Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEMANA 2
• Los ambientes de trabajo donde las operaciones de seguridad brindan infraestructura, políticas y
procedimientos y donde la organización ha gastado millones de dólares en implementar consultarías e
instalar sistemas complejos de seguridad como firewalls, IDS, etc.; corren el riesgo de volverse lugares
inseguros sino continúan con las actualizaciones y mantenimientos necesarios de los sistemas de
seguridad aplicados.
Seguridad Operacional
• Técnicas de Investigación:
– Captura de datos
– Entrevistas
– Interrogativos
– Solicitud externa
Herramientas, tácticas y procedimientos
forenses digitales
• Herramientas físicas:
– Bloqueadores de escritura y generadores de imágenes de unidades
– Contenedores Faraday
– Grabación de video y audio
Herramientas, tácticas y procedimientos
forenses digitales
• Herramientas de software
– Análisis de trafico de redes
– Herramientas de análisis de registro (logs)
– Herramientas de recuperación de datos
– Maquinas virtuales
– Análisis de código
– Hashing
– Kit de herramientas
Técnicas y Procedimientos
Los estándares documentados para la
recolección, manejo e investigación de
evidencia digital incluyen:
• ISO 27041,27042,27043 Y 27050
• SANS(digital-
forensics.sans.org/community/cheat-
sheets)
• NIST (nist.gov/itl/ssd/software-quality-
group/computer-forensics-tool-testing-
program-cftt)
Análisis forense en la nube
• Cloud Security Allience (CSA) publico una referencia al estándar ISO 27037 sobre
escenarios en la nube
• CSA también ha publicado un modelo de madurez de forensia en la nube
• NIST publico una guía de forensia en la nube
Artefactos
• Netflow
• Análisis de paquetes (Packet sniffer)
• Trafico erroneo conocido
• Archivos de registro (log) del dispositivo de red
Artefactos en Dispositivos Móviles
• Un IDS genera una alarma cuando en el trafico se detecta una firma o un valor de
línea base sospechoso
• Un IPS hace lo mismo que un IDS, pero va mas allá para mitigar la posible intrusión
Security Information and Event
Management (SIEM)
• El volumen de datos de registro, incluso en un entorno de TI pequeño, puede ser
abrumador.
• La SIEM es un compuesto de varias herramientas y capacidades como la
centralización de registros, la protección de la integridad de los datos de registros y
el análisis para generar inteligencia procesable a partir de los datos almacenados en
los registros.
Security Information and Event
Management (SIEM)
Algunos servicios de la SIEM
Centralización
Normalización
Correlación y detección
Alertamiento
Monitoreo continuo
• Los logs deben contener información para reconstruir eventos incluyendo quien que
y cuando
• Definir umbrales y eventos auditables
• Proteger los datos de logs
Inteligencia de amenazas
• Es un proceso formal para identificar activos clave cuyo estado, también conocido
como Configuración, debe ser controlada, e implementar practicas diseñadas para
lograrlo.
• Los elementos de configuración (CI) Son los elementos que se encuentran bajo la
gestión de la configuración y pueden incluir sistemas completos, endpoints
individuales y código fuente.
• La configuración segura de un CI se conoce como línea base, y cualquier cambio
desde la línea base requiere de una solicitud de cambio formal.
Gestión de la configuración
• Hay varios conceptos que sustentan las buenas practicas de seguridad en SecOps:
– Necesidad de saber ( need to know/menor privilegio)
– Segregación de funciones
– Gestión de cuentas privilegiadas
– Rotación de tareas
– Acuerdos de niveles de servicio (SLA)
5. Protección de recursos
• Gestión de medios
– Etiquetado y marcado
– Manejo
• Técnicas de protección de medios
– Transporte de medios
– Sanitización y desecho
6. Gestión de incidentes
• Los eventos son cualquier elemento observable, como acciones de rutina del
usuario o del sistema como un usuario que inicia sesión con éxito en un sistema o
un archivo al que se accede.
• Los incidentes son eventos que no están planificados y tienen un impacto adverso
en la organización. Se miden en:
– Impacto/criticidad
– Urgencia
Plan de gestión de incidentes
• Detección
• Respuesta
• Mitigación
• Reporte
– Incidentes
– Violación de datos
• Recuperación
• Remediacion
Estándares de Respuesta a Incidentes
• Existe una variedad estándares como se destaca en la siguiente lista:
• Garantizar que existan las capacidades adecuadas para recuperar los datos, procesos
y sistemas críticos de la organización
• Esos activos críticos se identifican mediante la realización de un análisis de impacto
al negocio (BIA) que enumera los activos y capacidades críticos, y las estrategias de
recuperación.
Estrategias de Recuperación
Métodos de respaldo
Cloud bursting
Múltiples centros de procesamiento
• Respuesta
• Personal
• Comunicaciones
• Evaluación
• Restauración
• Capacitación y Concientización
• Lecciones aprendidas
12. Probar planes de recuperación de
desastres
• Tipos de pruebas de planes de recuperación en caso de desastre
– Prueba de escritorio
– Recorrido
– Simulacros
– Pruebas en paralelo
– Interrupción total
13. Continuidad del negocio
• Instalaciones externas
– Generaciones de energía de respaldo (UPS)
– Agua
– Alcantarillado
– Conexiones de telecomunicaciones
Controles de Seguridad Internos
• Instalaciones operativas
– Detección y extensión de incendios
– Controles de acceso
– Políticas y procedimientos
– Iluminación y vigilancia
– Materiales de construcción
Controles de Seguridad Internos
• Varias actividades del personal incluyen requisitos para la seguridad tanto del
personal como de los activos de la organización:
– Viajes
– Capacitación y sensibilidad en seguridad
– Gestión de emergencias
– Coacción
Bibliografia
• CISSP
–https://www.isc2.org/cissp-training.aspx
Actividades