FUNDAMENTOS DE

Controles de Seguridad
Sesión N°3 – Revisión de controles
Agenda

▪ Revisión de controles de Control de Accesos

▪ Revisión de controles de Seguridad Física
▪ Revisión de controles de Seguridad en el Software
Revisión de controles de Control de Acceso

FUNDAMENTOS DE CONTROLES DE SEGURIDAD

Cambios en dominio 9 ISO 27.002:2013

Controles
Organizacionales

Controles
Tecnológicos
Resumen de Controles Organizacionales
Resumen de Controles Tecnológicos
 5.15 Control de Acceso
Seguridad de aplicaciones (8.26)

Acceso Físico (7.2, 7.3, 7.4)

DEFINIR LA POLITICA!!!
Autorización y niveles de seguridad (5.10, 5.12, 5.13)

Intenciones globales y orientación Restricciones a Accesos privilegiados (8.2)

de una organización relativas a la
Calidad tal como se expresan En este Segregación de funciones (5.3)
formalmente por la Alta Dirección
contexto (5.31)
(ISO 9.000) Legislación relevante

Segregación de accesos

Autorización formal de acceso (5.16, 5.18)

Gestión de accesos (5.18)

Inicio de sesión 8.15)

 En el desarrollo de la políticas considerar

Reglas de control
Necesidad de Necesidad
Saber de Uso
Derechos de
acceso Derechos
de acceso
v/s v/s
Principios Todo esta
Cambios de
Seguridad
Física
clasificación
etiquetado
prohibido
automáticos

Incluir
Alcance a
Control de
toda
acceso
Cambios de Cuando se conexión
dinámico
permisos revisa una
automáticos aprobación
5.16 Gestión de la Identidad

▪ Define 3 niveles de identidades ▪ Deberíamos asegurar

Múltiples No Eliminar Aplicable

Personas de forma desvinculación

Personas humanos oportuna

y cambios de
empleo

Una persona Solo se permiten

debe poseer solo por necesidad del
Están sujetas a Una entidad
una única negocio una identidad, Evitar
aprobación
identidad
objetivo no identidades
tener duplicadas
Están sujetas a duplicidades
aprobación
Es responsable
Supervisión
de las acciones
independiente Registro de Conservar
realizadas por la Deberían estar información
continua actividades
identidad documentadas de
relevantes autenticación
5.16 Gestión de la Identidad – actividades a considerar
Se debería tener un proceso: Otra forma de verlo:

Confirmar los
Verificar la
requisitos
identidad
comerciales

Evaluar reglas de
Establecer la
negocio y políticas
Identidad
de seguridad

Configurar y
Proporcionar o
activar la
revocar derechos
identidad

Fuente: GTAG N°9 – The IIA

5.17 Información de Autentificación

Entrega de Responsabilidades Gestor de

credenciales del Usuario Passwords
Generar claves automáticas Mantener confidencial sus Usuarios escogen sus
de inicio, no adivinables. credenciales password
Cambio obligatorio de
contraseñas al primer inicio
Cambiar contraseña frente a Prevenir la reutilización de
cualquier indicio de incidente contraseñas
Establecer un procedimiento
para verificar la identidad
No desplegar password en
Seguridad en la entrega Password de Calidad
pantalla
Tiempos estimados para romper contraseñas

Las contraseñas de un largo corto son

sensibles a ataques de fuerza bruta.
Sistema de gestión de contraseñas
Directiva de contraseñas en Active Directory
Directiva de bloqueo de cuentas en Active Directory
Directiva de contraseñas en SAP
 5.18 Derechos de Accesos

Entrega o revocación de acceso Obtener Autorización del dueño del activo

Considerar requisitos de negocio

Considerar Políticas de Control de Acceso

Para asignar o
revocar accesos Asegurar la eliminación de accesos
se debería:
Accesos temporales

Verificar niveles de accesos

Mantener un registro de accesos

5.18 Derechos de Accesos

Revisión de Accesos Cambio o Termino de empleo

Evaluación de riesgos
Revisión de accesos después de
cambios o termino del empleo
Motivación del cambio o terminación

Considerar responsabilidades actuales

Revisión de autorización frente a
derechos de accesos privilegiados
El valor de los activos accesibles
8.1 Dispositivo de Usuario Final

▪ Nuevo Control de la ISO 27.002:2022.

▪ Proteger la información contra los riesgos derivados del uso de dispositivos de punto final de usuario.

▪ Son controles bastante generales y de alto grado de aceptación, los cuales se agrupan en 4 categorías:
▪ Generales
▪ Responsabilidad del usuario
▪ Uso de dispositivos personales
▪ Conexión a redes inalámbricas

▪ El control esta muy alineado con las necesidades actuales de teletrabajo.

8.1 Dispositivo de Usuario Final - General

▪ Debería considerarse la realización de una política, la cual contenga:

Clasificar de Registro de Restricciones de Actualización

Requisitos de
acuerdo a la usuarios de instalación de Automática de
seguridad física
información Endpoint software software

Reglas para
Control de Protección Gestión de
conectarse a Discos cifrados
acceso contra malware Accesos remotos
redes

Uso de servicios Uso de

Analítica de
Respaldos web y dispositivos
comportamiento
aplicaciones móviles
8.1 Dispositivo de Usuario Final - Otros

Responsabilidad del usuario Terminar sesiones Proteger el activo

Uso en espacios
Protección física
público

Uso de dispositivos personales

Otorgar accesos solo Procedimientos para
Separar dispositivos
Conexiones Inalámbricas si los usuarios prevenir disputas de Accesos a equipos de
de negocio v/s
reconocen sus Propiedad Intelectual propiedad privada
personales
deberes

Uso de Licencias en Deshabilitación de Banda ancha acorde a

dispositivos de protocolos las necesidades de la
propiedad del usuario vulnerables organización
8.2 Derechos de Accesos Privilegiados

▪ Debería considerarse:

Asignarse en base al
Usuarios que necesitan Desarrollar un proceso Definir requisitos de
principio de la
derechos privilegiados de autorización expiración
necesidad de uso

Definir actividades de Aumento de requisitos Revisión regular y Reglas de uso para

concienciación con los para accesos frente a cambios de administradores
usuarios y su privilegiados usuarios privilegiados genéricos
responsabilidad

Uso diferenciado de
Accesos con tiempos Registro de todos los Uso individual de
cuentas de usuario y
limitados Break Glass accesos privilegiados cuentas y grupos
administrador

Nuevas disposiciones en ISO 27.002:2020

8.3 Restricciones de Acceso a la Información

▪ Control con muchos cambios y mayor profundidad en la ISO 27.002:2022, prácticamente nuevo.
▪ Plantea con bastante énfasis la necesidad de avanzar en gestionar los acceso de manera dinámica.
8.3 Restricciones de Acceso a la Información

▪ Debería considerarse:

Restricciones de acceso Controlar el tipo de

Restricciones de acceso Control de acceso a la
por usuario o grupos de acceso de usuarios o
a información sensible información
estos grupos (WRDE)

Quien puede acceder a Control y registro de Protección de cambios

Restricciones de acceso
la información, en que intercambio de no autorizados, copia o
físico y/o lógico a
periodo y tiempo información con 3os distribución
información sensible

Establecer reglas sobre Uso diferenciado de

Registro de todos los Uso individual de
la gestión de accesos cuentas de usuario y
accesos privilegiados cuentas y grupos
dinámicas administrador
8.5 Autenticación segura

▪ No mostrar identificadores del sistema hasta el final.

▪ No proporcionar mensajes ayuden a un usuario no autorizado.
▪ Validar el login solo si esta toda la información.
▪ Si hay error, no indicar qué parte es incorrecta.
▪ Proteger contra los intentos de fuerza bruta
▪ Registrar los intentos con y sin éxito ocurridos;
▪ Generar un evento frente a potencial incidente
▪ Mostrar fecha y hora del anterior inicio de sesión con éxito,
▪ Mostrar los detalles de login sin éxito
▪ No mostrar la contraseña que se está introduciendo;
▪ No transmitir por la red contraseñas sin cifrar;
▪ Terminar las sesiones inactivas tras un periodo
▪ Restringir los tiempos de conexión
 Consideraciones

▪ Los controles relacionados al control de acceso bajaron de 14 a 9 en la ISO 27.002:2022.

▪ Hay algunos aspectos de detalle muy relevantes, donde sin duda será un importante aporte, como lo son el caso:
▪ La definición de un proceso para la gestión de identidades y accesos.
▪ La definición de reglas para el control de acceso
▪ La definición del uso de control de acceso dinámico

▪ Sin duda que el control del End Point es bastante potente, muy alineado al teletrabajo.

▪ Muchos de los controles fusionados proporcionan un mejor orden, por no decir todos, y son básicamente una agregación
del detalle.
Revisión de controles de Seguridad Física

FUNDAMENTOS DE CONTROLES DE SEGURIDAD

Cambios en dominio 11 ISO 27.002:2013

Controles de
Seguridad Física
Detalle de controles
El contexto de seguridad física
▪ La mayoría de los controles establecidos aplican para la protección de un centro de datos, sin perjuicio que debe
ser considerados de igualmente para la protección de activos en general, por ejemplos oficinas.

7.1 Perímetro de
seguridad física

7.3 Seguridad de
oficinas, despachos y
recursos

7.6 El trabajo en áreas

seguras

7.1 Áreas de carga y

descarga

7.8 Emplazamiento y
protección de equipos
El contexto de seguridad física
▪ Un segundo grupo de controles guarda relación con la protección del equipamiento frente amenazas y
vulnerabilidades de carácter más ambiental.

7.5 Protección contra

las amenazas externas
y ambientales

7.2 Controles físicos

de entrada

7.12 Seguridad del

cableado

7.8 Emplazamiento y
protección de equipos
Norma TIA 942
▪ La norma TIA 942 es el estándar de referencia para la certificación de centro de datos.

▪ Se basa en una serie de especificaciones para comunicaciones, cableado estructurado y subsistemas, generando
lineamientos que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad
que se pretende alcanzar.

▪ La unidad de medida es el Tier (Nivel), el cual describe un nivel de disponibilidad mínima en base a ciertos requisitos.

▪ La última versión fue pública el 2017, contando hoy en día con un esquema de auditoría (2019).
Norma TIA 942 – Un poco más de detalle
▪ Elementos que establece definiciones el estándar.

Redundancia por Tier

▪ Alcanzar el Tier I ya es complejo.

▪ El nivel 3 o más generalmente lo alcanzan y certifican grandes proveedores de telecomunicaciones.

7.4 Monitoreo de la seguridad física

▪ Dependiendo de la criticidad deberían existir controles en instalaciones como:

Detectores de
Detectores de Detectores
CCTV contacto
movimiento Infrarojo
(ventanas/puertas)

Acceso Controlado Seguridad en la

Confidencialidad
Detectores de al sistema de activación de
del diseño
sonido monitoreo alarmas

Seguridad ante Pruebas y revisión Provisión de Alineamiento con

manipulaciones continua energía normativas
7.5 Protección contra las amenazas externas y ambientales

▪ Las instalaciones físicas deben tener en cuenta

Topografía Cercanía mar, Sismicidad y Amenazas

Local lagos y ríos líneas de falla. urbanas

▪ Basado en la evaluación de riesgos considerar:

Fuego Inundaciones Carga eléctrica Explosivos y Armas

Detectores de fluidos y
Detectores y sensores Protección física
humedad Inspecciones aleatorias

Sistemas de supresión Pisos falsos Evitar sobretensiones

Uso de agentes y sustancia Control de acceso

Bombas de agua Minimizar Riesgos
más apropiados
 Consideraciones

▪ Los controles relacionados al acceso físico en la ISO 27.002:2022 son prácticamente los mismos que en la
versión anterior.

▪ No hay definiciones de control adicionales muy disruptivos.

▪ Es un buen punto de referencia la norma, pero es necesario abordar otros marcos para una implementación
más detallada.
Revisión de controles de Seguridad Desarrollo

FUNDAMENTOS DE CONTROLES DE SEGURIDAD

Cambios en dominio 14 ISO 27.002:2013

Controles de
Seguridad Tecnológica
Detalle de controles
8.25 Ciclo de Vida de Desarrollo de Software
Separación de ambientes (8.31)

Seguridad en la Metodología (8.27, 8.28)

¿DEFINIR LA POLITICA? Codificación segura (5.8)

No lo plantea explícitamente, Seguridad en el diseño (5.8)

pero es la mejor forma de
abordar el control En este Seguridad en proyectos (5.8)
contexto (8.29)
Testeo de Seguridad

Repositorios seguros (8.4, 8.9)

Seguridad en control de versiones (8.32)

Entrenamiento (8.28)

Capacidades en Vulnerabilidades (8.28)

 S-SDLC – Seguridad en el Ciclo de Vida de Desarrollo de Software

Fuente: McGraw's Secure Software Development Life Cycle Process

 S-SDLC – Seguridad en el Ciclo de Vida de Desarrollo de Software

Fuente: OWASP
DevSecOps – Seguridad en DevOps
8.26 Requerimientos de seguridad en aplicaciones

Nivel de confianza Clasificación de Segregación de Resiliencia a Requerimientos

(autenticación) información datos y funciones ataques legales

Generales Requisitos de Cifrado de Controles de

Privacidad Protección de datos
confidencialidad comunicaciones aplicación

Transaccionales
Nivel de integridad
Nivel de confianza Proceso de Intercambio de
Payment Gestión de errores en el intercambio y
de las partes autorización claves
procesamiento

Confidencialidad y
Confidencialidad e Seguridad en
requisitos de Seguros Entorno seguro
integridad transacciones
tiempo

Seguridad con
entidades de
confianza
Ejemplo de Arquitectura de Seguridad - Personas
Ejemplo de Arquitectura de Seguridad - Técnica
8.27 Principios de ingeniería y arquitectura de sistemas seguros

Implementación de Integrados a una

Controles para prevenir, Controles para procesos Integración con
controles frente a arquitectura de
detectar o responder comerciales arquitectura técnica
amenazas seguridad

Principios claves
(Defensa en
Capacidades Costo, tiempo y Buenas practicas
PKI, IAM dinámico, DLP profundidad, seguridad
organizacionales complejidad actuales
por diseño, mínimo
privilegio….)

Análisis de
Documentación formal
vulnerabilidades y Hardening de sistemas Principios de Zero Trust
de controles deficientes
evaluación de controles
8.28 Codificación segura

Configurar
Análisis de Cumplimiento de Mantencion de
Planificación Expectativas de la herramientas de Competencias en
vulnerabilidades y especificaciones herramientas de
organización desarrollo desarrollo seguro
defectos comunes técnicas desarrollo
integrados
Codificación
Arquitectura Estándares de Técnicas de Tecnicas de
Ambientes Prácticas de
segura + modelado codificación programación programación
Revisión controlados codificación segura
de amenazas seguras seguras estructurada

Bibliotecas Prohibir el uso de

Pruebas de
Documentar el seguridad de Empaquetamiento Gestión de Registro de eventos
técnicas de diseño
código aplicaciones y liberación segura vulnerabilidades e incidentes
inseguras
estáticas

Selección, Licencia, seguridad

Gestión de
autorización y e historial de los Disponibilidad en
Control de Acceso bibliotecas Verificar fuentes
reutilización de componentes largo plazo
externas
componentes externos
 Consideraciones

▪ Los controles relacionados al desarrollo de software en ISO 27.002:2022 se fortalecen bastante en esta
nueva versión.

▪ Los controles de requerimientos, arquitectura y codificación segura son una lista de verificación muy
potente, las cuales si se articulan a los requisitos de gestión de proyectos, ofrecen un marco de referencia
muy integral.

▪ Muchos frameworks de desarrollo seguro existen, siendo OWAPS uno de los modelos de referencia
Conclusiones

FUNDAMENTOS DE CONTROLES DE SEGURIDAD

Consultas

▪ Carlos Lobos de Medina

carlos.lobos@usach.cl

https://www.linkedin.com/in/clobos/
Profesor del Curso - Carlos Lobos de Medina
carlos.lobos@usach.cl
https://www.linkedin.com/in/clobos/
▪ Ingeniero Civil en Informática y Magister en Informática
© de la Universidad de Santiago de Chile, Diplomado en
Auditoría de Sistemas, Postitulado en Seguridad
Computacional y Gestión de Procesos de Negocios de la
Universidad de Chile.
▪ Especialista en gobernanza, gestión y control de
tecnologías de información empleando modelos como
COBIT, ITIL, ISO 27001 e ISO 22301. Posee
certificaciones internacionales CISA, CISM, COBIT, ISO
Lead Auditor 27001, ISO Lead Auditor BS 25599 e ITIL
V3, entre otras.
▪ Director de los Programas de Ciberseguridad de
Capacitación USACH.
 FUNDAMENTOS DE
Controles de Seguridad
Sesión N°3 – Revisión de controles