Recursos de La Estrategia de Seguridad

Seguridad en Redes
Recursos de la Estrategia
de Seguridad
Docente: Yesid Alberto Tibaquira Cortes

Políticas de Seguridad 2
Declaraciones de alto Objetivo: Proteger la

nivel información
Flexibles o estáticas Mandatorias
Holísticas Constitución

Ejemplos
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
POLÍTICA DE GESTIÓN DE USUARIOS
POLÍTICA DE CORREO ELECTRÓNICO
POLÍTICAS DE RESPALDOS
02 POLÍTICA DE REDES Y
TELECOMUNICACIONES
01
03
04 05

Plantillas
SANS
https://www.sans.org/
CSOONLINE
http://www.csoonline.com/
Information security policies made easy

Libro de Charles Cresson Wood
CSIRT
http://csirt.org/sample_policies/index.html

Ejemplos
Access Control Policy Mobile Computing Security

Policy
All software and files containing formulas,
algorithms, and other specifics used in the Employees must not use personal mobile
process of generating passwords must be devices to store or process Company X
controlled with the most stringent security information. All mobile devices used for
measures supported by the involved Company X business purposes must be
computer system. issued by the Information Technology
department
Ejemplo 02
Ejemplo 01 Ejemplo 03
Network Management Policy

All types of Internet access, except electronic
mail, must be approved in advance in writing
by the relevant department manager.
Department managers must not grant such
access unless they have confirmed that users
have a demonstrable business need for such
access.

Estándares 6

Estándares
7
Ejemplos
Contraseñas Cifrado
Complejidad de Controles Criptográficos
Contraseñas (AES, RSA)
Usuarios Aseguramiento
Nomenclatura de usuario, Aseguramiento de S.O.
campos requeridos (Windows, Unix) y Bases de
Datos
Eliminación Desarrollo
Borrado seguro en PC’s, Validación de entrada y
Servidores, Carpetas salida de datos
Compartidas

Estándares 8
Ejemplos
01
Contraseñas
Las contraseñas deben ser
almacenadas utilizando
funciones hash tales como SHA-
2 o MD5
03
Cambio Clave
Para sistemas que son utilizados

por clientes no hay periodicidad
de cambio de clave
02
Desarrollo
Todo desarrollo debe
implementar una metodología
de desarrollo seguro tal como
SDLC, Owasp o CbyC

Procedimientos 9
Conjunto de
Pasos para tareas
Responsabilidad: específicas
Operaciones
Incluir los pasos
necesarios cuando
Terminos clave hay errores
Debe, deberá o hará – Debería - inesperados
Pudiera o puede
Ejemplos
Gestión de Riesgos
Ejemplos Informáticos
Gestion de
Incidentes de TI

Controles 10
Permite la medición de un riesgo
Línea base en buenas prácticas

Implementación de un estándar o ISO 27002:2013
procedimiento PCI
HIPAA
SOX
De Seguridad
Sistema, procedimiento,
Personas
dispositivo que regule
Tecnología
cualquier actividad Procesos

Tipos y Relación de Controles 11
Control
Compensatorio
Amenaza
Reduce la Crea
Control probabilidad Reduce la Control
disuasivo de probabilidad Correctivo
de
Descubre Ataque
Explota
Control
detectivo
Protege Vulnerabilidad
Activa Genera
Control
preventivo
Reduce
Impacto
Reduce

DEFENSA EN PROFUNDIDAD

Defensa en Profundidad 13
Agrupación de controles implementados en múltiples capas
de seguridad
Reaccionar
Implementar controles los cuales 03
faciliten la respuesta y la recuperación
ante una amenaza. Detectar
Implementar herramientas que
02 permitan detector y contrarrestar
una amenaza
Proteger
Implementar mecanismos para
prevenir o evitar que una amenaza 01
(riesgo) se materialice Objetivo General
Impedir que una fuente de amenaza
(hacker) alcance a comprometer un
** activo de información de la
organización.

Elementos Primarios de Defensa 14
Personas
01 Generalmente el elemento que tiene
más complejidad de proteger.
Tecnología Operaciones
Evaluación de productos, guías de 02 03 Controles disuasivos, políticas,
configuración estándar, certificación procedimientos estándares,
de productos capacitaciones.

Tipos de Defensa en Profundidad 15
Anillos Concéntricos Redundancia Superpuesta
Primera Capa (Detección)
Segunda Capa (Retardo)

C3 C1
Tercera Capa (Respuesta)
Segregación o Compartimentación
A1 C2
A4 A2
A3

Ejemplos 16

CONTROLES DE ACCESO

Control de Acceso 18
Combinación de Obligatorio (MAC)

Políticas
This system holds sensitive,
Procesos
super-duper, secret stuff.
Tecnologías
Mecanismo que determina quién y como se debe

aceptar un usuario en un área confiable de la
organización
Discrecional (DAC) Basado en Roles (RBAC)

Only I can let you access my I am in charge of chalk; thus, I
files. need full control of all servers!
Response: Mother, may I? Response: Good try.

19
Mecanismos
Autenticación
Identificación
I A
Validar la identidad del usuario:
Etiqueta de un usuario dentro  Algo que conoce
de un sistema  Algo que tiene
 Algo que se es
Autorización
Lista de usuarios vs Niveles de
A R Responsabilidad
Todas las acciones realizadas en
Acceso al sistema un sistema puedan asociarse a
un usuario

20
Control de Acceso: Capas
Controles Administrativos
 Políticas y procedimientos
 Controles de personal
 Estructura de Supervisión
 Concientización sobre Seguridad de la Información
 Testing
Controles Físicos
 Segmentación de Redes
 Seguridad Perimetral
 Controles para Equipos de Cómputo
 Separación áreas de Trabajo
 Cableado
Controles Técnicos
 Acceso a los sistemas
 Arquitectura de Red
 Acceso a la red
 Cifrado y protocolos
 Auditoría
21
Control de Acceso: Ataques
Ataque de diccionario
Ataque de Fuerza Bruta
Spoofing Inicio de Sesión
Phishing y Pharming

MUCHAS GRACIAS

Recursos de La Estrategia de Seguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Recursos de La Estrategia de Seguridad

Cargado por

Copyright:

Formatos disponibles

Seguridad en Redes

Docente: Yesid Alberto Tibaquira Cortes

Declaraciones de alto Objetivo: Proteger la

Flexibles o estáticas Mandatorias

Docente: Yesid Alberto Tibaquira Cortes

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE GESTIÓN DE USUARIOS

POLÍTICA DE CORREO ELECTRÓNICO

Docente: Yesid Alberto Tibaquira Cortes

Information security policies made easy

Docente: Yesid Alberto Tibaquira Cortes

Access Control Policy Mobile Computing Security

Network Management Policy

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Para sistemas que son utilizados

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Permite la medición de un riesgo

Línea base en buenas prácticas

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Anillos Concéntricos Redundancia Superpuesta

Primera Capa (Detección)

Segunda Capa (Retardo)

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Combinación de Obligatorio (MAC)

Mecanismo que determina quién y como se debe

Discrecional (DAC) Basado en Roles (RBAC)

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

Ataque de Fuerza Bruta

Spoofing Inicio de Sesión

Docente: Yesid Alberto Tibaquira Cortes

Docente: Yesid Alberto Tibaquira Cortes

También podría gustarte