Fundamentos de Controles de Seguridad

Sesión N°4 – Revisión de controles

Agenda

▪ Controles de Seguridad en Redes

▪ Controles de Operaciones
▪ Nuevos Controles
Controles de Seguridad en Redes

FUNDAMENTOS DE CONTROLES DE SEGURIDAD

Cambios en dominio 16 ISO 27.002:2013

Controles Organizacionales
Controles Personas

Controles Técnicos
Resumen de Controles de Seguridad en Redes
 5.14 Transferencia de Información

Para todos los medios

Partes Basado en Controles para
Interesadas Reglas Controles para la
asegurar Identificación de
protección de la
trazabilidad y no contactos y roles
transferencia
repudio
Desarrollo
Acuerdos
Política de
Protección
Medios
electrónicos
Responsabilidades Confiabilidad y
Uso aceptable en
y obligaciones disponibilidad de
instalaciones
frente a incidentes servicios

Medios Medios Directrices para

Físicos Verbales Requisitos legales
retención de la
asociados
información
5.14 Transferencia de Información

Transferencia Electrónica Transferencia Física Transferencia Verbal

Detección y protección contra malware Control de la información Conversaciones en espacios públicos

Protección de información sensible Asegurar correcto direccionamiento

Conversaciones en canales no seguros

Prevención de envíos erróneos Protección de medios físicos

Uso de contestadores automáticos
Autorización de uso de servicios públicos Servicios y Mensajeros confiables

Controles relacionados a los espacios

Niveles de autentificación fuertes Estándares de identificación

Restricciones sobre SMS, Fax u otros Registro de medios de almacenamiento Clasificación de conversación
6.6 Acuerdos de Confidencialidad o No revelación

▪ Básicamente es un check list (Igual a la versión anterior)

Responsabilidades y Propiedad de la
Información a Condiciones de acciones para evitar la información, secretos
Duración del acuerdo
proteger término del acuerdo revelación no comerciales y
autorizada propiedad intelectual

Uso permitido de
información y El derecho a auditoria Procesos de Condiciones de Acciones en caso de
firmantes y supervisión notificación devolución incumplimiento
relacionados
8.20 Seguridad en Redes

▪ Controles generales que deberían considerarse:

Actualización de Separación de
Protección de redes
Responsabilidades y diagramas de red y responsabilidad
Nivel de clasificación publicas, de terceros
procedimientos configuración de operacional de redes
e inalámbricas
dispositivos con TIC

Detectar, restringir y
Registro de eventos Sistemas de
Coordinación con Restringir y filtrar autenticar la conexión
para la seguridad de autenticación en la
actividades de gestión conexiones a la red de equipos y
la información red
dispositivos a la red

Deshabilitar
Hardening de los Segregar canales de Aislar subredes
protocolos de red
dispositivos de red administración criticas bajo ataques
vulnerables

Nuevas disposiciones en ISO 27.002:2020

8.21 Seguridad en Servicios de Redes

▪ Reglas generales que deberían considerarse:

Servicios de red a Medios de acceso a Gestionar

Requisitos de Procedimientos de
los que se permite las redes y servicios información de
autenticación autorización
acceder de red acceso

Tecnologías
Seguimiento del uso empleadas Parámetros técnicos Restricciones de Procedimientos para
de los servicios de para conexiones almacenamiento en la restricción de
red (autentificación, seguras cache acceso
cifrado)

Nuevas disposiciones en ISO 27.002:2020

 8.22 Segregación de Red

▪ No tiene cambios

Establecer criterios Definir perímetros

de segmentación y gateways

Definiciones
específicas en
redes inalámbricas

Fuente: https://www.incibe-cert.es/blog/divide-venceras-segmentacion-rescate
 8.22 Segregación de Red

▪ Segmentación básica de red

▪ Separación con Firewall

▪ Muchas formas y tecnologías

relacionadas :
▪ Dominios
▪ VLAN
▪ PVLAN
▪ Gateways/Bridges
▪ NAT/Proxy

Fuente: https://www.incibe-cert.es/blog/divide-venceras-segmentacion-rescate
 8.22 Segregación de Red

▪ Segmentación avanzada

▪ Considera diodos de datos y

dispositivos

▪ Incluye una DMZ

Fuente: https://www.incibe-cert.es/blog/divide-venceras-segmentacion-rescate
8.23 Filtrado Web

▪ La organización debe reducir los riesgos de que su personal acceda a sitios web que contengan
contenido ilegal o malicioso.

▪ Técnicas básicas son el bloqueo de IP o dominios, algunos navegadores lo hacen de forma

automática.

▪ La organización debe identificar los tipos de sitios web a los que el personal debe o no tener acceso.

▪ La organización debería considerar bloquear el acceso a los siguientes tipos de sitios web:

Sitios que Restricciones de Sitios que

Servidores de
posibiliten la subida Sitios maliciosos fuentes de compartan
comando y control
de información inteligencia contenido ilegal
Ejemplos de Filtrado Web
 Consideraciones
▪ Los controles relacionados al control de acceso se mantienen en la cantidad con respecto a la ISO
27.002:2022, no obstante que hay un control nuevo.

▪ Es bastante general, hay definiciones importantes en dicho tenor, sobre controles de servicios de red y el
filtrado web..

▪ El contexto ofrecido por la ISO 27.002:2022 es igual de general que su antigua versión, información más
especifica y de mayor en dicha materia se puede obtener en la serie ISO 27.033 de Seguridad en Redes:
▪ ISO 27.033-1: Visión general y mapeo
▪ ISO 27.033-2: Diseño e implementación de la seguridad en redes
▪ ISO 27.033-3: Diseño de escenarios basado en amenazas, riesgos y controles
▪ ISO 27.033-4: Comunicación segura de redes
▪ ISO 27.033-5: Seguridad en comunicaciones usando VPN
▪ ISO 27.033-6: Seguridad en redes inalámbricas
Controles de Operaciones

FUNDAMENTOS DE CONTROLES DE SEGURIDAD

Cambios en dominio 12 ISO 27.002:2013

Controles Organizacionales

Controles Técnicos
Resumen de Controles de Operaciones
 5.37 Documentación de procedimientos de operación
▪ Plantea características y definiciones para los procedimientos.

¿Que Documentar?
¿Cuando Documentar?
Cuando se requiera que la actividad se Las personas Instalación y Procesamiento y
Respaldo y resiliencia
realice de igual forma responsables configuración segura manejo de información

Cuando la actividad se realiza raramente y

es probable que sea olvidado la próxima vez Instrucciones de manejo
Planificación de Instrucciones para el Contactos de soporte y
de medios de
requisitos manejo de errores escalamiento
almacenamiento
cuando la actividad sea nueva y presente un
riesgo si no se realiza correctamente;

Antes del traspaso de la actividad al nuevo Procedimientos de

Registros de auditoría y
Procedimientos de
Instrucciones de
reinicio y recuperación monitoreo (capacidad,
personal. del sistema
del sistema
desempeño y seguridad)
mantenimiento
 Gestionar la capacidad - ITIL
▪ Es el proceso responsable de asegurar que la capacidad
de los servicios de TI y la infraestructura de TI puedan
cumplir con los requerimientos de una manera rentable y
oportuna.

▪ OBJETIVOS
▪ Crear y mantener un plan actualizado de capacidad
que refleje las necesidades presentes y futuras.
▪ Realizar consultas internas y externas sobre la
capacidad y el rendimiento de los servicios.
▪ Gestionar el rendimiento y capacidad de los servicios
suministrados
▪ Investigar los efectos de todos los cambios sobre el
plan de capacidades
▪ Adoptar medidas proactivas para mejorar el
rendimiento
 8.6 Gestionar la capacidad

Monitorear los sistemas Aspectos a considerar en la gestión de capacidades

Considerar requisitos de
para proveer los ajustes
capacidad considerando
de capacidades
la criticidad del negocio - Contratación de Personal
oportunamente
- Nuevas instalaciones
- Acceso a mayor procesamiento
- Nuevos servicios
Realizar pruebas de
Establecer controles
stress para evaluar
detectivos
capacidades - Eliminación de datos
- Eliminación de respaldos
- Baja de aplicaciones
- Optimización de código
Proyectar requisitos de
Rol proactivo de - Restricción de ancho de banda
capacidad mirando el
administradores
negocio
 Gestionar la configuración - ITIL
▪ Es el proceso responsable de garantizar que todos los componentes (elementos de configuración) que
forman parte de la solución, producto o servicio están identificados, tienen una línea base de referencia y
se mantienen actualizados.

▪ OBJETIVOS
▪ Crear una base de datos donde se identifiquen todos los activos de TI de la organización.
▪ Brindar información pertinente sobre las configuraciones para apoyar otros procesos.
▪ Definir una base sólida para la Gestión de Incidentes, Gestión de Problemas y Gestión de Cambios.
▪ Comparar la información almacenada referente a los activos de TI, con la infraestructura y corregir las diferencias.
Gestionar la configuración - ITIL
 8.9 Gestionar la configuración

Témplate base: Gestionar la configuración

Usar configuraciones
Determinar nivel de Considerar la Identificación de
protección alineado al factibilidad y Información
bases de los vendors
negocio aplicabilidad propietario y/o
actualizada
punto de contacto
Deshabilitar
Deshabilitar o Restringir accesos y
identidades
restringir funciones y uso de programas
innecesarias, no
servicios innecesarios superprivilegiados Versionamiento de
utilizadas o inseguras;
Control de
plantillas de
cambios
Cambio de
configuración
Cierre de sesiones por
Sincronizar relojes autentificación por
periodo de inactividad
defecto

Relación con
Verificación de configuraciones de
condiciones de
licenciamiento
otros activos
 Gestión del cambio- ITIL
▪ Garantiza que el riesgo e impacto para la infraestructura y operaciones sean mínimos. La gestión del cambio
organizacional incluye actividades previas a la liberación, tales como planificación de implementación y de
back-out, y programación de los cambios. Realiza controles de calidad para garantizar que las actividades de
cambios y liberaciones se ejecuten según lo planificado.

▪ OBJETIVOS
▪ Reducción del riesgo y el impacto
▪ Mantenimiento del estado actual de trabajo
▪ Gestión de comunicaciones y aprobaciones
▪ Planificación eficaz de los cambios con recursos optimizados
▪ Reducción de la cantidad de incidentes debidos a la ejecución de cambios.
Gestionar el Cambio - ITIL
Coordinación Revisión y
Creación Valoración de cierre del Cierre
Autorización de de
RfC y Revisión RfC cambios y registro de de RfC
cambios implementación
registro evaluación cambios
de cambios

Preparar Verificar resultado

Revisión formal Implementar Verificar resultado de cambio con
Lanzar RfC implementación Aprobar cambios
RfC cambios de cambios RfC
de cambio

Documentar
Crear cambio/ Verificar y aceptar
Registro RfC Preparar retirada Lanzar cambios eventos
release resultados
excepcional

Comunicar Comunicar
Asignación RfC Agendar cambios
decisiones resultados

Implementar Verificar resultado

Actualizar CMDB
retirada retirada

Control y escalado de cambios

Monitoreo de Escalado de
cambios cambios
Gestionar el Cambio - ITIL
Crear RFC

Actualizar información de cambios y configuraciones en CMS

Propuesta
de cambios
(opcional) Registrar RFC
Iniciador Solicitado

Registrar RFC
Gestión
de Cambios Preparado para evaluación

Valorar y evaluar el
cambio
Preparado Pedidos de trabajo
para decisión
Autorizar propuesta
de cambio Autorizar el cambio
Autoridad autorizado
de Cambios
Planificar
actualizaciones
Gestión
programado Pedidos de trabajo
de Cambios
Coordinar la
implementación del
Gestión cambio
de Cambios implementado
Informe de Revisar y cerrar el
evaluación registro de cambio
cerrado *Incluye la construcción y pruebas del cambio
Gestionar el Cambio - ITIL
Comunicaciones,
Comunicaciones,
escaldos para Ejemplo de niveles de
decisiones y Autoridad de Cambios
RFC, riesgo configuración afectados
acciones
dudas
Un cambio de coste/riesgo
Comité ejecutivo del
Nivel 1 negocio
elevado requiere decisiones
ejecutivas

Nivel 2 Comité ejecutivo del TI Registrar RFC

CAB o CAB de
Nivel 3 Valorar y evaluar el cambio
emergencia

Nivel 4 Autorización local Autorizar el cambio

8.32 Gestión del Cambio
▪ Control bastante general y similar a lo establecido en la versión anterior.

Planificar y evaluar el Pruebas y aceptación

Autorización de Comunicar los cambios Implementación de
impacto potencial de de pruebas para los
cambios a las partes interesadas cambios
los cambios cambios

Garantizar que se
Consideraciones de Asegurar Garantizar que se cambien los
Mantener registros de
emergencia y documentación cambien los planes de procedimientos de
cambios
contingencia operativa continuidad de las TIC respuesta y
recuperación
8.10 Eliminación de Información
▪ Tiene por propósito evitar la exposición innecesaria de información confidencial y cumplir con las normas
legales, estatutarias, requisitos regulatorios y contractuales para la eliminación de información.

Visión General Sobre los métodos de borrado

Seleccionar el método adecuado conforme Eliminar versiones Usar un software de

a la ley y requisitos del negocio Configurar sistemas para
obsoletas, copias y eliminación seguro y
destruir de forma segura la
archivos temporales aprobado para eliminar
información cuando ya no
dondequiera que se permanentemente la
se necesite
encuentren información
Registrar los resultados de la
eliminación como evidencia
Garantizar la información Utilizar mecanismos de
Usar proveedores
no se puede recuperar eliminación apropiados
aprobados y certificados
mediante el uso de para el tipo de medio de
Obtener evidencia en caso de emplear de servicios de eliminación
herramientas forenses o de almacenamiento que se va
servicios de terceros segura
recuperación especializada a eliminar
8.11 Enmascarado de Datos
▪ Propósito: Para limitar la exposición de datos confidenciales, incluida la PII, y para cumplir con las normas
legales, estatutarias, reglamentarias y requisitos contractuales.

▪ Cuando la protección de datos confidenciales (por ejemplo, PII) es una preocupación, la organización debe
considerar ocultar dichos datos mediante el uso de técnicas como el enmascaramiento de datos, la
seudonimización o la anonimización.

▪ Las técnicas de seudonimización o anonimización pueden ocultar la PII, disfrazar la verdadera identidad u otra
información confidencial, desconectando el vínculo entre la PII y la identidad del principal de la PII o el enlace
entre otra información sensible.

▪ Cuando se utilicen técnicas de seudonimización o anonimización, se debe verificar que los datos hayan sido
adecuadamente seudonimizados o anonimizados.

▪ La anonimización de datos debe considerar todos los elementos de la información sensible para que sea eficaz.
8.11 Enmascarado de Datos
8.11 Enmascarado de Datos

Técnicas Consideraciones Consideraciones

Adicionales enmaramiento Anom/Seud
Cifrado No otorgar a todos los usuarios acceso Nivel de fuerza
a todos los datos
Controles de acceso a los datos
Anular o eliminar caracteres
Diseñar e implementar un mecanismo procesados
de ofuscación de datos
Acuerdos o restricciones en el uso de
Números y fechas variables
los datos procesados
Controlar la ofuscación
Prohibir cotejar los datos
Sustitución
procesados ​con otra información

Requisitos legales Hacer un seguimiento de los datos

Reemplazar valores con su hash
procesados
8.12 Prevención de Fuga de Datos (DLP)

Reducir Riesgos Herramientas Generalidades

Identificar y monitorear información Determinar si es necesario restringir la
Identificar y clasificar la información para
sensible en riesgo de divulgación no capacidad de usuarios en la gestión de
protegerla contra fugas
autorizada información

Establecer consideraciones adicionales en

Detectar la divulgación de información
Monitorear los canales de fuga de datos el caso de exportación y/o transferencia
confidencial
de datos

Considerar la fuga de datos en

bloquear acciones de usuarios o
Actuar para evitar que se filtre componentes técnicas como sitios web y
transmisiones de red que expongan
información servicios, limitando el uso potencial de
información confidencial
inteligencia para adversarios
8.12 Prevención de Fuga de Datos
8.12 Prevención de Fuga de Datos
Inteligencia de Amenazas

FUNDAMENTOS DE CONTROLES DE SEGURIDAD

5.7 Inteligencia de amenazas
▪ Deberían considerarse los siguientes elementos:

Relevante,
Objetivos de
IA Estratégica IA Táctica IA Operacional contextual,
IA
procesable

Seleccionar
Recopilar Procesar la Analizar la Comunicar la
fuentes de
información información información información
información

Articulada a la Input para el Input para

gestión de diseño de pruebas de
riesgos controles seguridad
Beneficios Inteligencia de amenazas

Proporcionar una mayor visión de las ciber amenazas.

Prevenir la pérdida de datos identificando las causas de la fuga de datos.

Guiar en la respuesta a incidentes.

Realización de análisis de datos para identificar los datos explotables.

Proporcionar opciones estratégicas y tácticas procesables.

Realización de análisis de amenazas para detectar amenazas avanzadas.

Compartir la información sobre las amenazas para difundirla

 Características Inteligencia de amenazas

Ayuda a identificar los

Crea alertas personalizadas y Ayuda a identificar los Recomienda diversas
Recoge datos de múltiples indicadores y artefactos
priorizadas en función de la indicadores iniciales de soluciones de corrección y
fuentes relacionados para evaluar la
infraestructura compromiso mitigación de riesgos.
posibilidad de un ataque.

Proporciona una
Ofrece la posibilidad de comprensión de las
Proporciona una visión de la Recomienda diversas
aplicar nuevas estrategias de campañas activas que
probabilidad de los riesgos y soluciones de corrección y
protección para prevenir los incluyen 6W de las
su impacto en el negocio mitigación de riesgos
próximos ataques. amenazas de seguridad
emergentes
Tipos Inteligencia de amenazas
Inteligencia de amenazas en la práctica
5.7 Inteligencia de amenazas
▪ Deberían considerarse los siguientes elementos:

Relevante,
Objetivos de
IA Estratégica IA Táctica IA Operacional contextual,
IA
procesable

Seleccionar
Recopilar Procesar la Analizar la Comunicar la
fuentes de
información información información información
información

Articulada a la Input para el Input para

gestión de diseño de pruebas de
riesgos controles seguridad
Profesor del Curso - Carlos Lobos de Medina

▪ Ingeniero Civil en Informática y Magister en Informática

© de la Universidad de Santiago de Chile, Diplomado en
Auditoría de Sistemas, Postitulado en Seguridad
Computacional y Gestión de Procesos de Negocios de la
Universidad de Chile.
▪ Especialista en gobernanza, gestión y control de
tecnologías de información empleando modelos como
COBIT, ITIL, ISO 27001 e ISO 22301. Posee
certificaciones internacionales CISA, CISM, COBIT, ISO
Lead Auditor 27001, ISO Lead Auditor BS 25599 e ITIL
V3, entre otras.
carlos.lobos@usach.cl ▪ Director de los Programas de Ciberseguridad de
Capacitación USACH.
https://www.linkedin.com/in/clobos/
Fundamentos de Controles de Seguridad

Sesión N°4 – Revisión de controles