Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Dominio 1: Proceso de
Dominio 5: auditoría a los sistemas
Protección de los de información, 21%
activos de
información, 27%
Dominio 2:
Gobierno y gestión
de TI, 17%
Dominio 4:
Operaciones de los
sistemas de
información y
resiliencia del
negocio, 23% Dominio 3: Adquisición,
desarrollo e
implementación de
sistemas de
información, 12%
OBJETIVOS DEL DOMINIO 5
• Evaluar si las prácticas de clasificación de la información están alineadas con los requisitos del negocio y los
requerimientos externos aplicables.
• Ejecutar las auditorías de conformidad con los estándares de auditoría de SI y la estrategia de auditoría de
SI basada en riesgos.
• Evaluar los controles físicos y ambientales para determinar si los activos de información están protegidos
adecuadamente.
• Evaluar los controles de seguridad lógica para verificar la confidencialidad, integridad y disponibilidad de la
información.
• Evaluar las prácticas de seguridad y privacidad de la información de la organización.
• Evaluar el programa de seguridad de la información para determinar su eficacia y su alineamiento con el
análisis de riesgos de seguridad efectuado.
• Evaluar oportunidades y amenazas potenciales asociadas con las tecnologías emergentes.
TEMAS DEL DOMINIO 5
5
SEGURIDAD Y CONTROL DE
LOS ACTIVOS DE
INFORMACIÓN
6
INTRODUCCIÓN
7
INTRODUCCIÓN
• Este modelo permitirá el alineamiento oportuno con los procesos de negocio bajo un
enfoque de riesgos.
• Este modelo permitirá alcanzar la definición de la Estrategia de Seguridad.
• La implantación práctica de dicha estrategia (Programa de Seguridad) determinará
el modelo de gestión de la seguridad.
8
INTRODUCCIÓN
ESTRUCTURA ORGANIZATIVA
9
PRINCIPIOS DE PRIVACIDAD
10
PRINCIPIOS DE PRIVACIDAD
12
INTRODUCCIÓN
Un control efectivo es aquel que permite la mitigación del escenario de riesgo hasta
niveles aceptables.
Proactivos
• Controles que Reactivos
pretenden prevenir un
incidente. • Controles que permiten la
detección, contención y
recuperación frente a un
incidente.
INTRODUCCIÓN
Controles
Técnico Físico
gerenciales
14
CLASIFICACIÓN DE LA INFORMACIÓN
18
ACCESO FÍSICO Y CONTROLES
AMBIENTALES
Interrupción de energía
• Fallo total (apagón)
• Picos y sobretensiones
• Interferencia electromagnética (EMI)
Daños por agua/inundaciones
Materiales de Salas de
Sistemas de Protectores de
construcción y computación con
supresión de sobrecarga
oficina resistentes ubicación
incendios eléctrica
al fuego estratégica
25
PERMISO DE ACCESO AL SISTEMA
29
EXPOSICIONES TÉCNICAS
30
EXPOSICIONES TÉCNICAS
31
EXPOSICIONES TÉCNICAS
Los controles de acceso deben aplicarse en todas las capas de la arquitectura de los
sistemas de información (redes, sistemas operativos, bases de datos y aplicaciones).
Para la mayoría de los sistemas, I&A es la primera línea de defensa, es una medida
técnica que impide que personas no autorizadas (o procesos no autorizados) entren a un
sistema informático.
Métodos de autenticación
Identificador de inicio de sesión y contraseñas
Tokens
Biometría
MÉTODOS DE AUTENTICACIÓN
BIOMETRÍA
La autorización se refiere a las reglas de acceso que especifican quién puede acceder a
qué.
El control de acceso a menudo se basa en la política de mínimo privilegio (otorgamiento
a los usuarios de solo aquellos accesos requeridos para ejecutar sus funciones).
El auditor SI necesita saber qué se puede hacer con el acceso y qué está
restringido.
El auditor SI debe revisar las listas de control de acceso (ACLs).
Un ACL es un registro de usuarios (incluidos grupos, máquinas y procesos) que
tienen permiso para usar un sistema en particular y los tipos de acceso permitidos.
Cuando un usuario cambia sus funciones de trabajo dentro de una organización, es
frecuente que sus antiguos derechos de acceso no sean eliminados antes de agregar los
nuevos accesos requeridos, provocando un problema de SoD.
REGISTROS (LOGS) DEL SISTEMA.
Las pistas de auditoría deben ser protegidas por fuertes controles de acceso para
ayudar a prevenir accesos no autorizados.
El auditor SI debe asegurarse que los registros no puedan ser manipulados
indebidamente o alterados sin dejar una pista de auditoría.
Las pistas de auditoría deben permitir la identificación de:
• Patrones de comportamiento sospechosos (horarios inusuales, concatenación de actividades con
indicios de ser fraudulentas, …)
• Tendencias que indiquen el abuso de privilegios de acceso (revisión de las actividades sensibles
o críticas ejecutadas)
• Registro de los intentos de violación del sistema (actividades denegadas).
• Análisis de actividad de las cuentas de administración
• Análisis de actividad sobre los registros del sistema (archivos de configuración)
46
TIPOLOGÍA DE ATAQUES
Ataques pasivos
Búsqueda de información sobre la red (previo al ataque activo)
Análisis de tráfico / fisgoneo (eavesdropping)
• Creación de un perfil completo de la infraestructura de seguridad de la red (mediante
técnica conocida como footprinting)... Configuración de firewalls, puertos abiertos, tipos de
comunicaciones, …
Ataques activos
Ataque de fuerza bruta
Enmascaramiento
• Acceso a la red con la identidad de un usuario de la misma. Cuando se accede
presentando una dirección IP falsificada se conoce como IP Spoofing
• Utilizada para saltar el filtro del firewall
Phishing / Pharming
Modificación de mensajes
Denegación de servicio
Malware
APT …
47
CONTROLES DE SEGURIDAD
49
CONTROLES DE SHADOW IT
Consolidacion de proveedores de TI
Existen diferentes tipos de cortafuegos (firewall), pero la mayoría de ellos permiten a las
organizaciones:
• Filtrar el tráfico entrante y saliente
• Prevenir que algunos usuarios accedan a ciertos servicios
• Supervisar y registrar las comunicaciones entre una red interna y una externa
• Cifrar paquetes enviados entre diferentes ubicaciones dentro de una organización mediante la
creación de una red privada virtual (VPN)
51
TECNOLOGÍA DE
CORTAFUEGOS (FIREWALL)
• Filtrado de paquetes
• Inspección de estados
• Firewall de aplicación
• Cortafuegos (firewall) de próxima generación
52
MODELO DE CORTAFUEGOS - FILTRADO DE PAQUETES
Por tanto, el enrutador puede conocer el tipo de servicio de Internet que se se utiliza
para enviar los datos y las identidades del remitente y receptor de los datos.
• Con esto, el enrutador puede prevenir el envío de ciertos paquetes entre Internet y la red
corporativa.
53
MODELO DE CORTAFUEGOS - FILTRADO DE PAQUETES
54
SISTEMAS DE INSPECCIÓN DE ESTADO
58
CORTAFUEGOS (FIREWALL) DE PRÓXIMA GENERACIÓN (NGFW)
NGFW (del inglés Next Generation Firewall) son cortafuegos destinados a abordar una
limitación clave encontrada en los cortafuegos anteriores:
• La incapacidad del cortafuegos para inspeccionar la carga útil de los paquetes
Un NGFW es un sistema de seguridad de red adaptable capaz de detectar y bloquear
ataques sofisticados.
62
CIFRADO
Algoritmo de cifrado
• Una función basada en las matemáticas que cifra/decifra datos.
Clave de cifrado
• Una porción de información utilizada por el algoritmo de cifrado para hacer que el proceso de
cifrado o decifrado sea único.
Longitud de la clave
• Una longitud predeterminada para la clave; cuanto más larga es la clave, más difícil es
comprometerla
ESQUEMAS DE CIFRADO
70
INFRAESTRUCTURA DE CLAVE PÚBLICA
ELEMENTOS DE PKI
Un certificado digital se
Certificados compone de una clave pública
digitales e información acerca de la
identificación del propietario de
la clave pública.
71
INFRAESTRUCTURA DE CLAVE PÚBLICA
72
TECNOLOGÍAS DE COMUNICACIÓN BASADA EN
LA WEB
73
SEGURIDAD DE CORREO ELECTRÓNICO
75
MODELOS DE DESPLIEGUE DE LA COMPUTACIÓN EN LA NUBE
76
OBJETIVOS DE SEGURIDAD EN LA NUBE
77
DISPOSITIVOS MÓVILES, INALÁMBRICOS Y DE LA
INTERNET DE LAS COSAS
78
INFORMÁTICA MÓVIL
82
RIESGOS DE IOT (INTERNET DE LAS COSAS)
• Cumplimiento de reglamentaciones
Riesgo de negocio:
• Privacidad del usuario
• Vulnerabilidades de dispositivo
Riesgo técnico: • Actualizaciones de dispositivo
• Gestión de dispositivos
83
GESTIÓN DE EVENTOS DE
SEGURIDAD
84
PROGRAMAS DE FORMACIÓN Y
CONCIENCIACIÓN EN SEGURIDAD
85
FORMACIÓN Y CONCIENCIACIÓN DE LA SEGURIDAD
88
FACTORES DE RIESGO DE FRAUDE
Motivación
Factores
de riesgo
de fraude
Racionalización Oportunidad
89
FACTORES DE RIESGO DE FRAUDE
Pérdida financiera
Repercusiones legales
• De cumplimiento normativo
• De cumplimiento contractual (inversionistas)
Pérdida de credibilidad o ventaja competitiva
Chantaje
Espionaje industrial
Sabotaje (hacktivismo)
91
CRIMEN COMPUTARIZADO
Es importante que el auditor SI sepa y entienda las diferencias entre delito y abuso
cibernético para sustentar las metodologías de análisis de riesgos y las prácticas de
control relacionadas. Ejemplos de delitos computarizados incluyen:
Escuchas ilegales
Análisis de red Enmascaramiento
(eavesdropping)
HERRAMIENTAS Y TÉCNICAS PARA MONITORIZAR
LA SEGURIDAD
93
SISTEMAS DE DETECCIÓN DE INTRUSOS
94
SISTEMAS DE PREVENCIÓN DE INTRUSOS
95
INFORMACIÓN DE SEGURIDAD Y
GESTIÓN DE EVENTOS
Los sistemas SEM agregan y correlacionan de
forma automática los datos de registro de eventos
de seguridad a través de múltiples dispositivos de
seguridad.
• Las correlaciones permiten establecer patrones
de comportamientos sospechosos.
Los sistemas de gestión de eventos y seguridad de
la información (SIEM) toman las capacidades de los
SEM y las combinan con características de
análisis histórico e informes de los sistemas de
gestión de la información de seguridad (SIM).
Un SOC es un equipo organizado creado para
mejorar el nivel de seguridad de una organización y
responder a incidentes de seguridad.
96
PREGUNTA PARA DISCUSIÓN
98
PROTECCIÓN DE EVIDENCIA Y
CADENA DE CUSTODIA
100
PREGUNTA PARA DISCUSIÓN
104
PREGUNTA DE PRÁCTICA
105
PREGUNTA DE PRÁCTICA
106
PREGUNTA DE PRÁCTICA
107
PREGUNTA DE PRÁCTICA
108
PREGUNTA DE PRÁCTICA
109
PREGUNTA DE PRÁCTICA
110
PREGUNTA DE PRÁCTICA
111
PREGUNTA DE PRÁCTICA
112
PREGUNTA DE PRÁCTICA
113
PREGUNTA DE PRÁCTICA
114
MUCHAS GRACIAS