Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Clase 3 - Revisión de Controles - Final
Clase 3 - Revisión de Controles - Final
Controles de Seguridad
Sesión N°3 – Revisión de controles
Agenda
Controles
Organizacionales
Controles
Tecnológicos
Resumen de Controles Organizacionales
Resumen de Controles Tecnológicos
5.15 Control de Acceso
Seguridad de aplicaciones (8.26)
Segregación de accesos
Reglas de control
Necesidad de Necesidad
Saber de Uso
Derechos de
acceso Derechos
de acceso
v/s v/s
Principios Todo esta
Cambios de
Seguridad
Física
clasificación
etiquetado
prohibido
automáticos
Incluir
Alcance a
Control de
toda
acceso
Cambios de Cuando se conexión
dinámico
permisos revisa una
automáticos aprobación
5.16 Gestión de la Identidad
Confirmar los
Verificar la
requisitos
identidad
comerciales
Evaluar reglas de
Establecer la
negocio y políticas
Identidad
de seguridad
Configurar y
Proporcionar o
activar la
revocar derechos
identidad
Evaluación de riesgos
Revisión de accesos después de
cambios o termino del empleo
Motivación del cambio o terminación
▪ Proteger la información contra los riesgos derivados del uso de dispositivos de punto final de usuario.
▪ Son controles bastante generales y de alto grado de aceptación, los cuales se agrupan en 4 categorías:
▪ Generales
▪ Responsabilidad del usuario
▪ Uso de dispositivos personales
▪ Conexión a redes inalámbricas
Reglas para
Control de Protección Gestión de
conectarse a Discos cifrados
acceso contra malware Accesos remotos
redes
▪ Debería considerarse:
Asignarse en base al
Usuarios que necesitan Desarrollar un proceso Definir requisitos de
principio de la
derechos privilegiados de autorización expiración
necesidad de uso
Uso diferenciado de
Accesos con tiempos Registro de todos los Uso individual de
cuentas de usuario y
limitados Break Glass accesos privilegiados cuentas y grupos
administrador
▪ Control con muchos cambios y mayor profundidad en la ISO 27.002:2022, prácticamente nuevo.
▪ Plantea con bastante énfasis la necesidad de avanzar en gestionar los acceso de manera dinámica.
8.3 Restricciones de Acceso a la Información
▪ Debería considerarse:
▪ Hay algunos aspectos de detalle muy relevantes, donde sin duda será un importante aporte, como lo son el caso:
▪ La definición de un proceso para la gestión de identidades y accesos.
▪ La definición de reglas para el control de acceso
▪ La definición del uso de control de acceso dinámico
▪ Sin duda que el control del End Point es bastante potente, muy alineado al teletrabajo.
▪ Muchos de los controles fusionados proporcionan un mejor orden, por no decir todos, y son básicamente una agregación
del detalle.
Revisión de controles de Seguridad Física
Controles de
Seguridad Física
Detalle de controles
El contexto de seguridad física
▪ La mayoría de los controles establecidos aplican para la protección de un centro de datos, sin perjuicio que debe
ser considerados de igualmente para la protección de activos en general, por ejemplos oficinas.
7.1 Perímetro de
seguridad física
7.3 Seguridad de
oficinas, despachos y
recursos
7.8 Emplazamiento y
protección de equipos
El contexto de seguridad física
▪ Un segundo grupo de controles guarda relación con la protección del equipamiento frente amenazas y
vulnerabilidades de carácter más ambiental.
7.8 Emplazamiento y
protección de equipos
Norma TIA 942
▪ La norma TIA 942 es el estándar de referencia para la certificación de centro de datos.
▪ Se basa en una serie de especificaciones para comunicaciones, cableado estructurado y subsistemas, generando
lineamientos que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad
que se pretende alcanzar.
▪ La unidad de medida es el Tier (Nivel), el cual describe un nivel de disponibilidad mínima en base a ciertos requisitos.
▪ La última versión fue pública el 2017, contando hoy en día con un esquema de auditoría (2019).
Norma TIA 942 – Un poco más de detalle
▪ Elementos que establece definiciones el estándar.
Detectores de
Detectores de Detectores
CCTV contacto
movimiento Infrarojo
(ventanas/puertas)
▪ Los controles relacionados al acceso físico en la ISO 27.002:2022 son prácticamente los mismos que en la
versión anterior.
▪ Es un buen punto de referencia la norma, pero es necesario abordar otros marcos para una implementación
más detallada.
Revisión de controles de Seguridad Desarrollo
Controles de
Seguridad Tecnológica
Detalle de controles
8.25 Ciclo de Vida de Desarrollo de Software
Separación de ambientes (8.31)
Entrenamiento (8.28)
Fuente: OWASP
DevSecOps – Seguridad en DevOps
8.26 Requerimientos de seguridad en aplicaciones
Transaccionales
Nivel de integridad
Nivel de confianza Proceso de Intercambio de
Payment Gestión de errores en el intercambio y
de las partes autorización claves
procesamiento
Confidencialidad y
Confidencialidad e Seguridad en
requisitos de Seguros Entorno seguro
integridad transacciones
tiempo
Seguridad con
entidades de
confianza
Ejemplo de Arquitectura de Seguridad - Personas
Ejemplo de Arquitectura de Seguridad - Técnica
8.27 Principios de ingeniería y arquitectura de sistemas seguros
Principios claves
(Defensa en
Capacidades Costo, tiempo y Buenas practicas
PKI, IAM dinámico, DLP profundidad, seguridad
organizacionales complejidad actuales
por diseño, mínimo
privilegio….)
Análisis de
Documentación formal
vulnerabilidades y Hardening de sistemas Principios de Zero Trust
de controles deficientes
evaluación de controles
8.28 Codificación segura
Configurar
Análisis de Cumplimiento de Mantencion de
Planificación Expectativas de la herramientas de Competencias en
vulnerabilidades y especificaciones herramientas de
organización desarrollo desarrollo seguro
defectos comunes técnicas desarrollo
integrados
Codificación
Arquitectura Estándares de Técnicas de Tecnicas de
Ambientes Prácticas de
segura + modelado codificación programación programación
Revisión controlados codificación segura
de amenazas seguras seguras estructurada
▪ Los controles relacionados al desarrollo de software en ISO 27.002:2022 se fortalecen bastante en esta
nueva versión.
▪ Los controles de requerimientos, arquitectura y codificación segura son una lista de verificación muy
potente, las cuales si se articulan a los requisitos de gestión de proyectos, ofrecen un marco de referencia
muy integral.
▪ Muchos frameworks de desarrollo seguro existen, siendo OWAPS uno de los modelos de referencia
Conclusiones
https://www.linkedin.com/in/clobos/
Profesor del Curso - Carlos Lobos de Medina