Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Recursos de la Estrategia
de Seguridad
Docente: Yesid Alberto Tibaquira Cortes
Holísticas Constitución
POLÍTICAS DE RESPALDOS
02 POLÍTICA DE REDES Y
TELECOMUNICACIONES
01
03
04 05
SANS
https://www.sans.org/
CSOONLINE
http://www.csoonline.com/
CSIRT
http://csirt.org/sample_policies/index.html
Ejemplo 01 Ejemplo 03
Contraseñas Cifrado
Complejidad de Controles Criptográficos
Contraseñas (AES, RSA)
Usuarios Aseguramiento
Nomenclatura de usuario, Aseguramiento de S.O.
campos requeridos (Windows, Unix) y Bases de
Datos
Eliminación Desarrollo
Borrado seguro en PC’s, Validación de entrada y
Servidores, Carpetas salida de datos
Compartidas
01
Contraseñas
Las contraseñas deben ser
almacenadas utilizando
funciones hash tales como SHA-
2 o MD5
03
Cambio Clave
02
Desarrollo
Todo desarrollo debe
implementar una metodología
de desarrollo seguro tal como
SDLC, Owasp o CbyC
Conjunto de
Pasos para tareas
Responsabilidad: específicas
Operaciones
Incluir los pasos
necesarios cuando
Terminos clave hay errores
Debe, deberá o hará – Debería - inesperados
Pudiera o puede
Ejemplos
Gestión de Riesgos
Ejemplos Informáticos
Gestion de
Incidentes de TI
De Seguridad
Sistema, procedimiento,
Personas
dispositivo que regule
Tecnología
cualquier actividad Procesos
Control
Compensatorio
Amenaza
Reduce la Crea
Control probabilidad Reduce la Control
disuasivo de probabilidad Correctivo
de
Descubre Ataque
Explota
Control
detectivo
Protege Vulnerabilidad
Activa Genera
Control
preventivo
Reduce
Impacto
Reduce
Reaccionar
Implementar controles los cuales 03
faciliten la respuesta y la recuperación
ante una amenaza. Detectar
Implementar herramientas que
02 permitan detector y contrarrestar
una amenaza
Proteger
Implementar mecanismos para
prevenir o evitar que una amenaza 01
(riesgo) se materialice Objetivo General
Impedir que una fuente de amenaza
(hacker) alcance a comprometer un
** activo de información de la
organización.
Personas
01 Generalmente el elemento que tiene
más complejidad de proteger.
Tecnología Operaciones
Evaluación de productos, guías de 02 03 Controles disuasivos, políticas,
configuración estándar, certificación procedimientos estándares,
de productos capacitaciones.
Segregación o Compartimentación
A1 C2
A4 A2
A3
Mecanismos
Autenticación
Identificación
I A
Validar la identidad del usuario:
Etiqueta de un usuario dentro Algo que conoce
de un sistema Algo que tiene
Algo que se es
Autorización
Lista de usuarios vs Niveles de
A R Responsabilidad
Todas las acciones realizadas en
Acceso al sistema un sistema puedan asociarse a
un usuario
Controles Administrativos
Políticas y procedimientos
Controles de personal
Estructura de Supervisión
Concientización sobre Seguridad de la Información
Testing
Controles Físicos
Segmentación de Redes
Seguridad Perimetral
Controles para Equipos de Cómputo
Separación áreas de Trabajo
Cableado
Controles Técnicos
Acceso a los sistemas
Arquitectura de Red
Acceso a la red
Cifrado y protocolos
Auditoría
Docente: Yesid Alberto Tibaquira Cortes
21
Control de Acceso: Ataques
Ataque de diccionario
Phishing y Pharming