Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• Política de seguridad
• Métodos no criptográficos para su implantación
• Protocolos criptográficos básicos
2
Ciclo de vida de la Seguridad
Análisis de
riesgos
Cumplimiento
Análisis "Gap"
legal y auditoria
¿Qué impacto
¿Qué tiene un ataque
vulnerabilidades en los recursos y
existen? sistemas
Monitorización y Integración y
análisis forense desarrollo
críticos?
Operaciones
3
Política de Seguridad
Una política de seguridad es un conjunto de objetivos de seguridad para una empresa, reglas de
comportamiento para usuarios y administradores, además de unos requisitos del sistema
4
Audiencia de una política de seguridad
5
Jerarquía en la política de seguridad
Política de Gobierno
Política Técnica Política de Usuarios
Comunicaciones
(VoIP, correo Acceso remoto Redes Aplicaciones Identidad Contraseñas Antivirus
electrónico)
6
El programa de seguridad
• Declaración a alto nivel de los requisitos de seguridad de
Políticas los sistemas informáticos
8
Respuesta ante incidentes
Aún a pesar de todo, debemos tener preparado un plan para responder ante un incidente:
◦ Establecer un protocolo de respuesta
◦ Auditoria de sistemas
9
Definir e implementar un SGSI
1 2 3 4 5 6 7
10
Implementación de controles
Auditoría
Análisis de
Recuperación Análisis de Riesgos
vulnerabilidades
Análisis
Forense Respuesta
ante incidentes
Alta disponibilidad
Firewall
Selección de
Monitorización
controles
Honeypots
Monitor de red
IDS/IPS Copias de Seguridad
Implementación
Controles de Acceso
11
Tras el análisis de riesgos
Crítico • Atención inmediata
¿Quién puede
¿Qué recursos y
estar interesado
sistemas son
en atacar los
críticos?
sistemas?
Grave • Atención
RIESGOS
¿Qué impacto
¿Qué tiene un ataque
• Estudio de
Apreciable
vulnerabilidades en los recursos y
existen? sistemas
críticos? tratamiento
Asumible • No se van a
tomar acciones
12
Métodos de tratamiento del riesgo
1 2 3 4
Mitigación Asumir Eliminar Transferir
• Selección de controles • El riesgo es aceptable • Evitar la actividad o • Gestión del riesgo en
hasta un nivel de • No se toman medidas condición que conlleva manos de un tercero
riesgo aceptable el riesgo
13
Tratamiento del riesgo
Resultados análisis de
riesgo
¿Son
satisfactorios?
Riesgo residual
¿Son
satisfactorios?
14
Criterios de selección de controles
Compromiso entre la seguridad y el coste de implementar las medidas de seguridad asociadas:
Grado de Seguridad
120
100
80
60
40
20
0
0 10 20 30 40 50 60 70 80 90 100
Riesgo Coste Control Coste total
15
Guía CCN de selección de productos
URL: https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/2536-ccn-stic-
105-catalogo-de-productos-de-seguridad-de-las-tecnologias-de-la-informacion-y-la-comunicacion/file.html
16
Declaración de Aplicabilidad
Documento donde justificamos:
◦ Los controles seleccionados en fases anteriores
◦ La justificación de las inclusiones y las exclusiones de los controles recomendados por la norma seleccionada
Repaso de los posibles controles y su selección
A.6.1 Organización interna 6.1.1. Roles y responsabilidades en la Aplicar Exigido por ISO 27002
seguridad de la información
6.1.2. Segregación de tareas Aplicar Se han definido roles para la realización de tareas,
evitar uso indebido y el impacto de los incidentes de
seguridad
6.1.3 Contacto con las autoridades No aplicar No se considera que este control reduzca el riesgo
de los activos identificados
17
Implementación de controles
Tras seleccionar los contextos de los controles debemos implementar los procesos que se
encargan de realizar esos controles:
18
Monitorización y Auditoría
La monitorización efectiva de un sistema consiste en la Sensores
recolección de datos desde diversas fuentes, que
llamaremos sensores, para analizar diferentes tipos de
datos creados por diferentes personas con diversos Ubicación Datos Actividad
propósitos
Auditoría: descubrir vulnerabilidades existentes Red Informar
◦ Internas: ¿cómo de bien funciona la seguridad?
◦ Externas: certificar la seguridad del sistema
Host Eventos
Servicio Control
19
Planes de respuesta ante incidentes
El objetivo final de cualquier plan de respuesta a incidentes (IR, Incident Response) es contener,
recuperar y reanudar las operaciones normales lo más rápido y sin problemas posible
Recuperación
Detección de Respuesta y Revisión y
y
incidentes contención mejora
reanudación
20
Continuidad del Negocio
El plan de continuidad del negocio (BCP, Business Plan de Continuidad del
Continuity Plan) incluye: Negocio
◦ La recuperación ante desastres
◦ Los procedimientos para restaurar los procesos del
negocio que se han podido interrumpir por un desastre Iniciación del plan
21
Educación y Formación en seguridad
Las organizaciones no pueden proteger la confidencialidad, la integridad y
la disponibilidad de la información en el entorno de sistemas altamente
interconectados de la actualidad sin garantizar que todas las personas
involucradas en el uso y la administración de TI:
◦ Comprenden sus roles y responsabilidades relacionadas con la misión
de la organización
◦ Comprenden la política, los procedimientos y las prácticas de seguridad
de TI de la organización
◦ Tienen al menos un conocimiento adecuado de los diversos controles
de gestión, operativos y técnicos necesarios y disponibles para proteger
los recursos de TI de los que son responsables
El factor 'personas', no la tecnología, es clave para proporcionar un nivel
adecuado de seguridad. Si las personas son la clave, también son uno de
los eslabones más débiles, por tanto se debe prestar más atención a este
objetivo
22
Modelo SETA (NIST SP 800-18)
Características Educación Formación Concienciación
Orientación ¿Por qué? ¿Cómo? ¿Qué?
Nivel Interiorización Conocimiento Información
Objetivo Comprensión Adquisición de Concienciación
habilidades
Métodos Debates Clases Vídeos
Seminarios Casos prácticos Posters
Lecturas Talleres Juegos
Actividades interactivas
Evaluación Trabajos escritos Resolución de problemas Cuestionario
verdadero/falso o
selección múltiple
Temporalización A largo plazo Inmediatos A corto plazo
URL: https://csrc.nist.gov/publications/detail/sp/800-50/final 23
Tipos de formación
24
Protocolos criptográficos básicos (I)
Tipos de algoritmos criptográficos:
◦ Funciones hash
◦ Sistema de clave privada en origen y destino
◦ Sistemas de clave pública en el origen (en el destino habrá una clave privada)
◦ La seguridad reside en su clave
Autenticación, integridad, privacidad y no repudio
Métodos:
◦ Firma digital
◦ Certificado digital – Autoridad de certificación
◦ El estándar X.509
◦ Modelos de infraestructura de clave pública, PKI
◦ Autoridad de registro, IPSec para VPNs (PKCS), SCEP
25
Protocolos criptográficos básicos (II)
SSL (Secure Socket Layer) – Https
◦ Seguridad a nivel de transporte
SET (Secure Electronic Transactions)
◦ No mejora la seguridad de SSL
◦ Trata de mejorar el propio proceso de comercio electrónico
IPSec – A nivel de IP
◦ Authentication Header (AH)
◦ Encapsulating Security Payload (ESP)
26
Seguridad WiFi
WEP (Wired Equivalent Privacy) es un protocolo inseguro con múltiples vulnerabilidades
conocidas
WPA2 (Wi-Fi Protected Access, versión 2):
◦ Dos versiones: WPA-Personal (PSK) y WPA-Enterprise (servidor RADIUS)
◦ Protocolos de cifrado:
◦ Temporal Key Integrity Protocol (TKIP) Garantiza la compatibilidad
◦ CCMP basado en AES (Advanced Encryption Protocol)
◦ Esquema de autenticación para WPA-Enterprise: protocolo EAP (RFC 2284)
◦ EAP-MD5 inseguro
◦ EAP-TLS sólo certificado por WiFI Alliance
◦ EAP-LEAP (EAP ligero o EAP-cisco) utiliza contraseñas muy fuertes, pero es ceptible ataques de fuerza bruta
◦ PEAP (EAP protegido)
◦ Protocolos de control de acceso basados en puertos
27
Política de seguridad y
métodos para su implantación