DOMINIO 5

PROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN

DOMINIO 5

Este capítulo aborda los componentes clave que

aseguran la confidencialidad, integridad y
disponibilidad de los activos de información
• Los procesos utilizados para la clasificación,
tratamiento, almacenamiento y transmisión de la
información de negocio
• El diseño, implementación y monitorización de
los controles de acceso físico y lógico
• La seguridad de la infraestructura de red en la
interconexión con redes externas
• Los controles ambientales
ACERCA DEL EXAMEN CISA

Dominio 1: Proceso de
Dominio 5: auditoría a los sistemas
Protección de los de información, 21%
activos de
información, 27%

Dominio 2:
Gobierno y gestión
de TI, 17%
Dominio 4:
Operaciones de los
sistemas de
información y
resiliencia del
negocio, 23% Dominio 3: Adquisición,
desarrollo e
implementación de
sistemas de
información, 12%
OBJETIVOS DEL DOMINIO 5

• Evaluar si las prácticas de clasificación de la información están alineadas con los requisitos del negocio y los
requerimientos externos aplicables.
• Ejecutar las auditorías de conformidad con los estándares de auditoría de SI y la estrategia de auditoría de
SI basada en riesgos.
• Evaluar los controles físicos y ambientales para determinar si los activos de información están protegidos
adecuadamente.
• Evaluar los controles de seguridad lógica para verificar la confidencialidad, integridad y disponibilidad de la
información.
• Evaluar las prácticas de seguridad y privacidad de la información de la organización.
• Evaluar el programa de seguridad de la información para determinar su eficacia y su alineamiento con el
análisis de riesgos de seguridad efectuado.
• Evaluar oportunidades y amenazas potenciales asociadas con las tecnologías emergentes.
TEMAS DEL DOMINIO 5

Seguridad y control de los activos de información Gestión de eventos de seguridad

• Introducción • Programas de formación y concienciación en seguridad
• Principios de privacidad • Métodos y técnicas de ataques a los sistemas de
• Clasificación de la información información

• Acceso físico y controles ambientales • Herramientas y técnicas para monitorizar la seguridad

• Gestión de identidades y acceso • Recolección y análisis forense de evidencias

• Seguridad de la red y del end-point

• Cifrado de datos y técnicas relacionadas con el cifrado
• Infraestructura de clave pública (PKI)
• Tecnologías de comunicación basada en la web
• Dispositivos móviles, inalámbricos y el Internet de las
cosas (IOT)

5
SEGURIDAD Y CONTROL DE
LOS ACTIVOS DE
INFORMACIÓN

6
INTRODUCCIÓN

7
INTRODUCCIÓN

La protección de los activos de información mantiene como objetivo prioritario la

obtención de garantías sufientes con relación a la confidencialidad, integridad y
disponibilidad de tales activos, así como la conformidad legal.

La seguridad de la información es un componente esencial del gobierno y gestión de

una organización.

El gerente de seguridad (CISO) es responsable de la definición e implantación de un

Modelo de Gobierno de la Seguridad.

• Este modelo permitirá el alineamiento oportuno con los procesos de negocio bajo un
enfoque de riesgos.
• Este modelo permitirá alcanzar la definición de la Estrategia de Seguridad.
• La implantación práctica de dicha estrategia (Programa de Seguridad) determinará
el modelo de gestión de la seguridad.
8
INTRODUCCIÓN

ESTRUCTURA ORGANIZATIVA

9
PRINCIPIOS DE PRIVACIDAD

10
PRINCIPIOS DE PRIVACIDAD

La privacidad es el derecho de un individuo a confiar en que otros utilizarán,

almacenarán, compartirán y dispondrán, de manera legítima sus datos personales,
dentro del contexto y de acuerdo con los propósitos para los que fueron recogidos.
Principios fundamentales de la privacidad:
• Licitud, lealtad y transparencia
• Limitación de la finalidad
• Minimización de los datos
• Exactitud
• Limitación de la conservación
• Integridad y Confidencialidad
• Responsabilidad Proactiva (Auditoría de Privacidad)
• Privacidad en el diseño y por defecto (BIA & Risk Analysis)
11
CLASIFICACIÓN DE LA INFORMACIÓN

12
INTRODUCCIÓN

Un control efectivo es aquel que permite la mitigación del escenario de riesgo hasta
niveles aceptables.

Los controles pueden ser:

Proactivos
• Controles que Reactivos
pretenden prevenir un
incidente. • Controles que permiten la
detección, contención y
recuperación frente a un
incidente.
INTRODUCCIÓN

Controles
Técnico Físico
gerenciales

• Relacionados con las • Controles provistos a • Dispositivos instalados

labores de monitorización través del uso de para restringir físicamente
y formalización de la tecnologías de la el acceso a una
arquitectura de seguridad. información y las instalación o hardware.
comunicaciones.

14
CLASIFICACIÓN DE LA INFORMACIÓN

Para implantar controles efectivos es preciso que las organizaciones formalicen

un inventario detallado de los activos de información.

La mayoría de las organizaciones utilizan un esquema de clasificación con tres a cinco

niveles de sensibilidad.

La clasificación de la información provee los siguientes beneficios:

• Define el nivel de los controles de acceso
• Reduce el riesgo y coste de proteger en exceso o defecto los recursos de información
• Mantiene requisitos de seguridad consistentes y proporcionales
• Permite el tratamiento uniforme de los datos mediante la aplicación de políticas y procedimientos
específicos de cada nivel
• Identifica quién debe contar con acceso a la información
CLASIFICACIÓN DE LA INFORMACIÓN

El propietario de la información debe decidir sobre la clasificación adecuada, en

función de la política de clasificación de los datos de la organización.

La clasificación de la información debe definir la importancia del activo para el

negocio en términos de confidencialidad, integridad y disponibilidad.

La clasificación de la información también debe tener en cuenta los requisitos legales,

regulatorios y contractuales para garantizar la privacidad, confidencialidad, integridad y
disponibilidad.
 PREGUNTA PARA DISCUSIÓN

El PRIMER paso en la clasificación de la

información es:
A. establecer la propiedad.
B. realizar un análisis de criticidad.
C. definir reglas de acceso.
D. crear un diccionario de datos.
ACCESO FÍSICO Y CONTROLES AMBIENTALES

18
ACCESO FÍSICO Y CONTROLES
AMBIENTALES

Evaluar el diseño, la implementación, el

mantenimiento y la monitorización de los controles
físicos y ambientales para determinar si los activos
de información están adecuadamente protegidos.
EXPOSICIONES DE ACCESO FÍSICO
CONTROLES DE ACCESO FÍSICO
EXPOSICIÓN AMBIENTAL

La exposición ambiental está enfocada, en primera instancia, a los eventos naturales

como tormentas eléctricas, tornados, terremotos, erupciones volcánicas y otro tipo de
condiciones atmosféricas extremas.

Interrupción de energía
• Fallo total (apagón)
• Picos y sobretensiones
• Interferencia electromagnética (EMI)
Daños por agua/inundaciones

Daños producidos por el fuego

CONTROLES AMBIENTALES

Los posibles controles ambientales incluyen:

Paneles de Detectores de Detectores de Extintores de

control de alarma agua humo incendio

Materiales de Salas de
Sistemas de Protectores de
construcción y computación con
supresión de sobrecarga
oficina resistentes ubicación
incendios eléctrica
al fuego estratégica

Suministro de Líneas de energía BCPs

Interruptor de documentados y
energía provenientes de
apagado de probados, y planes
ininterrumpida dos de evacuación de
emergencia
(UPS)/generador subestaciones emergencia
 PREGUNTA PARA DISCUSIÓN

Un auditor SI revisa las medidas de seguridad físicas

de una organización. En relación con el sistema de
tarjeta de acceso, el auditor SI debería estar MÁS
preocupado de que:
A. las tarjetas de acceso no personalizadas se entregan
al personal de limpieza, que utiliza una hoja de
asistencia pero no muestra prueba de identidad.
B. las tarjetas de acceso no están identificadas con el
nombre y la dirección de la organización para facilitar
la devolución de una tarjeta perdida.
C. la emisión y administración de derechos de las
tarjetas se realizan en diferentes departamentos,
causando un tiempo de entrega innecesario de las
tarjetas nuevas.
D. el sistema utilizado para programar las tarjetas sólo
puede reemplazarse después de tres semanas en
caso de fallo del sistema.
GESTIÓN DE IDENTIDADES Y ACCESO

25
PERMISO DE ACCESO AL SISTEMA

El permiso de acceso al sistema generalmente se refiere a un privilegio técnico, como la

capacidad de leer, crear, modificar o eliminar un archivo o datos, ejecutar un programa, o
abrir una conexión externa.

El acceso a los recursos de sistemas de información se puede establecer a nivel físico

y/o lógico.

Controles de acceso físico Controles de acceso lógico

• Restringir la entrada y la salida del • Restringir los recursos lógicos del
personal a un área como un edificio sistema (transacciones, datos,
de oficinas, un centro de datos o una aplicaciones) según la necesidad de
sala que contenga equipos de las funciones a desempeñar.
procesamiento de información según
la necesidad de las funciones a
desempeñar.
REVISIONES DE ACCESO AL SISTEMA

Los privilegios de acceso otorgados deben ser autorizados por el propietario de la

información.

La autorización de acceso debe revisarse periódicamente para garantizar su vigencia.

El auditor SI debe evaluar los siguientes criterios asociados a la asignación de privilegios

de acceso:
• Segregación de funciones
• Política de mínimo privilegio (privilegios de acceso)
• Necesidad de saber (información)
• Trazabilidad
GESTIÓN DE LA RELACIÓN CON TERCEROS

• Los terceros podrían poner en riesgo la información si su gestión de la seguridad fuera

inadecuada.
• Se debe facilitar la Política de Seguridad de la Información de la entidad formalizando el
compromiso de cumplimiento.
• Se designará un responsable interno con relación al tercero, y para gestionar altas y bajas.
• El acceso de terceros a la información de la organización no debe proveerse hasta tanto los
controles apropiados no hayan sido implementados (privilegios de acceso según detalle de
prestación del servicio, previa revisión de antecedentes), y se haya firmado un contrato
detallando los términos y condiciones para la conexión o acceso, así como el compromiso
de confidencialidad.
• Se debe formalizar las condiciones de uso de los activos de información (propiedad de la
entidad vs. tercero).
• Se deben formalizar los requisitos de continuidad del servicio.
• Se debe controlar la interconexión con redes externa por parte de terceros.
• Se garantizará la posibilidad de monitorizar/auditar al tercero en las instalaciones del cliente o
sus propias instalaciones.
28
ACCESO LÓGICO

El acceso lógico es la capacidad para interactuar con los

recursos informáticos concedidos mediante la
identificación, autenticación y autorización.

Los controles de acceso lógico constituyen el medio

principal para gestionar y proteger los activos de
información.

Los auditores SI deben poder analizar y evaluar la

efectividad del control de acceso lógico para lograr los
objetivos de seguridad de la información y evitar pérdidas
resultantes de las exposiciones.

29
EXPOSICIONES TÉCNICAS

Actividades no autorizadas (intencionales o no

intencionales) que interfieren en el procesamiento
normal de la plataforma TI (sistema operativo,
aplicaciones y bases de datos)

• Ingreso o modificación de datos / software

• Destrucción de datos
• Disminución de la eficiencia del sistema
• Análisis del tráfico

30
EXPOSICIONES TÉCNICAS

31
EXPOSICIONES TÉCNICAS

• Fuga de datos (robo de información)

• Interceptación de líneas (wire-tapping)
• Escucha furtiva en líneas de telecomunicaciones
• Troyanos
• Ocultación de código malicioso
• Virus
• Código malicioso incluido en un ejecutable
(replicación)
• Gusanos
• Código malicioso (no replicación)
• No modifican programas y se ejecutan
independientemente
• Bombas lógicas
• War driving
32

• Escucha furtiva en enlaces inalámbricos

 ACTIVIDAD

Durante una auditoría del entorno ERP, el auditor

identifica los siguientes hallazgos:
• Los controles de acceso lógico a las cuentas de
se componen de autenticación de factor único con
una longitud de contraseña que debe ser, al
menos, de seis caracteres cambiados con
periodicidad anual.
• No existe una política para la clasificación de los
activos de información.

¿Cuál es el propósito de asignar niveles de

sensibilidad y criticidad a los recursos de
información?
 PREGUNTA PARA DISCUSIÓN

¿Una política de seguridad de la información que

indique que "la visualización de contraseñas
debe enmascararse o suprimirse", aborda cuál
de los siguientes métodos de ataque?
A. Piggybacking
B. Búsqueda en la basura (dumpster diving)
C. Espiar sobre el hombro (shoulder surfing)
D. Suplantación de identidad
 PREGUNTA PARA DISCUSIÓN

Con la ayuda de un oficial de seguridad, otorgar

acceso a los datos es responsabilidad de:
A. los propietarios de los datos.
B. los programadores.
C. los analistas de sistemas.
D. los bibliotecarios.
SOFTWARE DE CONTROL DE ACCESO

El software de control de acceso se utiliza para impedir el acceso y modificación de la

información de negocio, así como la posible ejecución de funciones críticas del sistema,
por parte de usuarios no autorizados.

Los controles de acceso deben aplicarse en todas las capas de la arquitectura de los
sistemas de información (redes, sistemas operativos, bases de datos y aplicaciones).

Cada control de acceso debe incluir:

• Identificación y autenticación
• Autorización de acceso (privilegios de acceso otorgados)
• Registro y reporte de las actividades de los usuarios (log de acceso y actividad)
FUNCIONES DEL SOFTWARE DE CONTROL DE ACCESO
Las funciones generales de control de
acceso a los sistemas operativos o
aplicaciones
• Crear los perfiles de usuarios
• Asignar identificación y autenticación de
usuarios
• Aplicar reglas de limitación de inicio de
sesión de los usuarios
• Aplicar directivas de gestión de
contraseñas
• Notificación sobre el uso y acceso
apropiado antes de la sesión inicial
• Crear responsabilidad y auditabilidad
individuales mediante actividades de
registro de usuarios
Funciones de control de acceso a nivel base
de datos
• Crear los perfiles de la base de datos
• Verificar las autorizaciones de usuarios al
nivel de aplicación y de transacción
• Verificar las autorizaciones de usuarios a
nivel del campo
• Aplicar directivas de gestión de
contraseñas
• Registrar las actividades de acceso a base
de datos /comunicaciones de datos para
monitorizar las violaciones de acceso.
TIPOS DE CONTROL DE ACCESO

• No puede ser controlado o modificado por usuarios

normales o propietarios de datos
Controles de acceso • Actúan por defecto
obligatorio (MAC) • Prohibitivo; todo lo que no esté expresamente permitido
está prohibido.

• Controles de acceso lógicos que pueden ser

configurados o modificados por los usuarios o
Controles de acceso propietarios de los datos.
discrecionales (DAC) • No pueden anular los MAC.
• Actuar como un filtro adicional, prohibiendo aún más el
acceso con el mismo principio de exclusión.
IDENTIFICACIÓN Y AUTENTICACIÓN

La identificación y autenticación de acceso lógico (I&A) es el proceso de establecer y

probar la identidad de un usuario.

Para la mayoría de los sistemas, I&A es la primera línea de defensa, es una medida
técnica que impide que personas no autorizadas (o procesos no autorizados) entren a un
sistema informático.

Algunas vulnerabilidades comunes de I&A incluyen:

• Métodos débiles de autenticación (incorrecta configuración de directiva)
• La falta de confidencialidad para la información de autenticación transmitida a través de una red
• Falta de conocimiento del usuario sobre el riesgo asociado con compartir contraseñas
MÉTODOS DE AUTENTICACIÓN

La autenticación multifactorial es la combinación de más de un método de

autenticación.
El inicio de sesión único (SSO) es el proceso para consolidar todas las funciones de
administración, autenticación y autorización basadas en la plataforma de una
organización en una sola función administrativa centralizada.
El auditor SI debe estar familiarizado con los métodos de autenticación:

Métodos de autenticación
Identificador de inicio de sesión y contraseñas
Tokens
Biometría
MÉTODOS DE AUTENTICACIÓN

CARACTERÍSTICAS DE LAS CONTRASEÑAS

• Fáciles de recordar y difíciles de adivinar

• Generación de contraseñas iniciales al azar
• Asignaciones unívocas (autorización para cuentas grupales)
• Formato seguro de distribución de contraseñas
• Se debe forzar el cambio en la primera sesión
• Limitación de los intentos de acceso (bloqueo de ID)
• Sólo el administrador de seguridad puede reactivar un ID
• Almacenamiento ininteligible de contraseñas
• Cambio periódico (establecimiento de caducidad)
MÉTODOS DE AUTENTICACIÓN

CARACTERÍSTICAS DE LAS CONTRASEÑAS

• Desactivación de ID’s no usados transcurrido cierto tiempo

• Cierre de sesiones sin actividad transcurrido cierto tiempo
• Longitud de contraseñas acorde con el valor estratégico de la información
• Caracteres alfabéticos (may. y min.), numéricos y especiales
• Contraseñas no asociables al usuario y sin sentido lógico
• Impedir la reutilización de contraseñas (almacenamiento ininteligibles de las anteriores)
MÉTODOS DE AUTENTICACIÓN

BIOMETRÍA

• Proceso de filiación / matriculación

• Almacenamiento de la característica biométrica
• Patrón inicial – proceso iterativo - template final
• Desempeño (“performance”) de los sistemas biométricos
• FRR (False Rejection Rate)
• FAR (False Acceptance Rate)
• EER (Equal Error Rate)
AUTORIZACIÓN

La autorización se refiere a las reglas de acceso que especifican quién puede acceder a
qué.
El control de acceso a menudo se basa en la política de mínimo privilegio (otorgamiento
a los usuarios de solo aquellos accesos requeridos para ejecutar sus funciones).
El auditor SI necesita saber qué se puede hacer con el acceso y qué está
restringido.
El auditor SI debe revisar las listas de control de acceso (ACLs).
Un ACL es un registro de usuarios (incluidos grupos, máquinas y procesos) que
tienen permiso para usar un sistema en particular y los tipos de acceso permitidos.
Cuando un usuario cambia sus funciones de trabajo dentro de una organización, es
frecuente que sus antiguos derechos de acceso no sean eliminados antes de agregar los
nuevos accesos requeridos, provocando un problema de SoD.
REGISTROS (LOGS) DEL SISTEMA.

Las pistas de auditoría deben ser protegidas por fuertes controles de acceso para
ayudar a prevenir accesos no autorizados.
El auditor SI debe asegurarse que los registros no puedan ser manipulados
indebidamente o alterados sin dejar una pista de auditoría.
Las pistas de auditoría deben permitir la identificación de:
• Patrones de comportamiento sospechosos (horarios inusuales, concatenación de actividades con
indicios de ser fraudulentas, …)
• Tendencias que indiquen el abuso de privilegios de acceso (revisión de las actividades sensibles
o críticas ejecutadas)
• Registro de los intentos de violación del sistema (actividades denegadas).
• Análisis de actividad de las cuentas de administración
• Análisis de actividad sobre los registros del sistema (archivos de configuración)

Si es proporcional, será preciso valorar la implantación de herramienta SIEM.

SEGURIDAD DE LA RED Y DEL END POINT

46
TIPOLOGÍA DE ATAQUES

Ataques pasivos
Búsqueda de información sobre la red (previo al ataque activo)
Análisis de tráfico / fisgoneo (eavesdropping)
• Creación de un perfil completo de la infraestructura de seguridad de la red (mediante
técnica conocida como footprinting)... Configuración de firewalls, puertos abiertos, tipos de
comunicaciones, …

Ataques activos
Ataque de fuerza bruta
Enmascaramiento
• Acceso a la red con la identidad de un usuario de la misma. Cuando se accede
presentando una dirección IP falsificada se conoce como IP Spoofing
• Utilizada para saltar el filtro del firewall
Phishing / Pharming
Modificación de mensajes
Denegación de servicio
Malware
APT …
47
CONTROLES DE SEGURIDAD

En la interconexión con redes externas se debiera garantizar los siguientes

controles primarios:
• Clasificación de la información accesible desde Internet
• Identificación de los recursos con acceso a través de Internet
• Definición de políticas y normas del uso apropiado de recursos ligados a Internet
• Acceso a Internet a usuarios según necesidades del negocio
• Concienciación y entrenamiento en seguridad para el entorno web a usuarios
autorizados
• Configuración de firewalls e IDS’s basados en estándares (aplicación de buenas
prácticas)
• Técnicas de cifrado de las comunicaciones en Internet
• Monitorización de los accesos a Internet de los usuarios
48
TI INVISIBLE (SHADOW IT)

TI Invisible (Shadow IT) es una aplicación,

herramienta, servicio o sistema que se utiliza
dentro de una organización para colaborar,
desarrollar software, compartir contenido,
almacenar y manipular datos o servir un gran
número de otros propósitos sin ser revisada,
probada, aprobada, implementada o asegurada
por parte de las funciones de seguridad de la
información de la organización de acuerdo a las
políticas y procedimientos escritos.
Su falta de identificación trae consigo que no
se puedan gestionario los riesgos asociados.

49
CONTROLES DE SHADOW IT

El departamento de TI como organización de

prestación de servicios.
• Relación sólida y de apoyo a las unidades de
negocio (TI como consultor)

Consolidación de presupuestos y adquisiciones de TI

en el departamento de TI
• Necesidad de que apruebe las compras

Consolidacion de proveedores de TI

Educación de los usuarios

Inexistencia de perfiles de administración de máquina

asignados a usuarios.

Monitorización de la actividad del usuario en la

actividad end-point
50
CARACTERÍSTICAS DEL CORTAFUEGOS (FIREWALL)

Existen diferentes tipos de cortafuegos (firewall), pero la mayoría de ellos permiten a las
organizaciones:
• Filtrar el tráfico entrante y saliente
• Prevenir que algunos usuarios accedan a ciertos servicios
• Supervisar y registrar las comunicaciones entre una red interna y una externa
• Cifrar paquetes enviados entre diferentes ubicaciones dentro de una organización mediante la
creación de una red privada virtual (VPN)

51
TECNOLOGÍA DE
CORTAFUEGOS (FIREWALL)
• Filtrado de paquetes
• Inspección de estados
• Firewall de aplicación
• Cortafuegos (firewall) de próxima generación

52
MODELO DE CORTAFUEGOS - FILTRADO DE PAQUETES

Un cortafuegos (firewall) de primera generación (filtrado de paquetes), es un enrutador

que examina el encabezado de cada paquete de datos que viaja entre Internet y la red
de la organización.
Los encabezados (headers) de paquetes contienen:
• Información, incluyendo la dirección IP del emisor y receptor
• Los números de puerto (aplicación o servicio) autorizados para utilizar la información transmitida

Por tanto, el enrutador puede conocer el tipo de servicio de Internet que se se utiliza
para enviar los datos y las identidades del remitente y receptor de los datos.
• Con esto, el enrutador puede prevenir el envío de ciertos paquetes entre Internet y la red
corporativa.

53
MODELO DE CORTAFUEGOS - FILTRADO DE PAQUETES

Opera secuencialmente sobre un conjunto de reglas comprobando frente a cada regla

cada paquete que llega

54
SISTEMAS DE INSPECCIÓN DE ESTADO

La inspección de estado, o filtrado dinámico de paquetes, es una tecnología de firewall

que controla todas las conexiones activas y usa esta información para decidir que
paquetes autoriza a seguir su camino.
Rastrea la dirección IP de destino de cada paquete que sale de la red interna de la
organización.
El sistema de estado mapea la dirección IP de origen de un paquete entrante con una
lista de direcciones IP de destino que se mantiene y actualiza.
Cuando se recibe una respuesta a un paquete, se hace referencia a su registro para
determinar si el mensaje entrante se realizó en respuesta a una solicitud que la
organización envió.
Este enfoque previene cualquier ataque iniciado y originado por un extraño.
SISTEMAS DE INSPECCIÓN DE ESTADO
CORTAFUEGOS (FIREWALL) DE APLICACIÓN

¿Qué ocurre si una organización desea ofrecer el servicio de telnet sólo a un

determinado grupo de usuarios que deben autenticarse antes de acceder al
servicio?

La información sobre la identidad de los usuarios internos no está incluida en las

cabeceras de capa de red, sino en la de aplicación (usuario y clave, certificado,
…)
El application-level gateway combina el control de acceso anterior con la
funcionalidad de la capa de aplicación para tomar decisiones (incorpora servicios
de autenticación de usuarios)
CORTAFUEGOS (FIREWALL) DE APLICACIÓN

Zona desmilitarizada (DMZ) (Subred filtrada)

58
CORTAFUEGOS (FIREWALL) DE PRÓXIMA GENERACIÓN (NGFW)

NGFW (del inglés Next Generation Firewall) son cortafuegos destinados a abordar una
limitación clave encontrada en los cortafuegos anteriores:
• La incapacidad del cortafuegos para inspeccionar la carga útil de los paquetes
Un NGFW es un sistema de seguridad de red adaptable capaz de detectar y bloquear
ataques sofisticados.

Realizan funciones tradicionales, como: • Incorpora tecnología de inspección profunda de

• Filtrado de paquetes paquetes (DPI).
• Inspección a nivel del estado • Descifrado e inspección SSL
• Ofrece diferentes grados de protección
integrada contra amenazas.
• Inclusión de IPS
• Control de aplicación basada en contexto
• Protección contra malware
CORTAFUEGOS (FIREWALL) DE PRÓXIMA GENERACIÓN (NGFW)
CORTAFUEGOS (FIREWALL) DE APLICACIÓN
WEB (WAF)
Un cortafuegos (firewall) de aplicación web es un complemento
de servidor, equipo informático (appliance) o filtro adicional que
puede ser empleado para aplicar reglas a una aplicación web
específica (normalmente a una comunicación HTTP).
El WAF opera a niveles más altos en el modelo OSI,
generalmente en el nivel 7 (analiza el tráfico HTTP).
En contraste, los cortafuegos de red operan en el nivel 3 ó 4.
Un WAF puede personalizarse para identificar y bloquear
muchos tipos de ataques, pero la personalización requiere
esfuerzo.
Cuando se hacen cambios en la aplicación, las reglas del WAF
también necesitan cambios.
61
CIFRADO DE DATOS Y TÉCNICAS RELACIONADAS
CON EL CIFRADO

62
CIFRADO

La encriptación se usa en general para:

• Proteger los datos que viajan a través de las
redes de la interceptación y la manipulación no
autorizadas
• Proteger a la información almacenada en las
computadoras de la visualización y la
manipulación no autorizadas
• Detectar alteraciones accidentales o
intencionales de los datos
• Verificar la autenticidad de una transacción o
documento
ELEMENTOS CLAVE DE LOS SISTEMAS DE CIFRADO

Algoritmo de cifrado
• Una función basada en las matemáticas que cifra/decifra datos.

Clave de cifrado
• Una porción de información utilizada por el algoritmo de cifrado para hacer que el proceso de
cifrado o decifrado sea único.

Longitud de la clave
• Una longitud predeterminada para la clave; cuanto más larga es la clave, más difícil es
comprometerla
ESQUEMAS DE CIFRADO

Hay dos tipos de esquemas de cifrado:

• Simétrico: se utiliza una clave única (normalmente denominada "clave
secreta") tanto para el cifrado como para el descifrado.
• Asimétrico: la clave de descifrado es diferente a la utilizada para el
cifrado.

Ventajas principales de los sistemas de claves simétricas sobre

las asimétricas.
• Las claves son mucho más cortas y se pueden recordar fácilmente.
• Los criptosistemas de claves simétricas suelen ser menos complicados
y, por lo tanto, utilizan menos poder de procesamiento.
CRIPTOGRAFÍA DE CLAVE PRIVADA

El problema de transmitir un mensaje grande en

secreto se reduce a la transmisión de una
pequeña clave en secreto
CRIPTOGRAFÍA DE CLAVE PRIVADA

Algoritmo de Diffie-Hellman (uso del problema

del logaritmo discreto)
CRIPTOGRAFÍA DE CLAVE PÚBLICA

En un sistema de criptografía de clave pública, dos

claves trabajan juntas como un par.
Una de las claves se mantiene privada mientras
que la otra se revela públicamente.
El algoritmo subyacente funciona incluso si se utiliza
la clave privada para encriptación y la clave pública
para desencriptación.
ESQUEMAS DE FIRMA DIGITAL

Los esquemas de firma digital aseguran:

• Integridad de los datos: Cualquier cambio al mensaje de
texto plano tendría como resultado que el destinatario
fracasara en el cálculo del hash del documento.
• Autenticación: El destinatario puede asegurar que el
documento ha sido enviado por quien alega haberlo enviado
debido a que únicamente quien lo envió tiene la clave privada.

• No repudio: El remitente reclamado no puede negar después

que generó el documento.
INFRAESTRUCTURA DE CLAVE PÚBLICA

70
INFRAESTRUCTURA DE CLAVE PÚBLICA

La infraestructura de clave pública (PKI) permite a un tercero de confianza expedir,

mantener y revocar certificados de clave pública.

ELEMENTOS DE PKI
Un certificado digital se
Certificados compone de una clave pública
digitales e información acerca de la
identificación del propietario de
la clave pública.

Una CA es una autoridad Una autoridad de registro

en una red que emite y (RA) es una autoridad en
gestiona credenciales de Autoridad de una red que verifica las
seguridad y claves públicas Autoridad de solicitudes de un certificado
certificación
para la verificación o el registro (RA) digital recibidas de parte de
(CA) los usuarios e indica a la
cifrado de la firma del
mensaje. autoridad certificadora (CA)
que se emita.

71
INFRAESTRUCTURA DE CLAVE PÚBLICA

72
TECNOLOGÍAS DE COMUNICACIÓN BASADA EN
LA WEB

73
SEGURIDAD DE CORREO ELECTRÓNICO

Problemas Consideraciones de control

• Ataques de phishing • Planificar acciones de concienciación
• Ataques de DOS • Resolver los aspectos de seguridad del
• Mensajes de correo electrónico sin cifrar despliegue de un servidor de correo, a
interceptados través de estándares de mantenimiento
• Ruta servidor / cliente de correo
(seguridad del servidor)
• Intercambiados con terceros • Garantizar que la aplicación del servidor
de correo esté desplegada, configurada y
• Ataques de malware
administrada para satisfacer la política y
• Problemas de integridad y autenticidad las pautas de seguridad establecidas por
de las fuentes la gerencia (seguridad de la aplicación)
• Considerar la implementación de
tecnologías de encriptación para
proteger la autenticación de usuario y los
datos de correo
74
MODELOS DE SERVICIO DE COMPUTACIÓN EN LA NUBE

75
MODELOS DE DESPLIEGUE DE LA COMPUTACIÓN EN LA NUBE

76
OBJETIVOS DE SEGURIDAD EN LA NUBE

• Asegurar la continua disponibilidad de sus sistemas de información y datos.

• Garantizar la integridad y preservar la confidencialidad de los datos y la información
sensible mientras están almacenados y en tránsito.
• Asegurar el cumplimiento de las leyes, regulaciones y estándares aplicables.
• Garantizar el cumplimiento de su política de seguridad y privacidad.
• Garantizar la posible auditoría del proveedor de la nube.

77
DISPOSITIVOS MÓVILES, INALÁMBRICOS Y DE LA
INTERNET DE LAS COSAS

78
INFORMÁTICA MÓVIL

La computación móvil queda referida a dispositivos que se

transportan diariamente, incluidas tabletas, teléfonos
inteligentes y computadoras portátiles.

Los dispositivos portátiles deben ser protegidos en mayor

medida ya que serán utilizados en ambientes donde los
controles físicos sean insuficientes o inexistentes, con
mayor riesgo de pérdida o sustracción.
Se debe plantear la posibilidad de que determinada
información no se encuentre disponible en tales
dispositivos.
INFORMÁTICA MÓVIL

Las vulnerabilidades comunes de la computación

móvil incluyen las siguientes:
• La información puede viajar a través de redes inalámbricas no
seguras.
• La empresa puede no estar administrando el dispositivo.
• La información podría almacenarse en el dispositivo sin cifrar.
• El dispositivo podría tener una falta de requisitos de
autenticación.
• El dispositivo puede permitir la instalación de aplicaciones de
terceros sin firmar.
CONTROLES DE LA COMPUTACIÓN MÓVIL

Los siguientes controles reducirán el riesgo de revelación de los datos sensibles

almacenados en dispositivos móviles.

Registro y Almacenamiento Detección y

Seguridad física Aprobación
etiquetado cifrado de datos control de virus

Política de uso Autenticación de Aplicaciones

Debido cuidado Concienciación
aceptable red estándar

Seguimiento de Borrado y Contrato de Soporte remoto

la geolocalización bloqueo remotos BYOD seguro
RIESGOS DE BYOD

El riesgo relacionado a BYOD es similar al riesgo

de la informática móvil:
• Protección de datos sensibles
• Control de las redes a las que se conectan (malware)
• Controles de acceso y seguridad de los dispositivos
• Responsabilidad y rendición de cuentas por el dispositivo y la
información contenida en el mismo.
• Capacidad para eliminar los datos sensibles de la empresa en
caso de terminación del empleo o pérdida del dispositivo.
• Problemas de gestión relacionados con el soporte de muchos
tipos diferentes de dispositivos, sistemas operativos y
aplicaciones.
• Asegurarse de que los dispositivos BYOD propiedad de los
empleados estén debidamente respaldados en todo momento.

82
RIESGOS DE IOT (INTERNET DE LAS COSAS)

• Cumplimiento de reglamentaciones
Riesgo de negocio:
• Privacidad del usuario

• Acceso inapropiado a la funcionalidad

Riesgo operacional:
• Uso en segundo plano (shadow usage)

• Vulnerabilidades de dispositivo
Riesgo técnico: • Actualizaciones de dispositivo
• Gestión de dispositivos

83
GESTIÓN DE EVENTOS DE
SEGURIDAD

84
PROGRAMAS DE FORMACIÓN Y
CONCIENCIACIÓN EN SEGURIDAD

85
FORMACIÓN Y CONCIENCIACIÓN DE LA SEGURIDAD

Un programa activo de concienciación sobre la seguridad puede reducir en gran medida

los riesgos al tratar el elemento conductual de la seguridad.
Todos los empleados de una organización y los usuarios de terceros deben recibir
formación adecuada y actualizaciones periódicas sobre la importancia de las políticas,
estándares y procedimientos de seguridad de la organización.
Además, todo el personal debe estar capacitado en sus responsabilidades
específicas, relacionadas con la seguridad de la información.
 PREGUNTA PARA DISCUSIÓN

¿Cuál de las siguientes opciones permite a un

auditor de SI determinar MEJOR la efectividad
de un programa de concienciación y capacitación
sobre seguridad?
A. Revisar el programa de capacitación sobre
seguridad.
B. Preguntarle al administrador de seguridad.
C. Entrevistar una muestra de empleados.
D. Revisar los recordatorios de seguridad para los
empleados.
MÉTODOS Y TÉCNICAS DE ATAQUES A LOS
SISTEMAS DE INFORMACIÓN

88
FACTORES DE RIESGO DE FRAUDE

Motivación

Factores
de riesgo
de fraude

Racionalización Oportunidad

89
FACTORES DE RIESGO DE FRAUDE

La motivación se refiere a una necesidad financiera (o de otro tipo) percibida. El

estafador puede estar en deuda, tener un resentimiento personal, un problema con
las drogas o el juego, o puede que desee disfrutar de elementos de prestigio
social, como una casa o automóvil más grande.
La racionalización se refiere a la manera en que el estafador justifica el delito.
La racionalización puede incluir pensamientos como “yo merecía el dinero”, “sólo
estoy tomando prestado el dinero”, “mi familia necesita el dinero”, “mi empleador
tiene igualmente mucho dinero” o “mi empleador me trata de manera injusta”.

La oportunidad se refiere al método mediante el cual se cometerá el delito.

• Abuso de privilegios
• Controles insuficientes
CRIMEN COMPUTARIZADO

Pérdida financiera
Repercusiones legales
• De cumplimiento normativo
• De cumplimiento contractual (inversionistas)
Pérdida de credibilidad o ventaja competitiva
Chantaje
Espionaje industrial
Sabotaje (hacktivismo)

91
CRIMEN COMPUTARIZADO

Es importante que el auditor SI sepa y entienda las diferencias entre delito y abuso
cibernético para sustentar las metodologías de análisis de riesgos y las prácticas de
control relacionadas. Ejemplos de delitos computarizados incluyen:

Denegación de Malware, virus y

Hacking Fraude
servicio (DoS) gusanos

Acceso no Ataques de fuerza

Phishing Códigos maliciosos
autorizado bruta

Escuchas ilegales
Análisis de red Enmascaramiento
(eavesdropping)
HERRAMIENTAS Y TÉCNICAS PARA MONITORIZAR
LA SEGURIDAD

93
SISTEMAS DE DETECCIÓN DE INTRUSOS

Categorías • Basado en firmas

• IDS basados en red • Basados en estadísticas

• Identifican ataques dentro de la red supervisada y emiten una
• Basados en redes
advertencia al operador.
neuronales
– IDS entre red externa y firewall
– IDS entre firewall y red corporativa

• IDS basados en servidor (host) Una combinación de

• Están configurados para un ambiente específico y monitorizan los modelos basados en
distintos recursos del sistema operativo para advertir de un posible firma y en estadísticas
ataque. provee una mejor
• Detectan la modificación de programas ejecutables, la eliminación de protección.
archivos y el intento de ejecución de comandos privilegiados.

94
SISTEMAS DE PREVENCIÓN DE INTRUSOS

IPS (posibilidad de actuación sobre el firewall)

Honeypot (decoy)
Honeynet: un conjunto de honeypots vinculados Previene que los
servidores de las
Se debe realizar una revisión completa de todas las víctimas previstas se
vulnerabilidades del sistema de red para determinar si se vean afectados por
han identificado las amenazas a la confidencialidad, dichos ataques.
integridad y disponibilidad.

95
INFORMACIÓN DE SEGURIDAD Y
GESTIÓN DE EVENTOS
Los sistemas SEM agregan y correlacionan de
forma automática los datos de registro de eventos
de seguridad a través de múltiples dispositivos de
seguridad.
• Las correlaciones permiten establecer patrones
de comportamientos sospechosos.
Los sistemas de gestión de eventos y seguridad de
la información (SIEM) toman las capacidades de los
SEM y las combinan con características de
análisis histórico e informes de los sistemas de
gestión de la información de seguridad (SIM).
Un SOC es un equipo organizado creado para
mejorar el nivel de seguridad de una organización y
responder a incidentes de seguridad.
96
 PREGUNTA PARA DISCUSIÓN

Las redes neuronales son eficaces para

detectar el fraude debido a que pueden:
A. descubrir nuevas tendencias debido a su
naturaleza lineal.
B. solucionar problemas en los que no se pueden
obtener conjuntos grandes y generales de datos
de capacitación.
C. abordar problemas que requieren la
consideración de un gran número de variables
de entrada.
D. hacer suposiciones sobre la forma de cualquier
curva que relaciona las variables con la salida.
RECOLECCIÓN Y ANÁLISIS FORENSE DE
EVIDENCIAS

98
PROTECCIÓN DE EVIDENCIA Y
CADENA DE CUSTODIA

La evidencia de un delito informático existe en la

forma de archivos de registro, hora y fecha de
modificación, creación o acceso de archivos,
contenidos de memoria, etc.
Reiniciar el sistema o acceder a los archivos podría
dar lugar a que tales pruebas se pierdan, sean
corrompidas o sobreescritas.
Por tanto, uno de los primeros pasos debe ser
copiar una o más imágenes del sistema atacado.
El contenido de la memoria también debe ser
copiado a un archivo antes de reiniciar el
sistema.
99
PROTECCIÓN DE EVIDENCIA Y
CADENA DE CUSTODIA

Cualquier análisis posterior debe realizarse sobre

una imagen del sistema y sobre la copia del
repositorio de memoria, y no en el sistema original
en cuestión.
Se debe preservar la cadena de custodia con el
objeto de atender los requisitos legales que
exigen un alto nivel de confianza respecto a la
integridad de la evidencia.

100
 PREGUNTA PARA DISCUSIÓN

El CSIRT de una organización difunde

descripciones detalladas de amenazas recientes.
La MAYOR preocupación de un auditor SI
debería ser que los usuarios puedan:
A. utilizar esta información para lanzar ataques.
B. compartir la alerta de seguridad.
C. implementar soluciones individuales.
D. no comprender la amenaza.
 PREGUNTA PARA DISCUSIÓN

Un disco duro que contiene datos confidenciales

fue dañado sin posibilidad de reparación. ¿Qué
debe hacerse con el disco duro para impedir el
acceso a los datos contenidos en él?
A. Reescribir el disco duro con 0s y 1s aleatorios.
B. Formatear el disco duro a bajo nivel.
C. Desmagnetizar el disco duro.
D. Destruir físicamente el disco duro.
PREGUNTAS DE PRÁCTICA
 PREGUNTA DE PRÁCTICA

En una organización donde se ha definido una

línea base (baseline) de seguridad de TI, un
auditor de SI debe PRIMERO asegurar:
A. la implementación.
B. el cumplimiento.
C. la documentación.
D. la suficiencia.

104
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la manera MÁS

segura para eliminar datos de cintas magnéticas
obsoletas antes de deshacerse de ellas?
A. Sobrescribir las cintas.
B. Inicializar las etiquetas de cintas.
C. Desmagnetizar las cintas.
D. Borrar las cintas.

105
 PREGUNTA DE PRÁCTICA

Una organización permite el uso de unidades de

bus serial universal para transferir los datos
operacionales entre oficinas. ¿Cuál de los
siguientes es el MAYOR riesgo asociado con el
uso de estos dispositivos?
A. Los archivos no están respaldados.
B. El robo de los dispositivos.
C. El uso de los dispositivos para uso personal.
D. La introducción de software malintencionado
(malware) en la red.

106
 PREGUNTA DE PRÁCTICA

Con la ayuda de un oficial de seguridad, permitir

el acceso a los datos es responsabilidad de:
A. los propietarios de los datos.
B. los programadores.
C. los analistas de sistemas.
D. los bibliotecarios.

107
 PREGUNTA DE PRÁCTICA

¿Cuál de los siguientes tipos de pruebas de

penetración simula un ataque real y se utiliza
para probar la gestión de incidentes y la
capacidad de respuesta del objetivo?
A. Prueba ciega
B. Pruebas de objetivos específicos
C. Pruebas de doble ciego
D. Pruebas externas

108
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la responsabilidad de

los propietarios de activos de información?
A. Implementar la seguridad de la información
dentro de sus aplicaciones
B. Asignar los niveles de criticidad de los datos
C. Aplicar las reglas de acceso a los datos y
programas
D. Proporcionar seguridad física y lógica de los
datos

109
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes opciones de criptografía

aumentaría los gastos indirectos/costes?
A. La encriptación es simétrica, en lugar de
asimétrica.
B. Se utiliza una clave de encriptación larga
asimétrica.
C. Se encripta el hash, en lugar del mensaje.
D. Se utiliza una clave secreta.

110
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la función MÁS

significativa de una infraestructura de clave
pública (PKI) corporativa y una autoridad de
certificación que emplea certificados digitales
X.509?
A. Provee la configuración de clave pública/privada
para los servicios de encriptación y firma usados
por correo electrónico y espacios de archivos.
B. Vincula un certificado digital y su clave pública a
la identidad de un suscriptor individual.
C. Provee la fuente autorizada de identidad y
detalles personales del empleado.
D. Provee la fuente de autenticación autorizada de
acceso a objetos.

111
 PREGUNTA DE PRÁCTICA

¿Cuál de las siguientes es la consideración de

seguridad MÁS importante para una
organización que quiere trasladar una aplicación
de negocios a un servicio basado en la nube
(PaaS) proporcionado por un proveedor?
A. La clasificación y las categorías de
procesamiento de datos de la aplicación.
B. El coste del alojamiento interno en comparación
con el externo.
C. La reputación de un proveedor en el mercado y
los comentarios de los clientes.
D. La disminución en el rendimiento de la aplicación
debido al uso de dispositivos compartidos.

112
 PREGUNTA DE PRÁCTICA

Un centro de datos tiene un sistema de entrada

con tarjeta credencial. ¿Cuál de los siguientes es
MÁS importante para proteger los activos
informáticos en el centro?
A. Lectores de credenciales instalados en lugares
donde su manipulación se notaría.
B. La computadora que controla el sistema de
credenciales es respaldada con frecuencia.
C. Se sigue un proceso para desactivar de
inmediato las credenciales extraviadas o
robadas.
D. Se registran todos los intentos de entrada con
credenciales, más allá de que hayan sido
exitosos o no.

113
 PREGUNTA DE PRÁCTICA

¿Cuál es el MEJOR enfoque para mitigar el

riesgo de un ataque de phishing?
A. Detección de intrusiones (IDS)
B. Evaluación de seguridad
C. Autenticación fuerte
D. Educación del usuario

114
MUCHAS GRACIAS