los Procesos
✓ Sección C - Seguridad en las tecnologías de Internet
✓ Sección D - Seguridad en las Comunicaciones
✓ Sección E - Seguridad Inalámbrica
✓ Sección F - Seguridad Física
 Metodologías y buenas prácticas

• Open Web Application Security Project (OWASP). Es un

proyecto abierto de seguridad, dedicado a encontrar y
tratar de eliminar las causas que hacen que el software no
sea confiable. Todas sus herramientas, incluyendo foros,
documentos y capítulos son abiertos y de libre acceso a
cualquiera que desee mejorar la seguridad de sus
aplicaciones.

• La fundación OWASP es una comunidad abierta dedicada a

las organizaciones que permitan concebir, desarrollar,
adquirir, operar y mantener las aplicaciones de manera
confiable.
Metodologías y buenas prácticas
 Metodologías y buenas prácticas

• Actualmente OWASP tiene en realidad varios

proyectos en los que resaltan las categorías: Tool
Projects, Code Projects y Documentation Projects.

• El proyecto de documentación más conocido es el

Top Ten, en el cuál se listan las 10 vulnerabilidades
(Security Risks) más habituales y cómo prevenirlas.
En este top, se reconocen términos como:
– Sql Injection
– Cross-Site Scripting (XSS)
– Broken Authentication.
Qué ha cambiado en el Top 10 para 2021

Fuente: https://owasp.org/Top10/
 Buenas Prácticas

• Es fundamental para cualquier organización hacer una

adecuada gestión de la plataforma tecnológica, en la cual está
la información es decir los servidores, equipos de red,
aplicaciones, etc.

• Esta gestión va unida a buenas prácticas en Seguridad

Informática que deben ser implantadas no solo por el
departamento de informática sino también por cada uno de
los usuarios, con el fin de minimizar los riesgos y
vulnerabilidades de los sistemas de información.
 Buenas Prácticas

• Algunas de estas buenas prácticas son:

– Mantener actualizado el sistema operativo, los antivirus y

las aplicaciones
– Asegurar el sistema operativo
– Protección del correo electrónico
– Seguridad en la navegación web
– Seguridad en redes sociales
– Seguridad en redes P2P
– Seguridad en mensajería instantánea
– Seguridad en dispositivos removibles
 Contramedidas y SGSI

• Criptografía: Es el arte de cifrar mensajes mediante técnicas especiales,

de tal manera que solo puedan ser leídos por las personas a las que van
dirigidos y que posean la información necesaria para poder descifrarlos.
• Seguridad perimetral: Son herramientas de seguridad estableciendo
mecanismos de hardware y software que evitan o detectan actividades
sospechosas dentro de los sistemas de información.
• WSUS (Windows Server Update Services): Permite la distribución de los
parches y actualizaciones publicadas por Microsoft de forma centralizada
para todos los usuarios que corran con cualquier sistema operativo de
Windows, de forma práctica, cómoda y programada.
• Hardening: Es un proceso mediante el cual se ejecutan un conjunto de
acciones tendientes a disminuir las vulnerabilidades de un sistema
informático
 Continuidad del negocio

Un plan que asegure la continuidad de negocio es

fundamental para que la organización sea duradera
en el tiempo.

Tener bien implantado este plan, asegura no sólo la

protección de la información que es esencial para el
desarrollo contra una situación en la que pueda
corromperse o destruirse, sino que hace un análisis
continuo de los procesos productivos del negocio, lo
cual le permitiría regenerarse y volver a su estado
normal en la eventualidad de una pérdida total o
parcial de las operaciones que se realizan a diario, es
decir un plan de Gestión de la Continuidad del
Negocio.
 Sistema de Gestión de la
Seguridad de la Información (SGSI)
 CIO: Oficial de Seguridad

• Es uno de los cargos más importantes actualmente en las

empresas, nació de la necesidad de cambio y adaptación en el
área informática en la mayoría de empresas y organizaciones.

• Tradicionalmente ha existido el cargo de director o gerente de

sistemas, pero para ser CIO, hay que contar con ciertos atributos
o habilidades, que no todo gerente tiene.

• El CIO, es el encargado de buscar y seleccionar la tecnología que

mejor se adapte a los planes estratégicos que la empresa se ha
fijado. Por esta razón el CIO, es el encargado de la planeación,
organización, dirección y control de todo lo que tenga que ver con
el área de sistemas e informática.

• El CIO debe ir a la par con la evolución de la empresa, para ser un

soporte que ayude a alcanzar los objetivos propuestos, y debe
tener la habilidad de solucionar las dificultades del día a día.
 Footprinting y Scanning

Conocer los conceptos de footprinting y scanning son determinantes a la

hora de prevenir ataques a los sistemas, ya que son técnicas usadas por los
hackers para realizar ataques a sistemas vulnerables.

➢ Footprinting: Es el proceso de creación de un mapa de las redes y

sistemas de una organización y es parte del proceso de recopilación de
información (Information Gathering).

➢ Scanning: Es un método para descubrir canales de comunicación

susceptibles de ser explotados escaneando los puertos y enviando
paquetes para varios protocolos para identificar los servicios que se
están escuchando a través de las respuestas recibidas o no recibidas.
Otros métodos para obtener información e
identificar riesgos son:

o Google hacking
o Traceroute
o Escaneo de puertos
o Detección de servicios
o Escaneo de vulnerabilidades