Gestión de Sistemas de Seguridad de la Información

SEMANA 2

Docente: Raul Acosta Sosa

 Contenido del dominio

1- Cumplir con investigaciones

2- Actividades de Registro y Monitoreo
3- Gestión de la configuración
4- Conceptos de Operaciones de Seguridad
5-Protección de Recursos
6- Gestión de incidentes
7- Medidas Preventivas y de Detección
8- Gestión de Parches y Vulnerabilidades
9- Gestión de cambios
10- Estrategias de Recuperación
11- Procesos de Recuperación de Desastres
12- Probar Planes de Recuperación de Desastres
13- Continuidad del Negocio
14- Seguridad Física
15- Protección de Personal
 Para recordar
¿ Que temas tratamos la sesión pasada ?
 Introducción

• La implementación de la seguridad en las operaciones de una organización permiten trabajar y tener

seguros y protegidos los sistemas computarizados y todo su entorno.

• Los ambientes de trabajo donde las operaciones de seguridad brindan infraestructura, políticas y
procedimientos y donde la organización ha gastado millones de dólares en implementar consultarías e
instalar sistemas complejos de seguridad como firewalls, IDS, etc.; corren el riesgo de volverse lugares
inseguros sino continúan con las actualizaciones y mantenimientos necesarios de los sistemas de
seguridad aplicados.
 Seguridad Operacional

• Es un complemento de los otros dominios del CBK y trata de la implementación,

operación y mantenimiento de la infraestructura necesaria para habilitar el
programa de seguridad de la organización.
1. Cumplir con investigaciones
Comprender y cumplir con investigaciones

• Se requiere de expertos con conocimientos técnicos especializados

• Generalmente inician como respuesta a un incidente de seguridad

 Recopilación y manejo de evidencia

• La evidencia es cualquier información que indique que una proposición es verdadera

o fáctica, es decir respalda una afirmación
 Recopilación y manejo de evidencia

• Recopilación de evidencia digital

– Registrar y documentar todo
– Siempre hacer copias
– Evitar cambios no deseados
– Verificar integridad
– Estar consciente de los cambios destructivos

• Manejo de evidencia digital

– Cadena de custodia
 Informas y Documentación

• Toda evidencia debe adherirse a los siguientes principios

• Precisión
• Autenticidad
• Compresible
• Convincente
• Objetiva
• Admisible
 Técnicas de Investigacion

• Técnicas de Investigación:
– Captura de datos
– Entrevistas
– Interrogativos
– Solicitud externa
 Herramientas, tácticas y procedimientos
forenses digitales
• Herramientas físicas:
– Bloqueadores de escritura y generadores de imágenes de unidades
– Contenedores Faraday
– Grabación de video y audio
 Herramientas, tácticas y procedimientos
forenses digitales
• Herramientas de software
– Análisis de trafico de redes
– Herramientas de análisis de registro (logs)
– Herramientas de recuperación de datos
– Maquinas virtuales
– Análisis de código
– Hashing
– Kit de herramientas
 Técnicas y Procedimientos
Los estándares documentados para la
recolección, manejo e investigación de
evidencia digital incluyen:
• ISO 27041,27042,27043 Y 27050
• SANS(digital-
forensics.sans.org/community/cheat-
sheets)
• NIST (nist.gov/itl/ssd/software-quality-
group/computer-forensics-tool-testing-
program-cftt)
 Análisis forense en la nube

La propia naturaleza de la computación en la nube hace que el análisis forense sea

mucho mas difícil
- Maquinas virtuales distribuidas geográficamente
- Problemas de jurisdicción en cada país
- Problemas legales para acceder a datos con Proveedores de nube
 Análisis forense en la nube (contenido)

• Cloud Security Allience (CSA) publico una referencia al estándar ISO 27037 sobre
escenarios en la nube
• CSA también ha publicado un modelo de madurez de forensia en la nube
• NIST publico una guía de forensia en la nube
 Artefactos

En los delitos informáticos, la ciencia forense digital a menudo se

centra en los artefactos, que son rastros digitales que se dejan
cuando un usuario o programa interactúa con un dispositivo.
 Computadoras
• Windows
– Event viewer
– Recycle Bin
– Registry
• macOS
– Console and trash
– Time machine backup system
– Spotlight indexing
• Linux
– /usr
– /tmp
– Var (log files,processes information)
Browsers (Browsing history, cookies,datos almacenados localmente)
Almacenamiento local (archivero físico,medios removibles)
Almacenamiento en la nube (Procedimientos legales,maquinas virtuales)
 Artefactos en Redes

• Netflow
• Análisis de paquetes (Packet sniffer)
• Trafico erroneo conocido
• Archivos de registro (log) del dispositivo de red
 Artefactos en Dispositivos Móviles

• El cifrado predeterminado de teléfonos inteligentes dificulta el análisis forense

• Las aplicaciones es posible que accedan a datos desde la nube
• iOS es una variante de macOS y Android es un sistema basado en Linux, por lo cual
la recopilación seguiré muchos de los procedimientos mencionados anteriormente
2. Actividades de Registro y Monitoreo
 Detección y prevención de intrusos

• Un IDS genera una alarma cuando en el trafico se detecta una firma o un valor de
línea base sospechoso
• Un IPS hace lo mismo que un IDS, pero va mas allá para mitigar la posible intrusión
 Security Information and Event
Management (SIEM)
• El volumen de datos de registro, incluso en un entorno de TI pequeño, puede ser
abrumador.
• La SIEM es un compuesto de varias herramientas y capacidades como la
centralización de registros, la protección de la integridad de los datos de registros y
el análisis para generar inteligencia procesable a partir de los datos almacenados en
los registros.
Security Information and Event
Management (SIEM)
 Algunos servicios de la SIEM

Centralización
Normalización
Correlación y detección
Alertamiento
 Monitoreo continuo

• El monitoreo continuo, como su nombre lo indica, requiere un conjunto de

verificaciones frecuentes para determinar si los controles de seguridad están
implementados y operando de manera efectiva para mitigar el riesgo.
 Monitoreo de Salida

• El monitoreo de salida comprende monitorear y restringir que datos y dispositivos

de almacenamiento pueden salir de entornos controlados
• La prevención de perdida de datos o fugas de datos (DLP) es una herramienta para
administrar los datos electrónicos que salen de una red y estas herramientas
pueden reconocer información mediante patrones o firmas comunes
 Gestión de Registros (logs)

• Los logs deben contener información para reconstruir eventos incluyendo quien que
y cuando
• Definir umbrales y eventos auditables
• Proteger los datos de logs
 Inteligencia de amenazas

La inteligencia de amenazas es una actividad proactiva que permite a los profesionales

de la seguridad identificar las amenazas y los actores que tiene como objetivo vulnerar
su organización
- Fuentes de amenazas
- Caza de amenazas
 Métodos de ataques y hackeos

• Existen muchas herramientas de escaneo de vulnerabilidades

– Security Administrator tool for analyzing network
– Nessus
– Superzapping
– Sniffers
– Session Hacking
– Ataque de diccionario
– Ataque de fuerza bruta
– Backdoors
3. Gestión de la configuración
 Gestión de la configuración

• Es un proceso formal para identificar activos clave cuyo estado, también conocido
como Configuración, debe ser controlada, e implementar practicas diseñadas para
lograrlo.
• Los elementos de configuración (CI) Son los elementos que se encuentran bajo la
gestión de la configuración y pueden incluir sistemas completos, endpoints
individuales y código fuente.
• La configuración segura de un CI se conoce como línea base, y cualquier cambio
desde la línea base requiere de una solicitud de cambio formal.
 Gestión de la configuración

• Aprovisionamiento : Es sinónimo de configurar e implementar un sistema o

aplicación y la conexión con la practica de Gestión de Configuración es obvia, si
existe un estándar para la configuración de un sistema, tiene sentido seguir el
estándar al aprovisionar. (APROVISONAMINETO DE MAQUINAS VIRTUALES)
• Hardening: El proceso de hardening reduce la vulnerabilidad de un sistema
configurándolo en un estado conocido y seguro. (equipo seguro PC)
 Inventario de Activos

• Aprovisionamiento- ingresar un activo en el inventario

• La organización no puede mantener la configuración sobre activos que no conoce
 4. Conceptos de operaciones de seguridad

• Hay varios conceptos que sustentan las buenas practicas de seguridad en SecOps:
– Necesidad de saber ( need to know/menor privilegio)
– Segregación de funciones
– Gestión de cuentas privilegiadas
– Rotación de tareas
– Acuerdos de niveles de servicio (SLA)
 5. Protección de recursos

• Gestión de medios
– Etiquetado y marcado
– Manejo
• Técnicas de protección de medios
– Transporte de medios
– Sanitización y desecho
 6. Gestión de incidentes

• Los eventos son cualquier elemento observable, como acciones de rutina del
usuario o del sistema como un usuario que inicia sesión con éxito en un sistema o
un archivo al que se accede.
• Los incidentes son eventos que no están planificados y tienen un impacto adverso
en la organización. Se miden en:
– Impacto/criticidad
– Urgencia
 Plan de gestión de incidentes

• El objetivo de la gestión o respuesta a incidentes es hacer frente al incidente y

restaurar la organización a las operaciones normales
 Fases de respuesta a incidentes

• Detección
• Respuesta
• Mitigación
• Reporte
– Incidentes
– Violación de datos
• Recuperación
• Remediacion
 Estándares de Respuesta a Incidentes
• Existe una variedad estándares como se destaca en la siguiente lista:

– Procesos de gestión de incidentes del marco ITIL

– Publicación especial 800-61 del NIST “Guía de manejo de incidentes de seguridad informática”
– ISO 27035 “Gestión de incidentes de seguridad”
– Agencia Europea de Seguridad de las Redes y la Información (ENISA)
– ISACA, “ Gestión y respuesta a incidentes”
 7. Medidas preventivas y detección

Operar y mantener medidas preventivas y detectives

• Firewalls
• Sistemas de prevención y detección de intrusos (IDS e IPS)
• Listas blancas y listas negras
• Servicios de Seguridad proporcionados por terceros
• Sandboxing
• Honeypots/honeynets
• Anti-Mallware
• Herramientas de inteligencia artificail y machine learning
 Gestion de Parches y Vulnerabilidades

• Un parche es una actualización de software diseñada para abordar una

vulnerabilidad o problema de software en particular
• El inventario de activos identifica los sistemas que deben mantenerse seguros, lo
que significa monitorear las vulnerabilidades e instalar los parches disponibles.
 9. Gestión de cambios

Entender y participar en procesos de gestión de cambios

• La gestión del cambio se ocupa de mantener a la organización funcionando de
manera eficaz y pasar de un estado seguro a otro
• Esta estrechamente relacionada con la gestión de la configuración, pero la gestión
de la configuración se ocupa de mantener los sistemas de la organización en un
buen estado conocido, mientras que la gestión de cambios se ocupa de revisar,
aprobar y gestionar la implementación de cambios para pasar de un buen estado
conocido a otro.
 Entender y participar en procesos de
gestión de cambios

Las categorías definidas por ITIL proporcionan un punto de referencia útil:

• Cambios estándar: estos cambios son de bajo riesgo y se considera poco probable
que tengan un impacto negativo, por lo que están preaprobados para reducir los
gastos generales operativos
• Cambios normales: estos cambios requieren el proceso completo de gestión de
cambios de solicitud y revisión antes de implementarlos
• Cambios de emergencia: en situaciones de emergencia como un incidentes de
seguridad, el proceso de respuesta al incidente no debe verse obstaculizado por la
necesidad de convocar una reunión de gestión de cambios y obtener aprobación o
realizar pruebas abundantes para descartar posibles impactos negativos de un
parche de emergencia.
 10. Estrategias de recuperación

• Garantizar que existan las capacidades adecuadas para recuperar los datos, procesos
y sistemas críticos de la organización
• Esos activos críticos se identifican mediante la realización de un análisis de impacto
al negocio (BIA) que enumera los activos y capacidades críticos, y las estrategias de
recuperación.
Estrategias de Recuperación
 Métodos de respaldo

• Respaldos Completos: Tardan mas en ejecutarse y utilizan la mayor cantidad de

espacio, ya que hacen copias de seguridad de todos los datos
• Respaldos diferenciales: Capturan todos los datos modificados desde la ultima copia
de seguridad completa lo que significa que se ejecutan mas rápido y requieren
menos almacenamiento.
• Respaldos incrementales: Capturan todos los datos que han cambiado desde la
ultima copia de seguridad completa o incremental, lo que significa que capturan la
menor cantidad de datos y se ejecutan mas rápido.
Integridad y confidencialidad de las copias
de seguridad
• RAID: El concepto es agrupar varios discos, que pueden ser mas baratos que un solo
disco de tamaño equivalente, para proporcionar beneficios de mayor espacio, maypr
velocidad de lectura /escritura, tolerancia a fallas de datos o alguna combinación de
los tres.
• CLOUD: Los servicios en la nube, como el software como servicio (SaaS), a menudo
se configuran para alta disponibilidad, replicación automática de datos y durabilidad
de los datos, que es la gestión proactiva de los datos para preservar la integridad y
disponibilidad. En este caso, la estrategia de respaldo puede ser simplemente
utilizar el servicio de computación en la nube.
Estrategias de sitios de recuperación

Cold site Warm site

Hot site Mobile site

Cloud bursting
 Múltiples centros de procesamiento

• Las organizaciones pueden protegerse contra los impactos de un

desastre mediante el diseño redundante de varios sitios de
procesamiento
11. Procesos de recuperación de desastres

• Respuesta
• Personal
• Comunicaciones
• Evaluación
• Restauración
• Capacitación y Concientización
• Lecciones aprendidas
 12. Probar planes de recuperación de
desastres
• Tipos de pruebas de planes de recuperación en caso de desastre
– Prueba de escritorio
– Recorrido
– Simulacros
– Pruebas en paralelo
– Interrupción total
 13. Continuidad del negocio

• Participar en planeación y ejercicios de continuidad del negocio (BCP)

– Proporcionando retroalimentación sobre los requerimientos de seguridad
– Identificando cambios a la documentación del BCP y DRP
– Diseñando escenarios de seguridad para el BCP
 14. Seguridad física

• Controles de Seguridad Perimetral

– Áreas publicas
• Iluminación adecuada
• Cámaras de seguridad
– Puntos de entrada y salida a las instalaciones
• Personal de recepción
• Controles de acceso físico
• Sensores
• Cámaras
• Guardias de seguridad
 Controles de Seguridad Perimetral

• Instalaciones externas
– Generaciones de energía de respaldo (UPS)
– Agua
– Alcantarillado
– Conexiones de telecomunicaciones
 Controles de Seguridad Internos

• Instalaciones operativas
– Detección y extensión de incendios
– Controles de acceso
– Políticas y procedimientos
– Iluminación y vigilancia
– Materiales de construcción
 Controles de Seguridad Internos

• Instalaciones de Alta Seguridad

– Centros de datos
– Cuarto de servidores
– Cintotecas
 15. Protección de personal

• La elección de los controles de seguridad debe realizarse con respecto a la vida, la

salud y la seguridad del personal que utiliza los sistemas y datos de la organización

• Varias actividades del personal incluyen requisitos para la seguridad tanto del
personal como de los activos de la organización:
– Viajes
– Capacitación y sensibilidad en seguridad
– Gestión de emergencias
– Coacción
 Bibliografia

• CISSP
–https://www.isc2.org/cissp-training.aspx
 Actividades

• Revisa los conceptos relacionados al segundo dominio de CISSP