Se01a Procedimientos de Seguridad Azure Rev-E-0411

SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Código Documento
SE01A
Rev. E
Procedimientos de Seguridad AZURE Página 1 de 1
Azure
1
Julio - 2021
SE01A
Rev. E
Indice
Introducción......................................................................................................................... 8
Justificación......................................................................................................................... 8
Información técnica............................................................................................................. 9
Procedimiento de Monitoreo de Seguridad de Red...........................................................11
Supervisión....................................................................................................................... 12
Procedimiento de Respuesta a Incidentes de Seguridad Lógica y de la Información........16
Procedimiento de Manejo de Versiones, Vulnerabilidades y Parches en Productos
Tecnológicos..................................................................................................................... 24
Proceso para la administración del riesgo Manejo de Versiones, Vulnerabilidades y
Parches............................................................................................................................. 25
Procedimiento de Destrucción de Datos, Manejo de Medios y Respaldos........................30
Esquema de Configuración de Respaldos........................................................................37
Diagrama Backup Plataforma Azure.................................................................................38
Cloud backup en Microsoft Azure......................................................................................38
Diagrama de flujos de back up (Procedimiento Font)........................................................39
Procedimientos del proveedor Recomendados para Evitar una Violación de Datos que
involucre a Citi................................................................................................................... 62
2
SE01A
Rev. E
Introducción
La gestión y protección de la información es de vital importancia para las empresas. Se

busca determinar mecanismos para la gestión de los datos y el envío de la información.
El presente documento detalla la Gestión de Riesgos de cada uno de los componentes

principales del sistema de sistema de activos fijos de la empresa Font Sistemas.
El objetivo, es documentar los procedimientos a seguir para mantener en óptimo

funcionamiento la operación y continuidad del sistema.
Justificación
El presente documento pretende generar las bases para crear una cultura de prevención
de riesgos.
Es importante tener la documentación necesaria para determinar las acciones necesarias

para mantener la continuidad de los procesos en el sistema de activos fijos.
3
SE01A
Rev. E
Información técnica
La Plataforma se encuentra alojada en Azure Cloud, la misma utiliza los siguientes

recursos:
 Disco Duro 64 GiB

 Disco Duro Sistema 8 GiB
 Área de Trabajo en Azure con Suscrición
 Almacén de Recuperación y Servicios
 Backups de Servicios
 Network Watcher para RED
 Maquina Virtual con SQL SERVER
4
SE01A
Rev. E
La APP Pocket Assets se encuentra instalada en la máquina virtual dentro de los

servicios de Azure
La App cuenta para la mitigación de riesgos el modelo de trabajo de Azure Security

Center, el cual permite obtener información referente a la puntuación de seguridad, la cual
es una escala que permite evaluar rendimientos y riesgos, Azure Defender proporciona
alertas de seguridad y protección contra amenazas avanzada para máquinas virtuales,
bases de datos SQL, contenedores, aplicaciones web y la red.
El panel de cumplimiento normativo también proporciona información que permite

determinar cómo actuar según las recomendaciones y reducir factores de riesgo en el
entorno y, por tanto, mejorar su situación de cumplimiento normativo global y Azure
Firewall es un servicio de seguridad de red administrado y basado en la nube que protege
los recursos de red virtual de Azure
Imagen del Panel de Security Center donde esta implementada la App.
5
SE01A
Rev. E
Procedimiento de Monitoreo de Seguridad de Red
Una red virtual de Azure permite que los recursos de Azure se comuniquen de forma
segura entre ellos, con Internet y con redes locales. Entre los escenarios clave que se
pueden realizar con una red virtual se incluyen los siguientes: la comunicación de los
recursos de Azure con Internet, la comunicación entre los recursos de Azure, la
comunicación con los recursos locales, el filtrado del tráfico de red, el enrutamiento del
tráfico de red y la integración con los servicios de Azure.
Azure Network Watcher proporciona herramientas para supervisar, diagnosticar, ver las
métricas y habilitar o deshabilitar registros de recursos en una red virtual de Azure.
Network Watcher está diseñado para supervisar y reparar el estado de la red de los
productos de IaaS (infraestructura como servicio), lo que incluye máquinas virtuales,
redes virtuales, puertas de enlace de aplicaciones, equilibradores de carga.
6
SE01A
Rev. E
Servicio de Network Watcher en ejecución con las características de seguridad que posee.
Supervisión
Como parte de esta etapa del proceso natural de nuestro procedimiento de monitoreo
de seguridad de red incluimos esta actividad en el documento SE01A PLAN DE
TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Cuando punto de conexión queda inaccesible, la solución de problemas de conexión le

informa de la razón. Las razones posibles son un problema de resolución de nombres
DNS, la CPU, memoria o firewall en el sistema operativo de una máquina virtual o el tipo
de salto de una ruta personalizada o una regla de seguridad para la máquina virtual o la
subred de la conexión saliente. El monitor de conexión también proporciona la latencia
mínima, media y máxima observada con el tiempo. Después de conocer la latencia de una
7
SE01A
Rev. E
conexión, es posible que usted pueda reducir la latencia moviendo los recursos de Azure
a diferentes regiones de Azure.
Monitor de estado de red, ip y conexiones de la red virtual de Azure donde esta

implementada la App.
8
SE01A
Rev. E
Diagnóstico
Cuando se implementa una máquina virtual, Azure aplica varias reglas de seguridad de
forma predeterminada a la máquina virtual que permiten o deniegan el tráfico hacia o
desde la máquina virtual. Puede invalidar las reglas predeterminadas de Azure o crear
reglas adicionales. En algún momento, puede que una máquina virtual no pueda
comunicarse con otros recursos, debido a una regla de seguridad. La funcionalidad
Comprobación de flujo de IP permite especificar una dirección IPv4 de origen y destino, el
puerto, el protocolo (TCP o UDP) y la dirección de tráfico (entrante y saliente). La
funcionalidad Comprobación de flujo de IP entonces comprueba la comunicación y le
informa si la conexión es correcta o si genera algún error. Si se produce algún error en la
conexión, la funcionalidad Comprobación de flujo de IP indica qué regla de seguridad
permitió o denegó la comunicación, para poder resolver el problema.
Una vez identificado el alerta gracias las múltiples bondades de Azure Network Watcher
se continúa la siguiente fase del nivel de Soporte requerido.
9
SE01A
Rev. E
 Diagnóstico de problemas de filtrado del tráfico de red hacia o desde una máquina
virtual
 Diagnóstico de problemas de enrutamiento de red desde una máquina virtual
 Diagnóstico de conexiones de salida desde una máquina virtual
 Captura de paquetes hacia y desde una máquina virtual
 Diagnóstico de problemas con conexiones y la puerta de enlace de una red virtual

de Azure
 Determinación de latencias relativas entre las regiones de Azure y los proveedores
de acceso a Internet
 Visualización de las reglas de seguridad para una interfaz de red
Métricas
La funcionalidad Límite de suscripción de red ofrece un resume de cuántos recursos de

red se han implementado en una suscripción y región, y cuál es el límite para el recurso.
Basados en las bondades de AZURE se puede comparar y validar las métricas de los
recursos asignados.
10
SE01A
Rev. E
Las métricas y límites de las mismas las indica la herramienta de monitoreo

proporcionada, haciendo muy versátil levantar cualquier alerta de seguridad o incidente.
Registros
Análisis del tráfico hacia y desde un grupo de seguridad de red
Los grupos de seguridad de red (NSG) permiten o deniegan el tráfico entrante o saliente
de una interfaz de red de una máquina virtual. La funcionalidad Registro de flujos de NSG
permite registrar la dirección IP de origen y destino, el puerto, el protocolo y si un NSG ha
permitido o denegado el tráfico.
11
SE01A
Rev. E
Visualización de registros de diagnóstico de recursos de red
La funcionalidad Registros de diagnóstico proporciona una única interfaz para habilitar y

deshabilitar los registros de diagnóstico de recursos de red de cualquier recurso de red
existente que genera un registro de diagnóstico.
Procedimiento de Respuesta a Incidentes de Seguridad

Lógica y de la Información
Pasos para la resolución de incidentes
La gestión de incidentes de seguridad se basa en diferentes pasos, que incluyen:
12
SE01A
Rev. E
Notificación del incidente:

Una persona detecta un evento que puede dañar el funcionamiento del sistema, por lo
que necesita comunicar el incidente de acuerdo con los procedimientos de comunicación
establecidos
Clasificación del incidente:

Oficina de Soporte recibe la notificación del incidente y, según los diversos parámetros, se
clasifica. La persona que detecta el incidente también puede hacer una clasificación, pero
es un experto técnico que lo clasifica de la manera adecuada.
Tratamiento del incidente:

Una vez que se clasifica el incidente y se conoce la gravedad y el tiempo acordado para
su resolución, un experto técnico debe decidir sobre las medidas necesarias para
resolverlo o si se necesita escalabilidad o Investigación.
Cierre el incidente:
Una vez que se resuelve el incidente, se registra toda la información generada durante el
13
SE01A
Rev. E
tratamiento y, finalmente, se notifica a la persona que envió primero la notificación del

incidente que se cerró.
Base de conocimiento:
Toda la información generada durante el tratamiento del incidente es crítica para posibles
incidentes similares en el futuro, así como para recopilar evidencia. Imagine que un
usuario actualiza un sistema y luego de esto, el sistema se cierra (involuntariamente).
Luego, el usuario abre un incidente y el incidente se resuelve y se cierra. La información
generada para resolver el incidente se registra, por lo que si el problema vuelve a ocurrir
en el futuro, simplemente pueden referirse a la base de conocimiento; Tendrán la solución
perfecta sin perder tiempo.
Roles de la Estrategia de Incidentes y Respuestas.
14
SE01A
Rev. E
Este es un equipo multidisciplinar con las personas y la experiencia adecuada. Esto para
que puedan hacer frente al incidente desde diversos enfoques, e involucrarlos en la
creación de este plan. Este equipo cuenta con un líder que es el responsable de
garantizar que cada respuesta se realice de acuerdo al plan y trabajar de la mano con la
Dirección para definir las decisiones importantes de la operativa.
Organigrama Empresarial Destacado en el Proyecto
Gerencia General
Nuevos Proyectos
Departamento Departamento Departamento

Talento Humano Comercial Tecnología
Administrador de
Procesos
Técnicos
Desarrolladores
Especialistas
15
SE01A
Rev. E
Roles y Responsabilidades
Rol Actividades
Administrador  Definir las herramientas, procedimientos y recursos para la gestión

del Proceso de incidentes de seguridad
 Comunicar los incidentes, estrategias y resultados a la alta

dirección
 Preparar al equipo de respuesta a incidentes ante la materialización

de un incidente de seguridad
 Definir estrategias para prevenir incidentes de seguridad
 Contactar a las autoridades y/o grupos especializados en respuesta

a incidentes para las labores de coordinación y apoyo.
 Ejecutar pruebas de la guía de respuesta a incidentes de seguridad

de forma periódica y actualizarla si es pertinente
 Reportar oportunamente los incidentes o eventos de seguridad de

la información y cualquier comportamiento anormal que se presente
en la Entidad o en sus activos de información.
16
SE01A
Rev. E
Rol Actividades
Técnico  Coordinar las actividades a desarrollar durante un incidente de

Especialista seguridad
 Generar técnicas y soluciones de acuerdo a la necesidad
 Ejecutar pruebas de la guía de respuesta a incidentes de

seguridad
 Reportar la solución dada al administrador.
 Documentar y generar reporte
Rol Actividades
Líder Sistemas  Fomentar la participación de los funcionarios en las campañas de
Local sensibilización de seguridad de la información
 Apoyar en la resolución de incidentes internos en los casos
relacionados con violaciones u omisiones a las políticas de
seguridad de la información.
El grupo responsable debe atender de manera inmediata los eventos reportados, luego de
analizar los eventos, determinar si estos son categorizados como un incidente de
Seguridad de la Información y realizar el escalamiento correspondiente de acuerdo con su
nivel de criticidad.
17
SE01A
Rev. E
Diagrama del Proceso y Ejecución ante Incidente
El correspondiente diagrama muestra el work flow de la metodología utilizada por

Sistemas Font para la resolución de Incidentes.
18
SE01A
Rev. E
Capacidad de Tiempo de Recuperación de Tecnología (TRTC)
La siguiente tabla informativa muestra el nivel impacto del incidente y el tiempo de

capacidad de respuesta del equipo de soporte de Font Sistemas ante el nivel del alerta y
las principales Incidencias identificadas de acuerdo a la experiencia de negocio y mejores
prácticas sugeridas en la Industria TI.
Detalle Nivel de Tiempo de Respuesta

impacto
Daño de la máquina virtual de AZURE Alto 24 Horas
Daño del servidor de SQL Server Alto 24 Horas
Errores técnicos de actualización Bajo 12 Horas
Daño o alteración de los datos Alto 24 Horas
Errores de programación software Mediano 24 Horas
Acceso de intrusos o hackers Alto +24 Horas
Pérdida de los respaldos de base de datos Alto 24 Horas
Pérdida de los documentos electrónicos Alto 24 Horas
Plan Preventivo de Contingencia

Este plan permite realizar un análisis dedicado a la plataforma y todos sus componentes
el mismo este propuesto calendario para ejecutarse cada 90 Días de acuerdo a la
planificación planteada ante el cliente. El mismo debe ser ejecutado en conjunto con el
área de sistemas para generar certificación del mismo.
Plan Preventivo Frecuencia de Ejecución
19
SE01A
Rev. E
Componente Fecha Fecha final Fecha Fecha Final Acción Font

Inicio del de soporte final de del soporte Sistemas
ciclo de estándar soporte de Service Actualización
vida final Pack
Procedimiento de Manejo de Versiones, Vulnerabilidades y

Parches en Productos Tecnológicos
El equipo de Soporte de Font Sistemas cuenta con el respaldo de las garantías emitidas
por AZURE en cuanto a las actualizaciones de sistemas operativos, SQL servers. De tal
manera que acudiríamos al equipo de Soporte en la escala de Incidentes si llegase a
presentar Alertas.
SQL Azure es un sistema completamente tolerante a fallas diseñado para permitir

actualizaciones continuas sin interrumpir el servicio. Esto significa que cuando se aplican
las actualizaciones, no hay interrupción en su capacidad para acceder a sus datos.
Se pueden aplicar dos tipos de parches a SQL Azure, actualizaciones del sistema
operativo y actualizaciones del servicio. Ambos tipos de actualizaciones pueden provocar
la caída de una conexión SQL establecida. Por esta razón, y otras, debe asegurarse de
que su código esté diseñado para intentar restablecer una conexión a SQL Azure y
manejar el grupo de conexiones correctamente en caso de pérdida de conexión.
20
SE01A
Rev. E
Proceso para la administración del riesgo Manejo de Versiones,

Vulnerabilidades y Parches
Plantilla Esquema Control y Gestión del Riesgo de Manejo de

Versiones, Vulnerabilidades y Parches
Riesgo Calificación Cualitativa Responsable Riesgo

Impact Rankin Respuest Propietario
Descripción Categoría Probabilidad o Puntuación g Responsable a del Riesgo
Diseño
Implementació
n
De Interfaz
Mantenimiento
21
SE01A
Rev. E
Actualización
Parches
Riesgo: El riesgo expresado en una oración completa que establece la causa del riesgo, el
riesgo y el efecto que el riesgo causa.
Los principales riesgos identificados en la implementación y mantenimiento de la plataforma

de activos fijos.
Diseño: Riesgos derivados de la lógica de funcionamiento de la plataforma, los cuales están

mitigados por pasar por un ambiente de desarrollo y calidad cualesquiera de las inclusiones
al diseño, sin embargo se contemplan nuevos procedimientos o mejoras incluso procesos de
desbordamiento de datos
Implementación: Riesgos derivados del proceso de implementación en nuevas áreas del

negocio o por crecimiento del mismo software se contemplan acciones de buenas prácticas
para la agilización y optimización de los mismos.
De Interfaz: Riesgos derivados de desajustes de la interfaz de usuario la cual pudiera

impactar el desempeño del software, cabe mencionar en este punto que las configuraciones
y resoluciones dependen del hardware y del software de navegación.
Mantenimiento: Riesgos derivados del soporte de sostenimiento de la plataforma,

contemplando las necesidades básicas del funcionamiento del software tipificadas en los
planes de acción de este documento.
Actualización: Riesgos derivados de la actualización de la plataforma o de cualesquiera de

los componentes necesarios para su funcionamiento, tomando en consideración Sistemas
Operativos, Sistemas de Bases de Datos, Sistema de Reporting Service. O por actualización
22
SE01A
Rev. E
de equipo de un usuario.
Parches: Riesgos derivados a la actualización o parches en la plataforma o componentes

necesarios para su funcionamiento. Considerando los del sistema se contemplan acciones
de una implementación, para los componentes necesarios como sistemas operativos, bases
de datos o reporting se contemplan las recomendaciones del fabricante de software y
puntualmente se analiza el caso para apoyo de terceros.
Categoría: Nomenclatura utilizada para clasificar el nivel de riesgo utilizando Diseño,

Implementación, Interfaz, Mantenimiento, Actualizacion, Parches
Probabilidad: La probabilidad de que ocurra un riesgo u oportunidad (en una escala de 0 a

10, siendo 10 la más alta).
Impacto: El impacto del riesgo en el sistema si ocurre el riesgo (escala de 0 a 10, siendo 10
el más alto).
Puntuación de riesgo: se determina multiplicando la probabilidad y el impacto (escala de 0 a

100).
Clasificación de riesgo: una lista de prioridades que está determinada por la clasificación
relativa de los riesgos (por sus puntajes), siendo el número uno el puntaje de riesgo más
alto.
Respuesta al riesgo: la acción que se debe tomar si se presenta este riesgo.
Propietario del riesgo: Personal para vigilar los factores desencadenantes y gestionar la
respuesta al riesgo si se produce el riesgo.
23
SE01A
Rev. E
Ciclo de vida de los componentes

Modelo utilizado para el control del ciclo de vida de los componentes necesarios para la
utilización de la plataforma.
Componente Fecha Fecha final Fecha final Fecha Final Acción Font
Inicio del de soporte de soporte del soporte Sistemas
ciclo de estándar final de Service
vida Pack
Componente Proveedor Fecha de expiración Acción
Herramienta Utilizada para el Control de la APP
Para el proceso de control de versiones y desarrollos de la app, utilizamos GitHub que es un

software de control de versiones. El control de versiones es la gestión de los diversos
cambios que se realizan sobre un repositorio. Un repositorio es el nombre que recibe el lugar
donde se aloja el código de un proyecto de desarrollo en algún lenguaje de programación.
Hay 4 tipos de objetos en git (el más importante a entender es el commit).
Blob: se usa para almacenar datos de archivos, es generalmente un archivo.
Tree: es, básicamente, como un directorio, hace referencia a un conjunto de otros trees
y/o blobs (por ej. archivos y subdirectorios).
24
SE01A
Rev. E
Commit: apunta a un determinado tree, marcando como era en un momento determinado

(quien no haya entendido lo que es un tree, sustituya la palabra tree por archivo).
Contiene información sobre ese momento determinado, los cambios del autor desde el
último commit, el commit anterior (conocido como parent), etc. También se puede
entender un commit, de una forma más imprecisa y coloquial, como la modificación o el
conjunto de modificaciones a uno o varios archivos del repositorio. Otra forma de
entenderlo también sería, como una "foto" de uno o varios archivos del repositorio en un
momento determinado.
Tag: es una forma de marcar un commit como específico de alguna forma. Se usa
normalmente para marcar algunos commits como releases específicos o algo destacable
en esas líneas.
Este método de desarrollo estaría basado en Git y Github ofreciéndonos una enorme
versatilidad y posibilitando que todo el equipo de desarrollo esté al día en cuanto a
novedades en el desarrollo así como multitud de ventajas basadas en las mejores
prácticas empresariales en modelos de desarrollo.
25
SE01A
Rev. E
Procedimiento de Destrucción de Datos, Manejo de Medios y

Respaldos
Para finalizar el ciclo de vida de la información desde el enfoque de la seguridad,

es indispensable cubrir un aspecto de suma importancia: la destrucción de la
información.
26
SE01A
Rev. E
Cuclo de Datos Borrado Permanente
Cliente Font Sistemas Microsoft Azure
Solicitud de Solicitud
Implementar Gestión de
Finalización de
Borrado de Datos Borrado Seguro
Cuenta
Borrado Instalacion
Local / Carpetas
Borrado 90 Dias Azure

Base de Datos SQL Destruye la
SERVER Informacion
Borrado Instancia
Azure
Maquina Virtual
Desinstalación Culminación y
Herramientas Borrado Permanente
Asociadas a la APP Azure
Documento de
Confirmación de
Borrado
Permanente de la Informar al cliente sobre
APP la finalización del pedido
Diagrama Proceso Borrado Permanente
Borrado Instalación Local / Carpetas
ACTIVIDAD RESPOSANBLE
1. El cliente solicita la eliminación de la APP Cliente
2. Se solicita información si el borrado es permanente o por cambios Administrador de Sistemas
3. El equipo de Font realiza la exploración de directorios y sub directorios que Administrador de Sistemas
corresponden al sistema
27
SE01A
Rev. E
4. Si el borrado es permanente se utiliza la herramienta de borrado permanente Administrador de Sistemas

WIPEFILE
5. Verificar el estado del Borrado Administrador de Sistemas
6. Enviar confirmación de Borrado Administrador de Sistemas
Solicitud Borrado de
Carpeta Local
Si Notificación Borrado
¿Permanente?
Permanente
No
Proceso Standart Herramienta

Sistema Operativo WIPEFILE
Borrado Archivo
Diagrama Borado
WipeFile sobrescribe la información por completo, por lo que no hay forma de recuperar
los archivos o reconstruir cualquier tipo de reconstrucción.
28
SE01A
Rev. E
El borrado es permanente ya que son sobre escritos los archivos asegurando la eliminación del
clúster que lo contenía
Borrado Base de Datos SQL SERVER
29
SE01A
Rev. E
1. El cliente solicita la eliminación de las Bases de Datos Cliente
2. Se solicita información si el borrado es permanente o por cambios Administrador de Sistemas
3. El equipo de Font realiza la exploración de directorios y sub directorios que Administrador de Sistemas
corresponden a la base de datos en SQL Server
4. Si el borrado es permanente se utiliza el query que también elimina los Administrador de Sistemas
archivos relacionados a la base de datos.
5. Verificar el estado del Borrado Administrador de Sistemas
6. Enviar confirmación de Borrado Administrador de Sistemas
Solicitud Borrado de
Base de Datos
Si Notificación Borrado
¿Permanente?
Permanente
No
Query Query
Alter Table Drop Database
Modificación Borrado
Base Datos Base Datos
USE master;
GO
ALTER DATABASE
REMOVE FILE
GO
30
SE01A
Rev. E
Borrado Instancia Azure Máquina Virtual
1- Abrir el portal de usuarios de Azure Stack.
2- Seleccione Máquinas virtuales. Busque su máquina virtual y luego seleccione su máquina para abrir
la hoja de la máquina virtual.
3- Tome nota (anote) el grupo de recursos que contiene la VM y las dependencias de la VM.
4- Seleccione Redes y tome nota de la interfaz de red.
5- Seleccione Discos y anote el disco del sistema operativo y los discos de datos.
6- Regrese a la hoja de la máquina virtual y seleccione Eliminar.
7- Escriba y espera confirmar la eliminación y seleccione Eliminar.
8- Seleccione Grupos de recursos y luego seleccione el grupo de recursos.
9- Elimine las dependencias seleccionando manualmente los elementos que ha anotado. Para cada
elemento, seleccione Eliminar.
10- Escriba yes para confirmar la eliminación y seleccione Eliminar.
11- Espere a que el recurso se elimine por completo.
12- A continuación, puede eliminar la siguiente dependencia.
31
SE01A
Rev. E
Desinstalación Herramientas Asociadas a la APP
1. Revisión de directorios relacionados a instalación: Administrador de Sistemas
 Carpetas de Fotos de Activos
 Carpetas de Respaldos de Datos
 Carpetas con Datos de Prueba
 Carpetas de Software de Terceros
 Carpetas Respaldos de Azure
2. Se Ubican los mismos archivos en Servidores de Desarrollo y Calidad Bases Administrador de Sistemas
de Datos:
 Datos de Prueba
 Datos de Desarrollo
 Datos de Calidad
3. El equipo de Font realiza la exploración final y procede a emitir notificación Administrador de Sistemas
4. Se emite notificación al cliente de limpieza de archivos Administrador de Sistemas
Check de Validación del Personal Encargado del Borrado del Sistema
Aplicación Web Ambiente Desarrollo Ambiente Calidad Ambiente Producción
Fecha Fecha Fecha

Directorios Locales
Estructuras de Bases de Datos
Estructuras Datos de Prueba
Instancia de Servidor Azure
Software de Terceros Relacionado
Carpetas de Fotos de Activos
Carpetas de Respaldos de Datos
32
SE01A
Rev. E
Carpetas con Datos de Prueba
Carpetas Respaldos de Azure
Carpetas Otros Archivos
Como parte del componente que significa la herramienta AZURE BACKUP utilizamos
esta herramienta, la cual incluye un amplio margen de configuraciones y características
que aprovechamos en el Departamento de Font Sistemas a fin de brindar máxima
capacidad de Seguridad y Protección a nuestra herramienta. Las funcionalidades que
aprovechamos de la herramienta son:
Descarga de copia de seguridad local: Azure Backup ofrece una solución sencilla para
hacer copias de seguridad de los recursos locales en la nube
Copia de seguridad de máquinas virtuales de IaaS de Azure: Azure Backup

proporciona copias de seguridad independiente y aislada para evitar la destrucción
accidental de datos originales. Las copias de seguridad se almacenan en un almacén de
Recovery Services con administración integrada de puntos de recuperación.
Como parte del proceso de copia de seguridad, se realiza una instantánea y los datos se
transfieren al almacén de Recovery Services sin que ello afecte a las cargas de trabajo de
producción. La instantánea proporciona diferentes niveles de coherencia.
En el caso concreto de una finalización de suscripción o salida de la plataforma. Los datos

de Azure se eliminarán a los 90 días de terminarse el servicio los mismos serán
destruidos y garantizan la confidencialidad de dichos datos.
El caso concreto de Font Sistemas de acuerdo a políticas o reglas de contrato se

mantendrían respaldados por nosotros hasta cualquier solicitud del cliente.
33
SE01A
Rev. E
Esquema de Configuración de Respaldos
Muestra la Configuración de Respaldo
Grupo de Recursos
34
SE01A
Rev. E
35
SE01A
Rev. E
Diagrama Backup Plataforma Azure
Cloud backup en Microsoft Azure
36
SE01A
Rev. E
Diagrama de flujos de back up (Procedimiento Font)
ACTIVIDAD RESPOSANBLE PUNTO DE REGISTRO FLUJOGRAMA

CONTROL
1. Identificar los Administrador de
sistemas de Sistemas
Inicio
información
automatizados que se
encuentran en Identificar los sistemas de
producción de la información
administración central
2. Elaborar el plan de Administrador de Políticas De Plan de
copias de seguridad Sistemas Seguridad copias de
teniendo en cuenta el seguridad
volumen de Plan de Copias
información, de Seguridad
periodicidad de la
copia, Responsable,
proceso, tipo de copia
37
SE01A
Rev. E
3. Delegar el Administrador de Técnico

responsable para el Sistemas Especialista Delegar el responsable
control y ejecución del del control y ejecución
procedimiento de del procedimiento
backup
4. Programar la copia Administrador de Plan de copias Registro

automática de acuerdo Sistemas de seguridad control copias
a la periodicidad de seguridad Programar o generar la
establecida, o generarla copia
manualmente
5. Verificar el estado del Administrador de Tamaño de la Registro

Backup Sistemas, Técnico copia, tiempo de control copias
Si
Especialista generación de seguridad Backup
1 ok?
No
6. Si hay fallas en el Administrador de Plan de copias

respaldo, analizar las Sistemas, Técnico de seguridad Analizar las causas de las
causas, tomar los Especialista fallas y tomar correctivos
correctivos y generar
nuevamente
A
Capacidades y el Proceso de Respuesta a Incidentes de

Seguridad del Proveedor de Soluciones / Hosting
Nuestro proveedor de servicios hosting ofrece una amplia gama de opciones y
recomendaciones en la parte de incidentes de Seguridad, el caso de Azure Security
Center ayuda a proteger su entorno de nube híbrida. Al realizar evaluaciones de
seguridad continuas de los recursos conectados, puede proporcionar recomendaciones
de seguridad detalladas para las vulnerabilidades detectadas.
Las recomendaciones de Security Center se basan en Azure Security Benchmark, el

conjunto de directrices de seguridad y cumplimiento normativo de Microsoft, que a su vez
se basa en los marcos de cumplimiento comunes. Esta prueba comparativa, que cuenta
38
SE01A
Rev. E
con amplísimo respaldo, se basa en los controles del Centro de seguridad de Internet
(CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en
seguridad centrada en la nube.
La plataforma integrada de protección de cargas de trabajo en la nube (CWP) de Security

Center, Azure Defender, ofrece la protección avanzada e inteligente de los recursos y las
cargas de trabajo híbridas de Azure. La habilitación de Azure Defender aporta una
variedad de características de seguridad adicionales (consulte Introducción a Azure
Defender). El panel de Azure Defender en Security Center permite la visibilidad y el
control de las características de CWP en un entorno.
Los términos "control", "punto de referencia" y "línea de base" se utilizan con frecuencia
en la documentación de Azure Security Benchmark y es importante comprender cómo
utilizar esos términos.
Terminología
Término Descripción Ejemplo
La protección de datos es uno de
Un control es una descripción de alto nivel los controles de seguridad. Este
de una característica o actividad que debe control contiene acciones
Control
abordarse y no es específica de una específicas que deben abordarse
tecnología o implementación. para ayudar a garantizar que los
datos estén protegidos.
39
SE01A
Rev. E
Terminología
Término Descripción Ejemplo
Un punto de referencia contiene
Azure Security Benchmark
recomendaciones de seguridad para una
Punto de comprende las recomendaciones
tecnología específica, como Azure. Las
referencia de seguridad específicas de la
recomendaciones están categorizadas por
plataforma Azure.
el control al que pertenecen.
Una línea de base es la implementación
del punto de referencia en el servicio de Habilitar las características de
Azure individual. Cada organización seguridad de Azure SQL siguiendo
Base decide la recomendación de referencia y la configuración recomendada en la
las configuraciones correspondientes son línea de base de seguridad de
necesarias en el ámbito de Azure SQL.
implementación de Azure.
40
SE01A
Rev. E
Además y lo más importante el proveedor de servicios hosting ofrece el reglamento

general de protección de datos (RGPD), que añade nuevas normas organizaciones que
ofrecen bienes y servicios a los ciudadanos de la Unión Europea (UE), o que recopilen y
analicen datos de los residentes de la UE, sin importar donde estén ubicados usted o su
empresa. Este se compromete en respetar los derechos y cumplir las obligaciones del
reglamento general de protección de datos, al usar los productos y servicios de Microsoft.
Un plan de acción recomendado para el reglamento general de protección de datos y
listas de comprobación de responsabilidad proporcionan recursos adicionales para
evaluar e implementar el cumplimiento del reglamento general de protección de datos.
Las siguientes tareas están relacionadas con el cumplimiento de los estándares del
reglamento general de protección de datos (RGPD).
Solicitudes de temas de datos (STD). Una solicitud formal de datos, sujetos a un

controlador para realizar una acción (cambiar, restringir, acceder) en sus datos
personales.
Notificación de infracciones. Según el reglamento general de protección de datos

(RGPD), una infracción de datos personales es "una infracción de seguridad que se
traduce en la destrucción accidental o ilegal, la pérdida, la modificación, la divulgación no
autorizada o el acceso a datos personales transmitidos, almacenados o procesados de
alguna forma".
Evaluación de impacto de la protección de datos (EPIA). Los controladores de datos

son requeridos en el reglamento general de protección de datos (RGPD), para preparar
una evaluación de impacto de la protección de datos (EIPA) para las operaciones de
datos que sean "probables que resulten en un alto riesgo para los derechos y libertades
de las personas naturales".
41
SE01A
Rev. E
De acuerdo con el reglamento general de protección de datos (RGPD), los controladores

de datos son requeridos para preparar una evaluación de impacto de la protección de
datos (EPIA) para procesar operaciones que sean "probables que resulten en un alto
riesgo para los derechos y libertades de las personas naturales". No hay nada inherente a
los productos y servicios de Microsoft que necesitan la creación de una evaluación de
impacto de la protección de datos (EIPA). En su lugar, depende de los detalles de la
configuración de Microsoft.
Es importante destacar que Azure Security Center es una herramienta activa en todo
momento y avisa de las amenazas procedentes de actores malintencionados conocidos.
Estos son algunos ejemplos:
Aprovechamiento de la capacidad del aprendizaje automático: Azure Security Center

tiene acceso a una gran cantidad de datos sobre la actividad de red en la nube, que se
puede usar para detectar amenazas dirigidas a las implementaciones de Azure.
Detección de fuerza bruta: el aprendizaje automático se usa para crear un patrón

histórico de los intentos de acceso remoto, lo que permite detectar los ataques de fuerza
bruta contra los puertos Secure Shell (SSH), Protocolo de escritorio remoto (RDP) y SQL.
Salida DDoS y detección de botnet: un objetivo común de los ataques dirigidos a los
recursos de nube consiste en usar la capacidad de proceso de estos recursos para
ejecutar otros ataques.
Nuevos servidores de análisis de comportamiento y máquinas virtuales: después de

poner en peligro un servidor o una máquina virtual, los atacantes emplean una gran
variedad de técnicas para ejecutar código malintencionado en el sistema sin ser
detectados, lo que garantiza la persistencia y consigue evitar los controles de seguridad.
42
SE01A
Rev. E
Detección de amenazas de Azure SQL Database: la detección de amenazas de Azure

SQL Database identifica actividades anómalas de la base de datos que indican intentos
inusuales o posiblemente dañinos de acceso o ataque a las bases de datos.
Los ciclos de vida de Microsoft proporcionan directrices coherentes y predecibles para el

soporte técnico a lo largo de la vida útil de un producto, lo que ayuda a los clientes a
administrar sus inversiones y entornos de TI mientras planifican estratégicamente el
futuro.
De acuerdo a la políticas Política EOL / EOS una vez que un producto llega al final del
soporte, o un servicio se retira, no habrá nuevas actualizaciones de seguridad,
actualizaciones de no seguridad o soporte técnico asistido. Se recomienda a los clientes
que migren a la versión más reciente del producto o servicio. Es posible que se ofrezcan
programas de pago para productos aplicables.
La mayoría de los productos y servicios comerciales se rigen por la directiva fija o

moderna, que determina los plazos de soporte y mantenimiento.
Directiva moderna. Los productos que se rigen por la directiva moderna siguen un
modelo continuo de soporte y mantenimiento. Los clientes deben tener instalada la
actualización más reciente para seguir recibiendo soporte. Los productos y servicios
proporcionarán un aviso con un mínimo de 12 meses de antelación al retiro.
Directiva fija. El producto regulado por la directiva fija habrá publicado las fechas de fin
de soporte en el momento del lanzamiento. Estos productos suelen tener 5 años de
soporte estándar seguidos de 5 años de soporte extendido (pueden aplicarse
excepciones).
43
SE01A
Rev. E
Cuando un producto llega al final de la fase de soporte estándar, los clientes ya no podrán
recibir actualizaciones de no seguridad ni realizar solicitudes para cambiar el diseño y las
características del producto.
Cuando un producto llega al final de la fase de soporte extendido, el producto ha llegado

al final del soporte.
Service Packs. Para los productos de directiva fija, los clientes deben pasar al Service
Pack más reciente para seguir recibiendo soporte. Cuando se lance un nuevo Service
Pack, los clientes disfrutarán de 12 o 24 meses de soporte para que tengan tiempo
suficiente de cara a la transición al siguiente Service Pack.
Tablero de Control que permite visualizar el estatus
44
SE01A
Rev. E
Alertas de máquinas Windows Tácticas MITRE
Alertas de máquinas Windows
Tácticas
Alerta Descripción severity
MITRE
Se ha detectado un Se produjo una autenticación remota correcta para la cuenta [cuenta] y el

inicio de sesión proceso [proceso]. Sin embargo, la dirección IP de inicio de sesión
- Alto
desde una dirección (x.x.x.x) se ha notificado previamente como malintencionada o muy
IP malintencionada inusual. Es probable que se haya producido un ataque correcto.
Se produjo una autenticación remota correcta para la cuenta [cuenta] y el

Se ha detectado un
proceso [proceso]. Sin embargo, la dirección IP de inicio de sesión
inicio de sesión
(x.x.x.x) se ha notificado previamente como malintencionada o muy
desde una dirección
inusual. Es probable que se haya producido un ataque correcto. Los - Alto
IP malintencionada.
archivos con las extensiones .src son archivos del protector de pantalla y
[Se ha detectado
suelen residir en el directorio del sistema de Windows, así como
varias veces].
ejecutarse desde este.
Adición de una
El análisis de datos del host ha detectado la adición de la cuenta de
cuenta de invitado al
invitado integrada al grupo de administradores locales en el host %
grupo de - Media
{Compromised Host}, lo que está estrechamente asociado con la
administradores
actividad de los atacantes.
locales
Los registros de la máquina indican que el usuario "%{user name}" ha

Se ha borrado un realizado una operación de borrado del registro de eventos sospechoso
- Informativo
registro de eventos en la máquina "%{CompromisedEntity}". Se borró el registro %{log
channel}.
Acción antimalware Microsoft Antimalware para Azure ha realizado una acción para proteger
- Media
realizada esta máquina contra malware u otro software potencialmente no deseado.
Error en la acción Microsoft Antimalware ha encontrado un error al realizar una acción en

- Media
antimalware malware u otro software potencialmente no deseado.
Se detectaron El análisis de datos de host en %{Compromised Host} detectó indicadores - Alto
45
SE01A
Rev. E
Tácticas
MITRE
asociados al ransomware de Petya. Consulte

indicadores de https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-
ransomware de old-techniques-petya-adds-worm-capabilities/ para obtener más
Petya. información. Revise la línea de comandos asociada a esta alerta y escale
dicha alerta al equipo de seguridad.
Se detectaron
acciones que
indican la
El análisis de datos del host detectó acciones que muestran que se
deshabilitación y - Media
inhabilitaron o eliminaron archivos de registro de IIS.
eliminación de
archivos de registro
de IIS
Se detectó una
El análisis de datos del host en %{Compromised Host} detectó una línea
combinación
de comandos con una combinación anómala de caracteres en
anómala de
mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es
caracteres en - Media
benigno, también es típico de los atacantes que intentan ocultarse de la
mayúsculas y
regla basada en hash o que distingue mayúsculas de minúsculas al
minúsculas en la
realizar tareas administrativas en un host en peligro.
línea de comandos.
El análisis de datos del host en %{Compromised Host} detectó que se

Se detectó un cambió una clave del Registro que se puede usar para omitir UAC
cambio en una clave (Control de cuentas de usuario). Aunque posiblemente este tipo de
del Registro que se configuración es benigno, también es típico de la actividad de los - Media
puede usar para atacantes cuando intentan pasar de la obtención de acceso sin privilegios
omitir UAC. (usuario estándar) a un acceso con privilegios (por ejemplo,
administrador) en un host en peligro.
El análisis de datos del host en %{Compromised Host} detectó que

Se detectó la
certutil.exe, una utilidad de administrador integrada, se usaba para
descodificación de
descodificar un archivo ejecutable en lugar de para su finalidad estándar
un archivo
relacionada con la manipulación de certificados y datos de certificados.
ejecutable mediante - Alto
Se sabe que los atacantes abusan de la funcionalidad de herramientas de
la herramienta
administrador legítimas para realizar acciones malintencionadas; por
integrada
ejemplo, utilizan una herramienta como certutil.exe para descodificar un
certutil.exe.
ejecutable malintencionado que se ejecutará posteriormente.
46
SE01A
Rev. E
Tácticas
MITRE
El análisis de datos del host detectó un cambio en la clave del Registro

Se detectó la HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\
habilitación de la "UseLogonCredential". Concretamente, esta clave se ha actualizado para
clave del Registro permitir que las credenciales de inicio de sesión se almacenen en texto no - Media
UseLogonCredential cifrado en la memoria LSA. Una vez se habilita, un atacante puede volcar
de WDigest. contraseñas de texto no cifrado de la memoria LSA con herramientas de
recopilación de credenciales como Mimikatz.
El análisis de datos del host en %{Compromised Host} ha detectado un

Se detectó un archivo con codificación Base 64. Esto se ha asociado previamente con
archivo ejecutable atacantes que intentan crear archivos ejecutables sobre la marcha
codificado en los mediante una secuencia de comandos e intentan eludir los sistemas de - Alto
datos de la línea de detección de intrusiones al asegurarse de que ningún comando individual
comandos. desencadena una alerta. Esto podría indicar una actividad legítima o que
un host se encuentra en peligro.
Los atacantes usan técnicas de ofuscación cada vez más complejas para
Se detectó una línea
eludir las detecciones que se ejecutan con los datos subyacentes. El
de comandos - Informativo
análisis de datos del host en %{Compromised Host} detectó indicadores
ofuscada
sospechosos de ofuscación en la línea de comandos.
El análisis de datos del host en %{Compromised Host} detectó la

ejecución de un proceso cuyo nombre indica que se trata de una
Se detectó una
herramienta keygen. Estas herramientas se utilizan normalmente para
posible ejecución
anular los mecanismos de licencia de software, pero su descarga suele - Media
del archivo
estar incluida con otro software malintencionado. Se sabe que el grupo de
ejecutable keygen.
actividad GOLD usa archivos keygen para obtener acceso de manera
encubierta por la puerta trasera a los hosts a los que pone en peligro.
Se detectó una El análisis de datos del host en %{Compromised Host} detectó un nombre
posible ejecución de de archivo que se ha asociado previamente a uno de los métodos del
- Alto
un instalador de grupo de actividad GOLD de instalación de malware en el host de las
malware. víctimas.
Se detectó una El análisis de datos del host en %{Compromised Host} detectó una -
posible actividad de combinación de comandos systeminfo que se ha asociado previamente a
reconocimiento uno de los métodos del grupo de actividad GOLD de realización de la
local. actividad de reconocimiento. Aunque "systeminfo.exe" es una herramienta
de Windows legítima, su ejecución dos veces seguidas de la forma en
47
SE01A
Rev. E
Tácticas
MITRE
que se ha producido aquí es poco frecuente.
Se detectó un uso El análisis de datos del host muestra la instalación de Telegram, un

potencialmente servicio de mensajería instantánea gratuito basado en la nube que existe
sospechoso de la tanto para móviles como para sistemas de escritorio. Se sabe que los - Media
herramienta atacantes usan este servicio para transferir archivos binarios
Telegram. malintencionados a cualquier otro equipo, teléfono o tableta.
Se detectó la El análisis de datos del host en %{Compromised Host} detectó cambios

supresión del aviso en la clave del Registro que controla si se muestra un aviso legal a los
legal que se muestra usuarios cuando inician sesión. El análisis de seguridad de Microsoft ha - Bajo
a los usuarios en el determinado que se trata de una actividad que habitualmente llevan a
inicio de sesión. cabo los atacantes después de poner en peligro un host.
Los atacantes usan mshta.exe (host de aplicación HTML de Microsoft),

que es un archivo binario firmado de Microsoft, para iniciar comandos de
Se detectó una PowerShell malintencionados. A menudo, los atacantes recurren a tener
combinación un archivo HTA con VBScript alineado. Cuando una víctima navega hasta
- Media
sospechosa de HTA el archivo HTA y elige ejecutarlo, se ejecutan los comandos y los scripts
y PowerShell. de PowerShell que contiene. El análisis de datos del host en %
{Compromised Host} detectó que mshta.exe inicia comandos de
PowerShell.
Se detectaron
El análisis de datos del host en %{Compromised Host} detectó que se han
argumentos de la
usado argumentos de la línea de comandos sospechosos junto con un - Alto
línea de comandos
shell inverso que utiliza el grupo de actividad HYDROGEN.
sospechosos.
Se detectó una línea

de comandos El análisis de datos del host ha detectado la ejecución de un proceso
sospechosa que se sospechoso en el host %{Compromised Host}. La línea de comandos
usa para iniciar indica un intento de iniciar todos los archivos ejecutables (*.exe) que - Media
todos los archivos pueden residir en un directorio. Esto podría indicar que un host se
ejecutables en un encuentra en peligro.
directorio.
Se detectaron El análisis de datos del host en %{Compromised Host} detectó una - Alto
credenciales contraseña sospechosa que el grupo de actividad BORON usa para
sospechosas en la ejecutar un archivo. Se sabe que este grupo de actividad utiliza esta
48
SE01A
Rev. E
Tácticas
MITRE
línea de comandos. contraseña para ejecutar malware de Pirpi en el host de las víctimas.
Se detectaron El análisis de datos del host en %{Compromised Host} detectó un hash de

credenciales de contraseña precalculado común y sospechoso que usa el malware para
- Alto
documentos ejecutar un archivo. Se sabe que el grupo de actividad HYDROGEN
sospechosas. utiliza esta contraseña para ejecutar malware en el host de las víctimas.

Se detectó la ejecución del comando VBScript.Encode. Este codifica los scripts en texto
ejecución ilegible, lo que dificulta que los usuarios examinen el código. La
sospechosa del investigación de amenazas de Microsoft muestra que los atacantes - Media
comando suelen usar archivos VBscript codificados como parte de su ataque para
VBScript.Encode. eludir los sistemas de detección. Esto podría indicar una actividad
legítima o que un host se encuentra en peligro.
El análisis de datos del host en %{Compromised Host} detectó que se ha

Se detectó una
utilizado el archivo rundll32.exe para ejecutar un proceso con un nombre
ejecución
no común. Esto se ha hecho de forma coherente con el esquema de
sospechosa - Alto
nomenclatura del proceso que anteriormente ha utilizado el grupo de
mediante el archivo
actividad GOLD al instalar la primera fase del implante en un host en
rundll32.exe.
peligro.
El análisis de datos del host en %{Compromised Host} detectó una

combinación de comandos systeminfo que se ha asociado previamente a
Se detectaron
uno de los métodos del grupo de actividad GOLD de realización de la
comandos de
actividad de autolimpieza después de la puesta en peligro. Aunque - Alto
limpieza de archivos
"systeminfo.exe" es una herramienta legítima de Windows, ejecutarla dos
sospechosos.
veces consecutivas, seguida de un comando de eliminación en la forma
en que se ha producido aquí es poco frecuente.
El análisis de datos del host en %{Compromised Host} detectó la creación

o la ejecución de un proceso que anteriormente ha indicado que se
Se detectó la trataba de una acción llevada a cabo en el host de las víctimas por parte
creación de un del grupo de actividad BARIUM después de la puesta en peligro. Se ha - Alto
archivo sospechoso. sabido que este grupo de actividad usa esta técnica para descargar
malware adicional en un host en peligro después de abrir un archivo
adjunto en un documento de suplantación de identidad (phishing).
Se detectaron El análisis de datos del host en %{Compromised Host} detectó datos que - Alto
49
SE01A
Rev. E
Tácticas
MITRE
se escriben en una canalización con nombre local desde un comando de

comunicaciones de
la consola Windows. Se sabe que los atacantes utilizan canalizaciones
canalización con
con nombre a fin de realizar tareas y comunicarse con un implante
nombre
malintencionado. Esto podría indicar una actividad legítima o que un host
sospechosas.
se encuentra en peligro.
El análisis del tráfico de red desde el host %{Compromised Host} detectó

una actividad de red sospechosa. Aunque posiblemente este tráfico es
Se detectó una benigno, suele utilizarlo un atacante para comunicarse con servidores
actividad de red malintencionados para la descarga de herramientas, el comando y control - Bajo
sospechosa. y la filtración de datos. La actividad de atacante relacionada típica incluye
la copia de herramientas de administración remota en un host en peligro y
la extracción de los datos del usuario a partir de dicha copia.
Se detectó una El análisis de datos del host ha detectado que se ha agregado una nueva
nueva regla de regla de firewall a través de netsh.exe para permitir el tráfico desde un - Media
firewall sospechosa. archivo ejecutable en una ubicación sospechosa.
Los atacantes usan innumerables métodos, como la fuerza bruta, el

phishing de objetivo definido, etc., para realizar una vulneración inicial y
obtener una posición en la red. Una vez que se consigue la vulneración
inicial, a menudo se llevan a cabo pasos para reducir la configuración de
seguridad de un sistema. Cacls, que es la abreviatura de "cambiar la lista
Se detectó un uso
de control de acceso", es la utilidad de la línea de comandos nativa de
sospechoso de
Microsoft Windows que se usa a menudo para modificar el permiso de
Cacls para reducir el - Media
seguridad en carpetas y archivos. En muchas ocasiones, los atacantes
estado de seguridad
usan el archivo binario para reducir la configuración de seguridad de un
del sistema
sistema. Para ello, se concede a todos los usuarios acceso completo a
algunos de los archivos binarios del sistema, como ftp.exe, net.exe,
wscript.exe, etc. El análisis de datos del host en %{Compromised Host}
detectó un uso sospechoso de Cacls para reducir la seguridad de un
sistema.
Se detectó un uso El análisis de datos de creación de procesos en el host %{Compromised - Media

sospechoso del Host} ha detectado el uso del modificador "-s:filename" del FTP. Este
modificador -s de modificador se usa para especificar un archivo de script FTP para que lo
FTP. ejecute el cliente. Se sabe que el malware o los procesos
malintencionados usan este conmutador FTP (-s:filename) para apuntar a
un archivo de script que está configurado para conectarse a un servidor
50
SE01A
Rev. E
Tácticas
MITRE
FTP remoto y descargar archivos binarios malintencionados adicionales.
El análisis de datos del host en %{Compromised Host} detectó el uso del

archivo pcalua.exe para iniciar código ejecutable. El archivo Pcalua.exe
Se detectó un uso es un componente del "Asistente para la compatibilidad de programas" de
sospechoso del Microsoft Windows que detecta problemas de compatibilidad durante la
archivo Pcalua. exe instalación o la ejecución de un programa. Se sabe que los atacantes - Media
para iniciar código usan la funcionalidad de las herramientas del sistema Windows legítimas
ejecutable. para realizar acciones malintencionadas, por ejemplo, usan el archivo
pcalua.exe con el modificador -a para iniciar archivos ejecutables
malintencionados localmente o desde recursos compartidos remotos.

Se detectó la ejecución del comando "net.exe stop" que se usa para detener servicios
deshabilitación de críticos como SharedAccess o Windows Security Center. La detención de - Media
servicios críticos. cualquiera de estos servicios puede ser una indicación de un
comportamiento malintencionado.
Se detectó un
comportamiento El análisis de datos del host en %{Compromised Host} detectó la
relacionado con la ejecución de un proceso o comando que normalmente se asocia con la - Alto
minería de datos de minería de moneda digital.
moneda digital.
El análisis de datos del host en %{Compromised Host} detectó un script

Construcción de PowerShell que se está construyendo dinámicamente. A veces, los
dinámica del script atacantes usan esta técnica para generar progresivamente un script con - Media
de PS el fin de eludir los sistemas IDS. Podría tratarse de una actividad legítima
o de una señal de que una de las máquinas se ha puesto en peligro.
Se encontró un El análisis de datos del host detectó un archivo ejecutable en el host %

archivo ejecutable {Compromised Host} que se está ejecutando desde una ubicación
que se ejecuta desde comuna de archivos sospechosos conocidos. Este archivo ejecutable - Alto
una ubicación podría indicar una actividad legítima o que un host se encuentra en
sospechosa. peligro.
Se detectó una La memoria del proceso especificado a continuación contiene una Evasión Alto
técnica de ataque evidencia de una técnica de ataque sin archivos: Los atacantes usan los de
sin archivos ataques sin archivos para ejecutar código y evitar ser detectados por el defensas,
51
SE01A
Rev. E
Tácticas
MITRE
software de seguridad. Entre sus comportamientos específicos se

incluyen los siguientes:
1) Shellcode, que es un pequeño fragmento de código que se usa
normalmente como carga útil para aprovechar una vulnerabilidad de
software.
2) Imagen ejecutable insertada en el proceso, como en un ataque por
inyección de código.
3) Conexiones de red activas. Consulte NetworkConnections a
continuación para más información.
ejecución
4) Llamadas de función a interfaces del sistema operativo confidenciales.
Consulte Funcionalidades a continuación para ver las funcionalidades del
sistema operativo a las que se hace referencia.
5) Vaciado de proceso, que es una técnica utilizada por malware en la
que se carga un proceso legítimo en el sistema para actuar como
contenedor de código hostil.
6) Contiene un subproceso que se inició en un segmento de código
asignado dinámicamente. Se trata de un patrón común de los ataques por
inyección de procesos.
La memoria del proceso especificado contiene comportamientos

utilizados habitualmente por ataques sin archivos. Entre sus
comportamientos específicos se incluyen los siguientes:
software.
Comportamiento de
2) Conexiones de red activas. Consulte NetworkConnections a Evasión
ataque sin archivos Bajo
continuación para más información. defensiva
detectado
3) Llamadas de función a interfaces del sistema operativo confidenciales.
Consulte Funcionalidades a continuación para ver las funcionalidades del
sistema operativo a las que se hace referencia.
4) Contiene un subproceso que se inició en un segmento de código
asignado dinámicamente. Se trata de un patrón común de los ataques por
inyección de procesos.
Kit de herramientas La memoria del proceso especificado contiene un kit de herramientas de Evasión Media
de ataques sin ataques sin archivos: [nombre del kit de herramientas]. Los kits de defensiva
archivos detectado herramientas de ataques sin archivos usan técnicas que minimizan o
eliminan el rastro de malware en el disco y reducen considerablemente
las posibilidades de detección mediante soluciones de análisis de
52
SE01A
Rev. E
Tácticas
MITRE
malware basadas en disco. Entre sus comportamientos específicos se

incluyen los siguientes:
1) Kits de herramientas conocidas y software de minería de datos de
cifrado.
software.
3) Archivo ejecutable malintencionado insertado en la memoria de
proceso.
El análisis de datos del host de %{Compromised Host} detectó que

anteriormente se ha asociado el uso de software con la instalación de
Se detectó un malware. Una técnica común que se emplea en la distribución de software
software de alto malintencionado consiste en empaquetarlo con otras herramientas - Media
riesgo. benignas, como la que se ha detectado en esta alerta. Al usar estas
herramientas, el malware se puede instalar de forma silenciosa en
segundo plano.
Los registros de la máquina indican una enumeración correcta en el grupo

%{Enumerated Group Domain Name}%{Enumerated Group Name}. En
Se enumeraron concreto, el elemento %{Enumerating User Domain Name}%
miembros del grupo {Enumerating User Name} enumeraba de forma remota los miembros del
- Informativo
de administradores grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}.
locales. Esta actividad puede ser una actividad legítima o puede indicar que una
máquina de la organización se ha puesto en peligro y se ha usado para el
reconocimiento de la máquina virtual %{vmname}.
Los registros de la máquina indican que la cuenta %{user name} ejecutó

Actividad SQL
el proceso "%{process name}". Esta actividad se considera - Alto
malintencionada
malintencionada.
El implante del Se creó una regla de firewall mediante técnicas que coinciden con un
servidor ZINC creó actor conocido, ZINC. Es posible que la regla se usara para abrir un
una regla de firewall puerto en el host %{Compromised Host} a fin de permitir las
- Alto
malintencionada [Se comunicaciones del comando y control. Este comportamiento se ha
detectó varias detectado [x] veces en la actualidad en las siguientes máquinas: [nombres
veces]. de las máquinas].
Se consultaron El análisis de datos del host ha determinado que se está realizando una - Media
53
SE01A
Rev. E
Tácticas
MITRE
consulta en un número inusual de cuentas de dominio distintas en un

varias cuentas de
breve período desde el host %{Compromised Host}. Este tipo de actividad
dominio.
podría ser legítimo, pero también puede ser una indicación de un riesgo.
El análisis de datos del host ha detectado que una herramienta nativa de

Se detectó un Windows (por ejemplo, sqldumper.exe) se usa de una manera que
posible volcado de permite extraer credenciales de la memoria. A menudo, los atacantes
credenciales [Se ha usan estas técnicas para extraer las credenciales que posteriormente - Media
detectado varias usan para el movimiento lateral y la escalación de privilegios. Este
veces]. comportamiento se ha detectado [x] veces en la actualidad en las
siguientes máquinas: [nombres de las máquinas].
El análisis de datos del host en %{Compromised Host} ha detectado un

posible intento de omitir las restricciones de AppLocker. AppLocker se
puede configurar para implementar una directiva que limite los archivos
ejecutables que se pueden ejecutar en un sistema Windows. El patrón de
Se detectó un
la línea de comandos similar al identificado en esta alerta se ha asociado
posible intento de - Alto
anteriormente con intentos por parte del atacante de eludir la directiva de
omitir AppLocker.
AppLocker mediante el uso de archivos ejecutables de confianza
(permitidos por la directiva de AppLocker) para ejecutar código que no es
de confianza. Esto podría indicar una actividad legítima o que un host se
encuentra en peligro.
El análisis de datos del host indica que la utilidad PsExec ejecutó el

Se detectó la
proceso %{Process Name}. PsExec se puede usar para ejecutar procesos
ejecución de - Informativo
de forma remota. Esta técnica se puede utilizar con fines
PsExec.
malintencionados.
El análisis de datos del host indica una actividad sospechosa

tradicionalmente asociada a la pantalla de bloqueo y a ransomware de
Se detectaron cifrado. El ransomware de la pantalla de bloqueo muestra un mensaje de
indicadores de pantalla completa que impide el uso interactivo del host y el acceso a sus
ransomware [Se han archivos. El ransomware de cifrado impide el acceso mediante el cifrado - Alto
detectado varias de archivos de datos. En ambos casos, normalmente se muestra un
veces]. mensaje de rescate, en el que se solicita el pago para restaurar el acceso
a los archivos. Este comportamiento se ha detectado [x] veces en la
actualidad en las siguientes máquinas: [nombres de las máquinas].
Se detectaron El análisis de datos del host indica una actividad sospechosa - Alto
54
SE01A
Rev. E
Tácticas
MITRE
tradicionalmente asociada a la pantalla de bloqueo y a ransomware de

cifrado. El ransomware de la pantalla de bloqueo muestra un mensaje de
pantalla completa que impide el uso interactivo del host y el acceso a sus
indicadores de
archivos. El ransomware de cifrado impide el acceso mediante el cifrado
ransomware.
de archivos de datos. En ambos casos, normalmente se muestra un
mensaje de rescate, en el que se solicita el pago para restaurar el acceso
a los archivos.
Se ejecutó un grupo Se ha observado que el proceso del sistema SVCHOST se ejecuta en un

de servicio grupo de servicio poco frecuente. A menudo, el malware usa SVCHOST - Informativo
SVCHOST inusual. para enmascarar su actividad malintencionada.
El análisis de datos del host indica que un atacante puede haber alterado
Se detectó un ataque un archivo binario de accesibilidad (por ejemplo, las teclas especiales, el
- Media
de teclas especiales. teclado en pantalla o el narrador) para proporcionar una puerta trasera de
acceso al host %{Compromised Host}.
Se detectaron varios intentos de iniciar sesión procedentes del mismo

origen. Algunos se autenticaron correctamente en el host.
Ataque por fuerza
Esto se parece a un ataque por ráfagas, en el que un atacante realiza - Medio/Alt
bruta correcto
numerosos intentos de autenticación para buscar las credenciales de
cuenta válidas.
El análisis de datos del host ha detectado que el archivo tscon.exe se

Nivel de integridad ejecuta con privilegios SYSTEM. Esto puede indicar que un atacante
sospechoso que utiliza este archivo binario para cambiar el contexto al de cualquier otro
- Media
indica un secuestro usuario que haya iniciado sesión en este host. Se trata de una técnica
de RDP conocida de los atacantes a fin de comprometer las cuentas de usuario
adicionales y moverse lateralmente a través de una red.
El análisis de datos del host detectó la instalación del archivo tscon.exe

como servicio. Este archivo binario iniciado como un servicio puede
Instalación permitir que un atacante cambie de forma trivial a cualquier otro usuario
sospechosa de un que haya iniciado sesión en este host mediante el secuestro de - Media
servicio conexiones RDP. Se trata de una técnica conocida de los atacantes a fin
de comprometer las cuentas de usuario adicionales y moverse
lateralmente a través de una red.
Se observó una El análisis de datos del host detecta parámetros de la línea de comandos - Media
55
SE01A
Rev. E
Tácticas
MITRE
sospecha de
parámetros de
coherentes con un ataque golden ticket de Kerberos.
ataque golden ticket
de Kerberos.
El análisis de datos del host en %{Compromised Host} detectó la creación

o el uso de una cuenta local %{Suspicious account name}. El nombre de
Se detectó la esta cuenta se parece mucho al nombre de un grupo o una cuenta de
creación de una Windows estándar "%{Similar To Account Name}". Esto significa que es - Media
cuenta sospechosa. posible que se trate de una cuenta no autorizada creada por un atacante,
que la denomina de esta forma a fin de evitar que la detecte un
administrador humano.
El análisis de datos del host ha detectado una secuencia de uno o más

procesos que se ejecutan en %{machine name} y que se han asociado
Se detectó una
históricamente a una actividad malintencionada. Aunque los comandos
actividad - Media
individuales pueden parecer benignos, la alerta se califica según una
sospechosa.
agregación de estos comandos. Esto podría indicar una actividad legítima
o que un host se encuentra en peligro.
Se detectó una El análisis de datos del host detectó un script de PowerShell que se
actividad de ejecuta en el host %{Compromised Host} que tiene características en
- Alto
PowerShell común con scripts sospechosos conocidos. Este script podría indicar una
sospechosa. actividad legítima o que un host se encuentra en peligro.
SE ejecutaron
cmdlets de El análisis de datos del host indica la ejecución de cmdlets
- Media
PowerShell malintencionados conocidos de PowerSploit de PowerShell.
sospechosos.
Los registros de la máquina indican que la cuenta %{user name} ejecutó

Actividad de SQL
el proceso "%{process name}". Esta actividad no es habitual en esta - Media
sospechosa
cuenta.
Se ejecutó el Se ha observado la ejecución del proceso del sistema SVCHOST en un

proceso SVCHOST contexto anómalo. A menudo, el malware usa SVCHOST para - Alto
sospechoso. enmascarar su actividad malintencionada.
Se ejecutó un Se observó que el proceso "%{process name}" se estaba ejecutando - Media

proceso del desde una ubicación no común. Los archivos con las extensiones .src son
56
SE01A
Rev. E
Tácticas
MITRE
protector de pantalla archivos del protector de pantalla y suelen residir en el directorio del
sospechoso. sistema de Windows, así como ejecutarse desde este.
El análisis de datos del host ha detectado una actividad de eliminación de

Actividad de
instantáneas en el recurso. Instantáneas de volumen (VSC) es un
instantánea de
artefacto importante que almacena instantáneas de datos. Cierto malware - Alto
volumen
y, en concreto, el ransomware, dirige el VSC a las estrategias de copia de
sospechosa
seguridad de sabotaje.
El análisis de datos del host en %{Compromised Host} detectó un intento

de cambio de configuración del registro de WindowPosition, lo que puede
indicar que se han intentado ocultar ventanas de la aplicación en
secciones no visibles del escritorio. Esto podría indicar una actividad
legítima o que una máquina se ha puesto en peligro. Este tipo de
Se detectó un valor actividad se ha asociado previamente con adware conocido (o software
de registro de no deseado) como Win32/OneSystemCare y Win32/SystemHealer, y
- Bajo
WindowPosition malware como Win32/Creprote. Cuando el valor de WindowPosition se
sospechoso. establece en 201329664, (hexadecimal: 0x0c00 0c00, correspondiente al
eje X = 0c00 y al eje Y = 0c00), la ventana de la aplicación de consola se
coloca en una sección que no es visible de la pantalla del usuario de un
área que está oculta en la vista de la barra de tareas o el menú Inicio
visible. El valor hexadecimal sospechoso conocido incluye c000c000,
pero no se limita a este.
Aunque ninguna de las autenticaciones se completó correctamente,

algunas usaban cuentas que el host reconoció. Esto es parecido a un
Actividad de ataque por diccionario, en el que un atacante realiza numerosos intentos
autenticación de autenticación mediante un diccionario de nombres y contraseñas de - Media
sospechosa cuentas predefinidos a fin de encontrar credenciales válidas para acceder
al host. Indica que algunos de los nombres de cuentas de su host pueden
existir en un diccionario de nombres de cuentas conocido.
Indica que se ha asignado un segmento de código con métodos no

Se detectó un estándar, como el vaciado de proceso y la inserción reflexiva. La alerta
segmento de código ofrece características adicionales del segmento de código que se han - Media
sospechoso. procesado para proporcionar un contexto para las funcionalidades y los
comportamientos del segmento de código notificado.
57
SE01A
Rev. E
Tácticas
MITRE
Ejecución de
Los registros de la máquina indican una ejecución de la línea de
comando -
comandos sospechosa realizada por parte del usuario %{user name}.
sospechosa
El análisis de datos del host indica una ejecución de un proceso con una
Se ejecutó un
extensión doble sospechosa. Esta extensión pueden engañar a los
archivo de extensión - Alto
usuarios para que piensen que es seguro abrir los archivos y puede
doble sospechoso.
indicar la presencia de malware en el sistema.

certutil.exe, una utilidad de administrador integrada, se usaba para la
Se detectó una descarga de un archivo binario en lugar de para su finalidad estándar
descarga relacionada con la manipulación de certificados y datos de certificados.
sospechosa Se sabe que los atacantes usan la funcionalidad de herramientas de
- Media
mediante CertUtil. administrador legítimas para realizar acciones malintencionadas. Por
[Se ha detectado ejemplo, utilizan certutil.exe para descargar y descodificar un archivo
varias veces]. ejecutable malintencionado que se ejecutará posteriormente. Este
comportamiento se ha detectado [x] veces en la actualidad en las
siguientes máquinas: [nombres de las máquinas].

certutil.exe, una utilidad de administrador integrada, se usaba para la
Se detectó una descarga de un archivo binario en lugar de para su finalidad estándar
descarga relacionada con la manipulación de certificados y datos de certificados.
- Media
sospechosa Se sabe que los atacantes usan la funcionalidad de herramientas de
mediante CertUtil. administrador legítimas para realizar acciones malintencionadas. Por
ejemplo, utilizan certutil.exe para descargar y descodificar un archivo
ejecutable malintencionado que se ejecutará posteriormente.
Se ejecutó un Los registros de la máquina indican que el proceso sospechoso "%

proceso {Suspicious Process}" se estaba ejecutando en la máquina, lo que a
sospechoso. [Se ha menudo se asocia a intentos por parte del atacante de acceder a las - Alto
detectado varias credenciales. Este comportamiento se ha detectado [x] veces en la
veces]. actualidad en las siguientes máquinas: [nombres de las máquinas].
Se ejecutó un Los registros de la máquina indican que el proceso sospechoso "% - Alto
proceso {Suspicious Process}" se estaba ejecutando en la máquina, lo que a
sospechoso. menudo se asocia a intentos por parte del atacante de acceder a las
58
SE01A
Rev. E
Tácticas
MITRE
credenciales.
El análisis de datos del host en %{Compromised Host} detectó un proceso

cuyo nombre es sospechoso, por ejemplo, porque corresponde a una
Se ejecutó un
herramienta conocida de los atacantes o tiene un nombre similar al que
proceso con un
usarían los atacantes para las herramientas a fin de que no se puedan
nombre sospechoso. - Media
detectar a simple vista. Este proceso podría indicar una actividad legítima
[Se ha detectado
o que una de sus máquinas se ha puesto en peligro. Este comportamiento
varias veces].
se ha detectado [x] veces en la actualidad en las siguientes máquinas:
[nombres de las máquinas].

cuyo nombre es sospechoso, por ejemplo, porque corresponde a una
Se detectó un
herramienta conocida de los atacantes o tiene un nombre similar al que
nombre de proceso - Media
usarían los atacantes para las herramientas a fin de que no se puedan
sospechoso.
detectar a simple vista. Este proceso podría indicar una actividad legítima
o que una de sus máquinas se ha puesto en peligro.
Ráfaga de El análisis de datos del host indica que se produjo una ráfaga de
terminación de terminación de procesos sospechosa en %{Machine Name}. En concreto,
- Bajo
procesos se eliminaron %{NumberOfCommands} procesos entre %{Begin} y %
sospechosa {Ending}.
Se ejecutó un Se observó que la ejecución del proceso del sistema %{process name} en
proceso del sistema un contexto anómalo. A menudo, el malware usa este nombre de proceso - Alto
sospechoso. para enmascarar su actividad malintencionada.

cuyo nombre es muy similar a un proceso de ejecución muy común (%
Se detectó un
{Similar To Process Name}). Aunque este proceso podría ser benigno, se
proceso con nombre - Media
sabe que los atacantes a veces asignan nombres a sus herramientas
sospechoso.
malintencionadas para que se parezcan a otros del proceso legítimo y no
se puedan detectar a simple vista.

Se detectó una
ejecución de un proceso por parte del usuario %{User Name} que es poco
ejecución de
habitual. Las cuentas como %{User Name} tienden a realizar un conjunto - Alto
procesos poco
limitado de operaciones, por lo que se determinó que esta ejecución no es
frecuente.
comuna y puede ser sospechosa.
59
SE01A
Rev. E
Tácticas
MITRE
Se detectó la Se ha detectado la creación de un archivo VBScript mediante el símbolo

asignación de un del sistema. El siguiente script contiene el comando de asignación de
- Alto
objeto HTTP de objetos HTTP. Esta acción se puede usar para descargar archivos
VBScript. malintencionados.
Se detectó un
método de El análisis de datos del host ha detectado un intento de conservar un
persistencia del archivo ejecutable en el registro de Windows. El malware suele utilizar - Bajo
Registro de esta técnica para sobrevivir a un reinicio.
Windows.
Cuando la herramienta de evaluación de vulnerabilidades notifica vulnerabilidades a

Security Center, este presenta los resultados y la información relacionada como
recomendaciones. Además, los resultados incluyen información relacionada, como pasos
de corrección, CVE pertinentes, puntuaciones de CVSS, etc. Se pueden ver las
vulnerabilidades identificadas para una o varias suscripciones, o para una máquina virtual
específica.
Procedimientos del proveedor Recomendados para Evitar una

Violación de Datos que involucre a Citi
Procedimiento recomendado: autenticación mediante Azure Active Directory.
Detalles: App Service proporciona un servicio OAuth 2.0 para el proveedor de
identidades. OAuth 2.0 se centra en la sencillez del desarrollador del cliente y ofrece flujos
60
SE01A
Rev. E
de autorización específicos de aplicaciones web, aplicaciones de escritorio y teléfonos

móviles. Azure AD usa OAuth 2.0 para permitir la autorización del acceso a los
dispositivos móviles y a las aplicaciones web.
Procedimiento recomendado: Restricción del acceso siguiendo los principios de

seguridad de limitar el acceso a lo que se necesita saber y a los principios de mínimos.
Detalles: La restricción del acceso es fundamental para las organizaciones que deseen
aplicar directivas de seguridad para el acceso a los datos. Puede usar Azure RBAC para
asignar permisos a los usuarios, los grupos y las aplicaciones en un ámbito determinado.
Vea Introducción a la administración de acceso para aprender más sobre cómo conceder
acceso a los usuarios a las aplicaciones.
Procedimiento recomendado: Protección de claves.

Detalles: Azure Key Vault ayuda a proteger las claves criptográficas y los secretos que
usan los servicios y aplicaciones en la nube. Con Key Vault, puede cifrar claves y secretos
(por ejemplo claves de autenticación, claves de cuenta de almacenamiento, claves de
cifrado de datos, archivos .PFX y contraseñas) a través del uso de claves que están
protegidas por módulos de seguridad de hardware (HSM). Para tener mayor seguridad,
puede importar o generar las claves en HSM. Vea Azure Key Vault para más información.
También puede utilizar Key Vault para administrar los certificados TLS con renovación
automática.
Procedimiento recomendado: Restricción de las direcciones IP de origen entrantes.

Detalles: App Service Environment tiene una característica de integración de la red virtual
que ayuda a restringir las direcciones IP de origen entrantes mediante grupos de
seguridad de red. Las redes virtuales permiten colocar recursos de Azure en una red que
se pueda enrutar distinta de Internet y a la que se controla el acceso. Vea Integración de
su aplicación con una instancia de Azure Virtual Network para más información.
61
SE01A
Rev. E
Procedimiento recomendado: supervise el estado de seguridad de los entornos.

Detalles: use Azure Security Center para supervisar los entornos de App Service. Cuando
Security Center identifica posibles vulnerabilidades de seguridad, crea recomendaciones
que lo guiarán por el proceso de configuración de los controles necesarios.
62

Se01a Procedimientos de Seguridad Azure Rev-E-0411

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Se01a Procedimientos de Seguridad Azure Rev-E-0411

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN Código Documento

La gestión y protección de la información es de vital importancia para las empresas. Se

El presente documento detalla la Gestión de Riesgos de cada uno de los componentes

El objetivo, es documentar los procedimientos a seguir para mantener en óptimo

Es importante tener la documentación necesaria para determinar las acciones necesarias

La Plataforma se encuentra alojada en Azure Cloud, la misma utiliza los siguientes

 Disco Duro 64 GiB

La APP Pocket Assets se encuentra instalada en la máquina virtual dentro de los

La App cuenta para la mitigación de riesgos el modelo de trabajo de Azure Security

El panel de cumplimiento normativo también proporciona información que permite

Imagen del Panel de Security Center donde esta implementada la App.

Procedimiento de Monitoreo de Seguridad de Red

Cuando punto de conexión queda inaccesible, la solución de problemas de conexión le

Monitor de estado de red, ip y conexiones de la red virtual de Azure donde esta

 Diagnóstico de conexiones de salida desde una máquina virtual

 Captura de paquetes hacia y desde una máquina virtual

 Diagnóstico de problemas con conexiones y la puerta de enlace de una red virtual

La funcionalidad Límite de suscripción de red ofrece un resume de cuántos recursos de

Las métricas y límites de las mismas las indica la herramienta de monitoreo

Análisis del tráfico hacia y desde un grupo de seguridad de red

Visualización de registros de diagnóstico de recursos de red

La funcionalidad Registros de diagnóstico proporciona una única interfaz para habilitar y

Procedimiento de Respuesta a Incidentes de Seguridad

Pasos para la resolución de incidentes

La gestión de incidentes de seguridad se basa en diferentes pasos, que incluyen:

Notificación del incidente:

Clasificación del incidente:

Tratamiento del incidente:

tratamiento y, finalmente, se notifica a la persona que envió primero la notificación del

Roles de la Estrategia de Incidentes y Respuestas.

Organigrama Empresarial Destacado en el Proyecto

Departamento Departamento Departamento

Administrador  Definir las herramientas, procedimientos y recursos para la gestión

 Comunicar los incidentes, estrategias y resultados a la alta

 Preparar al equipo de respuesta a incidentes ante la materialización

 Definir estrategias para prevenir incidentes de seguridad

 Contactar a las autoridades y/o grupos especializados en respuesta

 Ejecutar pruebas de la guía de respuesta a incidentes de seguridad

 Reportar oportunamente los incidentes o eventos de seguridad de

Técnico  Coordinar las actividades a desarrollar durante un incidente de

 Generar técnicas y soluciones de acuerdo a la necesidad

 Ejecutar pruebas de la guía de respuesta a incidentes de

 Reportar la solución dada al administrador.

 Documentar y generar reporte

Diagrama del Proceso y Ejecución ante Incidente

El correspondiente diagrama muestra el work flow de la metodología utilizada por

Capacidad de Tiempo de Recuperación de Tecnología (TRTC)

La siguiente tabla informativa muestra el nivel impacto del incidente y el tiempo de

Detalle Nivel de Tiempo de Respuesta

Plan Preventivo de Contingencia

Plan Preventivo Frecuencia de Ejecución

Componente Fecha Fecha final Fecha Fecha Final Acción Font

Procedimiento de Manejo de Versiones, Vulnerabilidades y

SQL Azure es un sistema completamente tolerante a fallas diseñado para permitir

Proceso para la administración del riesgo Manejo de Versiones,

Plantilla Esquema Control y Gestión del Riesgo de Manejo de

Riesgo Calificación Cualitativa Responsable Riesgo

Los principales riesgos identificados en la implementación y mantenimiento de la plataforma

Diseño: Riesgos derivados de la lógica de funcionamiento de la plataforma, los cuales están

Implementación: Riesgos derivados del proceso de implementación en nuevas áreas del

De Interfaz: Riesgos derivados de desajustes de la interfaz de usuario la cual pudiera

Mantenimiento: Riesgos derivados del soporte de sostenimiento de la plataforma,